Одной из тенденций, которая в последнее время усилилась на рынке обеспечения безопасности, стало создание комплексных систем. Они предполагают интеграцию в единую инфраструктуру как традиционных видов обеспечения безопасности, так и самые современные наработки в информационной сфере.


Александр Колпаков заверяет, что системы безопасности повышают эффективность бизнеса
Александр Колпаков заверяет, что системы безопасности повышают эффективность бизнеса

В Украине уже возникла потребность в услугах по разработке подобных комплексных решений. Учитывая данную тенденцию, корпорация “Инком” собрала “под одной крышей” все направления, которые работают в сфере безопасности.

О современных системах безопасности и их применении в различных отраслях газете PCWeek/UE рассказал директор департамента систем безопасности корпорации “Инком” Александр Колпаков.

PCWeek/UE: Какие системы безопасности отвечают современным запросам рынка? Что предлагает своим заказчикам “Инком”?

А. К.: “Инком” всегда стремится применять инновационные  решения. Сейчас совершенно очевидно, что на рынке Украины образовался некий вакуум в комплексных решениях по обеспечению безопасности. Раньше в данной сфере работали фирмы, которые занимались обычной, технической защитой. Это системы видеоконтроля и доступа, охранные системы, системы пожарной безопасности, защита периметра и проч. ИТ-компании под комплексной безопасностью подразумевали все, что связано с защитой информационного периметра, идентификацией, распределением прав доступа и многие другие аспекты, связанные с информационной безопасностью.

Существовало еще одно направление, которое курировала Служба безопасности Украины. Оно включало в себя техническую защиту информации или комплексные системы защиты информации. Для большинства это была “терра инкогнита”, потому что в данной области работало ограниченное количество компаний.  Здесь под комплексной защитой информации подразумевались совершенно  иные решения: защита по акустическому и виброакустическому каналу, защита от побочных электромагнитных излучений. Это тебует наличия специальных серверных помещений, ПК в особом исполнении.

Перечисленные три направления в корпорации “Инком” объединили и создали Департамент систем безопасности.

PCWeek/UE: Насколько высок в Украине спрос на комплексные системы безопасности?

А. К.: Возьмем модную сейчас тему электронной цифровой подписи и построения систем защищенного электронного документооборота. Украина до сих пор не имеет целостной государственной системы электронного документооборота и, естественно, не существует решений, которые бы обеспечивали взаимодействие на уровне государственной и любой другой коммерческой технологии.

Например, многие компании хотят, чтобы их филиалы “общались” между собой и с другими организациями с помощью электронного документооборота. Это возможно, только при условии, когда государственный внешний центр выдачи сертификатов обеспечивает взаимодействие технологий, которые применяют различные компании, что позволяет вывести внутренний документооборот за пределы собственной инфраструктуры. Для этого необходимо использовать единые гарантированные решения, отвечающие определенным требованиям. “Инком” активно работает над этой задачей.

PCWeek/UE: Какие реализованные решения уже есть в компании?

А. К.: Входящая в состав корпорации компания “Автор” разработала уникальный носитель ключевой информации (см. PCWeek/UE №5/2005, стр.8). Он создан на базе специального security-чипа компании Infenion. Сам по себе чип без преувеличения можно назвать суперзащищенным, он соответствует наивысшему пятому классу Common Criteria (общий критерий безопасности в мировой классификации, пришедший на смену так называемым “оранжевым книгам”). Дополнительно к этому на этапе изготовления записана операционная система UkrCOS, разработанная компанией “Автор”. Данная разработка на уровне операционной системы поддерживает международные и, что особенно важно, отечественные стандарты (DES, Triple DES, ГОСТ 28147-89, ГОСТ 34.311-95, IEEE P1363-2000, ДСТУ 4145-2002) обеспечения безопасности для такого рода решений, как на уровне базовых функциональных характеристик, так и на уровне взаимодействий с внешними информационными системами. Сама карточка — это носитель одновременно операционной системы, программного обеспечения и ключевой информации. В результате мы имеем суперзащищенный носитель.

PCWeek/UE: В каких сферах можно применять данную разработку?

А. К.: Сейчас на базе носителя от “Автора” функционирует Национальная система массовых электронных платежей (НСМЭП) — проект НБУ. В ближайшее время можно ожидать появления очень многих решений аналогичного класса.

“Автор” в сотрудничестве с несколькими украинскими компаниями разработал полную комплексную архитектуру открытых ключей для предполагаемого использования в общей государственной программе создания электронного документооборота, что позволит в дальнейшем строить любые коммерческие системы.

Можно уже утверждать, что важнейший компонент информационной безопасности в части создания электронной цифровой подписи и защищенного электронного документооборота уже может быть реализован на практике. Это то новое, что уже предлагает на рынке “Инком” в составе комплексных решений.

PCWeek/UE: Насколько решение от “Автора” может быть интересно корпоративному сектору?

А. К.: Многие компании имеют по несколько десятков серверов, на каждом из которых расположен какой-то важный информационный ресурс. Он может функционировать под управлением различных операционных систем, СУБД и с использованием различных технологий информационного обмена. Сейчас у многих компаний национального масштаба возникла проблема, каким образом из любой точки Украины, войдя в систему один раз, получить доступ к своим полномочиям и правам во всей информационной системе, сразу зарегистрировавшись во многих точках. Подобное решение создано корпорацией “Инком”, и его активно используют при построении системы защиты и управлении информационной инфраструктурой.

PCWeek/UE: Каким образом “Инком” реализует свое видение комплексного подхода в системах обеспечения безопасности?

А. К.: В корпорации “Инком” одной из первых на рынке Украины родилась идея не просто системной интеграции, а ИТ-интеграции. Это более высокий уровень, сведение воедино совершенно различных информационных технологий. Сейчас традиционные системы обеспечения безопасности, видеоконтроля, контроля доступа, охрана пожарных сигнализаций превратились в современные цифровые комплексы, которые существуют только в информационной среде. Интегрируясь с традиционными, с точки зрения ИТ, системами обеспечения безопасности, они очень тесно взаимодействуют и дополняют друг друга. Это позволяет строить уникальные автоматизированные охранные системы, исключащие влияние человеческого фактора.

PCWeek/UE: Каким образом заказчик и подрядчик приходят к пониманию того, какую именно систему безопасности необходимо создавать в каждом конкретном случае?

А. К.: Встречаясь с потенциальным заказчиком, мы презентуем концепции обеспечения комплексной безопасности. Для того, чтобы люди понимали, что их безопасность — не заборы и шлагбаумы, не охранники, а вещи совершенно иного рода.

Есть заказчики продвинутые, которые понимают, чего они хотят. Мы с ними начинаем переговоры с достаточно высокого уровня, однако при этом обязательно презентуем свою концепцию комплексного подхода, показываем, как мы его видим. Не было ни одного случая, когда бы заказчики не увидели чего-то для себя нового и не поняли, что используемый ими подход несколько ограничен. Правда, чаще всего заказчик практически ничего не знает о системах безопасности.

Почему я говорю, что рынок практически не развит? Потому что нет компаний, которые могут реализовать действительно комплексные решения. Иногда на одного заказчика выходит охранная фирма, которая работает с обычными охранными сигнализациями и ничего не понимает в ИТ. Она предлагает простые банальные вещи, причем не на уровне современных решений, а соответствующие прошлому веку. С другой стороны приходит ИТ-компания, которая заявляет, давайте-ка мы вам сделаем СКС, поставим пару Firewall'ов — это тоже можно назвать безопасностью. Затем работники службы безопасности, которые в большинстве  — бывшие сотрудники спецслужб и сохранили хорошие контакты с “органами”, предлагают “специальные” решения комплексной защиты информации. Тогда возникает ситуация, когда заказчик обязан взять на себя функции ИТ-интегратора решений, которые принципиально невозможно свести воедино. В результате клиент получает разрозненный набор компонентов, которые решают определенные задачи, но комплексная защита не обеспечена.

Мы разъясняем заказчикам, что лучше получить все в виде единого проекта. Не обязательно, чтобы “Инком” делал весь этот проект. Главное, что ИТ-интегратор, привлекая другие компании с решениями, которые взаимно дополняют друг друга, в результате создает оптимальное решение.

PCWeek/UE: Каким образом “Инком” и заказчик определяют, что должен в себя включать весь комплекс безопасности?

А. К.: В “Инкоме” создан департамент ИТ-консалтинга, в котором специальная группа отвечает за аудит систем безопасности, в том числе информационной, и выполняет комплексное обследование объекта, когда заказчик не знает реального состояния дел. Он должен верить своим “айтишникам” или своим специалистам по безопасности, что система создана нормально. Но нет гарантии, что это именно так на самом деле.

Всегда нужен внешний взгляд, основанный на международных стандартах, подходах, методиках. Мы вырабатываем рекомендации, как, используя то, что есть, выйти на то, что должно быть и прописывам этапы работ и необходимые затраты.

При слове “затраты” сразу оговорюсь, что некоторые наши специалисты имеют серьезный опыт консалтинговой работы в части инвестиционного проектирования и финансово-экономического анализа. Мы можем просчитать экономическую эффективность внедрения таких комплексных решений, где рассматриваем затраты как инвестиции и доказываем, что через какое-то время наступает “точка окупаемости” вложений в систему безопасности и она начинает приносить прибыль.

Когда заказчик начинает разделять такой подход, наши с ним взаимоотношения мгновенно  меняются. Нам не нужно убеждать клиента, что необходима именно вот эта сумма — это результат совместной работы. Подобного рода консалтинговые услуги создают большую степень доверия к исполнителю проекта со стороны заказчика.

PCWeek/UE: Приведите, пожалуйста, наиболее характерные примеры.

А. К.: Возьмем в качестве примера такую сферу, как торговля. От многих владельцев крупных магазинов нередко можно услышать жалобы, что покупатели “очень много воруют”. Мы отвечаем, что, по нашей статистике, покупатели воруют только 30-40% от общего объема краж, а 60-70% — сами сотрудники. Затем расписываем, кто эти воры, типы воров, типологию воровства, что такое “кража на кассе”.

После совместного с заказчиками исследования проблемы нам очень просто достигать взаимопонимания. Потому что мы можем буквально на одном листке бумаги начертить и доказать эффективность того, что мы предлагаем. Например, говорим, что если вы этого не делаете, то получаете такой процент потерь, скажем, 5% от оборота.

Мы говорим, что с помощью наших мероприятий эти 5% снижаем до 1,5%, что можно считать приемлемым показателем.