“Код безопасности” менее года назад была выделена в самостоятельную компанию — разработчика средств информационной безопасности в составе группы компаний “Информзащита” в ходе реализации планов стратегического развития бизнеса материнской организации.
О том, какие направления развития рынка информационной безопасности сейчас являются ключевыми и какие задачи видит перед собой “Код безопасности” в условиях перемен в экономике и законодательстве, ее генеральный директор Александр Ширманов рассказал научному редактору PC Week/RE Валерию Васильеву.
PC Week: Какие факторы определяют сегодня спрос на российском рынке информбезопасности (ИБ)?
Александр Ширманов: Я бы разделил современный российский рынок ИБ на два сегмента, один из которых формируется действующими в стране нормативными и законодательными требованиями, а к другому я отнес бы всё остальное. Законы, регулирующие ИБ, в каждой стране свои, поэтому в России в первом сегменте доминируют отечественные производители средств ИБ, тогда как во втором работает немало зарубежных вендоров.
Сегодня основной спрос в первом сегменте, в котором специализируется наша компания, определяется не только законодательством о гостайне, конфиденциальной и коммерческой информации, но и новым законом “О персональных данных” . Развитие государственного и муниципального управления в части электронного взаимодействия с гражданами тоже порождает задачи обеспечения ИБ и стимулирует этот сегмент рынка.
Спрос же в сегменте, не связанном с соответствием регулирующим требованиям, определяется ландшафтом угроз.
PC Week: Существуют ли готовые решения, способные удовлетворить спрос в сегменте соответствия требованиям регуляторов? Насколько острая здесь конкуренция?
А. Ш.: Для соответствия законам, принятым давно, средства защиты, конечно, существуют. Однако новый закон “О персональных данных” повысил уровень требований, и сегодня нельзя сказать, что на рынке есть полностью готовые технические средства для соответствия всем аспектам этого закона . Поэтому операторам персональных данных (ПД) разумно использовать услуги ИБ-интеграторов, которые помогут организационными методами решить задачи соответствия, не закрытые пока техническими средствами. В нашем продуктовом портфеле сейчас представлены средства защиты информации от несанкционированного доступа, удовлетворяющие большинству требований закона, и думаю, что не позднее начала 2010 г. мы представим полную линейку новых решений для покрытия всех требований к защите ПД.
Если говорить о конкуренции, то среди ведущих игроков российского рынка ИБ тех, кто относится к крупным разработчикам, по моим наблюдениям, не более четырех (среди них и наша компания) — остальные занимаются только ИБ-услугами. Однако наши конкуренты из этой четверки являются специализированным разработчиками — кто-то из них создает средства защиты от несанкционированного доступа, кто-то решения по VPN и средства шифрования. Поэтому я не могу назвать ни одного конкурента, способного предоставить такую же широкую линейку ИБ-продуктов, какой располагаем мы уже сегодня, не говоря о том, какой мы планируем ее сделать к концу года. Хотя по конкретным продуктовым направлениям конкуренция острая.
PC Week: Какие направления ИБ-разработок вы считаете для себя приоритетными?
А. Ш.: Уточняя требования к средствам защиты ПД, регуляторы выделили пять технологических групп, которые и определяют приоритетные для нас направления разработки: криптографию, антивирусы, защиту от несанкционированного доступа, межсетевое экранирование и анализ обнаружения угроз (эти угрозы также называются программно-математическими воздействиями). Мы не разрабатываем антивирусы, поэтому занимаемся сегодня интеграцией наших продуктов с антивирусами ведущих разработчиков, соответствующими современным требованиям регуляторов.
PC Week: Есть ли решения, способные обеспечить приемлемую скорость обмена шифрованными данными?
А. Ш.: Из отзывов наших клиентов можно заключить, что каналы корпоративной связи стали заметно лучше. К тому же возможности современных серверов отодвигают на второй план проблемы производительности при шифровании данных для их передачи по каналам 100 Мбит/с. У нас есть варианты поддержки шифрования и для каналов 1 Гбит/с, но это скорее задел на будущее, поскольку сегодня передача по открытой сети идет все-таки по каналам до 100 Мбит/с, а во внутренней сети (где скорости выше) трафик, как правило, не шифруется. В настоящее время для клиентов гораздо важнее поддержка передачи по шифруемым каналам видеотрафика и голоса, но это уже задачи обеспечения качества сетевых услуг, а не производительности шифрования.
PC Week: Какие решения эффективны для защиты от инсайдеров, от которых не спасает даже шифрование?
А. Ш.: Согласно определению регуляторов, существует шесть уровней нарушителей, из которых реально в компаниях строят защиту для второго и третьего уровней, соответствующих среднему уровню угроз. Мы предлагаем два вида защиты от таких угроз: защиту от несанкционированного доступа, регламентирующую доступ к информации или шифрование данных. Это проще и эффективней, чем анализировать исходящий трафик в целях предотвращения утечек информации или входящий для предотвращения вторжений. Однако нужно учитывать, что тот, кому легитимно предоставлен доступ к информации, при желании всегда найдет способ ее похитить. Поэтому гораздо важнее и эффективнее правильно классифицировать и разграничить как информацию, так и доступ к ней, чем контролировать ее потоки при нерегламентированном доступе.
PC Week: Есть ли на рынке специализированные решения, которые решают задачи ИБ при архивировании данных, требующих по закону соответствующих средств защиты?
А. Ш.: Этот рынок тоже делится на сегменты соответствия нормативно-законодательным требованиям и ИБ-обеспечения операционной деятельности.
В нашей стране сегодня нет таких же жестких законов (подобных закону Сарбейнса — Oксли о достоверности финансовой отчетности публичных компаний, принятому в США в 2002 г.), регламентирующих режим хранения корпоративных данных, как за рубежом. Возможно, ситуацию со спросом на средства защиты систем архивирования данных изменят выход закона “Об электронном документе” и законодательство об ЭЦП. Мы предлагаем на этом рынке продукт SecurityMailArchive как средство хранения и архивирования сообщений электронной почты и мониторинга переписки. Например, компания может запрещать сотрудникам использовать в переписке ненормативную лексику или отсылать видеофайлы. В этом случае наш продукт обнаружит нарушения и сообщит администратору безопасности о нарушении.
PC Week: Благодарю за беседу.