Поделиться
Российский рынок ИБ жаждет внимания государства
Рынок информационной безопасности в России продолжает бурный рост. Все новые компании включаются в борьбу за клиента в сегменте ИБ. Круглый стол, проведенный CNews Analytics и CNews Conferences, показал, что наибольшее внимание экспертов привлекают вопросы стандартизации и участия государства в дальнейшем развитии отрасли.Андрей Рогожин: Сегодня остро встают вопросы защиты интеллектуальной собственности и охраны информации, составляющей коммерческую тайну компании
На вопросы CNews ответил Андрей Рогожин, руководитель по развитию направления информационной безопасности компании АМТ-Груп
CNews: Насколько себя оправдывает, на ваш взгляд, использование стандартов в ИБ, в частности, переводных? Есть ли российская специфика, которую нужно учитывать при разработке стандартов?
Андрей Рогожин: Интеграция России в международное сообщество делает использование международных стандартов не только желательным, но для ряда организаций и необходимым. На мой взгляд, российскому бизнесу нужны механизмы оперативной адаптации международной практики, вплоть до признания международных стандартов по мере их публикации.
Для этого важно обеспечить активное участие российских представителей в процессе работы над международными стандартами, например, в рамках ISO. Причем для сокращения сроков локализации стандартов российский вариант целесообразно разрабатывать параллельно основному английскому. Такое взаимодействие позволит вести гармонизацию сразу в двух направлениях: как в доработке национальных нормативных документов для лучшей совместимости с международными стандартами, так и в представлении национальных интересов и оригинальных разработок на международном уровне.
Хороший пример российского участия в развитии международных стандартов – выход в рамках IETF в 2006 году документов RFC 4357, 4490 и 4491, регламентирующих использование российской криптографии в процедурах информационного обмена, стандартизированных на международном уровне.
На практике, в проектах АМТ-Груп по внедрению систем менеджмента по стандартам ISO серий 27000 и 20000 часто приходится учитывать российскую специфику. И в этой связи хотелось бы отметить гибкость и универсальность этих стандартов. Именно эти свойства позволяют выполнить в системе менеджмента различные наборы требований, соответствующие как национальному законодательству, так и реальным бизнес-целям заказчика.
CNews: Насколько важны для сферы ИБ патентные вопросы и соблюдение интеллектуальных прав?
Андрей Рогожин: До недавнего времени несоблюдение интеллектуальных прав связывалось главным образом с использованием нелицензионного программного обеспечения. Здесь проблема заключается как в использовании нелицензионного ПО с согласия руководства для обеспечения основной бизнес-деятельности, так и в его несанкционированной установке отдельными сотрудниками. Такая ситуация влечет за собой не только возможные прямые финансовые потери от выплаты штрафов государству и компенсаций правообладателям, но и появление дополнительных уязвимостей, связанных с потенциальным внедрением недекларированных возможностей и отсутствием своевременного обновления и сопровождения системы со стороны производителя программного обеспечения.
Сейчас, одновременно с ростом конкуренции и развитием инновационного бизнеса, все острее встают вопросы защиты интеллектуальной собственности и охраны информации, составляющей коммерческую тайну компании. И здесь огромное значение приобретают системность подхода и работа с персоналом организации. Только целенаправленный и последовательно внедряемый руководством комплекс мер, включающий средства предотвращения и контроля кражи информации на всех уровнях инфраструктуры и этапах ее обработки, способен адекватно противостоять угрозам такого класса.
CNews: В чем особенности ведения проектов по ИБ в России?
Андрей Рогожин:Специфика ведения проектов по информационной безопасности в России напрямую связана с уровнем развития корпоративного управления. Для большинства российских компаний до недавнего времени был характерен реактивный стиль управления процессами информационной безопасности, отсутствие системного подхода в выборе средств защиты. Только сейчас высшее руководство отдельных компаний начинает осознавать значимость информации как одного из основных активов предприятия и пытается решать проблему защиты, как правило, уже после внедрения автоматизированных систем в эксплуатацию. Причем упор пока делается на технические средства, а не на организационные меры и качество бизнес-процессов. Компаниям, оказывающим услуги в области информационной безопасности, необходимо это учитывать и проводить значительную работу по обучению руководства заказчика базовым принципам построения систем менеджмента информационной безопасности.
В проектах по построению систем обеспечения информационной безопасности специалисты АМТ-Груп стараются добиться вовлеченности в процесс топ-менеджмента заказчика. Это ключевой показатель успешной реализации.
Например, сейчас мы работаем над созданием системы обеспечения информационной безопасности ОГК-2. Руководство ОГК-2 уделяет особое внимание использованию лучших мировых практик и управлению качеством. Поэтому у нас есть все основания полагать, что проект завершится успешно, по его итогам планируется выход ОГК-2 на сертификацию по стандартам BS ISO/IEC 27001:2005 и BS ISO/IEC 20000-1:2005.
| Исследование CNews Analytics: «1000 крупнейших ИТ-проектов в госорганах России» |
Поделиться
Короткая ссылка
