Спецпроекты

Информационная безопасность: усиление защиты

Безопасность Стратегия безопасности
Вопросы обеспечения информационной безопасности (ИБ) как никогда актуальны, благодаря мобилизации бизнеса и госсектора. При этом законодательные рамки не способствуют росту раскрываемости преступлений, хотя постепенно актуализируются. Текущие и грядущие проблемы, а также пути их решения обсуждались 14 ноября 2013 г. во время работы секции «Информационная безопасность: Усиление защиты» на CNews Forum 2013.

Илья Трифаленков: На рынке сегодня нет компаний, которые реально закрывали бы весь спектр вопросов ИБ

Илья Трифаленков, директор Центра информационной безопасности компании R-Style, рассказал о динамике рынка ИБ в 2013 году, основных принципах создания систем информационной безопасности и требованиях клиентов.

CNews: Какой была динамика рынка ИБ в 2013 году по сравнению с прошлым годом, по вашему мнению? Какие отрасли-заказчики проявили максимальное внимание к этим решениям?

Илья Трифаленков: В 2013 году рынок в целом сохранил ту же динамику, что и в прошлом году. При этом существует общая тенденция перехода от безопасности «на бумаге» к безопасности реальной. Сейчас востребованы услуги по мониторингу инцидентов, анти-фроду, управлению уязвимостями, оценке эффективности мер информационной безопасности, растет количество внедрений технологии безопасности на виртуальные платформы и в облачные системы.

Максимально полно данные тенденции проявляются в банковском секторе, в телекоммуникациях и промышленных системах, а государственные структуры более инерционны. Кроме того, в текущем году, вследствие изменения политики Минкомсвязи, фактически затормозились многие проекты в области информатизации госорганов, особенно на региональном уровне. Есть, впрочем, основания надеяться, что и в этом секторе развитие технологий ИБ будет проходить более интенсивно. Эти позитивные ожидания связаны с такими крупными проектами, как модернизация системы ПФР, внедрение АИС «Налог-3», информационных систем Федерального казначейства.

CNews: Какие принципы создания системы ИБ для крупной компании вы можете назвать ключевыми?

Илья Трифаленков: Основной принцип создания системы ИБ может быть сформулирован как «безопасность нельзя купить». В этом процессе участвуют все, кто связан с информацией и ее обработкой – другими словами, это подавляющее большинство сотрудников любой компании. Осознание этого факта является ключевым фактором, определяющим успех или неудачу проектов по информационной безопасности.

Второй принцип – «безопасности может быть слишком много». Бизнес лояльно относится к деятельности по обеспечению безопасности только тогда, когда принимаемые меры адекватны существующим угрозам, а эти угрозы осознаны в рамках организации. Иначе противодействие бизнеса не позволит создать работающую систему информационной безопасности.

Третий принцип – «безопасность – это не запреты, а контроль». Само по себе наличие риска в бизнес-процессе или технологии не станет веской причиной приостановления деятельности в выбранном направлении, если этот процесс или технология несет существенные выгоды для бизнеса компании. Поэтому задача обеспечения безопасности состоит в поиске средств контроля этих рисков, что позволит использовать преимущества бизнес-подходов, несмотря на появление в них новых угроз.

CNews: Какие новые требования предъявляют клиенты к решениям в сфере ИБ?

Илья Трифаленков: Сегодня не найти клиента, у которого момента не велось никакой работы в области информационной безопасности. Ключевой вопрос – насколько эти затраты нужны и эффективны. Клиентам нужно не только предложить решение, но и показать его оптимальность, обеспечить сохранения инвестиций при внедрении.

CNews: Зачастую вендоры предлагают комплексные решения по ИБ. По вашему мнению, что должно подразумеваться под таким комплексом? Каковы особенности его функционала?

Илья Трифаленков: К сожалению, маркетинговые лозунги не всегда соответствуют реальному положению дел. На рынке сегодня нет компаний, даже среди очень больших игроков, которые реально закрывали бы весь спектр вопросов информационной безопасности.

Кроме того, безопасность всегда имеет техническую и организационную составляющую. Причем последнюю не сможет предоставить ни один вендор – ее можно только внедрить, используя реальный опыт организации в сочетании с лучшими практиками.