Аутсорсинг — та область, где не хватает «критической массы» спроса и предложения.
CNews: Какие тенденции, на ваш взгляд, определяют сегодня развитие российского
рынка
Борис Коновалов: Главным фактором, определяющим спрос на
Сегодня информационная поддержка
Можно долго перечислять факторы, влияющие на спрос, но все они, так или иначе,
связаны с ростом и взрослением бизнеса. Показательным примером является привлечение
иностранных инвестиций или выход на фондовый рынок, которые невозможны без соответствия
международным стандартам, предъявляющим жесткие требования к организации бизнес-процессов
в компании. В результате этого можно говорить, что в России появился совершенно новый
класс не востребованных ранее
Изменение отношения бизнеса к ИТ можно проиллюстрировать на примере сегмента информационной
безопасности — одного из активно развивающихся направлений
CNews: Какие услуги, из вашей практики, наиболее востребованы на рынке ИБ? Как, в частности, вы оценили бы уровень спроса на аудит информационных систем со стороны отечественного бизнеса?
Борис Коновалов: Наиболее востребованный сегодня услугой является аудит систем ИБ. Однако надо сразу отметить, что аудит — это только начальная стадия комплексного цикла построения системы ИБ, который включает в себя еще проектирование, внедрение и поддержку. Дело в том, что построение систем управления ИБ в соответствии существующим стандартам начало в России с 2000 г., и сейчас только набирает обороты. Поэтому именно аудит получил в данный момент наибольшее распространение.
Полномасштабный аудит ИБ, которым мы предпочитаем называть «диагностическим обследованием», традиционно состоит из трех частей: описательной, аналитической и рекомендательной. Он позволяет систематизировать информацию о системе ИБ, проанализировать ее с точки зрения внешнего независимого эксперта и предложить решение существующих проблем.
Часто знания о технических параметрах системы ИБ распылены между администраторами, проектировщиками системы.. Очень важно собрать их воедино, систематизировать и задокументировать. Это позволяет трезво взглянуть на реальное положение вещей, сопоставить требования заказчика к системе ИБ и ее реальные возможности.. Очень важно определить какая информация является критичной для организации, как она хранится, обрабатывается и передается в информационной системе компании. Только после это можно идентифицировать потенциальные уязвимости, провести анализ рисков и рекомендовать решения по их минимизации.
При аудите и построении систем ИБ наша компания использует передовой западный и отечественный опыт, например, методики аудита агентства национальной безопасности США «NSA IAM», стандарт NIST SP800-26, рекомендации Британского института стандартов PD 300x, стандарт по техническому аудиту OSSTMM и др. По желанию заказчика, мы проводим «тесты на проникновение», которые позволяют проверить надежность системы ИБ и процесса реагирования на инциденты.
Еще раз отмечу, что аудит является только начальной стадией комплексного цикла
услуг, за которой следует стадия проектирования и поддержки. Среди других
CNews: По вашим оценкам, какая доля бюджета ИБ сегодня в среднем приходится на услуги в российских компаниях? Как изменялся этот показатель за последние годы, по вашим наблюдениям?
Борис Коновалов: Спрос на услуги в области ИБ в последние годы
плавно растет. В целом, доля услуг в бюджете ИБ зависит от зрелости процессов управления
компанией. В более «зрелых компаниях» затраты, приходящиеся на услуги,
могут составлять до 20% от стоимости оборудования ИБ. Это значительные расходы,
связанные с тем, что в настоящее время в российских компаниях идет активное создание/модификация
систем ИБ, в том числе приведение их в соответствие стандартам ИБ, что требует большого
объема работ. Вместе с тем, и технологические продукты обеспечения ИБ становятся
более сложными, возрастает необходимый уровень квалификации специалистов, осуществляющих
поддержку и обслуживание систем ИБ.. Ужесточаются требования к этим системам ввиду
возрастания ценности обрабатываемой корпоративной информации, зависимости
CNews: Какие решения в сфере ИБ становятся, из вашей практики, обязательным стандартом в российском бизнесе?
Борис Коновалов: Нельзя говорить о решениях, которые могут выступать в качестве обязательного стандарта. Конечно, существует перечень рекомендуемых средств для различных задач, но не существует стандартизованных решений.. Единственным «правильным решением» является комплексный подход к построению систем ИБ и систем управления ИБ, и российскими компаниями сегодня все чаще востребованы именно такие решения.
Отсюда возникает потребность в проведении работ по анализу информационных рисков
и по созданию/модификации политики и процедур ИБ. Системы управления ИБ строятся
в соответствии с современными стандартами. Используются и новая версия стандарта
В целом основное требование наших заказчиков — построить экономически эффективную комплексную систему ИБ, в которой все подсистемы были бы связаны между собой, и, как следствие — повысить управляемость системы ИБ и обеспечить ее интеграцию в информационную систему компании.
Стоит также отметить, что сегодня выдвигаются очень серьезные требования и к консультантам..
Заказчикам необходимо наличие у консультанта опыта в аналогичных проектах, «испытательной
базы», на которой можно было бы продемонстрировать и отладить предлагаемые решения.
Консультант должен также иметь «крепкие» связи с производителями продуктов
ИБ и обеспечивать гарантийную и
Наша компания, например, является единственным в России золотым партнером компании Check Point — лидера на мировом рынке ИБ, имеет центр компетенции Check Point и является сертифицированным центром поддержки продуктов этой компании. TopS BI, в числе немногих, предоставляет также услуги по аутсорсингу подсистем ИБ. В России это пока относительно новый сервис.
CNews: Какие меры, по вашим оценкам, необходимы, чтобы свести к минимуму вероятность утечки информации в организации?
Борис Коновалов: В первую очередь, необходимо создать эффективную систему управления ИБ. Это значит, что нужно провести анализ рисков, четко выстроить процедуры ИБ, определить ответственность сотрудников в выполнении этих процедур, проводить тренинги персонала, соответствующую кадровую политику, создать процесс реагирования на инцидент ИБ. Административные меры являются первоочередным и самым действенным способом минимизации вероятности утечки информации.
Следующим этапом идет внедрение соответствующих технических средств для разделения доступа, шифрования информации, мониторинга и аудита системы ИБ. Следует понимать, что для предотвращения инцидента необходимо все эти мероприятия проводить в комплексе.
CNews: Востребованы ли услуги аутсорсинга ИБ российскими компаниями?
Борис Коновалов: Аутсорсинг — одна из наиболее обсуждаемых
тем. Однако пока нет единого мнения о том, является ли эта услуга панацеей для
Большую проблему составляет вопрос доверия и разграничения ответственности между
заказчиком и поставщиком
С одной стороны, чтобы мы были уверены в том, что система находится в том состоянии, в каком мы ее передали заказчику, мы должны иметь все права на нее. Но с другой стороны, ни один заказчик никогда не пойдет на это. Если же заказчик сам занимается поддержкой системы, то не может идти речь о сохранности ее в первоначальном состоянии. Это лишь одна из немногих проблем, препятствующих развитию данной услуги в сфере ИБ.
Исключения встречаются в тех случаях, когда системы требовательны к ресурсам, финансам, железу, чего не может обеспечить заказчик, но может крупный интегратор.. Однако и здесь речь идет об аутсорсинге не всей системы, а отдельных ее частей. Чаще всего это сетевая безопасность и защита периметра.
CNews: Каков ваш опыт в области проведения консалтинговых проектов в сфере ИБ? Каковы ваши дальнейшие планы по развитию этого направления в своем бизнесе?
Борис Коновалов: Наша компания работает с продуктами обеспечения ИБ и предоставляет услуги в этой области с 1996 года, на счету TopS BI — несколько десятков успешно реализованных проектов. Нашими клиентами в области ИБ являются крупнейшие российские компании из различных отраслей и сфер деятельности: банковской, страховой, телекоммуникационной, фармацевтической, производственной, и др..
Это направление деятельности является одним из профильных в нашей компании и активно развивается. Мы планируем и в дальнейшем расширять спектр предоставляемых услуг, в том числе услуг, связанных с построением систем управления ИБ, подготовкой компаний к сертификации на соответствие стандартам ИБ, услуг аутсорсинга и др.
CNews: Как можно в целом охарактеризовать структуру ваших консалтинговых проектов за последний год?
Борис Коновалов:
CNews: Как, по вашим прогнозам, будет развиваться российский рынок
Борис Коновалов: Рынок
Много усилий вендоров, интеграторов в настоящее время направлено именно на создание индустриальных решений. Прогнозируется также рост потребности в решениях по интеграции приложений, что связано с увеличением количества использующихся на предприятиях приложений и их усложнении при сохранении унаследованных систем.
Растет интерес к портальным решениям. Все более востребованными становятся
CNews: Спасибо.
См. также: