USD 64.63 ЕВРО 72.25

«Проблемы ИБ в период кризиса особенно актуальны»

Аналитика

Интервью с Виктором Сердюком, Генеральным директором компании «ДиалогНаука», кандидатом технических наук, CISSP

 

Об интеграции и консалтинге

Компания «ДиалогНаука» позиционирует себя как интегратор в сфере защиты информации. Как Вы оцениваете положение компании на этом рынке?

Системная интеграция, на мой взгляд, является на сегодняшний день одним из наиболее перспективных сегментов рынка информационной безопасности и присутствие нашей компании в нем уже можно считать достижением для компании-дистрибьютора, кем была «ДиалогНаука» в начале своего пути.

Мы постоянно совершенствуемся, расширяем наш портфель услуг и уже добились серьезных результатов. На сегодняшний день мы оказываем весь спектр услуг по проектированию, разработке, внедрению и последующему сопровождению систем информационной безопасности. Мы имеем опыт выполнения работ для государственных и коммерческих организаций из финансовой сферы, ТЭК, промышленности и многих других. Накопленные нами опыт и знания позволяют нам на равных конкурировать с крупнейшими игроками рынка системной интеграции в сфере информационной безопасности.

О каком из недавних проектов в сфере интеграции Вы могли бы рассказать. Какие задачи стояли, и как удалось их решить?

В последнее время мы реализовали достаточно много масштабных проектов в области системной интеграции. К примеру, в феврале 2009 года мы объявили о завершении проекта по разработке корпоративной политики информационной безопасности для группы компаний «Юнимилк». Как известно группа компаний «Юнимилк» является крупнейшим производителем молочной продукции, объединяющим несколько известных брендов, и имеет разветвленную территориальную сеть заводов производства по всей России и в других странах. Для эффективной защиты многофункциональной и территориально-распределённой корпоративной автоматизированной системы от современных угроз консультанты «ДиалогНауки» совместно со специалистами «Юнимилк» разработали комплекс нормативных документов, формально регламентирующих процессы работы с информацией и позволяющих определить первоочередные цели и задачи для обеспечения безопасности информации группы компаний. Это политика информационной безопасности, определяющая базовые требования, частные политики, инструкции и различные регламенты, направленные на обеспечение безопасных условий работы сотрудников с информацией. Все документы были разработаны с учетом требований действующего российского законодательства и международных стандартов в области информационной безопасности.

Среди особенностей проекта можно отметить решение задачи по созданию нормативной базы обеспечения безопасности для системы управления ресурсами предприятия Microsoft Axapta, являющейся ядром информационной системы группы компаний «Юнимилк». Эта система объединяет несколько тысяч пользователей и по праву считается одним из крупнейших внедрений ERP на базе решений Microsoft Dynamics в России.

«ДиалогНаука» работает со множеством вендоров. На основании чего принимается решение об использовании при внедрении конкретного решения?

Наш продуктовый портфель сегодня позволяет использовать в проектах решения и разработки практически всех ведущих вендоров, представленных на российском рынке. Выбор того или иного решения зависит от конкретного клиента, задач и требований к его системе информационной безопасности, для определения которых мы предлагаем провести ряд мероприятий, таких как анализ структуры организации, существующих средств и методов защиты информации, а также их эффективности. Как правило, мы ориентируемся на комплексный мультивендорный подход к обеспечению информационной безопасности. Так, например, при построении системы защиты от утечки конфиденциальной информации мы предлагаем клиенту решения, обеспечивающие криптографическую защиту, контроль и разграничение доступа, а также контентный анализ трафика.

Исторически «ДиалогНаука» ассоциируется с продуктами Dr.Web. Как Вы справляетесь с тем, что надо продвигать и другие продукты и услуги?

Мнение о том, что «ДиалогНаука» продвигает только продукты Dr.Web сложилось исторически потому, что с начала 90-х годов прошлого века в портфеле компании было всего несколько продуктов, основным из которых долгое время являлся Dr.Web. За все эти годы компания участвовала в сотнях проектов и накопила уникальный опыт по внедрению и сопровождению решений Dr.Web. Однако развиваются технологии, появляются новые продукты, и мы совершенствуемся, растем вместе с рынком. Организации, внедрявшие с нами решения Dr.Web, обращаются к нам также за консалтинговыми услугами и комплексными мультивендорными решениями в области защиты информации, уже зная нас как надежных поставщиков. На данный момент мы оказываем услуги в области интеграции и разработки систем защиты информации, поэтому все большее число наших крупных заказчиков воспринимает нас именно как системных интеграторов, а не ассоциирует с поставщиком только продуктов Dr.Web.

Уже вступил в силу федеральный закон «О защите персональных данных». С Вашей точки зрения он решит проблему незаконного распространения личной информации?

Защита персональных данных была и остается одной из важнейших задач в области информационной безопасности, поэтому законодательное регулирование работы с данной категорией информации было необходимо. Появление этого закона, а также ряда дополнительных документов, разработанных на его основе, в первую очередь, позволяет четко определить рамки понятия «персональные данные», а также четко сформулировать требованиях по их защите.

Тот факт, что этот закон является обязательным для всех компаний, работающих с персональными данными, значительно снижает риски их утечки, что обеспечивает уверенность не только сотрудников таких организаций, но и их клиентов, в качестве услуг данных предприятий.

 Вкратце расскажите об услуге «ДиалогНауки» по аудиту на соответствие требованиям этого закона.

Наша услуга представляет собой одну из разновидностей аудита, позволяющую оценить степень соответствия информационных систем компании требованиям Федерального закона «О персональных данных», определить имеющиеся недостатки и выработать план конкретных мероприятий для приведения системы безопасности в надлежащее состояние.

В рамках данного вида аудита проводится анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональных данных, определяется перечень данных, подлежащих защите, оценивается соответствия используемых в компании средств защиты требованиям  нормативных документов РФ и т.д. По результатам аудита Заказчику предоставляется отчет с описанием методики проведённых работ, перечнем выявленных недостатков и слабых, а также детальными рекомендациями по их устранению.

Внедрение и консалтинг требуют всестороннего знания корпоративных информационных систем. Какие специалисты обладают соответствующей компетенцией? Иными словами, расскажите о кадровой политике «ДиалогНауки» — системного интегратора?

С начала существования компании «ДиалогНаука» ее репутация на рынке была и остаётся для нас одним из важнейших аспектов ведения бизнеса.

В консалтинговое подразделение мы принимаем на работу высококвалифицированных специалистов с продолжительным опытом работы в сфере обеспечения информационной безопасности, что подтверждается многочисленными сертификатами. Также обязательным условием работы для консультантов нашей компании является наличие успешно выполненных проектов по обеспечению ИБ.

Тем не менее, наша компания сотрудничает с несколькими ВУЗами Москвы и мы с удовольствием принимаем на работу молодых талантливых специалистов. Как правило, они начинают свою трудовую деятельность в нашей компании в отделе технического сопровождения, а по итогам работы и в процессе накопления необходимого опыта для них возможен переход в консалтинговое подразделение.

Однако хочу отметить, что при приеме на работу кандидатов мы оцениваем не только профессиональные навыки, но и на учитываем психологической аспект, принимая во внимание манеру поведения, коммуникативные навыки и ряд других факторов. На мой взгляд, все сотрудники должны представлять собой сплоченную команду, а добиться этого можно только при условии, что коллегам комфортно работать друг с другом и на психологическом уровне.

  О рынке аутсорсинга. Сервис «Защищенная почта»

В России по сути сейчас только два высокоуровневых сервиса по аутсорсингу защиты почты от о спама. Это решение от «Лаборатории Касперского» и «Защищенная почта», основывающаяся на разработках «Яндекса». С Вашей точки зрения, есть перспективы у этого рынка в России?

Услуга аутсорсинга появилась на отечественном рынке сравнительно недавно, поэтому сегодня достаточно рано строить прогнозы. Тем не менее, основываясь на текущей рыночной ситуации, а также на личном опыте, я считаю, что этот сегмент рынка будет динамично развиваться и вскоре аутсорсинг станет, скорее всего, одной из самых востребованных услуг.

Если говорить о рынке аутсорсинга защиты информации в целом, то чем особенным характеризуется это довольно молодое направление в России?

К сожалению, на данный момент к подобным услугам у заказчиков крайне низкий уровень доверия, так как создается впечатление, что третье лицо может получить доступ к конфиденциальной информации клиента. Однако, крайне важно принимать во внимание, что при передаче электронных сообщений они проходят в сети Интернет через множество узлов, неподконтрольных обеим сторонам. Поэтому, с токи зрения безопасности, конфиденциальная информация не должна в открытом виде передаваться посредством электронной почты.

Мы же со своей стороны предлагаем заказчику заключить соглашение о неразглашении конфиденциальной информации, в котором заранее оговариваем все условия оказания услуг по аутсорсингу.

Есть мнение, что отдавать безопасность информационных систем на аутсорсинг не эффективно и опасно. Что Вы скажете по этому поводу?

Принятие решения по использованию аутсорсинга клиентом безусловно должно быть осознанным. Для понимания уровня необходимости такого рода услуг в организации необходимо проанализировать внутренние бизнес-процессы, связанные с защитой информационных систем заказчика. Немаловажным аспектом также является уровень затрат на обеспечение безопасности информации своими силами и при использовании предложений, существующих на рынке.

Каким типам компаний такой способ решения проблем безопасности может быть полезен? Может, есть отраслевая специфика «предрасположенности» к аутсорсингу ИБ?

На мой взгляд, такие услуги могут быть необходимы небольшим компаниям, которые не могут себе позволить специалиста по защите данных, а также крупным компаниям с высокоразвитой системой информационной безопасности. Компании второй категории имеют высокий уровень зрелости внутренних IT-процессов и могут быть готовы передать управление непрофильными процессами сторонней организации.

Какие преимущества могут получить территориально распределенные компании при использовании услуг аутсорсинга ИБ?

Использование сервиса «Защищенная почта» территориально-распределёнными компаниями позволяет создать единую точку контроля и фильтрации почтового трафика организации. Это позволит сделать процесс управления функциями защиты от нежелательной почты более удобным и эффективным.

Оцените, пожалуйста, позиции вашей компании на этом рынке?

Поскольку рынок аутсорсинга динамично развивается оценивать положение нашей компании достаточно сложно, но хотел бы отметить, что мы стараемся идти в ногу со временем и постоянно развивать, улучшать и дополнять эту услугу.

Какие еще компании являются конкурентами «Защищенной почты» кроме упомянутой «Лаборатории Касперского»? Насколько велик разрыв с мировыми поставщиками такого рода технологический услуг?

На данный момент сложно говорить о конкуренции именно из-за того, что российский рынок аутсорсинговых услуг находится на начальном этапе своего развития. Однако могу отметить, что западные технологии уступают по качеству определения русскоязычного спама, в сравнении с решениями отечественного производства. Именно по этому показателю на данный момент лидируют и разработка «Яндекса» «Спамооборона», и продукт «Лаборатории Касперского» Kaspersky Anti-Spam.

Если ли у технологий «Яндекса» какие-то уникальные технологические преимущества?

Одним из важнейших аспектов решения «Яндекса» можно назвать применение собственной системы выявления спама в почтовом трафике. Основываясь на данных списков RBL, шинглах и наборах эвристик, система, которая постоянно обновляется, автоматически принимает решение, считать ли сообщение спамом, исходя из совокупности правил, которые не обладают достаточной значимостью, если рассматривать их по отдельности.

О влиянии кризиса

Как отразился кризис на востребованности услуг в области ИБ?

С одной стороны кризис, безусловно, негативно отразится как на рынке ИБ в целом, так и на отдельных его сегментах в частности. С другой стороны проблемы ИБ в период кризиса становятся еще более актуальными из-за более активных действий конкурентов, нелояльных уволенных сотрудников и т.д. Всё это создает предпосылки для устойчивого спроса на консалтинговые услуги, которые позволят повысить уровень защищенности предприятия, как от внешних, так и внутренних угроз. К таким услугам относится аудит безопасности, создание нормативных документов, обучение в области ИБ и т.д.

В связи ростом курса иностранной валюты, насколько стали дороже продукты иностранных производителей, которые присутствуют в вашем портфеле? Это снижает уровень конкуренции на рынке для российских продуктов?

Стоимость продуктов западных производителей увеличилась пропорционально росту курса американской и европейской валют по отношению к рублю. Вместе с тем из этого не следует, что данное изменение цены привело к значительному снижению конкуренции для российских продуктов. Это обусловлено тем, что большинство российских продуктов еще до кризиса стоили дешевле западных и клиенты, отдававшие предпочтения зарубежным продуктам выбирали их исходя из функциональных, а не ценовых критериев.

Какие из решений в области информационной безопасности стали более востребованы в период кризиса?

В настоящее время всё большую актуальность приобретают решения по защите от внутренних нарушителей, которые способны эффективно выявлять и блокировать возможные каналы утечки конфиденциальной информации. Внедрение подобного рода решений позволяет обеспечить более эффективный контроль действий сотрудников предприятии и минимизировать возможный ущерб, который может быть нанесен компании с их стороны.