Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

АУТСОРСИНГ УСЛУГ БЕЗОПАСНОСТИ

В декабре 2002 года редакция урнала «Connect! Мир связи» обратилась к игрокам рынка услуг безопасности с предложением принять участие в беседе, посвященной анализу ситуации в области информационной безопасности и защиты информации в России, а также перспективам внедрения в практику российского бизнеса относительно нового вида услуг – аутсорсинга услуг безопасности.

Для участников мы предложили некоторые исходные данные, в определенной

степени отражающие позицию редакции

по рассматриваемому вопросу. Далее, отталкиваясь от предложенного вводного сценария, мы попросили их ответить на ряд вопросов, ответы на которые позволяют получить общее представление о положении дел

по затронутому вопросу.

Оценка ситуации в области защиты информации в России – позиция редакции

В последнее время российские федеральные власти уделяют повышенное внимание вопросам защиты информации и развития информационных систем. Среди наиболее важных инициатив правительства новая редакция закона о лицензировании отдельных видов деятельности, в которую включены пункты об обязательном лицензировании деятельности по технической защите конфиденциальной информации, принятие закона об электронно-цифровой подписи, принятие нового административного кодекса, в котором прописывается административная ответственность за нарушение правил работы с конфиденциальной информацией.

К сожалению, ни Гостехкомис-

сия России, ни ФАПСИ пока не определили свое отношение к проблеме защиты конфиденциальной информации, составляющей сегодня около 80% всех обрабатываемых данных. Достаточно ясно одно – в ближайшее время ситуация в сфере защиты конфиденциальной информации со стороны контролирующих органов будет ужесточаться.

Начавшиеся перемены не сильно отразятся на бизнесе крупных компаний: защите информации в них уделяется достаточно внимания, а получить еще одну лицензию для мощной службы защиты информации не составит особого труда. Другое дело – малые и средние предприятия, которых сегодня большинство. Ведь в сложившихся условиях им придется не только аттестовывать свои информационные системы, но и готовить персонал для работы с конфиденциальными данными.

Высококвалифицированные специалисты в области защиты информации сегодня большая редкость, и спрос на них в ближайшее время будет только увеличиваться. Данный фактор, а также появление огромного количества новых вирусов и недоработок в программах, создававшихся на заре компьютерно-интернетного бума 90-х годов, отсутствие подсистемы защиты информации, заложенной на стадии проектирования системы, отрицательно скажутся на ситуации в области информационной безопасности и защиты информации и приведут к лавине отказов «коленных» разработок.

Вступление России в ВТО потребует соблюдения зарубежных стандартов, в том числе в вопросах

защиты информации, однако большинство российских специалистов пока не готовы к этому.

В этих услти1. Специалисты в области информационной безопасности будут объединяться в компании, предоставляющие соответствующие услуги сразу нескольким предприятиям. За счет крупных капиталовложений заказчиков в инфраструктуру организации, занимающейся аутсорингом безопасности, целый ряд угроз безопасности и связанные с ними риски будут сведены к минимуму. На российском рынке – как в частном, так и в государственном секторе – возможно появление зарубежных компаний, предлагающих аутсорсинг по международным стандартам.

– Как Вы оцениваете ситуацию в области информационной безопасности и защиты информации в России и мире?

Сергей Малышев

Я считаю, что и в России, и в мире наблюдаются одинаковые тенденции в области защиты информации. Интерес к информационной безопасности существует и в нашей стране, и за ее пределами. Если мы говорим об обеспечении доступа к Интранету и Интернету, то интерес одинаково высок и можно говорить об устойчивом росте. Единственная разница заключается в том, что на Западе, вероятно, вследствие событий 11 сентября акценты сместились в область резервирования данных с целью обеспечения физической защиты носителей.

На российском рынке в связи с возрастающей ролью электронного ведения бизнеса сейчас наблюдается активный процесс регламентирования деятельности. Необходимо отметить еще один важный фактор –

правовой. Например, существуют положения о центрах компетенции, об электронной цифровой подписи, а правовая база под ними отсутствует. Как следствие, непонятны принципы разграничения ответственности и разрешения правовых вопросов.

– Знакомы ли Вам понятия «аутсорсинг» и «аутсорсинг услуг защиты информации»?

Сергей Малышев

Поскольку в контексте нашего разговора аутсорсинг рассматривается как дополнительная услуга со стороны операторов связи, то можно сказать, что мы не только хорошо знакомы с аутсорсингом услуг защиты информации, но в числе первых предложили специально разработанные для их оказания информационные решения. Речь идет о продукте Provider-1 компании Check Point, эксклюзивным представителем которой в странах СНГ является ЮНИ. Этот продукт позволяет консолидировать политику безопасности клиентов в единую архитектуру централизованного управления продукта Provider-1 и управлять ими, минимизируя затраты тысяч абонентов на аппаратное обеспечение и персонал. В настоящее время наша компания является лидером на российском рынке по поставке продуктов для оказания данной услуги.

Роман Просянников

Мы понимаем под этим предоставление услуг по обеспечению информационной безопасности.

Примером этого могут служить:

• контроль параметров безопасности ОС и СУБД;

• сопровождение систем обнаружения атак;

• контроль событий аудита;

• управление межсетевыми экранами;

• управление сертификатами.

В то же время существуют услуги, которые тnetration testing – проникновение в информационную систему заказчика.

– Насколько справедливо утверждение, что в ближайшие годы в России следует ожидать развития услуг аутсорсинга безопасности?

Сергей Малышев

Действительно, значение аутсорсинга информационной безопасности в России будет возрастать. Коммерческие предприятия, в том числе малые и средние, все чаще вовлекаются в процессы электронного ведения бизнеса. С каждым днем высокие инфокоммуникационные технологии становятся более доступными, вследствие наращивания темпов коммерческой деятельности в России потребность в них увеличивается, что, в свою очередь, обусловливает необходимость обеспечения безопасности информации, рассматриваемой здесь, конечно, с точки зрения Интернет- и Интранет-приложений.

Таким образом, аутсорсинг информационной безопасности становится в один ряд с аутсорсингом по предоставлению программных продуктов, колокейшн и хостинга, достаточно популярных в России. Причины, по которым аутсорсинг безопасности информации ложится на плечи оператора, очевидны: он обладает каналами, площадями, возможностями предоставлять услуги по размещению либо предоставлению серверов или программного обеспечения. Услуги по обеспечению безопасности доступа становятся логичным дополнением. Однако основными игроками на этом рынке останутся операторы связи, которые способны расширить спектр предлагаемых услуг за счет сервисов по управлению информационной безопасностью. Уже сегодня они могут предложить клиентам целый комплекс взаимосвязанных услуг. Маловероятно, что фирмы с узкой специализацией на аутсорсинге информационной безопасности смогут создать им сколь-нибудь значимую конкуренцию, поскольку операторы кроме того обладают значительными клиентскими базами, которых нет у новичков рынка.

Обеспечение безопасности доступа делится на две части. Первую обеспечивает оператор, защищая собственные ресурсы, в частности предоставляемое в аренду оборудование и программные продукты. Вторая часть представляет собой аутсорсинг как дополнительную услугу для коммерческой структуры. На основе технического задания оператор готов обеспечить управление определенным набором политик безопасности, распространяемых и на ресурсы заказчика, находящиеся у оператора, и на ресурсы, располагающиеся непосредственно у самого заказчика. Причем соотношение частей, управляемых оператором и самим заказчиком, регулируется комплексом соглашений между двумя сторонами.

Если государственные органы примут решение жестко регламентировать деятельность по обеспечению безопасности информации, наверное, это вызовет у некоторых компаний «истерию». Возможные сложности с получением специальных лицензий вынудят их передать деятельность по обеспечению собственной информационной безопасности сторонним организациям, имеющим лицензии на данный вид деятельности.

Роман Просянников

Потребность в услугах аутсорсинга возникает тогда, когда стоимость вй безопасности)

становится выше стоимости ее аренды. Поэтому на развитие аутсорсинга информационной безопасности значительное влияние оказывают экономические изменения: например, подорожание специалистов по информационной безопасности или возрастание стоимости владения информационными системами.

В этом случае информационные системы можно будет приобретать «по частям» или как услугу аналогично тому, как это делается в сфере лизинга: очень дорого купить себе новый самолет или сельскохозяйственную технику, но их можно взять в аренду или использовать в виде услуги независимой компании.

В последнее время на Западе в области информационных технологий наметился спад, и услуги аутсорсинга стали менее востребованны. Многие компании терпят убытки. А ведь там стоимость владения информационными системами значительно превышает стоимость их аренды. В России такой разницы нет, поэтому быстрого развития услуг аутсорсинга в области информационной безопасности ожидать не стоит.

– Справедлив ли тезис о том, что аутсорсинг одинаково эффективен и в коммерческих, и в государственных структурах?

Сергей Малышев

Эффективность аутсорсинга зависит от характера информации, а не от вида хозяйственной деятельности организации. Единственное, что в государственном секторе более четко определены обязательные процедуры по лицензированию, аттестации и использованию сертифицированных средств. Однако и здесь существуют варианты, так как способов применения электронных видов деятельности достаточно много. Вопрос об аутсорсинге решается в зависимости от типа государственного предприятия, поскольку и в этом секторе организации взаимодействуют друг с другом, причем некоторые их подразделения являются коммерческими субъектами. Тип организации определяет метод электронного вида деятельности, а аутсорсинг – вещь обслуживающая и вторичная.

Роман Просянников

Разница в подходах к защите информации в частном и государственном секторах очень велика: отличаются мотивы приобретения систем защиты информации, покупательская способность, статьи расходов.

Государственный сектор очень не скоро станет потребителем услуг аутсорсинга в силу того, что в нем действует огромное количество внутренних правил, инструкций и т. д. В этих условиях никто не допустит постороннего к собственной информационной системе, которая обрабатывает конфиденциальные данные, не говоря уже о государственной тайне.

Поэтому даже если вследствие повышения стоимости владения информационными системами возникнет потребность в аутсорсинге, государственные организации еще долго не будут пользоваться данным видом услуг – пока не поменяется менталитет их руководителей и сотрудников.

– Готова ли ваша компания предоставить услуги аутсорсинга или воспользоваться ими?

Сергей Малышев

Полагаю, что аутсорсингом можно назвать сервисное обслуживание установленных у наших клиентов решений по защите инфор клиента – частью сервисного обслуживания продукта, фактически это и есть аутсорсинг. Таким образом, нам нет необходимости привлекать стороннюю компанию для этих целей.

Роман Просянников

Наша компания предоставляет услуги аутсорсинга в области информационной безопасности. Пока спрос на них невысок, однако в наших интересах наряду с работами по созданию комплексной системы информационной безопасности предлагать заказчику ее поддержку и обслуживание.

– Как, по Вашему мнению, должен измениться бизнес компании, чтобы можно было свободно использовать услугу аутсорсинга?

Сергей Малышев

Деятельность по обеспечению информационной безопасности всегда вторична по отношению к реализации методов электронного ведения бизнеса. Если компания принимает концептуальное решение о внедрении, скажем, электронного документооборота или приложений для электронной коммерции, то это и является тем изменением в бизнесе, которое стимулирует пользование услугами аутсорсинга для защиты своей информации. Потребность в услугах по предоставлению аутсорсинга защиты информации всегда определяется той средой, на основе которой они предоставляются. Компаниям, в которых не сформировалась соответствующая обстановка, предлагать подобные услуги бессмысленно.

Роман Просянников

В России своеобразным препятствием на пути продвижения любых видов услуг является бухгалтерия. Как правило, в бюджете есть статьи на закупку программных и аппаратных средств, бюджет на услуги, работы, НИИР и НИОКР, как правило, очень мал. Это характерно как для государственных, так и для коммерческих организаций.

– Как Вы считаете, вступление в ВТО и принятие в качестве российских ряда зарубежных стандартов на информационные технологии и защиту информации приведет к увеличению спроса и предложения услуг аутсорсинга? Возможно ли появление на российском рынке зарубежных компаний, предлагающих эту услугу отечественным предприятиям, но по международным стандартам?

Сергей Малышев

Я считаю, что вступление России в ВТО – это вступление в определенные торговые отношения, а не в сообщество, которое диктует определенные условия по хранению и распространению информации. Жесткой связи здесь нет, потому что вступление России в ВТО, строго говоря, не заставляет коммерческие организации подчиняться новым законам. Если у субъекта уже существует потребность в общении с коммерческими структурами других стран, с вступлением в ВТО это никак не связано. Прямой корреляции с ростом спроса на услуги аутсорсинга нет. Другое дело, что вступление в ВТО будет способствовать, в частности, повышению роли электронного ведения бизнеса. Возрастание спроса на услуги аутсорсинга наблюдается и сейчас; маловероятно, что вступление России в ВТО станет катализатором этого процесса.

Если говорить о появлении на российском рынке зарубежных компаний, предоставляющих услуги по международным стандартам, то вне зависимостиносят с собой западные модели поведения и новые наборы услуг. Количество компаний, готовых предоставлять услуги, зависит от условий вступления в ВТО, от того, какие услуги можно будет предоставлять другим странам на нашей территории. Если аутсорсинг информационной безопасности окажется в этом списке, то возможен приток зарубежных компаний в Россию. Однако, учитывая государственные интересы, выгоднее защищать «отечественного производителя».

Роман Просянников

При вступлении любой страны в ВТО должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества. Но стандарты по защите информации в большинстве стран собственные. Существуют европейские критерии, в отдельных государствах есть свои национальные стандарты шифрования, правила для ЭЦП. В России также вполне могут быть собственные законы, стандарты, правила и руководящие документы в области защиты информации. Это не противоречит принципам ВТО. Следовательно, вступление России в ВТО не приведет к росту спроса на услуги аутсорсинга.

Прежде всего иностранная компания должна будет получить лицензию на право предоставлять услуги в области защиты информации. Без лицензии с поставщиком услуг никто общаться не будет. Для нас это основополагающий принцип. Если у компании есть лицензия Гостехкомиссии России, то она имеет право оказывать такую услугу.

Однако лицензирование не единственное препятствие на пути освоения российского рынка информационной безопасности.

В первую очередь перед зарубежной компанией встанет вопрос цены услуг по информационной безопасности: сейчас работа зарубежного специалиста стоит в несколько раз дороже, чем та же работа, выполненная российским специалистом.

Очевидно, в данном случае разницы цен между владением и арендой, о которой говорилось выше, не будет. И российские потребители

услуг аутсорсинга ничего не выиграют, обращаясь к большим зарубежным компаниям.

– Ваш прогноз развития ситуации в области защиты информации в 2003 году.

Сергей Малышев

Я считаю, что в наступившем году будут наблюдаться те же процессы, что и в предыдущем. 2003 год будет характеризоваться более точным пониманием деятельности по оказанию услуг в области информационной безопасности, правильным определением лицензирования, введением услуг по цифровой подписи. Учитывая то, что сейчас крупные компаниии занимаются разделением своей деятельности на профильные и непрофильные виды, будет отмечаться тенденция перехода на аутсорсинг, в том числе защиты информации. Будут создаваться более продуманные проекты по информационной безопасности – на уровне не локальных систем, а корпораций.

Роман Просянников

В настоящее время многие авторы эксплуатируют в прессе идею о наступающем глобальном ухудшении информационной безопасности, говорят о грядущей лавине отказов в информационных системах, обусловленных ошибками на этапе разработок.

Это очень напоминает попытпропаганда наступающего конца света из-за «Проблемы 2000» привела к опустошению кошельков многих людей, поддавшихся панике.

Современные информационные системы сложны, что, безусловно, требует принятия определенных мер информационной безопасности. Это было актуальным и пять лет назад, и в настоящее время. Системы защиты усложняются наряду с информационными системами. Это процесс поступательный, а не лавинообразный.

***

Анализ выступлений участников беседы показал, что к проблемам аутсорсинга услуг безопасности в России отношение сегодня неоднозначное. Очень многое должно измениться, прежде чем какая-либо компания допустит к обеспечению защиты собственной информационной системы стороннюю организацию. Однако сложившаяся административно-правовая практика и относительная сложность получения лицензий Гостехкомиссии России и ФАПСИ может заставить ряд компаний обратиться к другим фирмам за оказанием таких услуг. Скорее всего, заказчик при этом будет весьма осторожным и исполнителю передадут лишь те ресурсы, которые не являются критичными для бизнеса компании.

Участники беседы пришли к общему выводу: сложившаяся ситуация в области защиты информации в России требует глубокого переосмысления. Это связано не только с тем, что сегодня ужесточается контроль за соблюдением правил и мер защиты информации, но и с тем, что большинство клиентов уже осознали серьезность проблемы.

Материал подготовил

Сергей Гриняев, sgreen@hotbox.ru

Главная страница / Архитектура отрасли