tev
Обзор "Рынок ИТ: Итоги 2006" подготовлен При поддержке
CNewsAnalytics Kraftway

Госвласть лидирует в потреблении средств ИБ

Госвласть лидирует в потреблении средств ИБДо 50% российского рынка ИБ по-прежнему формируют госзаказы. Также традиционными лидерами по уровню инвестиций в защиту информации остаются предприятия дискретного и процессного производства, ведущие крупные сервисные проекты, связанные с аудитом и сертификацией на соответствие стандартам безопасности, а так же с интеграцией ИБ с другими ИТ- продуктами.

Госсектор на протяжение достаточно долгого периода времени лидирует в области инвестиций в системы защиты информации, а так же является регулятором этого рынка. Доля госзаказов на рынке ИБ приближается по разным оценкам до 50% в денежном выражении. Основной вектор развития ИБ в государственном секторе — это построение электронного правительства, декларированного в рамках Федеральной Целевой Программы «Электронная Россия» и Закона РФ "О безопасности".  Одной из главных особенностей государственного рынка пока считается ориентация при выборе решений и услуг на российских производителей средств ИБ.

Тендеры на крупные проекты регулярно проводятся во всех ведомствах, например, Федеральной Таможенной Службой (ФТС), Минфином и МВД. Так, только по одному из лотов ФТС, связанному с приобретением средств криптографической защиты и контроля web-трафика, эта служба готова была в начале года заплатить почти 23,5 млн рублей. Приблизительно в это же время  компания InfoWatch закончила в той же ФТС  разработку системы защиты от утечки конфиденциальной информации из центральной базы данных единой автоматизированной информационной системы (ЕАИС) таможенных органов. Стоимость проекта оценивается как минимум в 150 тыс. долл.

Кроме того, недавно стартовали масштабные проекты по построению ГАС «Выборы» и ГАС «Правосудие». Начаты работы, возможно, по одному из самых дорогих ИТ проектов в истории России – внедрению биометрических паспортов. Есть признаки и старта проекта «электронная медицина». Роль ИБ во всем этом очевидна: разграничение многоуровневого доступа разнообразных пользователей, аутентификация и сохранение целостности данных с помощью ЭЦП, защита центральных хранилищ данных и каналов межведомственной связи и т.д. — разумеется, с помощью сертифицированных средств защиты, что является обязательным для любых государственных учреждений.

Среди региональных правительств выделяется своей активностью Москва. Так, в конце 2006 года был создан Головной удостоверяющий центр города, основной задачей которого является объединение разрозненных удостоверяющих центров и консолидация их в единую систему внутри региона. Это большой шаг вперед к формированию безопасного информационного обмена, основанного на технологиях PKI с использованием электронной цифровой подписи.

Нефтегаз преодолевает разрозненность систем защиты

Отрасль нефтегазодобычи, пережившая масштабные сделки по поглощению крупнейших компаний «Газпромом» и «Роснефтью», наверное, острее всех почувствовала задачи построения интегрированных систем безопасности. Разрозненность систем защиты от внутренних и внешних угроз стала сама угрозой бизнесу.

Одним из заметных проектов в этой сфере стало внедрение  в «Сургутгазпроме», дочерней компании «Газпрома» системы комплексной защиты информации. Для борьбы с вредоносными программами были выбраны продукты Symantec AntiVirus Corporate Edition и Symantec AntiVirus Filtering for Windows Exchange. А защиту сетевого оборудования было решено строить на основе оборудования Cisco. Системным интегратором проектов выступила казанская ICL-КПО ВС.

Антивирусная защита, существовавшая в центральном офисе и в филиалах предприятия на момент планирования проекта, представляла собой набор различных антивирусных систем устаревших версий без централизованного управления, локализованных в центральном офисе и филиалах. Рост количества и качества вирусных угроз привел к необходимости внедрения комплексного решения, которое обеспечило бы единую, централизованную антивирусную защиту информационной системы "Сургутгазпром" и его территориальных подразделений. Кроме того, была необходима нормативная база, определяющая задачи системы антивирусной защиты, режимы функционирования и механизмы для ее успешной эксплуатации, а также ответственность должностных лиц в случаях проникновения компьютерных вирусов в вычислительную сеть. После почти двух лет работ в начале 2007 было объявлено об успешном завершении работ. Особенностью проекта стало значительное количество сервисной составляющей – это аудит, разработка нормативной документации и обучение персонала, что помимо всего прочего, дало возможность однотипно определять задачи и ответственность всех сотрудников компании  в отношении вирусных угроз и эксплуатации системы антивирусной защиты.

Банки в ожидании Basel II

Банковский сектор находится под давлением присоединения России году к международному соглашению Basel II («Международная конвергенция измерения капитала и стандартов капитала: новые подходы») и новых стандартов Центрального Банка страны. Основная задача Базельского комитета состоит в том, чтобы в большей степени увязать требования к достаточности капитала с банковскими рисками. Одной из необходимых мер, решаемых с помощью продуктов информационной безопасности, должно стать внедрение средств контроля над центром хранения данных, а также решений для борьбы с инсайдерскими атаками и утечками конфиденциальной информации.

Требования соглашения Basel II вступят в силу в России лишь в 2009 году, однако уже сейчас отечественным банкам приходится иметь дело со стандартом "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0–2006). Особый интерес представляет пункт 8.2.6.4 стандарта Банка России: "Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение информационной безопасности. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен". Таким образом, стандарт ЦБ требует от финансовых организаций создавать не только корпоративные архивы, но и системы защиты его от любых попыток несанкционированного доступа и фальсификации со стороны инсайдеров. Хотя этот стандарт необязателен, мало кто из банковского сообщества игнорирует его положения.

Одним из ярких примеров проектов, связанных с этой тематикой, стало соглашение о внедрении системы архивации электронной корреспонденции и защиты конфиденциальных данных между «Внешторгбанком» и компанией InfoWatch. Наиболее опасным источником утечки информации была признана электронная почта — в 9 из 10 случаев инсайдеры пользуются этим каналом для передачи конфиденциальных данных. Для решения этой проблемы руководство «Внешторгбанка» приняло решение о внедрении InfoWatch Mail Monitor (IMM) — системы фильтрации почтового трафика, а так же InfoWatch Mail Storage (IMS) — многофункциональной централизованной системы учета, хранения и ретроспективного анализа почтовой корреспонденции.

Еще одним примером усложнения жизни любителям несанкционированного доступа является внедрение биометрических средств BioLink в систему защиты информации Западно-Сибирского коммерческого банка. Решение, построенное на базе сканеров отпечатков пальцев BioLink U-Match и ПО BioLink ASA, обслуживает 350 сотрудников головного офиса Западно-Сибирского банка. В дальнейшем к системе планируется подключить две тысячи пользователей в 30 филиалах. По данным компании «Ланит», системного интегратора этого проекта,  стоимость первого этапа работ составила порядка $300 тыс. (без учета работ по внедрению).

Кроме того, банки продолжают видеть в сегменте потребительского кредитования одну из точек своего роста. Так, в данный момент банки готовы выдавать мелкие кредиты  населению по безбумажной технологии, например посредством SMS. Но согласно действующему законодательству, кредит без оформления документов не может быть выдан. В этой области проблему может решить только применение ЭЦП.

Значительное влияние на развитие технологий безопасности в банках (а так же в сфере  торговли) начал оказывать Payment Card Industry Data Security Standard (PCI DSS) — стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard. Решение о создании данного единого стандарта было принято международными платежными системами в связи с ростом числа компаний, сообщивших о том, что находившаяся у них конфиденциальная информация о счетах их клиентов была потеряна или украдена. Требования стандарта PCI DSS распространяются на все компании, работающие с международными платежными системами Visa и MasterCard. В зависимости от количества обрабатываемых транзакций, каждой компании присваивается определенный уровень с соответствующим набором требований, которые они должны выполнять. В рамках требований стандарта предусматриваются ежегодные аудиторские проверки компаний, а также ежеквартальные сканирования сетей.

PCI Data Security Standard с сентября 2006 года введен международной платежной системой VISA на территории региона CEMA как обязательный — соответственно, его действие распространяется и на Россию. Поэтому поставщики услуг, работающие напрямую с VisaNet должны пройти процедуру аудита на соответствие требованиям стандарта. В противном случае VISA будет применять к компаниям, не прошедшим данную процедуру, определенные штрафные санкции. В России первым провайдером подобных услуг стала компания «Информзащита», получившая статус «Qualified Security Assessor» и сертифицированная компанией VISA на проведение аудита информационных систем на соответствие PCI Data Security Standard.

Операторы защищают абонентов

Телекоммуникационный рынок в 2005 году запомнился массой сделок слияний и поглощений, а в 2006 году сразу несколько крупных компаний получили лицензии на оказание услуг междугородной и международной телефонной связи. В итоге два этих драйвера привели к крупным проектам — как по интеграции систем ИБ слившихся компаний, так и по обеспечению выполнения требований законодательства по защите сведений об абонентах и оказываемых им услугах.

Мало того, операторы так же вынуждены учитывать в своей деятельности ряд и иностранных законодательных инициатив. Одним из таких нормативных актов является директива Евросоюза о сохранении данных (Data Retention Directive). Данный закон был утвержден в конце 2005 года на волне борьбы с терроризмом. Акт требует от телекоммуникационных компаний, занимающихся бизнесом на территории Европы, архивировать и хранить в течение минимум одного года все данные, передаваемые по электронным каналам связи. Под действие закона попадают переговоры через мобильные и проводные телефоны, обмен документами по факсу, а также любой обмен информацией в интернете. Авторы директивы особо отмечают необходимость создания архивов электронной корреспонденции в связи с распространенностью этого способа коммуникаций. Если российская телекоммуникационная компания планирует выход на европейский рынок или уже присутствует на нем, она обязана удовлетворить требованиям директивы о сохранении данных и организовать централизованное хранение электронной корреспонденции.

Таким образом, комплексный характер защиты персональных данных абонентов, международная экспансия и острая потребность в привлечении инвестиций для развития бизнеса стали ключевыми факторами, определяющими спрос на услуги по сертификации системы управления информационной безопасностью (СУИБ) на соответствие требованиям международного стандарта BS ISO/IEC 27001:2005 (BS 7799-2:2005). В 2006 году стартовало сразу несколько подобных проектов. Первой успешно сертфицировалась  в феврале 2007 г. компания Международный Транзит Телеком (МТТ). Аудит МТТ был проведен подразделением BSI в России и СНГ — компанией BSI Management Systems CIS. Консалтинговой фирмой, подготовившей МТТ к аудиту на соответствие требованиям сертификации, стал «Инфосистемы Джет», сертифицированный партнер BSI.

Кроме выполнения требований законодательства, еще одним фактором роста затрат на ИБ в области связи является конкуренция. Чем более очищенный трафик предоставляет оператор, тем выигрышнее его рыночные позиции. Именно это подвигло менеджмент интернет–портала Mail.ru на сотрудничество с «Лабораторией Касперского» в борьбе с валом спама и вирусов в трафике клиентов. Этот же вендор в середине 2006 завершил внедрение в группе компаний "ВымпелКом" (торговая марка "Билайн") систему защиты от вирусов, распространяющихся через мультимедийные сообщения (MMS).

Вирусы и спам являются не только проблемой для клиентов, но и угрозой для самих телекоммуникационных компаний. Так в рамках проекта обеспечения защиты от вирусных угроз, а так же повышения надежности и качества услуг, предоставляемых крупнейшим оператором мобильной связи страны «Мобильные ТелеСистемы» системным интегратором в сфере информационной безопасности «ДиалогНаука» завершен проект по разработке корпоративной политики от ряда внешних угроз оператора. Первым результатом сотрудничества компаний стала разработка политики антивирусной защиты автоматизированной системы «МТС» и стратегии её реализации. Кроме того, был разработан технический проект на внедрение системы антивирусной защиты и пакет эксплуатационной документации.

РЖД стандартизирует информационную защиту

Транспорт. Следуя концепции Правительства России, направленной на развитие и увеличении вклада в экономику страны инфраструктурных секторов народного хозяйства и положениям федеральной целевой программы «Модернизация транспортной системы», многие перевозчики активно модернизируют свои системы управления. На 2006 год пришлось развитие и окончание ряда крупных ИТ проектов в «РЖД», таких как, запуск АСУ "Экспресс-3" в информационно-вычислительном центре Московской железной дороги. В грузовом сегменте постоянный рост грузопотоков стал причиной внедрений ИТ систем для оптимизации использования локомотивных и вагонных парков железнодорожных компаний, а так же проектов по интеграции информационных ресурсы портов, авто-, водных и железнодорожных магистралей РФ и пограничных стран. Необходимо отметить, что вопросы, связанные с ИТ и в частности с информационной безопасностью, перестали быть исключительно внутренними вопросами операторов рынка и вышли на уровень отраслевой политики и стандартизации.

Так, по словам руководителя департамента информационной безопасности «УСП Компьюлинк» Владимира Ляшенко, «специфика работы по проектам в «РЖД» заключается в том, что это очень крупное ведомство, имеющее десятки тысяч рабочих мест по всей стране, объединенных в сеть. Эксплуатируется большое число разнородных прикладных информационных систем, в которых требования к информационной безопасности различаются. Построение единой подсистемы ИБ «РЖД», соответствующей требованиям международных стандартов в этой области, отечественным руководящим документам, действующим ведомственным документам по обеспечению безопасности отдельных систем — чрезвычайно сложная задача…». Примером успешного проекта ИБ, реализованного «Компьюлинком» для этого заказчика, стало построение узла подключения систем передачи данных к интернету на «Октябрьской» и «Куйбышевской» железных дорогах с использованием средств обеспечения режима информационной безопасности и контроля трафика от Cisco и WatchGuard. Кроме того, выделяются проекты этого же вендора по интеграции ПО оценки уровня безопасности «РискМенеджер» в систему мониторинга состояния безопасности информации для контроля обеспечения режима ИБ в подразделениях железной дороги, а также обеспечения ИБ АСУ «Экспресс-3» с приведением ее в соответствие с требованиями международных стандартов ISO 17799 и ISO 17001. Значительный вклад для мультимодальных перевозок внесло ФГУП «ЗащитаИнфоТранс», разработавшее «Систему защиты информации в единой информационной среде технологического взаимодействия различных видов транспорта».

В сфере авиационных перевозок одним из главных двигателей модернизации инфраструктуры ИБ продолжают оставаться требования, предъявляемые международными альянсами авиаперевозчиков, например, Sky Team, к системам доступа к объединенным маршрутным сетям этих альянсов. Как результат, «Аэрофлот» и SITA (швейцарский разработчик информационных и телекоммуникационных технологий для авиации) приступили к обновлению телекоммуникационной инфраструктуры этой авиакомпании. Переход на технологию IP VPN  позволит сэкономить «Аэрофлоту», по его оценке, до 10% от бюджета на связь, оптимизировать работу подразделений авиакомпании по бронированию авиабилетов с системой Sabre и организовать защищенные каналы связи между российскими и зарубежными представительствами.

РАО ЕЭС защищает корпоративный портал

Крупнейшим проектом года в области ИБ на этом вертикальном рынке стал ввод в промышленную эксплуатацию системы обеспечения безопасности информации (СОБИ) корпоративного портала РАО «ЕЭС России». В начале 2006 был запущен проект, с которым смогли работать около 1000 сотрудников центрального аппарата энергокомпании. Для предоставления доступа к порталу более чем 9000 сотрудникам дочерних предприятий необходимо было перевести его в интернет-режим и обеспечить информационную безопасность. Проектирование и внедрение СОБИ, а также поставку программного и аппаратного обеспечения выполнили «Элвис-Плюс» и «Крок», управление проектом со стороны заказчика осуществлял PM City. Для обеспечения доступа была организована система однократной аутентификации пользователей как через интернет, так и через VPN. При этом был организован шлюз безопасности на базе ПО IBM Tivoli Access Manager for e-business, что  позволило избавиться от необходимости многократной аутентификации при доступе к ресурсам портала, физически размещенным в различных информационных системах. Для аутентификации задействованы сертифицированные USB-ключи Aladdin eToken PRO 32K, выпущенные Удостоверяющим центром энергетики и содержащие собственно ключи аутентификации, а также сертификаты шифрования ЭЦП, созданные с использованием КриптоПРО CSP. Кроме того, в СОБИ были встроены средства мониторинга событий информационной безопасности, которые в режиме реального времени обнаруживают атаки и нарушения политики безопасности. Для обнаружения атак использованы средства семейства RealSecure, разработанные американской фирмой Internet Security Systems. Ожидается, что функционал системы будет расширен за счет построения подсистемы единого управления учетными записями и организации централизованной обработки журналов событий информационной безопасности.

Другой крупный российский производитель электроэнергии  концерн «Росэнергоатом» продолжает внедрение корпоративной информационной системы, значительная роль в которой отведена подсистеме информационной безопасности. Работы по ее построению начаты в 2003 году и по плану должны быть завершены до 2010 года. Большая роль в этой работе отводится компании «Андэк», в обязанности которой входит аудит информационных систем атомных электростанций, проектирование и создание системы информационной безопасности на всех объектах концерна, а также поставка, внедрение и сопровождение систем защиты информации.

Дискретное производство защищает гостайну

По наследству от СССР нашей стране достался ряд крупных наукоемких производств, ориентированных на военные заказы, продукцию двойного назначения, а также энергетическое и транспортное машиностроение, производящих высоко конкурентную даже по мировым меркам продукцию. Именно эти предприятия и являются традиционными лидерами по уровню инвестиций в защиту информации.

Одной из таких компаний является акционерное общество «Тяжмаш», продукция которого широко используется в России и за рубежом, на сотнях предприятий топливно-энергетического комплекса, металлургии, стройиндустрии, химии, золото- и алмазодобычи, обороны и космоса. Важной задачей, решаемой в ходе модернизации управления компанией, стало обеспечение сохранения государственной и военной тайны сотрудниками. Одним из компонентов решения проблемы стало внедрение в 2006 году системы биометрической идентификации пользователей ИТ завода на базе аппаратных и программных средств компании BioLink. На рабочих местах инженеров, конструкторов, технологов и других сотрудников установлены компактные оптические USB-сканеры отпечатков пальцев серии BioLink U-Match. Касаясь сканера отпечатков, пользователи получают доступ в информационную систему и авторизуются в системах класса PDM и MRP. Для централизованного управления правами пользователей, хранения сведений об их биометрических идентификаторах и интеграции со службой каталогов применяется сервер BioLink ASA. С помощью этого инструмента ИТ-администраторы завода производят регулярную смену аутентификационных данных: по установленному регламенту в автоматическом режиме генерируются новые длинные и сложные пароли, которые ставятся в соответствие учетным записям пользователей Active Directory. Поскольку указанные идентификаторы уникальны для каждого человека и не могут быть отчуждены (похищены, потеряны, переданы и т.д.), биометрия служит также и надежным средством подтверждения операций, которые осуществляют пользователи в информационной системе. В настоящее время средства BioLink применяют свыше ста сотрудников завода «Тяжмаш»; в дальнейшем численность пользователей системы биометрической идентификации превысит тысячу человек.

Другим примером внедрения системы ИБ на оборонном предприятии стал завершенный Leta IT-company проект создания системы защиты от внешних информационных угроз для «Савеловский машиностроительный завод» в Тверской области. В его рамках было проведено обследование существующей системы информационной безопасности, разработаны требования к программному обеспечению для защиты от внешних угроз и внедрение программные продуктов компании Softwin-Bitdefender, что стало первым корпоративным внедрением программных продуктов BitDefender на территории России.

В последнее время в связи с оживлением экономики страны и компании гражданского машиностроения начали проявлять активный интерес к технологиям защиты информации. Например, «Камаз» выбрал для обеспечения безопасности внутренних локальных сетей компании и ее филиалов, а также фильтрации корпоративного трафика оборудование Firebox X от WatchGuard — интегрированные устройства защиты сети, выполняющие большое количество функций обеспечения безопасности, объединенных на основе адаптируемой к изменяющимся угрозам архитектуре Intelligent Layered Security. Они сочетают в себе функции межсетевого экрана, VPN, предотвращения атак, фильтрацию трафика на уровне приложений, блокировку спама, фильтрацию контента web-сайтов, антивирусную фильтрацию и др. Поставку осуществила компания «Арабелла» являющаяся сертифицированным партнером Rainbow Technologies (эксклюзивного дистрибутора  WatchGuard Technologies).

Процессное производство реализует сервисные проекты ИБ

По сравнению с дискретным производством нефтехимические и металлургические компании менее пострадали от реформ, что связано с их ориентированностью на экспорт либо на нужды российских нефтегазовых компаний.  Кроме того, последние несколько лет активно растут пищевой сектор и  производители строительных материалов. Большинство акций данных компаний торгуются на иностранных биржах. Поэтому для данной индустрии характерны крупные сервисные проекты, связанные с аудитом и сертификацией на соответствие стандартам безопасности, а так же с интеграцией ИБ с иными ИТ продуктами.

Один из таких проектов ведет компания «Открытые технологии» в группе ЧТПЗ (25 тысяч сотрудников и 22% трубного рынка России). Его цель — подготовка группы к сертификационному аудиту на соответствие ISO27001. Для этого необходимо провести детальное исследование процессов обеспечения ИБ в управляющей компании и на «Челябинском трубопрокатном заводе», выделить критичные информационные активы, провести анализ уязвимостей и оценку рисков. Так же в состав проект входит разработка политики информационной безопасности организации, план обработки выявленных рисков и порядок организации работ по обеспечению информационной безопасности, а так же обучение сотрудников группы.

Другой металлургический гигант — «Трубная металлургическая компания» — совместно с  TopS BI ведут работы по внедрению ПО израильской фирмы Check Point Software Technologies, на базе которого предполагается построить систему безопасности предприятия. Внедрение данного ПО проводится в рамках проекта по созданию единого информационного пространства ТМК. В качестве решения для обеспечения ИБ выбран Check Point Provider-1. На первом этапе была построена распределенная система межсетевых экранов в нескольких офисах в Москве, где будет расположен центральный модуль системы (MDS). Согласно бизнес плану, ожидается, что внедрение решения Check Point Provider-1, специально предназначенного для предприятий с разветвленной масштабируемой сетевой инфрастру

В пищевой промышленности получил известность проект внедрения компанией Eset своего комплекса антивирусного ПО у лидера алкогольного рынка России «ТГП Кристалл». Были инсталлированы Eset NOD32 для Kerio WinRoute Firewall, Eset NOD32 Enterprise Edition, а также Eset NOD32 для Kerio Mail Server.

Торговля требует безопасных коммуникаций

Розничная и оптовая торговля — это один из самых молодых и быстрорастущих сегментов экономики страны, как по величине товарооборота, так и по инвестициям в ИТ. Стремительное вытеснение мелкооптовых рынков сетевыми магазинами,  бурное развитие филиальной сети, а также расширяющееся использование пластиковых карт для оплаты за покупки определяют векторы инвестиций в ИБ. Для управления растущими компаниями со сложной территориально распределенной структурой требуются легко масштабируемые решения для безопасной коммуникации между многочисленными подразделениями и организации удаленного доступа для мобильных сотрудников (торговых представителей и агентов, подразделений van-selling и служб доставки товаров).

Именно эти задачи предстоит решить, в частности, системному интегратору Softline Consulting Services, который выиграл тендер на установку и настройку системы инфраструктуры доступа на базе программного продукта Citrix Presentation Server v4.0 Enterprise Edition в информационной среде компании ЦВ «Протек» — крупнейшего в России дистрибутора фармацевтических товаров, имеющего 40 филиалов, 39 представительств и 24 склада. Проект включает несколько этапов, в процессе которых будет проведен анализ программно-технической инфраструктуры, влияющей на работу системы терминального доступа; разработана структура новой терминальной системы, в которую будут заложены основы для гибкого и быстрого масштабирования, а также настроен доступ пользователей к корпоративным бизнес-приложениям.

Сходная проблема стоит и перед тюменским дистрибутором дорожной техники «Дэлвэй Менеджмент». В процессе модернизации системы корпоративных коммуникаций было признано целесообразным построение единого информационного пространства компании на базе виртуальной частной сети VPN. Ее основу составило оборудование Cisco серии PIX. На первом этапе специалисты Systemshouse (интегратора проекта) установили программно-аппаратный комплекс Cisco PIX Firewall 515, который обеспечил многоуровневую защиту сети. На удаленных участках использовались межсетевые экраны Cisco PIX Firewall 506. На втором этапе проекта предстоит объединить сети центрального офиса и ряда подразделений компании.

Дальнейший рост сетевой формы торговли, учитывая мировые тенденции, должен привести к увеличению спроса на услуги аудита на соответствие госту ISO27001 и стандарту  платежных систем Visa и MasterCard — PCI DSS.

Профессиональные сервисы беспокоятся об утечке данных

Сектор деловых услуг – еще один быстро развивающийся рынок. Его особенность в том, что здесь, главным образом, оперируют компании среднего и малого масштаба – юридические, консалтинговые, адвокатские, рекламные и маркетинговые агентства.  Отдельную его нишу составляют ИТ-компании. Основным активом большинства из них является информация – о клиентах, о рынке, разрабатываемые рекламный контент или софт, а так другая интеллектуальная собственность. Этот вертикальный рынок не богат на крупные проекты по ИБ. Однако они есть.

Компания IBS DataFort (специализированный поставщик услуг функционального ИТ-аутсорсинга на российском рынке) в конце 2006 году сертифицировала систему управления информационной безопасностью по международному стандарту ISO/IEC 27001:2005. В качестве независимого сертифицирующего органа выступила международная корпорация Lloyd’s Register Quality Assurance (LRQA). Несмотря на то, что стандарт ISO/IEC 27001 не требует обязательной сертификации, руководство IBS DataFort приняло решение об обязательном проведении этой процедуры, так как вопросы безопасности и утечки данных являются критическим барьером для российских заказчиков при работе с сервис-провайдером. Компаниям, передающим свои ИТ-системы на аутсорсинг, небезразлично, каким образом обеспечивается информационная безопасность, и как это может быть подтверждено.

Вадим Ференец / CNews Analytics

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS