Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Александр Соколов: Усиление влияния государства стимулирует рост рынка

На вопросы CNews ответил Александр Соколов, генеральный директор компании «Элвис-Плюс».

CNews: Российский рынок ИБ стабильно прибавляет минимум по 30 % в год. Какие качественные изменения происходят здесь сегодня?

Александр Соколов: Сейчас на рынке ИБ, действительно, происходят качественные изменения. Во-первых, немного изменилась структура бюджета страны, появились свободные деньги. Это приводит к тому, что чуть больше внимания стало уделяться проблемам не только информатизации, но и обеспечению безопасности информации. А раз так — значит, появляется рост, который особенно заметен в государственном секторе. Отмечается тенденция усиления влияния государства на ключевые моменты безопасности.

Влияние роста госсектора на зависимые рынки ИБ (технологическая совместимость) обусловлено законодательными и отраслевыми требованиями по обеспечению безопасности информации для организаций, взаимодействующих с государственными контрагентами, а также требованиями по обеспечению безопасности персональной информации граждан, которой наконец-то стали уделять реальное внимание. Нет, законодательная база не поменялась, за исключением принятого этим летом закона «Об информации, информационных технологиях и защите информации». Дело не в изменении законодательной базы, просто она получила более глубокое развитие. Немного изменились функции ФСТЭК России (Федеральная служба по техническому и экспортному контролю — бывшая Гостехкомиссиия России), появилось понятие «ключевого объекта», и влияние всего этого мы замечаем при работе с крупными клиентами. Нас привлекают для разработки методических и нормативных документов, а ведь именно они направлены на упорядочение, на введение канонов или принципов безопасности на таких объектах, как энергетика, нефтегазовая промышленность, связь, транспорт. Многие события в этой области показывают — это действительно правильное направление. Это не ужесточение требований — это упорядочение того, что уже было.

Помимо этого, изменилось отношение заказчиков к степени реальной интеграции проектируемых систем. Они больше не заинтересованы в голых поставках, теперь их интересует комплекс, в некотором смысле аутсорсинг безопасности. То есть они заказывают услуги, и услуги эти направлены именно на увязывание в единый комплекс того, что у них уже есть. Сейчас клиенты начинают задумываться, начинают выстраивать взаимоувязанные системы, поэтому ажиотажного спроса, который был характерен для рынка несколько лет назад, уже нет. С другой стороны, возросшая заинтересованность корпоративного сектора в реально интегрированных решениях по ИБ также обусловила резкий рост доли услуг в общем объеме рынка ИБ.

Существенная часть крупных российских корпоративных заказчиков выходит на международные рынки, начинает публичную торговлю акциями на мировых биржах или вступает в разного рода индустриальные международные ассоциации. Общим для всех перечисленных процессов требованием является обеспечение соответствия КИС организаций требованиям международных стандартов в области ИБ. В этой связи вырос и будет расти далее в ближайшие 3-4 года спрос на услуги аудита и сертификации по ИБ на соответствие международным стандартам.

Очевидно, что российский государственный рынок стал реально значимой целью для крупнейших зарубежных производителей СЗИ а также системных интеграторов. Примеры: Cisco Systems и IBM, которые начали активную реализацию новых стратегий развития своего бизнеса на государственном рынке ИБ в России. Расширяется практика сертификации зарубежными производителями своих продуктов ИБ в российских системах государственной сертификации.

Новое качество на отечественный рынок ИБ несет и возникающая практика интеграции российских и зарубежных продуктов и решений по ИБ. Одним из примеров результативности данного подхода является Базовый Доверенный Модуль (БДМ) — ноутбук, содержащий встроенную систему безопасности информации на основе технологий и продуктов IBM и адаптированную к российским требованиям по информационной безопасности. Качество решения было подтверждено сертификатом ФСТЭК №1000 в ознаменование 10-летия системы сертификации России.

CNews: Не является ли подобный интерес заказчиков к комплексным решениям следствием грамотной работы маркетологов?

Александр Соколов: Нет, я так не думаю. Можно сто раз сказать «Халва, халва, халва…», а во рту слаще не станет, так же и здесь. Да, мы много и долго говорили, что «надо так», но заказчик к этому относился очень и очень скептически, ему было достаточно поставить антивирусную систему или межсетевой экран — и все. В свое время антивирусы занимали до 80 % нашего ИБ-рынка — сегодня ситуация изменилась.

Раньше, когда желание заказчика было вызвано «агитацией», он говорил: «Постройте мне комплексную систему». Сегодня он говорит: «Помогите нам разобраться», а это уже совершенно иная постановка вопроса. Хотя роль пропаганды отрицать нельзя. Конечно же, пропаганда нужна, и в принципе, выступая на форумах, на семинарах, на конференциях, мы пропагандируем правильный, здоровый образ жизни в области безопасности.

CNews: Под воздействием той же пропаганды складывается впечатление, что сейчас нет других проблем, кроме внутренних угроз. Насколько это соответствует действительности?

Александр Соколов: Определенная доля правды в этом есть. Конечно, одни пугают внешними, другие — внутренними угрозами, компании разработчики средств ИБ заинтересованы в этом. На самом деле, есть нечто среднее. Мы в своей деятельности стараемся подходить к оценке всех угроз, рассматривая и внутренние, и внешние, и стихийные проявления угроз, выявляя действительно опасные. Нельзя дать единого рецепта для всех, двух одинаковых объектов не существует. Для одних будет характерен один состав угроз, для других — другой.

Естественно, от человеческого фактора, от внутренних угроз нельзя уйти никуда. Но с другой стороны, сейчас проявляется новый виток интереса, опять же с более глубоким пониманием, к стандартам безопасности ISO 27001 и BS 7799. Обеспечение безопасности по стандартам подразумевает комплексный подход, а это и внутренняя и внешняя безопасность. Отчасти поэтому сегодня наблюдается повышенный интерес к внутренним угрозам, которым ранее уделялось недостаточно внимания. В любом случае, наш совет только один — подходить к проектам комплексно, оценивать их со всех сторон, выявлять только те угрозы, которые актуальны на том или ином объекте.

CNews: Если отбросить «раздутые» проблемы, то, что сегодня по-настоящему беспокоит отечественный корпоративный сектор, на ваш взгляд?

Александр Соколов: В первую очередь необходимо отметить востребованность услуг по информационной безопасности. Доля услуг в обороте компаний по направлению ИБ сегодня уже превысила 50 %-ный рубеж. Как я уже говорил, набор угроз индивидуален для каждого заказчика, поэтому выделять вопросы, актуальные для рынка в целом, было бы не правильно. Тем не менее, по нашему опыту работы могу сказать, что аудит ИБ сегодня является одним из самых «горячих» направлений на рынке. Говоря об аудите, мы вкладываем в это понятие комплексное обследование информационных систем. По крайней мере, мы в 3-4 раза увеличили обороты именно в этом направлении за последний год.

Мы считаем, что главная функция информационной системы — это обеспечение подготовки информации, доставки из точки А в точку б, надежного хранения. Наша же задача состоит в том, чтобы посмотреть и оценить, насколько те процессы, которые проходят в этой системе, безопасны и как безопасность этих процессов может повлиять на бизнес, может ли она принести какой-нибудь ущерб самому заказчику. Вот с этой точки зрения мы проводим оценку. При этом, соответственно, рассматриваются и технические компоненты, и организационная составляющая, и, в общем говоря, комплект правил и документов, (политика безопасности) и т.д. Еще один момент — уровень технической поддержки реализованных СОБИ. Требование «24х7» из разряда «экзотики» переходит в разряд «нормы».

CNews: В стране стремительно растет спрос на услуги, многие из которых новы для российских специалистов. Не хромает ли от этого качество? Можно ли вообще говорить о качестве в ситуации, когда компаний, оказывающих услуги ИБ, не так-то и много?

Александр Соколов: Я бы разбил вопрос на две составляющие. Первое — рост количество услуг, а второе — качество услуг. Да, рынок услуг растет, но говорить о том, что это услуги новые, я бы не стал: это не новые услуги, все новое — это хорошо забытое старое. Все то, что делалось в советские еще времена, просто возвращается, но возвращается на более высоком, современном уровне. Проверки безопасности проводились раньше, пусть в определенной области, на закрытых предприятиях, но проводились. Сейчас эта проблема вышла за их пределы и стала интересна всем, даже обыкновенной домохозяйке, потому что у нее тоже стоит компьютер, и ей тоже важно, чтобы из него ничего не утекало

CNews: Но ведь тогда у нас не было ни сертификации, ни соответствия стандартам, не было таких понятий, как «оценка рисков», «прогнозирование рисков»?

Александр Соколов: Было, все было! Что такое сертификация на соответствие требованиям ISO 27001? Это сертификация менеджмента управления. Да, такого понятия у нас не было. Но, в то же время, с 1995 г. у нас действует система сертификации средств защиты информации. Как составляющая часть, была система аттестации объектов, и она носила и обязательный и добровольный характер. Но в рамках этой системы проводилась аттестация, и нельзя было получить аттестат, не пройдя процедуру проверки управления безопасностью. То есть, критерии существовали, они лишь немного разнились. Сейчас они уточнились, но в принципе, эта услуга была и раньше, чуть в другом виде и чуть менее востребована.

Раньше подход был другой к безопасности: покупали технические средства и думали, что защитились. С появлением понимания, что это не так, возникает потребность в аудите, почему он сейчас актуален? Не потому, что модно, а потому у потребителей накопились знания.

Можно привести бытовой пример: 10 лет назад телевизионный приемник с пультом управления был редкостью. Затем появились телевизоры с ДУ, аудио-системы, кондиционеры и много-много пультов управления в одной квартире. Человек начинает задумываться — а может быть, что-то не так? Идет на рынок и приобретает универсальный пульт ДУ. Казалось бы, проблема решена. Но оказывается, что по частоте эти системы не совпадают, что системы кодировки у всех приборов разные, что приемник инфракрасного излучения надо бы поставить в другом месте и т.д. Возникает множество проблем, которые приводят к тому, что, в некоторых случаях, необходимо делать ремонт в квартире. Чтобы это устранить он приглашает своего знакомого, который эту процедуру уже проходил, и тот ему дает некоторые советы, как лучше это сделать, какой путь лучше выбрать, как лучше разместить датчики, и т.д. То же самое и с аудитом информационной безопасности — он помогает разобраться, сделать из разрозненного набора средств защиты эффективную целостную систему

Конечно же, необходимо сказать, что существуют определенная группа потребителей, которые начинают осуществлять свою деятельность на международном уровне. Во многих случаях вопросы безопасности информации, внутреннего аудита безопасности информации являются достаточно важными для завоевания доверия иностранных партнер и тем более, для размещения своих акций на бирже.

CNews: А что касается качества услуг?

Александр Соколов: Мы уже говорили, рынок растет, причем не только растет, но и качественно меняется. Клиенты обращаются за консультациями, а таких организаций, которые способны отвечать их требованиям, оказывается не так уж много. Тут появляется пена, появляется достаточно большое количество промежуточных организаций, появляются молодые специалисты. Иногда они работают качественно, но достаточно часто опыта и знаний у таких людей не хватает, а потребность в услугах у рынка, тем не менее, высокая. Самое интересное то, что потребитель еще меньше разбирается в этих вопросах и не всегда может всегда отличить качественную услугу от некачественной. Жесткой системы сертификации услуг, или жесткой системы, которая бы отвечала за качество сейчас нет. В результате наблюдается размытие качества, попросту говоря, качество услуг начинает падать, а это, соответственно, отражается не лучшим образом отражается на рынке. Наблюдается потеря имиджа, потеря доверия потребителя к тем услугам, которые ему необходимо получить.

Это болезнь роста. Мне кажется, она скоро пройдет, потому что рынок не терпит некачественных услуг. Скорее всего, появится какая-нибудь система подтверждения качества услуг, сертификация. Вероятнее всего, это будет добровольная сертификация в рамках ассоциаций типа ЕВРААС или АДЭ, курирующих вопросы безопасности. Например, в ЕВРААС уже есть добровольная система сертификации услуг, приживется ли эта система — покажет рынок. Но в любом случае, чтобы заработать репутацию хорошего аудитора требуется достаточно много времени, и на рынке ИБ рано или поздно появятся такие же компании с серьезным брендом, какие уже есть в сфере финансового аудита.

CNews: Такие компании, как KPMG, Y&E, BSI, обладают соответствующей репутацией, имеют больше опыта и уже работают в России. Очевидно, что качество их услуг выше, чем у ведущих отечественных компаний?

Александр Соколов: С запада пришла только сертификация по международным стандартам, а то, что у нас и раньше делалось специалистами без юридически оформленного документа, теперь выполняется компаниями, имеющими такое юридическое право.

Кроме того, сертификация по стандартам направлена на сертификацию менеджмента, то есть на управление безопасностью. Вопросы качества безопасности или вопросы уровня безопасности являются второстепенными при проведении таких оценок, этим западные компании у нас не занимаются. Более того, иностранных компаний в Росси не так уж много, и в каждой их них за направление ИБ отвечают один-два человека. Решить все проблемы таким составом специалистов, на мой взгляд, проблематично. Поэтому они широко привлекают специалистов субподрядной отечественной компании.

Сейчас появляется довольно много специалистов, именно российских специалистов в российских компаниях, которые имеют соответствующие аккредитации, имеют соответствующие сертификаты и способны осуществлять такие проверки. Западные компании не могут охватить весь объем работ на рынке, поэтому они вынуждены привлекать наших специалистов. Тем не менее, нельзя отрицать международный опыт, нельзя отрицать ту методическую помощь, которую они оказывают в решении этих проблем.

CNews: Начиная как разработчик, сейчас вы сфокусировались на интеграторской деятельности. Собираетесь ли вы развивать дальше свою продуктовую линейку?

Александр Соколов: Некоторое время назад компания взяла курс на развитие интеграторской деятельности, на оказание консалтинговых услуг, и пока мы с этого направления сдвигаться не собираемся. Между тем, вопрос о прекращении деятельность по развитию продуктовых своих линеек также не стоит.

Мы прекрасно понимаем, что интегратору нецелесообразно быть аффилированным с производителем технических средств защиты, но, к сожалению, не всегда на рынке мы можем, как интеграторы, найти те или иные необходимые для построения защиты продукты. Возникает проблема, которую мы пытаемся решить в ходе своей работы с заказчиками. Эти проблемы достаточно часто выливаются в новые разработки, в новые продукты, которые интересны не только какому-то одному конкретному заказчику, но и какой-то определенной группе других потребителей. Именно таким образом у нас в свое время появился продукт «ЗАСТАВА-Инспектор», осуществляющий мониторинг сети. Совместно с воронежским институтом (ГНИИ ПТЗИ ФСТЭК России) мы разработали специальный программный продукт «Базис» для оценки угроз информационной безопасности.

Таким образом, наша деятельность в области консалтинга, в области аудита, потребовала новых продуктов, которых не было на рынке и которые мы планируем выдвинуть на массовый рынок. Мы не говорим, что это будет только расширение линейки VPN-продуктов, кроме них теперь появляется, например, Базовый Доверенный Модуль, о котором упоминалось выше, и это направление мы также будем развивать в дальнейшем. Конечно, наши производственные мощности сегодня ограничены, но если решения будут востребованы на рынке, то этому разработке будет уделено больше внимания, включая объединение усилий с другими разрабатывающими организациями.

CNews: Получается, что продукты, которые появились у вас за последние годы, можно назвать «побочными» от интеграторской деятельности. С другой стороны, «Застава», например, уже известное решение, но вы не прикладываете усилий к его продвижению. В итоге неискушенный в вопросах ИБ пользователь о нем просто не знает и купит решение от иностранного разработчика.

Александр Соколов: Нет, так говорить нельзя. Дело в том, что присутствует определенная маркетинговая политика. Мы оцениваем целесообразность или эффективность тех или иных действий — прямой рекламы, выставок или конференций. Пока мы считаем, что тех действий в области рекламы, которые мы проводим относительно нашего продукта вполне достаточно для того, что он продавался. Тем более, вы же сами назвали «Заставу» известным решением, а это само по себе говорит о наличии продвижения.

CNews: Но ведь и многие другие российские компании также не замечены в активном продвижении своих продуктов в отличие от западных компаний. Может получиться так, что весь российский рынок будет отдан полностью на откуп иностранным производителям?

Александр Соколов: Я бы так не сказал. Сейчас идет деление: есть компании, которые начинают и остаются производителями или поставщиками, а есть те, которые концентрируют свои усилия на интеграторской деятельности. Я не могу сказать, например, что компания «ОКБ САПР» сейчас активно работает как интегратор, она сконцентрировалась на производстве. Таких примеров можно привести достаточно. Это нормальное расслоение рынка на производителей и интеграторов.

Опасения же в части преобладания продуктов иностранных производителей имеются. Вызвано это, прежде всего, гораздо большими их маркетинговыми бюджетами и наличием опыта в части продвижения. В этой части очень многое зависит от политики государства. Позитивным признаком послужило недавнее обсуждение данной проблемы в связи с вопросом вступления России в ВТО. Кажется, впервые прозвучала определенность в части сохранения самостоятельности Росси в области защиты информации со стороны государственной организации — ФСБ России.

CNews: Может сложиться впечатление, что те же отечественные VPN-продукты покупаются в первую очередь госсектором. Так ли это?

Александр Соколов: Да, госсектор потребляет большую часть отечественных разработок. Что же касается нашей линейки, то на него приходится 19 %, а это не так много. Вопрос в другом. Например, наши продукты позиционируются на рынке как продукты для среднего и большого бизнеса. То есть это продукты для больших корпоративных информационных систем. Продукты не дешевые, и не каждая компания может позволить себе такое удовольствие, это продукты для серьезного корпоративного бизнеса. С этим связана, кстати говоря, и наша рекламная компания — мы не нацеливаемся на широкий рынок потребителей.

CNews: В случае, когда заказчик может выбрать продукт, например, ваш или известный иностранный — какие аргументы вы бы привели пользу своего решения?

Александр Соколов: Сложно ответить без глубокого пояснения технической стороны вопроса, где разница достаточно существенная. Обычно тот, кто выполняет проект, тот и предлагает оптимальное решение. В данном случае мы может предложить клиенту и чужой продукт и собственный все зависит о того, который из них будет в данном конкретным случае лучше отвечать потребностям заказчика.

Самое главное достоинство наших продуктов в том, что они полностью соответствуют российским требованиям, включая использование российской криптографии, то есть работаем на нашем российском рынке легально. Наши продукты могут сопрягаться не только с отечественными криптоалгоритмами, но и с западными. У нас, кстати, есть специальное решение, позволяющее осуществлять трансграничный обмен, когда он ведется с перекодированием, информация получается на одном шифре, перекодируется, а уже в России распространяется на другом.

Там где критичен выбор криптоалгоритма, а это, как правило, всегда критично на территории Российской Федерации, мы стараемся использовать российские решения. Посмотрите, Cisco достаточно много продает своих устройств, но ведь эти устройства используются в основном как межсетевые экраны. И когда есть необходимость создания VPN-туннеля, то поверх их решения ставится российский продукт. Другое дело, когда серьезные зарубежные компании, которые хотят работать на российском рынке, ищут пути встраивания отечественной криптографии в свои продукты, например Nortel.

Еще один пример — наш БДМ, когда мы подключили нашу российскую криптографию и получили уникальный для нашего рынка продукт. Есть определенная тенденция: западные компании заинтересовались легализацией и использованием максимально возможного количества функций безопасности на нашей территории, в том числе, и криптографии. С принятием нашего криптоалгоритма (ГОСТ 28147) на уровне международного сообщества это процесс только активизируется. Так что возможно на рынке вскоре появятся новые решения от ведущих иностранных разработчиков, в которые они сами или при помощи российский разработчиков будут встраивать отечественные криптоалгоритмы.

CNews: Именно в таком ключе вам видится дальнейшее развитие российских разработчиков?

Александр Соколов: Конечно, идеально было бы делать полностью свой продукт, но иногда это невозможно по многим причинам. При использовании в качестве основы иностранного решения, естественно, возникают вопросы степени доверия к таким продуктам, поэтому требуется тщательное изучение чужого продукта, и не все западные компании готовы предоставить такую возможность. Тем не менее, такой процесс пошел. Нельзя сказать, что все продукты будут открыты для отечественных разработчиков, но определенных пласт таких продуктов есть, и с ними нужно работать.

CNews: Можете ли вы рассказать о наиболее крупных проектах, реализованных в прошедшем году?

Александр Соколов: Дело в том, что мы связаны достаточно серьезными соглашениями о конфиденциальности с нашими заказчиками, поэтому много здесь не расскажешь. Во-первых, было реализовано два крупных проекта по аудиту безопасности территориально распределенных сетей. Во-вторых, мы создали систему удостоверяющих центров для одной корпорации. Был очень интересный и перспективный, на наш взгляд, проект по созданию системы защищенного документооборота в одной из государственных структур, и мы планируем ее в будущем тиражировать. Был крупный консалтинговый проект в телекоммуникационной компании, для которой мы подготовили комплект необходимых нормативных документов, определяющих предоставление им услуг по защищенным сетям.

CNews: Какую долю в обороте компании составляют услуги?

Александр Соколов: Я уже вскользь об этом упоминал. Сегодня на услуги у нас приходится 53 %, именно поэтому мы считаем себя интегратором. В будущем соотношение продукты/услуги может составить 40/60.

CNews: Нет ли у вас планов заняться подготовкой специалистов, курсами повышением квалификации?

Александр Соколов: Нет, мы не рассматривали пока возможность такого бизнеса, участие в подготовке специалистов — принимаем. У нас есть соглашение с тремя ВУЗами, которым мы предоставляем свои продукты, свои методические материалы, участвуем в подготовке программ обучения специалистов. Для переподготовки специалистов у нас тоже очень хорошие партнеры, например Академия Информационных Систем и мы оказываем им достаточно серьезную помощь в организации и проведении занятий по информационной безопасности.

CNews: Какие у вас планы по развитию бизнеса на ближайшие годы?

Александр Соколов: Компания развивается успешно. Между тем, процесс переосмысливания, процесс уточнения позиций идет постоянно. Я бы не стал сейчас акцентировать внимание на стратегических планах, потому что общая стратегическая линия не изменится, возможно, только уточнение некоторых нюансов.

CNews: Спасибо