Компания «Атлас» делится опытом работы в финансовом и государственном секторах
За последние несколько лет общие принципы обеспечения информационной безопасности претерпели существенные изменения. Первыми эти подвижки, касающиеся как стандартов и нормативных документов, так и практики построения систем, ощущают на себе крупные системные интеграторы, специализирующиеся на решениях для банковского и государственного сектора. О специфике работы с этой, наиболее требовательной категорией заказчиков рассказывает Виктор Жора, начальник отдела защиты информации компании «Атлас».
Виктор Жора, начальник отдела защиты информации компании «Атлас» |
PCWeek/UE: В каких направлениях ИТ-безопасности компания «Атлас» накопила наибольшую компетенцию? Какие из них для вас наиболее предпочтительны?
Виктор Жора: Основное направление деятельности нашего отдела — построение комплексных систем защиты информации (КСЗИ). Поскольку задачи системной интеграции предполагают работу во многих областях ИТ, то и к вопросам безопасности мы подходим системно, предлагая заказчикам комплекс решений. К ним относятся решения по сетевой безопасности, защита от утечек конфиденциальной информации, физическая безопасность, контроль доступа, видеонаблюдение, защита от утечек по техническим каналам связи.
Все эти компоненты рассматриваются в контексте системы, которая создается для конкретного проекта. Наша главная задача — обеспечение информационной безопасности. Вопросы физической безопасности затрагиваются в комплексных проектах в случае необходимости. Если заказчику необходимы дополнительные средства защиты, например, для обеспечения конфиденциальности переговоров, защиты от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН), мы предлагаем соответствующие сервисы.
Направление, связанное с видеонаблюдением и контролем доступа, развивается в нашей компании уже много лет, и мы накопили в этой области достаточный опыт. Решениями комплексной защиты информации в «классическом» понимании, которое определяется соответствующими нормативными документами, мы начали заниматься с 2003 года. И за это время построили определенное число комплексных систем защиты информации, получивших аттестат соответствия Госспецсвязи.
PCWeek/UE: Кто выступает основными заказчиками компании «Атлас»? Можно ли говорить о том, что вы фокусируетесь на определенных вертикалях/индустриях?
В. Ж.: Для нас в равной степени важны заказчики из государственного сектора, промышленной и финансовой сферы. Главным образом наши услуги в сфере безопасности востребованы госсектором, поскольку необходимость защиты государственных информационных ресурсов определяется действующим законодательством.
Однако мы не склонны выделять вертикальные рынки именно в сфере ИТ-безопасности. Безусловно, обеспечение сохранения банковской тайны имеет свою специфику, как и защита персональных данных, но общие критерии защиты практически одинаковы. Поэтому особое внимание мы уделяем разработке типовых решений для компаний различного масштаба.
Характер информации, циркулирующей в компании, определяет и связанные с ней риски. На основании этого формируются требования к системе защиты. Средства, которые компания готова выделить на защиту своих информационных ресурсов, не должны превышать возможных потерь, и этап анализа рисков при этом является обязательным. Естественно, что затраты на обеспечение безопасности для компаний малого и среднего бизнеса как количественно, так и в процентном соотношении могут отличаться от этих показателей для государственных структур и крупных банков.
PCWeek/UE: Накладывает ли отпечаток на работу с заказчиками из государственного сектора наличие строгих нормативных документов?
В. Ж.: Действующие сегодня в Украине требования к защите информации, являющейся собственностью государства, существенно различаются в зависимости от правового режима доступа к обрабатываемой информации. Это может быть открытая или конфиденциальная информация (гриф «Для служебного пользования»), а также информация, составляющая государственную тайну.
Соответственно, критерии для построения систем защиты в этих случаях разные. Например, для объектов третьей категории и выше (содержащих информацию, составляющую государственную тайну) обязательна защита от утечки по каналам ПЭМИН. Для открытой и конфиденциальной информации такие требования не выдвигаются. Эти вопросы мы выясняем в первую очередь при обследовании объекта информационной деятельности.
PCWeek/UE: Как вы оцениваете степень технической зрелости ваших заказчиков? Насколько четко они понимают нужды своих предприятий?
В. Ж.: Можно сказать, ИТ-специалисты в банковской сфере наиболее квалифицированы в общем смысле, поскольку именно в этой сфере информационные технологии в Украине впервые стали широко использоваться. Аналогичная картина и с вопросами обеспечения информационной безопасности. С ростом сложности информационных систем растут и требования к системе ИБ.
Большинство наших заказчиков из банковской и финансовой отраслей четко представляют себе возможные угрозы, присущие их деятельности, поэтому серьезно подходят к вопросам обеспечения защиты. Наблюдается прогресс и в государственном секторе. В связи с вступлением в силу закона «О защите информации в информационно-телекоммуникационных системах», а также постановлением Кабмина «Об утверждении Правил обеспечения защиты информации…» построение комплексной системы защиты информации является обязательным. Поэтому в большинстве государственных органов уже в той или иной мере созданы КСЗИ.
Не следует забывать, что нормативно-правовая база в области ИТ-безопасности разрабатывалась с конца 90-х — начала 2000-х. Она достаточно сформирована, основные положения доступны широкой общественности. Таким обра зом, сформулировать общие требования к защите для госзаказчика не представляет трудностей. Другое дело определить требования к системе защиты с технической точки зрения. Поэтому в обязательный алгоритм работы по созданию КСЗИ первым пунктом входит комплексное обследование объекта информационной деятельности. Мы предлагаем заказчикам провести предварительный либо полный аудит информационных ресурсов и системы, с тем чтобы определить адекватные требования к средствам и мероприятиям по защите.
Обязательным этапом является составление детального ТЗ, которое у госзаказчиков в обязательном порядке проходит процедуру согласования с Госспецсвязью. Мы выполняем весь комплекс работ: обследование, разработка политик безопасности, разработка ТЗ и его согласование, и лишь затем проектирование и внедрение технических и организационных решений.
PCWeek/UE: Считаете ли вы, что нормативно-регуляторная база в сфере ИБ адекватна современным требованиям?
В. Ж.: В период разработки нормативно- правовой базы она соответствовала мировым стандартам. Понадобилось время, чтобы система технической защиты информации у нас в стране «прижилась». Сейчас участники процесса хорошо знакомы с нормами и знают, как их выполнять. Однако рынок успел уйти далеко вперед. Для модификации же отечественных стандартов требуется время.
В коммерческом секторе учитываются все последние тенденции. Ведь многие компании уже выходят на рынок первичного размещения акций, банки участвуют в работе международных платежных систем. Таким образом, для нас актуальны мировые стандарты в области информационной безопасности — ISO 27001, ISO 15408, безопасности платежных систем PCI DSS. Кроме них мы учитываем требования по безопасности общих стандартов в сфере ИТ: ITIL, Cobit и т. п. В частности, в Украине сейчас востребована услуга по проведению аудита на соответствие стандарту ISO 27001. Многие компании ориентируются на соответствие Basel II, акту Сарбанеса-Оксли (SOX). Соответствие международным стандартам упрощает для компаний выход на мировой рынок, повышает их капитализацию.
PCWeek/UE: Меняются ли запросы заказчиков в связи со скорым вступлением Украины в ВТО?
В. Ж.: Можно выделить две составляющие: формальную и техническую. С одной стороны, все компании, в том числе государственные структуры, стремятся соответствовать стандартам в той сфере, где работают. С ростом требований повышается и стоимость услуг по консалтингу и аудиту. Закономерное повышение роли ИТ и ценности информации, которой владеют компании, выдвигают на первый план услуги по обеспечению конфиденциальности, сохранению коммерческой тайны, данных о клиентах, ноу-хау, обеспечению непрерывности бизнеса.
К числу наиболее динамично развивающихся технических решений сегодня относится противодействие утечкам. Это связано с возрастанием ценности рабочих данных для компаний, развитием мобильных технологий, территориальным распределением бизнеса, распространением «внеофисной» занятости.
PCWeek/UE: Насколько готовы сегодня украинские заказчики к соответствию ISO 27001?
В. Ж.: Для определенной категории заказчиков соответствие ISO 27001 — один из этапов реализации бизнес-целей: во-первых, это позволяет вести работу за пределами нашей страны, во-вторых, повышает капитализацию, что имеет значение для возможной последующей продажи бизнеса. Другой категории заказчиков этот стандарт интересен в первую очередь с точки зрения правильной организации системы управления ИБ. Они не обязательно будут проходить аудит, то есть добиваться формального соответствия, но некоторые положения обязательно будут учитывать. Такие компании вместо аудита, как правило, заказывают услугу подготовки к проведению аудита. И наконец, ряду заказчиков этот стандарт не интересен в принципе, для них актуальны другие услуги.
Наша компания сегодня уже занимается этим направлением. Услуги по подготовке к аудиту сегодня предлагает целый ряд компаний, однако сам аудит имеют право проводить всего несколько десятков организаций в мире, в том числе Британский институт стандартов (BSI), разработавший ISO 27001.
PCWeek/UE: Какие вопросы в области ИТ-безопасности выйдут на передний план в обозримом будущем?
В. Ж.: У большинства заказчиков определенные системы безопасности сегментарно уже внедрены. Они не охватывают всех систем компании и, как правило, построены на решениях разных вендоров, а значит, плохо управляемы. Гармонизация этих компонентов, сведение к единому центру управления, консолидация средств защиты и комплексность охвата — таковы сегодня задачи рынка информационной безопасности.
Актуально и внедрение электронной цифровой подписи. Принятие соответствующего закона позволяет нашей стране двигаться к созданию систем электронного правительства и общегосударственного электронного документооборота. При участии компании «Украинские специальные системы» наша компания впервые в Украине массово внедрила электронную цифровую подпись в избирательном процессе 2006 года. Мы видим значительные перспективы для создания в госорганах систем электронного документооборота с цифровой подписью. Сейчас в Украине функционируют пять аккредитованных центров сертификации ключей, проводится работа по популяризации ЭЦП, например, при сдаче налоговой отчетности, отчетов в Пенсионный фонд Украины. За последние два года ситуация значительно улучшилась.
PCWeek/UE: Будет ли востребован в ближайшем будущем комплексный подход к ИТ-безопасности на предприятии?
В. Ж.: Комплексные системы безопасности в идеале должны управляться из единого центра, с тем чтобы оптимизировать и человеческие, и информационные ресурсы. В настоящее время некоторые вендоры — Cisco, Computer Associates, CheckPoint — уже представили решения, которые позволяют с единой консоли управлять как средствами сетевой защиты, так и защитой конечной точки. Системы анализа и корреляции событий безопасности, предлагаемые ими, могут получать и обрабатывать события, поступающие от устройств большинства известных производителей решений по безопасности, так и от общесистемного и специализированного прикладного ПО. Комплексы безопасности подобного рода будут широко внедряться уже в ближайшее время, и этот процесс рано или поздно придет к унификации.