Институт сертификации средств защиты информации является для государства мощным рычагом регулирования этой жизненно важной области, значимость которой возрастает по мере формирования в нашей стране информационного общества. Для потребителей наличие у ИБ-продукта сертификата необходимого образца означает гарантию его качества, возможность его использования в оговоренных условиях эксплуатации.
Однако у сертификации есть и оборотная сторона: как всякая процедура проверки она сопряжена с расходованием ресурсов. Для современного противостояния киберпреступности и индустрии разработки средств защиты информации особую важность приобретает временной фактор.
Своим мнением о влиянии сертификации на уровень защищенности заказчиков, на ход бизнеса компании, на общую ситуацию с защитой информации в России старший вице-президент по международному управлению продвижением продуктов компании McAfee Брайен Фостер и генеральный директор компании McAfee RUS Владимир Ларин поделились с научным редактором PC Week/RE Валерием Васильевым.
PC Week: Со дня открытия московского офиса McAfee прошло без малого два года. Есть ощущение, что он медленно набирает обороты. Брайен, как вы оцениваете работу своих московских коллег за прошедшие два года?
Брайен Фостер: Не могу согласиться с вашими ощущениями. Мы довольны результатами работы московского офиса. Конкретнее о них расскажет Владимир. От себя только замечу, что за последние два года сотрудниками McAfee в вашей стране было много сделано для распространения информации о нашей компании, для генерации спроса в таких ключевых сегментах, как телекоммуникации и финансы, для которых у McAfee есть отличные вертикальные решения. Кстати, компании, представляющие эти сегменты, хорошо откликаются на наши предложения.
Владимир Ларин: Для начала хочу уточнить: формально первые три человека были приняты на работу в московский офис только в сентябре 2008 г., а костяк офиса формировался на протяжении всего 2009-го.
Основная наша задача — расти быстрее российского ИБ-рынка. Как мне помнится, по данным IDC, в 2008 г. ИБ-рынок в нашей стране вырос на 35—40%, мы же в тот год поднялись на 50%. В 2009-м IDC объявила о том, что ИБ-рынок “просел” на 20%, а мы на 20% выросли. В этом году IDC прогнозирует рост в 18—20%, а мы хотим вырасти на 50%. Поэтому замечание о медленном “наборе оборотов” могу принять только как следствие недостаточных инвестиций в рекламу. Думаю, наша активность и в этом направлении будет расти по мере зарабатывания денег на него.
PC Week: Какие российские отрасли помимо телекома и финансового сегмента демонстрируют сегодня активность в области ИБ?
В. Л.: Разумеется, мы стараемся работать в России во всех отраслях, где у заказчиков есть средства на инвестиции в ИБ. По понятным причинам эти средства сегодня не те, что были в 2007 г. Но тем не менее мы видим для себя большой потенциал, предлагая такие решения, которые позволяют компаниям наиболее эффективно использовать бюджеты на ИБ. Я имею ввиду наши интегрированные комплексные моновендорные решения с единою консолью управления, стоимость совокупного владения которыми в разы ниже, чем у решений, построенных из разрозненных продуктов, поставляемых разными вендорами и закрывающих отдельные конкретные проблемы. Замечу, что наша открытая платформа ePolicy Orchestrator с позиции централизации управления поддерживает продукты и других производителей. В пестрой многовендорной корпоративной инфраструктуре с учетом затрат на администрирование, поддержку обновлений, зарплату ИБ-персонала ее применение в зависимости от размеров ИТ-среды заказчика может дать экономию в 25—40%.
PC Week: Как со времени открытия московского офиса изменились запросы российских корпоративных пользователей на средства защиты информации?
Б. Ф.: Спрос в области ИБ в России изменяется примерно так же, как и в других странах. В вашей стране тоже принимают законы, призванные защищать критичную корпоративную информацию, личные данные людей. Законодатели реально заставляют компании должным образом защищать информацию. Мы рассчитываем, что к 2011 г. в вашей стране будут приняты новые законы, регулирующие область ИБ. Чтобы следовать им, компании должны знать, какими данными они располагают, где они их хранят, для чего и кем эти данные используются. У McAfee есть предложения для решения этих задач.
PC Week: Какие законы вы имеете ввиду, называя рубеж 2011 г.?
Б. Ф.: В России вектор законодательного регулирования защиты информации такой же, как и в других странах. Принимаемые в этой области законы направлены на то, чтобы личные данные граждан и корпоративная информация компаний были защищены от киберпреступников адекватным образом.
В. Л.: Диктовать появление новых законов будет развитие информационного общества. Так, по ходу реализации идеи предоставления частными компаниями и государством электронных услуг отдельным гражданам, бизнесу и госструктурам обязательно будут разрабатываться и внедряться новые законы, определяющие порядок оказания этих услуг и их качество, в том числе и безопасность. Например, как только у нашей медицины появится возможность массово обслуживать население в удаленном режиме с использованием мощных современных ИТ, всплывет потребность в законах, аналогичных Health Insurance Portability and Accountability Act (HIPAA).
PC Week: Брайан, мне сообщили, что основная цель вашего визита в Москву — конкретизация задач по сертификации в России продуктов McAfee. Означает ли это, что свою ближайшую стратегическую задачу в России компания видит именно в сертификации?
Б. Ф.: Сертификация — вспомогательная, а не стратегическая задача для нас. Она дает пользователям наших продуктов уверенность в том, что они выполняют именно те функции, о которых мы заявляем. А нашей стратегией является разработка все более совершенных продуктов, повышающих уровень защищенности наших клиентов и одновременно снижающих совокупную стоимость владения средствами защиты.
PC Week: Какие продукты и по каким категориям McAfee намерена сертифицировать в первую очередь?
Б. Ф.: Первыми в очереди на сертификацию стоят продукты, предназначенные для защиты конечных точек корпоративной ИТ-инфраструктуры. Мы уже запустили сертификацию продуктов McAfee Total Protection for Endpoint и активно начаты работы по сертификации McAfee Host Data Loss Prevention.
PC Week: Во всем мире соответствие требованиям государственного и отраслевого регулирования области ИБ стало не так давно для бизнеса и госструктур одной из главных задач. Как вы оцениваете его влияние?
Б. Ф.: Государственное регулирование обязывает решить три задачи. Прежде всего организации должны установить, где находятся их корпоративные данные, затем нужно классифицировать их, чтобы разобраться в том, какие из них наиболее критичны как объект защиты, и, наконец, адекватно критичности защитить. McAfee в состоянии помочь своим клиентам в экономном выполнении каждой из этих трех задач. Получается, что госрегулирование выгодно для нашего бизнеса.
PC Week: В России сегодня все озабочены выполнением требований закона “О персональных данных”, среди которых основную сложность представляет применение сертифицированных средств защиты информации. Как вы оцениваете влияние этого закона на развитие российского рынка ИБ?
В. Л.: Закон “О персональных данных” — манна небесная для тех, кто занимается ИБ как разработчик, консультант, интегратор. Что же касается операторов персональных данных — это наведение порядка “сверху” в том ИТ-зоопарке, который образовался у многих компаний за годы их существования, систематизация ИТ-ресурсов, приведение их в такое состояние, чтобы в итоге не страдали клиенты, чтобы те данные, которые они доверяют компаниям и организациям, были надежно защищены и могли использоваться в электронных услугах. Эффект от закона в итоге должен быть положительный, но путь к итогу будет затратный.
PC Week: Какие специфические национальные особенности в области ИБ вы отмечаете в России?
Б. Ф.: Российские потребители благодаря глобализации процессов обмена информацией похожи на потребителей других стран — они подвергаются тем же ИБ-угрозам, и ИБ-запросы у российских пользователей те же, что и у пользователей во всем мире. Уникальным для России является язык — в русле процессов глобализации он порождает задачи локализации ИБ-продуктов и их поддержки. Но это только технические проблемы.
В. Л.: Руководители нашей страны часто заявляют о готовности привлекать иностранных инвесторов и иностранные компании. Однако нужно понимать, что эти компании надеются, что законы, действующие в тех странах, где размещаются их штаб-квартиры, соблюдаются и в России. Это относится и к законодательному регулированию области ИБ. Стране нужна инфраструктура, которая обеспечит защиту тех зарубежных фирм, которые приходят к нам со своими сложившимися требованиями к защите данных, со своей корпоративной ИБ-политикой. Это тоже нужно учитывать.
В сертификации ИБ-продуктов мы должны использовать международный опыт. Нам нужно учитывать те процедуры сертификации и правила игры, которые действуют и вне нашей территории, нужна гибкость при восприятии экспертизы, которую приносят сюда зарубежные компании вместе со своими деньгами. Идеально, если процесс сертификации станет глобальным. Разумеется, для структур, обеспечивающих национальную безопасность, российские законы должны иметь высший приоритет.
PC Week: Некоторые зарубежные компании уже столкнулись в России с проблемой больших сроков проверки (до нескольких лет) отдельных своих продуктов на отсутствие недекларированных возможностей (НДВ). Какой выход из этой ситуации вы рекомендовали бы?
В. Л.: Для начала хотелось бы, чтобы сроки сертификации зарубежных продуктов были адекватны срокам сертификации российских. К сожалению, сейчас они сильно различаются.
Б. Ф.: Темпы развития области высоких технологий растут потрясающе. Но этими технологиями пользуются и киберпреступники. Гонка между ними и разработчиками средств защиты становится все более напряженной. Конечно, нужно проверять ИБ-продукты на НДВ, но нельзя забывать об этой гонке. Мы не должны из-за затянутой сертификации отставать от злоумышленников. Может быть, имеет смысл сертифицировать продукты, а не каждый их релиз?
Конечно, нужно по-разному подходить к разным пользовательским сегментам. Одно дело коммерческие компании, для которых все нужно делать быстро. Другое дело силовые структуры, государственные учреждения, в которых изменения в ИТ-инфраструктуре происходят медленнее. У военных операционные системы не меняют раз в один-два года, как в бизнес-компаниях. Там, как правило, рабочий цикл ИТ-продукта исчисляется десятком лет. Для тех заказчиков, у которых срок эксплуатации ИБ-продукта рассчитан на десять лет, можно позволить и более строгую сертификацию, занимающую полгода.
Многие компании, в том числи и McAfee, рассматривают Россию как перспективный рынок, и этот интерес стимулирует поиски способов оптимизации сроков сертификации, расшивки узких мест. Кстати, по продолжительности сертификации Россия не чемпион на мировом ИБ-рынке — есть страны, где эти процедуры длятся вдвое дольше.
PC Week: Готова ли ваша компания включаться в процесс сертификации на максимально ранних стадиях разработки своих продуктов, еще до его завершения?
Б. Ф.: Это как раз является частью моей задачи. Я хотел бы, чтобы сертификация, подобно процессу локализации, начиналась как можно раньше по ходу проекта разработки продуктов. В локализации мы добились существенных успехов в этом направлении. Именно поэтому одновременно с английской версией мы выпускаем версии на других, наиболее распространенных языках, т. е. о локализации мы думаем с самого первого дня разработки, запускаем ее параллельным процессом. Таким же образом хотелось бы наладить и сертификацию. Сейчас я принимаю на работу людей, которые будут заниматься сертификацией непосредственно в процессе разработки продуктов. Увы, завершить сертификацию в тот же день, когда мы объявляем выход продукта, нереально. Однако хотелось бы максимально сократить отставание и по возможности автоматизировать процесс сертификации.
PC Week: Благодарю за беседу.