Андэк

Александр Велигура: Федеральный закон «О техническом регулировании» упростит выход российских ИТ-изделий на внешние рынки

Александр Велигура 
Проблемам и перспективам развития российского рынка информационной безопасности посвящено интервью Cnews.ru Александра Велигуры, кандидата физико-математических наук и заместителя генерального директора ОАО «Андэк» по специальным проектам.

CNews.ru: Какие процессы происходят сегодня на рынке ИБ?

Александр Велигура: Как следствие глобального прогресса информационных технологий и возрастания роли ИТ в развитии бизнеса происходит усложнение как самих информационных и телекоммуникационных систем, так и задач обеспечения их безопасного функционирования. При этом наблюдается увеличение и перераспределение рисков, что, в свою очередь, приводит к увеличению роли информационной безопасности в корпоративных системах предприятия. В качестве первоочередных мер, направленных на повышение защищенности этих систем, можно назвать осуществление комплексного подхода к обеспечению требований информационной безопасности, привлечение высокопрофессиональных специалистов к решению задач ИБ, периодическое проведение аудита существующих информационных систем, а также ряд других мер.

CNews.ru: Какие изменения произошли в системе стандартизации и как они отразятся на деятельности поставщиков решений и услуг ИБ?

Александр Велигура: Одним из наиболее ярких изменений является принятие Федерального закона «О техническом регулировании», который некоторое время назад вступил в силу. Есть все основания полагать, что закон позволит согласовать требования российских и международных стандартов, и тем самым упростит выход российских ИТ-изделий на внешние рынки. Кроме того, принятие закона активизирует деятельность, связанную с разработкой и внедрением корпоративных стандартов.

Наряду с очевидными преимуществами от принятия закона, имеется ряд опасностей. Среди них необходимо отметить возможное снижение качества продукции в период отсутствия технических регламентов и неорганизованности новой системы сертификации. Помимо этого, возможно не соблюдение стандартов ИБ из-за отсутствия явного указания на информационную безопасность как на сферу применения обязательных норм — технических регламентов. Однако при этом остается возможность регулировать информационную безопасность через условия лицензий.

На мой взгляд, для устранения указанных негативных явлений нужно предложить следующие меры по регулированию сферы ИБ и защиты информации: внести в закон «О техническом регулировании» поправки, направленные на ввод технических регламентов по ИБ, а также разработать и принять корпоративные стандарты.

Следует особо отметить, что не стоит бояться заметного ухудшения качества защиты продукции ИТ. Ведь потребитель всегда хочет быть уверенным в качестве приобретаемых продуктов. Поэтому при выборе изделия ИТ из всех возможных вариантов он, очевидно, предпочтет те, которые имеют сертификат соответствия стандартам, снискавшим доверие у пользователей. Этот фактор невольно вынудит производителей придерживаться принятых стандартов.

CNews.ru: Что такое профили защиты, и какова их роль в обеспечении информационной безопасности?

Александр Велигура: Мировая практика привела к созданию национальных и международных стандартов информационной безопасности, среди которых особое место занимает стандарт ISO 15408, вводимый в России с 2004 года как ГОСТ Р ИСО/МЭК 15408–2002 «Критерии оценки безопасности информационных технологий», широко известный под исторически сложившимся названием «Общие критерии». Стандарт содержит обширный систематизированный каталог требований безопасности и рекомендации по формированию из них согласованных пакетов. Для многократного применения используются профили защиты — стандартизованные наборы требований безопасности ИТ, позволяющие проводить оценку и сравнительный анализ уровня безопасности различных информационных компонентов. В сущности, профиль — это гибкий индивидуальный стандарт. Использование различных комбинаций зарегистрированных профилей в совокупности с дополнительными требованиями позволит полностью удовлетворить индивидуальные запросы заказчиков по обеспечению информационной безопасности. При этом уверенность заказчика в достижении заданного уровня защиты будет основываться не на заверениях поставщика, каким бы искушенным и авторитетным он ни был, а на консолидированном опыте многих специалистов из разных стран. Их представления о путях обеспечения информационной безопасности аккумулированы в требованиях стандарта, а знания и опыт отечественных специалистов из различных профильных организаций реализуются в ходе принятия решения о регистрации профилей.

Стандартизация затронула и организационные вопросы обеспечения информационной безопасности. Здесь в первую очередь следует упомянуть международный стандарт ISO/IEC 17799: 2000 «Практические правила обеспечения информационной безопасности», в котором описывается комплексный подход к управлению информационной безопасностью. В нем выделен ряд технических и организационно-административных мер, направленных на обеспечение ключевых требований к информации: конфиденциальности, целостности, достоверности, доступности. Этот стандарт предполагается ввести и в России.

CNews.ru: Как Вы оцениваете перспективы развития страховых услуг в области ИБ?

Александр Велигура: На мой взгляд, страхование является важным направлением работ по снижению информационных рисков. Неразвитость подобной формы страхования обусловлена отсутствием единого подхода к оценке состояния информационной защищенности. Очевидно, условия страхования должны напрямую зависеть от требуемого уровня информационной безопасности с учетом стоимости системы и рисков потерь. Однако сейчас не вполне понятно, каким конкретным условиям должна удовлетворять система обеспечения информационной безопасности. Для установления такой зависимости необходимо выработать набор стандартных требований к информационной безопасности, позволяющий оценивать ее состояние по единой шкале в любой организации. Разработка требований должна быть проведена на таком уровне, которые обеспечил бы доверие предпринимательского и страхового сообщества к предлагаемым критериям. Это может быть реализовано путем создания и сертификации соответствующих профилей защиты на основе международных стандартов информационной безопасности.

CNews.ru: Какие тенденции существуют на рынке ИБ?

Александр Велигура: Усложнение задач информационной безопасности и наметившаяся тенденция к упорядочению методов ее обеспечения предъявляют более высокие требования к персоналу, отвечающему за информационную безопасность на всех уровнях иерархии. Причем усложнение предмета влечет за собой развитие специализации. В связи с этим все более насущной становится потребность в образовательных услугах по информационной безопасности, в проведении обучения разного объема и глубины. В ближайшем будущем подобные услуги будут все более востребованы.

Cnews.ru: Спасибо.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS