23.08.2007

Владимир Ляшенко: Российским компаниям пока далеко до западных, у которых политика ИБ является частью общекорпоративных стандартов

О новых трендах в сфере ИТ-защиты, а также о специфике работы на российском рынке информационной безопасности рассказывает CNews Владимир Ляшенко, директор департамента информационной безопасности «УСП КомпьюЛинк».

CNews: На ваш взгляд, можно ли говорить о тенденции постепенного вытеснения подхода «управления отдельными угрозами» и переходу к «комплексному управлению безопасностью»?

Владимир Ляшенко: Уже шесть лет «УСП КомпьюЛинк» занимается предоставлением широкого комплекса услуг в сфере информационной безопасности предприятий. В течение этого времени в России на рынке информационной безопасности, как в любой другой отрасли, появлялись направления, которые становились популярными на определенный промежуток времени. Так было с технологиями PKI (инфраструктура открытых ключей и защищенного документооборота), которыми в свое время занималось большое количество российских ИТ-компаний. У нас, например, был один из первых проектов в России, реализованный на базе этой технологии для крупного финансового института. Сейчас погоня за «модными» технологиями сменилась осознанием того, что внедрения такого уровня требуют скрупулезного профессионального подхода.

Сегодня наши заказчики более широко смотрят на вопросы ИТ-безопасности, уделяя внимание вопросам комплексного решения подобных задач. Однако далеко не всегда решения, реализованные по отдельности, будут работать вместе, и это ни для кого не секрет. Как раз в обеспечении слаженной работы множества приложений и состоит наша задача как компании-интегратора. Экспертиза и многолетний опыт в решении таких задач, безусловно, представляют собой существенное конкурентное преимущество «УСП КомпьюЛинк». И сегодня при реализации проектов мы предлагаем заказчику решение, обеспечивающее наиболее полный комплекс услуг по ИБ.

Многие российские компании в преддверии выхода на IPO или привлечения зарубежных инвесторов всерьез озаботились формализацией вопросов информационной безопасности. Наши заказчики хотят быть уверены в соответствии внедренной у них системы информационной безопасности определенным мировым стандартам. Создание такой системы и наличие соответствующих подтверждающих документов повышает и инвестиционную привлекательность компаний. В рамках подобных проектов мы часто сотрудничаем с аудиторами из так называемой «большой четверки» — PWC, KPMG, являющимися нашими партнерами.

CNews: Какие секторы российской экономики можно сейчас назвать «локомотивами» разработки и внедрения наиболее современных систем защиты информации?

Владимир Ляшенко: Необходимо отметить, что сейчас большой интерес мы отмечаем со стороны крупных заказчиков. В первую очередь, речь идет о госструктурах (крупные ведомства) и крупных коммерческих компаниях. Причем, эти два сектора абсолютно различны по своим подходам к решению задач информационной безопасности.

Государственные структуры четко расписывают критерии: что должно быть внедрено, на базе каких стандартов. Они предъявляют жесткие требования по обязательной сертификации ИТ-решений у контролирующих органов. Более того, часто государственные структуры имеют собственные стандарты или разработки систем ИБ.

Предприятия коммерческого сектора, которые выходят на международные рынки, подходят более гибко к решению этих вопросов, уделяя большее внимание стоимости и функциональности предлагаемых решений.

CNews: В чем заключается, по вашему мнению, российская специфика работы системного интегратора в области ИБ?

Владимир Ляшенко: В России многие компании все еще легкомысленно относятся к вопросам информационной безопасности. Убедить топ-менеджмент, что инфраструктура их компании не соответствует определенным стандартам, часто возможно лишь после того, как возник некий прецедент — утечка информации или внешняя атака.

К сожалению, клиенты пока не осознают серьезность подобных вещей и их влияния на бизнес. Как правило, в компаниях этими задачами «айтишники» занимаются в нагрузку к собственным обязанностям. Безусловно, в такой ситуации качество решения вопросов ИБ предприятия страдает.

В этом смысле российским компаниям пока далеко до западных, для которых политика информационной безопасности является частью общекорпоративных стандартов.

Это связано и с тем, что по мировым меркам российские институты совсем недавно начали готовить специалистов в области информационной безопасности. Естественно, недавнему выпускнику нужно время, чтобы получить специфический опыт, для того чтобы стать действительно хорошим специалистом в области ИБ.

Специфика нашей работы напрямую связана и с человеческим фактором на местах. Например, внедрив определенные организационно-технические меры, мы сталкиваемся с тем, что сотрудники клеят стикеры с паролями к экрану своего компьютера или оставляют другую конфиденциальную информацию в ящиках рабочего стола.

Из чего следует, что одной внутренней готовности заказчика к решению этих проблем недостаточно. Важно не только создание политики информационной безопасности, но и ее реальное ежедневное соблюдение, даже в таких казалось бы «мелочах».

Если же говорить о ситуации в целом, то за время моей работы на этом рынке уровень защищенности инфраструктуры российских компаний значительно вырос, реализован целый ряд успешных проектов. Приведу пример компании «Российские железные дороги», которая реализует проекты по информационной безопасности методологически верно, внедряя систему на всех уровнях и делая это постепенно. РЖД не стремятся обогнать всех, чтобы сказать, мы сделали это первыми. Напротив, компания придерживается детально разработанного профессионального подхода в решении вопросов ИБ, что нам как интегратору и исполнителю проекта очень импонирует.

CNews: Ваша компания активно работает над проектами, связанными с внедрениями решений для идентификации и аутентификации пользователей. Насколько это долговременный тренд?

Владимир Ляшенко: Спектр услуг, которые мы предлагаем, разнообразен. В общей сложности за шесть лет мы реализовали около 50 проектов. Нам интересны все задачи, потому что любой проект уникален и несет в себе новый опыт, благодаря которому мы расширяем собственную экспертизу. Действительно, у нас есть ряд проектов, связанных и с внедрением решений для идентификации и аутентификации пользователей: проект для Администрации Тюменской области, Пенсионного фонда РФ, «Северсталь-групп» и др.

Сказать насколько это долговременный тренд я не берусь, поскольку рынок систем информационной безопасности развивается очень динамично. Главное, что у российских предприятий появилось понимание важности подобных задач и желание не отставать от западных компаний, которые уже идут по этому пути.

Хотелось бы отметить, что если в Московском регионе можно говорить об определенном уровне насыщенности предприятий, то в других регионах России — «поле не пахано». В настоящий момент выход в регионы является одной из стратегических задач «УСП КомпьюЛинк». Для нас наиболее приоритетен юг России, а также некоторые районы Сибири.

CNews: Видите ли вы перспективы у нас в стране для продуктов биометрии?

Владимир Ляшенко: Когда я пришел в компанию «УСП КомпьюЛинк», мы только начали заниматься этой технологией. И нашим первым клиентом стала Городская больница №1 в Тольятти, которая решила внедрить у себя биометрические сканеры. Мы продолжаем работать с этим клиентом и сегодня. За время нашего партнерства заказчик дважды сменил оборудование, но по-прежнему работает только с нами. Мы очень рады столь доверительному отношению и долгосрочному сотрудничеству. Уверен, что подобное постоянство наших заказчиков напрямую связано с высоким уровнем профессионализма команды специалистов «УСП КомпьюЛинк».

Что касается перспектив, то биометрические продукты занимают определенную нишу, и если мы видим рост предложений на этом рынке, то значит, есть и перспективы. Иначе, какой смысл вкладывать в развитие технологии, которая не пользуется спросом?

CNews: Насколько важна, по-вашему, на рынке информационной безопасности роль стандартов и международных соглашений, например, ISO 27001 или Basel II?

Владимир Ляшенко: Сейчас в России используется большое количество самых разнообразных стандартов, в том числе и самостоятельно разработанных, внутриведомственных. Еще лет десять назад вопроса о том, какой стандарт внедрять, вообще не было: существовали контролирующие органы и определенные требования, которые должны были соблюдать все компании. Позже, когда бизнес коммерческих предприятий активно рос, каждый внедрял буквально то, что ему хотелось. Сейчас и этот этап завершился. Наступило понимание, что внедрять нужно то, что общепринято, давно себя зарекомендовало и применяется в мировой практике.

Наиболее распространены на сегодняшний день американские и английские стандарты. И каждому конкретному предприятию нужно только выбрать, на какой они хотят опираться. Мы предлагаем своим клиентам различные решения: и западные, и российские.

Что касается стандарта ISO 17799 (упомянутый ИСО 27001 относится к аудиту режима ИБ в соответствии с этим стандартом), действительно, он сейчас все больше становится общепринятым в России. Basel II значительно менее распространен как в России, так и в Европе.

CNews: Насколько развита, по вашим оценкам, услуга аутсорсинга в сегменте ИБ? Что вы ожидаете от нее в будущем?

Владимир Ляшенко: Безусловно, это очень интересная услуга. У нас есть собственные наработки в этой области. Главное здесь — полное доверие со стороны заказчика. Ведь, отдавать на аутсорсинг вопросы ИБ — это очень серьезный шаг, требующий высокого уровня доверия между интегратором и заказчиком.

CNews: Приходится ли вам в своих проектах сталкиваться с задачами обеспечения удаленного безопасного доступа?

Владимир Ляшенко: Нами реализовано достаточно большое количество проектов в сфере обеспечения удаленного доступа. В основном необходимость организации удаленного доступа связана с наличием развитой инфраструктуры заказчика, большого количества удаленных офисов и рабочих мест. На сегодняшний день мы обладаем компетенцией в этой области и совместно с нашими партнерами-производителями (такими как, Rainbow Technologies) всегда готовы предложить заказчикам оптимальное решение, обеспечивающее удаленный доступ к ресурсам.

CNews: Насколько серьезно российский бизнес страдает от действий «инсайдеров», по вашему мнению? Не преувеличена ли эта угроза?

Владимир Ляшенко: Никто точно не сможет сказать, какой вред наносят инсайдеры бизнесу той или иной компании. Дело в том, что это очень щекотливая тема, которую предпочитают не выносить на общий суд. Очевидно, что никому не хочется признать сам факт кражи баз или сведений, составляющих основу бизнеса, что может отразиться на доверии со стороны партнеров. Поэтому, на мой взгляд, такая проблема существует, она серьезна и требует большого внимания и понимания, в первую очередь, с точки зрения возможных последствий кражи информации «внутренним врагом». Исходя из сегодняшних реалий, мы можем если не абсолютно обеспечить защиту от такого вида угрозы, то хотя бы с большой степенью вероятности предотвратить этот факт. Благодаря накопленному опыту, последним разработкам наших партнеров, мы можем предложить ряд программно-аппаратных комплексов, позволяющих контролировать возможные каналы утечки и хищения информации внутри компании. Еще раз отмечу, что «величину бедствия» на сегодняшний день оценить достаточно проблематично из-за недостатка достоверной информации по этой проблеме. Но то, что многие компании уже реально осознают серьезность данного вопроса — факт неоспоримый.

CNews: Спасибо.