Дмитрий Огородников:

Рынок, вероятно, будет смещаться в сторону более маржинальных проектов

На вопросы CNews ответил Дмитрий Огородников, директор департамента информационной безопасности NVision Group.

CNews: На ваш взгляд, различаются ли основные драйверы роста затрат на информационную безопасность в мире и в России?

Дмитрий Огородников: Основной причиной роста затрат на информационную безопасность и в мире, и в России являются рост экономики и усиление роли электронного бизнеса в повседневной деятельности организаций и частных лиц. Однако в России есть и дополнительные факторы, влияющее на увеличение инвестиций в ИБ. В частности, в России заметно сильнее государственное регулирование в вопросах защиты информации, криптографии, лицензирования отдельных видов деятельности, таможенные требования - все это влияет на рынок ИБ и заставляет расти затраты. Однако основные тенденции роста вложений в ИБ в России, безусловно, совпадают с мировым трендом.

CNews: В последнее время часто говорят о том, что ИБ способна повысить конкурентоспособность бизнеса. Согласны ли вы с этим мнением?

Дмитрий Огородников: Конечно, более того, можно говорить о разном влиянии систем информационной безопасности на конкурентоспособность бизнеса. К примеру, если в организации внедрена система информационной безопасности, которая защищает и персональные данные клиентов и технологические процессы по обработке, хранению, передачи информации – это будет, безусловно, являться конкурентным преимуществом по отношению к тем организациям, в которых зафиксированы и преданы огласке случаи утечки информации, недоступность основных информационных ресурсов или сбой в их работе. Но вместе с тем, в ряде случаев можно говорить о том, что решения по информационной безопасности расширяют спектр оказываемых услуг и приносят дополнительный доход, что также повышает конкурентоспособность организации. В частности, новые возможности открываются для операторов связи за счет предоставления новых услуг абонентам по информационной безопасности – антивирусная защита входящего трафика, защита почты от спама, «родительский контроль» при доступе к ресурсам сети интернет, выделенный межсетевой экран, защита от DDoS-атак, предоставление места для защищенного хранения информации на серверах оператора и некоторые другие.

CNews: Какие проблемы в области информационной безопасности российского государства и бизнеса вы считаете наиболее актуальными в настоящее время?

Дмитрий Огородников: Пожалуй, наиболее значимой проблемой при обеспечении информационной безопасности сегодня является усиление регулирующего влияния государства и появления отраслевых стандартов по ИБ. Прежде всего, я имею в виду Закон о защите персональных данных, а также недавно вышедшие связанные с ним подзаконные акты. Государственные структуры, для которых вопрос соответствия законодательству чрезвычайно значим, уже сейчас включают дополнительные требования по безопасности в технические задания на создаваемые системы. Кроме того, ряд государственных структур инициировало работы по модернизации используемых ими систем с целью усиления мер защиты информации и соответствия вышедшим нормативным документам экспертных органов. Думаю, пройдет немного времени, и коммерческие структуры также озаботятся этими проблемами.

Кроме этого сейчас весьма актуальны проблемы, связанные с внедрением в финансовых организациях стандартов PCI DSS и Банка России СТО БР ИББС-1.0-2006. Опыт наших заказчиков показывает, что практически все банки проявляют интерес в этом направлении и многие инициировали или собираются инициировать в ближайшее время работы по корректировке используемых процессов и мер обеспечения информационной безопасности.

CNews: Какова, на ваш взгляд, роль стандартов и нормативных актов в области ИБ? На сколько, по вашему мнению, совершенно законодательство в этой сфере у нас в стране?

Дмитрий Огородников: На мой взгляд, шаги, предпринимаемые государством по стандартизации деятельности организаций в области информационной безопасности, безусловно, полезны и должны дать положительный результат. Стандарты в области ИБ должны определить целостную и непротиворечивую методологическую основу обеспечения защиты информации. Стандарты содержат положения, позволяющие унифицировать пути решения проблем, возникающих при обеспечении информационной безопасности, консолидировать и структурировать все аспекты обеспечения безопасности, обозначить критерии оценки и сравнения систем безопасности. Все это привносит в процессы обеспечения ИБ заметную долю объективности и позволяет пользоваться накопленным опытом.

С нормативной базой дела обстоят несколько хуже. Все понимают, что нормативные документы в области ИБ разрабатываются с благой целью защитить интересы государства, а также интересы юридических и физических лиц от различных информационных угроз. Однако при разработке нормативных актов иногда забывается, что, например, защита персональных данных и защита военных секретов это разные вещи и подходить к этим проблемам следует по-разному. Именно в этом имеется потенциал для совершенствования отечественного законодательства и нормативной базы.

CNews: Каков ваш прогноз по динамике рынка ИБ на 2008г.?

Дмитрий Огородников: Из-за сложившейся за последнее время ситуации на финансовых рынках сейчас очень сложно делать какие-либо прогнозы. Предполагаю, что в среднем по рынку рост будет не таким значительным, как это было на протяжении последних 3-4 лет, во всяком случае, в 2009 году. 2008 год все еще сохраняет заметные темпы роста. Кроме того, из-за кризиса ликвидности и сложности получения кредитов, думаю, что рынок будет смещаться в сторону более маржинальных проектов, т.е. проектов по предоставлению услуг и сервиса.

CNews: Планирует ли ваша компания выходить в сегмент аудита по такому перспективному направлению, как PCI DSS?

Дмитрий Огородников: Да, безусловно. Наша компания выполнила все формальные требования PCI DSS для того, что бы получить аккредитацию Qualified Security Assessor (QSA) на выполнение работ по аудиту на соответствие требования данного стандарта, также, наши сотрудники прошли сертифицированное обучение по данному стандарту и в настоящее время, мы ждем результатов сдачи экзамена. В связи с этим, мы планируем начать предоставлять услуги аудита по стандарту PCI DSS c октября 2008 года. Кроме того, у нас уже есть опыт работы по аудиту на соответствие ИБ требований данного стандарта для одного крупного процессингового центра РФ. Таким образом, можно сказать, что мы обладаем соответствующими методиками и пониманием порядка выполнения работ.

CNews: Много говорится о разочаровании участников рынка уровнем интереса бизнеса к сертификации в России по международному стандарту ISO 27001. Каково ваше мнение по этому поводу?

Дмитрий Огородников: Да, можно сказать, что стандарт не принял повсеместного распространения и использования, не смотря на высокий интерес к нему со стороны российских компаний. Но вместе с этим нельзя утверждать, что сейчас происходит массовая оценка систем информационной безопасности в кредитно-финансовых учреждениях по стандарту Банка России. Видимо, сказывается наш менталитет – за счет того, что нет требований к обязательному исполнению, внедрение стандарта откладываем на потом. В тоже время, нельзя сказать, что стандарт не используется вовсе. Многие компании осуществляют управление процессами и внедрение систем управления информационной безопасности именно по этому стандарту, для многих, данный стандарт остается настольной книгой. Наша компания также, почти все работы связанные с информационной безопасностью, старается выполнять в соответствии с положениями данного стандарта. Думаю, должно пройти время. Бизнес должен будет придти к пониманию основ стандарта, и я надеюсь, что количество компаний, прошедших сертификационный аудит, со временем резко увеличится.

CNews: Какие еще направления в области ИБ наиболее привлекательны для вашей компании сейчас, а также в ближайшем будущем, и почему?

Дмитрий Огородников: Одним из стратегических рынков для нашей компании является телекоммуникационный сектор. У нас накоплен достаточно большой опыт по работе с операторами связи, и мы располагаем штатом высококвалифицированных инженеров для решения самых разнообразных задач операторов. В части информационной безопасности, мы располагаем эксклюзивными решениями и технологиями, которые в настоящее время достаточно востребованы на этом рынке. Мы считаем, что в ближайшей перспективе этот рынок для нас будет наиболее перспективен, но не стоит сбрасывать со счетов также и государственный и корпоративный рынок, на котором у нас так, же есть заметные перспективы.

CNews: Каковы планы «Энвижн Груп» по увеличению своего присутствия в странах СНГ и дальнего зарубежья?

Дмитрий Огородников: В 2006-2007 годах нашей компанией были открыты представительства в Казахстане и Узбекистане, и сейчас в этих странах мы ведем активную работу по всем направления рынка ИТ и информационной безопасности, поскольку часто, экспертиза специалистов российских интеграторов превосходит экспертизу собственных специалистов этих стран. Если говорить о присутствии на рынках ИБ дальнего зарубежья, вероятно, это актуально для производителей программного обеспечения или оборудования, к числу которых мы не относимся.

CNews: Спасибо.