1. Володимир Гайкович: У банківських підрозділів інформаційної безпеки поки занадто короткі руки Незважаючи...
2. Про компанію "Інформзахист"

Володимир Гайкович: У банківських підрозділів інформаційної безпеки поки занадто короткі руки

Незважаючи на те, що інформаційний супровід IT-бізнесу в Росії з кожним роком стає все більш повним і насиченим, на ринку існує цілий ряд сегментів, дані по яких, на жаль, поки не зібрані і не оброблені дослідниками. Одним з таких традиційно закритих сегментів є сфера інформаційної безпеки. За експертними оцінками ринкових показників галузі CNews.ru звернувся до Володимира Гайковіч, генеральному директору НІП "Інформзахист" . На свої питання ми отримали вичерпні відповіді.

CNews.ru: У Росії так склалося історично, що багато банківські та фінансові структури спочатку мали власні служби, які контролюють питання безпеки (в тому числі і інформаційної). Наскільки активно ці структури сьогодні готові до аутсорсингу даного виду робіт?

Володимир Гайкович: Практично в кожному банку існує власна служба безпеки. Ця служба, як правило, забезпечує будь-яку безпеку, за винятком інформаційної, - захист приміщень, сховищ готівки, організацію пропускного режиму, інкасацію, повернення кредитів і т.д. З інформаційною безпекою (ІБ) все дещо складніше. Окрема служба по забезпеченню ІБ є далеко не у кожного банку або інвестиційної компанії. Хоча протягом останніх півтора років ми спостерігаємо втішну тенденцію. Все більше і більше банків створюють у своїй структурі підрозділ, що відповідає за забезпечення саме інформаційної безпеки (ІБ). Але, як будь-який новонароджений, такий підрозділ має велику голову і короткі руки. Тобто вони можуть думати про організацію ІБ все що завгодно, але свого бюджету на забезпечення ІБ у них, як правило, немає і нічого самостійно вони зробити не можуть. У більшості випадків, їм відводиться роль виконавців чужих розпоряджень.

Щодо аутсорсингу. Зараз вже очевидно, що створити кваліфіковану службу інформаційної безпеки в будь-якій структурі досить важко. І банки тут не виняток. Тому банки стоять перед нелегким вибором - або робити все самим, або якусь частину робіт віддавати стороннім організаціям. Тут все залежить від мети. Якщо цікавить економія коштів - перший варіант має явні переваги. Якщо ж важливіше терміни і результат - то другий варіант кращий.

В аутсорсингу явно простежуються дві основні тенденції. Поступово збільшується попит банків на консалтингові послуги, особливо в частині аналізу стану безпеки технологічних процесів. Воно і зрозуміло - занадто велика ціна помилки при побудові системи інформаційної безпеки. Попит же на віддалене управління засобами захисту, то, що на Заході іменується "Managed Security Services", поки незначний. Банки поки не готові віддати власні засоби захисту в руки представників сторонніх організацій.

CNews.ru: Які рішення в сфері ІБ користуються найбільших попитом в банківських і фінансових компаніях? Як змінюються запити цього сектора протягом останніх кількох років?

Володимир Гайкович: Найбільшим і стійким попитом на протязі останніх років користуються рішення в області ЕЦП (електронний цифровий підпис, Прим. Ред.). В основному через широкого використання системи "Банк-Клієнт" і прискорення обороту платіжних документів. Поки що потреба банків в наданні їм послуг по ЕЦП повністю не задоволена і, швидше за все, протягом наступних кількох років ці рішення будуть найбільш популярні в банківському секторі.

Каталізатором зростання попиту на рішення в області ЕЦП цілком може стати "Закон про ЕЦП". У всякому разі, кількість звернень до нас з приводу організації засвідчувальних центрів зросла в рази, а то й на порядок. Якщо ці звернення переростуть в реальні контракти - тоді можна буде говорити про явну тенденцію.

Цілком стійкий попит на рішення щодо захисту телекомунікаційної інфраструктури - міжмережеві екрани, засоби організації VPN, системи виявлення атак. Причинами цього є поява послуг, пропонованих банками через Internet, і розширення філіальної мережі банків. Швидше за все, ця тенденція не зміниться ще кілька років.

Як я зазначав раніше, середнім стійким попитом останні два роки користуються консалтингові послуги, особливо в частині проектування підсистем інформаційної безпеки.

У фазі формування знаходиться попит на рішення з інтегрованого управління засобами захисту. Ми припускаємо його зростання в наступні кілька років.

CNews.ru: Яка частина ваших клієнтів доводиться на банки і фінансові структури?

Володимир Гайкович: Частка продажів послуг і продукції нашої компанії банкам і фінансовим структурам становить 27%.

CNews.ru: Який верхній поріг вартості проектів в сфері інформаційної безпеки, після якого банки, страхові та інвестиційні компанії не готові продовжувати переговори?

Володимир Гайкович: За нашими оцінками, верхній поріг вартості таких проектів близько 500 тис. Доларів. Ця цифра включає в себе повний перелік робіт з обстеження, оцінки ризиків, проектування, постачання засобів захисту інформації, їх встановлення та налаштування. Проект, який коштує понад 500 тисяч, на нашу думку, не може бути реалізований саме як проект з безпеки. У такого дорогого проекту повинен бути інший статус. Такий проект може бути пов'язаний тільки зі зміною інформаційних технологій в цілому і складовою частиною може включати в себе інфраструктуру інформаційної безпеки.

CNews.ru: Який обсяг ринку ІБ в банківській і фінансовій сферах в Росії в 2001 році? Які прогнози на найближчі роки?

Володимир Гайкович: На нашу думку, обсяг ринку ІБ в банківському і фінансовому секторі в 2001 році становить близько 5 млн. Доларів. У розрахунку не враховані закупівлі Банку Росії, а також витрати компаній цього сектора на засоби антивірусного захисту.

При збереженні сприятливого економічного клімату обсяг ринку буде тільки рости. Причому як в силу законодавчих ініціатив влади, так і в силу "дорослішання" підрозділів ІБ банків.

CNews.ru: Говорячи нема про технічну частину, а про бізнес-складової. Деякий час назад, Президент Путін, відповідаючи на питання про банківську таємницю, висловив сумніви в тому, що банківська таємниця взагалі коли-небудь була. Ви ніяк не відносите цю заяву влади до тієї діяльності, якою ви займаєтеся? Тут немає ніякого протистояння?

Володимир Гайкович: Наша компанія займається бізнесом, а не політикою. Тому ми не коментуємо висловлювання будь-яких офіційних осіб держави. Що стосується вашого питання про протистояння. До сих пір жодна державна структура не зверталася до нас з пропозицією модифікувати наші програмні або апаратні засоби захисту з метою контролю за тими, хто ці кошти використовує. Крім того, жоден відомий нам документ Гостехкомиссии або ФАПСИ не передбачає реалізацію таких можливостей при проектуванні засобів захисту.

При розробці наших засобів захисту ми використовуємо "модифіковане правило Кірхгофа". Безпека повинна базуватися на знанні деякого секретного елемента, а не на приховуванні алгоритмів функціонування. Наші клієнти самі призначають необхідні права доступу, паролі, генерують ключі шифрування і т.д. Тому після продажу наші кошти управляються тільки тими, хто їх придбав. Я не бачу навіть приводу для якогось протистояння між розробниками засобів захисту, їх клієнтами та державою.

CNews.ru: Банки ніколи не розповідають про ті проблеми, які у них виникають в сфері інформаційної безпеки. Не називаючи імен, розкажіть кілька "жахливих випадків" зломів, викрадень даних або їх втрати. Щоб все злякалися. Або таких випадків в російській практиці мало?

Володимир Гайкович: Випадки розкрадання даних, їх втрати - були, є і будуть. Цілком природно бажання банків приховувати дані факти, так як вони б'ють по репутації значно болючіше, ніж по кишені. Згадайте "справу Левіна". Прямий збиток - незначний, втрати для іміджу - величезні і трудновосполнімий.

З цього питання позиція нашої компанії така. Ми ні за яких умов не зраджуємо гласності відомості про клієнтів, які стали відомі нам як при виконанні робіт, так і в інший спосіб. Для нас головне - це спокійне життя наших клієнтів.

CNews.ru: На минулій недавно суздальської конференції експерти говорили про те, що в Росії немає організованої протидії злочинності в сфері ІБ. Чи можна говорити про те, що в країні діють групи, що спеціалізуються на отриманні доступу до закритої інформації фінансових і кредитних організацій? Або це все на рівні випадкових недовчений студентів?

Володимир Гайкович: У мене немає достовірних відомостей про існування організованих груп, що спеціалізуються на отриманні доступу до закритої інформації фінансових і кредитних організацій. У той же час не можу погодитися з думкою колег про те, що в Росії немає організованої протидії злочинності в сфері IT-технологій. Що ж тоді являє собою Управління "Р" МВС РФ? Хіба це не орган такого протидії?

Можна, звичайно, обговорювати ефективність роботи цієї структури. Однак сама структура є і створювалася, взагалі кажучи, саме для вирішення такого завдання.

У той же час небажання банків афішувати випадки розкрадання коштів може бути перешкодою в організації протидії злочинності.

CNews.ru: Розкажіть про найбільш цікавих проектах, реалізованих вашою компанією в банківській сфері.

Володимир Гайкович: Політика нашої компанії така, що ми не зраджуємо гласності відомості про те, для кого з наших клієнтів були виконані конкретні роботи. Ми свідомо жертвуємо можливим PR-ефектом заради збереження робочих відносин з замовником.

До числа цікавих проектів я б відніс, по-перше, проект системи безпеки платіжної підсистеми великого банку. По-друге - експертизу реально діючої системи інтернет-банкінгу в одному з найбільших банків Росії. По-третє - проект підсистеми ІБ великої транспортної компанії, включаючи проект системи управління безпекою територіально розподіленої корпоративної мережі.

CNews.ru: Дякую.

Інформаційна безпека бізнесу: основні проблеми

Сьогодні вже практично немає необхідності переконувати компанії, активно використовують для ведення свого бізнесу сучасні інформаційні технології, в необхідності забезпечення безпеки своїх інформаційних систем. Проблема захисту конфіденційної інформації компанії, забезпечення безперебійної роботи корпоративної інформаційної системи, контролю цілісності платіжних документів, фінансової та іншої критичною для бізнесу інформації стає все більш актуальною із зростанням використання Internet для здійснення комерційних операцій.

Детальніше...

Про компанію "Інформзахист"

Науково-інженерне підприємство "Інформзахист" засноване в 1995 році і в даний час є однією з провідних компаній Росії, що спеціалізується на наданні послуг в області проектування, розробки і впровадження рішень по забезпеченню інформаційної безпеки сучасних автоматизованих систем різного призначення і рівня складності. Компанія має великий практичний досвід і передовими методиками проведення проектних робіт з інформаційної безпеки, заснованих як на російських, так і на зарубіжних стандартах і методичних матеріалах.

Детальніше...

Повернутися на головну сторінку огляду