Борис Коновалов:

В среднем на информационную безопасность выделяется 1,5-4% от дохода компании

На вопросы CNews ответил Борис Коновалов, генеральный директор компании Energy Consulting/Integration группы компаний Energy Consulting.

CNews: Какой из сегментов рынка информационной безопасности России, на ваш взгляд, наиболее привлекателен? Как вы оцениваете его динамику и емкость?

Борис Коновалов: Привлекательность того или иного сегмента рынка информационной безопасности обусловлена целом рядом факторов, в том числе, развитием ИТ (в частности, повышением уровня автоматизации бизнес-процессов), появлением новых угроз, развитием законодательства. Примером последнего является принятие ФЗ «О персональных данных» или введение обязательного стандарта для выполнения процессинговыми институтами PCI-DSS.

В принципе использование средств безопасности должно носить превентивный характер, однако на деле их применение, как правило, является реакцией на уже произошедшее негативное событие. Так, в связи с участившимися случаями хищения баз данных возрос интерес к средствам предотвращения утечек конфиденциальной информации, так называемым Data Leak Prevention (DLP) решениям.

Если говорить о реальной динамике, связанной с объемом продаж в области информационной безопасности, то в среднем рост составляет около 40-50% в год. Оценивать емкость рынка достаточно сложно, так как этот показатель в значительной степени зависит от подходов к оценке, и, думается, будет более правильным говорить об относительных цифрах. Так, в средних оценках бюджета на информационную безопасность выделяется приблизительно 1,5-4% от дохода компании.

CNews: Почему, по вашему мнению, проблематика обеспечения непрерывности бизнеса (Business Continuity) часто рассматривается в контексте информационной безопасности?

Борис Коновалов: Да, это так. Причем это утверждение разделяют также специализированные институты. Например, в марте этого года обладателям сертификата CISSP было предложено стать членами BCI (Business Continuity Institute). В большинстве сертификационных программ по информационной безопасности вопросы непрерывности бизнеса выделены в отдельный домен. Возможно, это объясняется тем, что между этими двумя областями существует связь в части анализа рисков (в BC это Business Impact Analysis).

Вопросами обеспечения непрерывности бизнеса (Business Continuity) в России комплексно только начинают заниматься, причем в таких проектах участвуют в первую очередь бизнес-подразделения, а не только ИТ. Но пока на первом плане все еще остается решение задач по восстановлению последствий катастроф, поскольку эта тема очень близка и ИТ консультантам, и системным интеграторам, и вендорам. Мы считаем, что с ростом числа инцидентов, связанных с ВС, данные вопросы будут прорабатываться более тщательно, станут носить превентивный характер, а также появятся новые стандарты и методики. У подобных работ должен быть заказчик/куратор, и, на наш взгляд, им может быть и не только ИТ-депаратамент.

CNews: До какой степени близки, по вашему мнению, современные риск-менеджмент и ИБ?

Борис Коновалов: На Западе риск-менеджемент - основа построения систем информационной безопасности. По мере развития систем управления ИТ, отдельных процессов, например, управления информационными активами, их оценки, проработки и формализации «живых» моделей угроз и других факторов аналогичный подход начинает формироваться и в России.

CNews: С какими производителями систем DLP вам интересно сотрудничать и почему?

Борис Коновалов: С одним из лидеров мирового DLP-рынка – компанией Websense. В DLP решении от Websense, Inc., Data Security Suite (DSS), используются технологии и достаточно уникальные алгоритмы идентификации информации (PreciseID), позволяющие решить задачу предотвращения утечек конфиденциальных данных по любым каналам передачи, как на уровне сети, в том числе по зашифрованным каналам HTTPS, так и на уровне рабочих мест. Эти технологии позволяют идентифицировать информацию более чем в 400 форматах файлов и СУБД, независимо от языка, а использование ее в сочетании с известными методами идентификации контента, такими как регулярные выражения и словари, позволяют продуктам DSS максимально точно обнаруживать утечки данных, не допуская при этом ложных срабатываний. Следует отметить масштабируемость и гибкость решения, которые позволяют относительно быстро развернуть систему в любых распределенных сетях, при этом сохранив возможность централизованного управления.

CNews: На ваш взгляд, насколько готовы вендоры сетевой ИБ к защите SOA архитектур и трафика XML, SOAP и Web-сервисов?

Борис Коновалов: Защите Web-сервисов вендорами уделяется большое внимание уже на протяжении длительного времени, что обусловлено широким использованием, например, почтовых систем, тонких клиентов, различных Web-порталов. У большинства вендоров существуют специализированные решения именно для защиты Web-приложений, например, у компании Check Point такой продукт называется Connectra или у Cisco - ACE Web Application Firewall. Рынок межсетевых экранов SOAP/XML предоставляет большой выбор продуктов. У компании Check Point это решение, например, появилось еще в августе 2002 года.

CNews: Планируете ли вы в рамках обеспечения сетевой безопасности работать с системами защиты бизнес-логики, например, Cisco AON?

Борис Коновалов: Технология AON позволяет построить сетевую инфраструктуру, работающую на уровне сервисов и приложений, а не просто сеть, передающую пакеты. Технология AON является частью сервисно-ориентированной сетевой архитектуры (Cisco SONA) и играет роль своеобразного шлюза, способного объединить различные информационные системы в единый комплекс, при этом обеспечив необходимое качество обслуживания, безопасность и управляемость. На наш взгляд, спрос на подобные системы будет расти среди крупных корпоративных заказчиков, использующих комплекс сложных информационных систем автоматизации бизнес-процессов. Сегодня руководители компаний ищут способы более эффективной интеграции и оптимизации работы бизнес-приложений. Cisco AON позволяет использовать для этих задач интеллектуальную сеть, избавляя от необходимости изменять архитектуру прикладных систем. Эта технология позволит более эффективно использовать системы автоматизации, получать большую отдачу для бизнеса и повышать конкурентоспособность. Мы внимательно следим за развитием данной технологии и планируем использовать ее в наших проектах.

Эксперты говорят, что в тот момент, когда компания IBM купила ISS, умерла интрига на рынке систем предотвращения вторжений. Разделяете ли вы эту позицию? Насколько для вас интересен сегмент IDS и IPS?

Борис Коновалов: Продуктовые линейки IDS/IPS на сегодняшний день, если мы говорим именно о сетевой безопасности, имеются практически у всех ведущих вендоров сетевой безопасности – Cisco, Check Point, Juniper Networks, TippingPoint. Конечно, продукты ISS/IBM пользуются большой популярностью в России, но рынок развивается. Когда компания Check Point купила компанию NFR security, которая специализировалась именно на решениях IPS, то у Check Point появилось специализированное решение IPS-1. Интерес к системам IDS в последнее время связан с появлением массовых атак «отказа в обслуживании», а также попыткой разгрузить системы межсетевого экранирования.

Считаете ли вы оправданным применение исключительно сертифицированных средств ИБ на нашем рынке? Возможны, ли на ваш взгляд, исключения?

Борис Коновалов: Вопрос тех или иных подходов при выборе и использовании средств обеспечения информационной безопасности определяется анализом рисков и формализуется в политике информационной безопасности. Это риски, которыми управляет сама компания при выборе решения. При этом необязательно, что все они сертифицированы. Также это и вопрос внутрикорпоративной культуры безопасности. Не секрет, что многие пользуются «взломанными», несертифицированными телефонами IPhone'. Это персональный вопрос для каждого. На Западе есть понятие «аппетит к риску», отсюда и исключения.

CNews: Все более громко заявляет о себе концепция Government, Risk and Compliance (GRC). Насколько интересна она для вас?

Борис Коновалов: К сожалению, некоторые западные подходы невозможно копировать в России. Вопросам compliance сейчас уделяется пристальное внимание. Это связано не только с усилением требований внешних регуляторов к системам информационной безопасности, но и с повышением уровня формализации систем ИБ, появлением специализированных подразделений, отвечающих за аудит соответствия. Управлению рисками также уделяется большое внимание. А вот стратегического управления в области ИБ в России пока нет. Поэтому, думаю, сегодня к нашим реалиям более применима концепция Management, Risk & Compliance.

CNews: Не могли бы вы немного рассказать о своих клиентах в области ИБ? А возможно и об успешных внедрениях или проектах?

Борис Коновалов: Мы работаем в тесном взаимодействии с заказчиками и реализуем интересные, инновационные проекты. Многие наши проекты выполняются в области сетевой безопасности, они требуют ювелирного исполнения, так как практически все эти системы работают в режиме 24х7. Один из интереснейших проектов - построение системы управления информационно-технологическими рисками как составной части операционных рисков в крупном российском банке. Другой инновационный проект - создание распределенной системы межсетевого экранирования в крупной компании. Этот проект мы реализовали в тесном контакте с разработчиками и службой профессионального сервиса вендора.

CNews: Спасибо.