В России информационная безопасность становится бумажной

В России главная проблема рынка информационной безопасности, равно как и главная тенденция, — бумажная безопасность. К такому выводу пришли участники ежегодной конференции IDC IT Security RoadShow 2011

В России главная проблема рынка информационной безопасности, равно как и главная тенденция, — бумажная безопасность. К такому выводу пришли участники ежегодной конференции IDC IT Security RoadShow 2011.

Примечательно, что на этом мероприятии говорили не столько о технологиях, сколько о проблемах рынка информационной безопасности и его тенденциях. При этом характерную черту этого рынка отметил директор по консалтингу IDC Россия Тимур Фарукшин. По его словам, наступила эра приложений для совместной работы, когда все общаются со всеми и встает вопрос об организации защиты информации в распределенных системах. Так, Фарукшин отметил, что в Центральной и Восточной Европе в 2010 году было продано, с одной стороны, только около 7,5 миллионов настольных ПК, а с другой — 16 миллионов ноутбуков и 15 миллионов смартфонов. В последующие годы, по прогнозам IDC, разница между объемами продаж названной техники будет только нарастать. При этом все эти устройства не замыкаются в отдельных информационных системах, а открыты для широкого «общения». Тем самым в информационных системах исчезает локализованное ядро, которое можно было бы защищать, считают в исследовательской компании.

Также в последние годы появилось и стало распространяться понятие «персональная IT-экосистема» — мобильные устройства, с помощью которых пользователь осуществляет все необходимые коммуникации. Начиная от общения по работе и заканчивая оплатой коммунальных платежей. Такая экосистема удобна и получает все большее распространение, считают в IDC. Но она же несет угрозы, с которыми теперь предстоит иметь дело руководителям подразделений по информационной безопасности. Теперь к вопросам обеспечения безопасности корпоративных информационных систем добавляются задачи по организации защиты пользователей всегда и везде, по защите нематериальных активов (репутации, бренда и пр.), по обеспечению соответствия информационных систем требованиям законодательства, по сокращению бюджетов.

Впрочем, сокращение бюджетов — понятие относительное. По словам Тимура Фарукшина, на самом деле, бюджеты на IT-безопасность за прошлый год выросли приблизительно на 20–25%. Правда в абсолютных цифрах это увеличение не так масштабно, как кажется — десятые доли процентов от оборотов компаний. Соответственно увеличивается брешь в IT-безопасности компаний. «А все потому, что если IT-бюджеты растут в соответствии с ростом доходов компаний — в лучшем случае на десятки процентов, то количество угроз увеличивается многократно, на порядки, отметил Фарукшин. — Также значительно увеличивается сложность информационных систем и затраты на их приведение в соответствие с требованиями нормативно-правовых актов в области безопасности. В частности, в банковском секторе рост затрат на приведение систем в соответствие с требованием закона «О персональных данных» достигал в прошлом году 500%».

Однако технологических проблем в области информационной безопасности, фактически не существует, считают эксперты. Так, по мнению менеджера Cisco по развитию бизнеса Алексея Лукацкого, сегодня в России основная проблема с безопасностью заключается в необходимости учитывать требования российского законодательства. «В России главная проблема и тенденция на этом рынке — бумажная безопасность, то есть соответствие требованиям регуляторов, — утверждает Лукацкий. — А технологических вопросов, по сути, у производителей нет». При этом он отметил, что сегодня в России действует семь только федеральных регуляторов в области информационной безопасности. Помимо них, имеются ведомственные. И в текущем году, по словам Алексея Лукацкого, регуляторы намерены усилить контроль за выполнением требований законодательства.

Стоит отметить, что несколько ранее руководитель российского представительства компании Check Point Юлия Грекова рассказала BFM.ru, что на российском рынке информационной безопасности сейчас есть два класса проблем. «Одна из них — соответствие законодательству, что является задачей очень сложной, поскольку в нем есть противоречия и недоработки. Я даже видела презентации отдельных вендоров, показывающих, что такая задача невыполнима, — рассказала Юлия Грекова. — С другой стороны, есть реальные угрозы информационной безопасности, и от них нужно защищаться». Поэтому безопасность рассматривается как один из рисков бизнеса на самом высоком уровне. При этом у российских компаний из-за путаницы с законодательством картина рисков искажена, считает руководитель российского офиса Check Point.

В числе «бумажных» проблем рынка был назван в том числе легитимный ввоз средств криптографической защиты информации в соответствии с правилами таможенного законодательства. То есть заказчики, с одной стороны, должны использовать сертифицированные средства шифрования, а с другой, они обязаны убедиться, что эти средства были правильно ввезены в Россию. Предполагается, что в текущем году юридическая нагрузка на игроков рынка информационной безопасности, а также на их заказчиков будет только увеличиваться. Так, если в прошлом году было принято три новых нормативно-правовых акта в области защиты информации, то в текущем ожидается еще около десяти.

Впрочем, эксперты отмечают, что в российском законодательстве есть все необходимое для правильной организации защиты информации и предоставления услуг в этой области. В том числе при предоставлении «облачных» сервисов. Единственное, во всем этом следует разбираться, а также уметь правильно составлять договоры и соглашения об уровне обслуживания (SLA).

Кстати, «облака» и обеспечение информационной безопасности в «облаках» стало второй главной темой конференции (об этом — в ближайших публикациях BFM.ru).

Следует отметить, что Юлия Грекова указывала еще на одну слабость российского рынка информационной безопасности. Таковой она посчитала отсутствие закона, обязывающего компании раскрывать информацию о совершенных на них атаках. Нет и правовых актов, разъясняющих физическим лицам порядок действий в случае совершения атаки либо на них самих, либо на их оператора персональных данных. Гражданам нужна инструкция, дающая четкое понимание, что делать, когда возник инцидент. «Россия собирается вступить в ВТО. Я оптимист, — заявляет Юлия Грекова. — Думаю, что после вступления в торговую организацию мы сможем использовать передовой опыт зарубежных стран».