версия для печати
Иван Бурдело
Кабест

Иван Бурдело:

Проекты по защите персональных данных сегодня составляют значительную долю выручки отдельных игроков

На вопросы CNews ответил директор департамента информационной безопасности компании «Кабест» (ГК «Астерос») Иван Бурдело.

CNews: Как отразился кризис на рынке консалтинга в сфере ИБ, по вашим наблюдениям? Какие из услуг получили наименьшее/наибольшее внимание в 2009-2010 гг.?

Иван Бурдело: В 2009-2010 гг. рост рынка консалтинга в сфере ИБ продолжался, хотя и менее значительными темпами, чем предполагали эксперты. Наибольшее развитие получили проекты, связанные с созданием, совершенствованием и развитием систем защиты для информационных систем, в которых обрабатываются персональные данные. Консалтинговая составляющая проектов связана с разработкой нормативных и организационно-распорядительных документов, регламентирующих вопросы обработки и защиты ПДн в организации. Эту работу провели или уже заканчивают подавляющее число операторов персональных данных. Увеличилось количество запросов на проведение работ по защите самих персональных данных. Причем задача формируется именно в этом ключе, а не в контексте создания комплексной сбалансированной с учетом возможных рисков инфраструктуры защиты конфиденциальной информации.

CNews: Как можно охарактеризовать влияние Закона о персональных данных на отрасль, на ваш взгляд? Как вы оцениваете долю расходов на мероприятия, связанные с реализацией 152-ФЗ, и ее динамику?

Иван Бурдело: Проблема защиты персональных данных, как и в прошлом году, остается наиболее обсуждаемой темой. Многие проекты и компетенции компаний (а зачастую и сами компании) были переориентированы на реализацию требований регуляторов в области защиты ПДн. Традиционно наибольшее внимание этому вопросу уделяют организации с долей госучастия в капитале, а также крупный бизнес. Первые внедряют обязательную программу «минимум», под которую был выделен бюджет еще год назад. Вторых на старт проектов по ПДн мотивируют не только ужесточение требований регуляторов, но и понимание рисков финансовых и репутационных потерь из-за возрастающих случаев утечки информации. Кроме того, и те и другие понимают, что они являются первыми в списках кандидатов на проведение проверок со стороны регуляторов.

Доля проектов по защите ПДн сегодня составляет значительную часть выручки отдельных нишевых игроков. В структуре оборота компании эта доля может занимать до 20-30%, а в отдельных случаях и больше половины. Этот сектор ИБ-рынка активно развивается и, по нашим прогнозам, составит около 13-15% от общего объема рынка ИБ в 2010 г.

CNews: Как изменился портрет заказчика ИБ-решений? Какие отрасли бизнеса стали проявлять здесь больше активности? Как, в частности, можно охарактеризовать динамику ситуации в банковском секторе?

Иван Бурдело: Кризис изменил мировоззрение заказчиков. Управленцы крупных компаний хотят понимать, какие именно вопросы требуют первоочередного внимания и финансовых вложений, насколько быстро окупаются внедряемые ИБ-решения и нужны ли они в принципе. Заказчик стал чаще реализовывать проекты, направленные на повышение эффективности управления ИБ. В их числе можно отметить создание ситуационных центров безопасности, систем комплексного мониторинга информационной безопасности, внедрение решений по контролю эффективности применяемых мер защиты и определения степени их соответствия техническим политикам и стандартам по ИБ (compliance management) и т.д.

Наиболее активными потребителями остаются традиционные отрасли – телекоммуникационные компании, финансовые организации и страховщики. Они обычно находятся на острие инноваций в области ИБ, первыми внедряют и апробируют новые технологии и решения.

CNews: Насколько заметен сегодня тренд типизации ИБ-услуг, появления коробочных решений?

Иван Бурдело: Наш опыт реализации проектов свидетельствует, что решение вопросов информационной безопасности не может быть «типизированным», поскольку у каждого клиента существует своя специфика, причем не только отраслевая. Поэтому предоставление услуг ИБ зачастую требует индивидуального подхода. Безусловно, можно говорить о типизации отдельных видов ИБ-услуг, если это касается, например, консалтинга, разработки базового пакета нормативных документов по защите ПДн или документов для обеспечения соответствия требованиям стандарта Банка России СТО БР ИББС-1.0., и то с некими ограничениями. Ключевым моментом при этом является ожидаемый заказчиком результат и его смысловое наполнение. Заказывая типизированную услугу, трудно ожидать, что полученный результат будет всеобъемлющим, адаптированным к бизнес-процессам компании, что он будет учитывать все возможные нюансы и «подводные камни». Это особенно заметно при реализации сложных комплексных проектов по безопасности.

CNews: Как поменялись принципы вашей работы в секторе ИБ за последнее время?

Иван Бурдело: Как это ни странно, но кризис нам даже помог. Для повышения эффективности выполнения работ и снижения их себестоимости мы существенно усовершенствовали внутренние процедуры, связанные с проектным управлением и техническим сопровождением, а также поддержкой уже реализованных систем ИБ. В частности, на основе опыта наших экспертов была разработана и принята в качестве внутреннего стандарта компании методика выполнения проектных работ, которая позволила существенно повысить эффективность выполнения проектов и снизить себестоимость работ по ним. Помимо развития уже имеющихся практик, мы расширили и усилили наши компетенции в области систем обеспечения ИБ организаций банковской сферы, в том числе по оценке соответствия стандарту PCI DSS.

CNews: Какие из своих проектов в этой области за прошедший год вы могли бы выделить особо?

Иван Бурдело: Наиболее интересными являются проекты по обеспечению ИБ в таких компаниях как «ТрансКредитБанк», аэропорт «Сочи», ТВЭЛ, «МегаФон». Например, в «Транскредитбанке» наши специалисты отвечали за совершенствование системы безопасности банка и ее соответствие требованиям стандарта Банка России в области ИБ – СТО БР ИББС-1.0-2008.

В ТВЭЛ была создана система защиты коммерческой и служебной информации. Решение успешно прошло аттестацию на соответствие требованиям безопасности информации по классу «1Г».

CNews: Каких изменений вы ждете в ближайшие годы на рынке услуг в сфере ИБ?

Иван Бурдело: По нашим оценкам, в ближайшие годы крупным клиентам потребуются решения в области информационной безопасности, которые отвечают не только требованиям по защите информации, но и требованиям по обеспечению непрерывности бизнеса (BCP). В связи с появлением принципиально новых решений, совершенствованием законодательства и, главное, осознанием возможных негативных последствий нарушения требований по защите информации, все больший упор будет делаться не на «лоскутное» латание дыр в существующих системах защиты информации, а на комплексные решения, основанные на анализе рисков. То есть, проекты в области ИБ будут носить характер крупных инвестиционных проектов, направленных на обеспечение стабильного функционирования бизнеса, защищенного от всех негативных (включая судебные преследования) последствий, связанных с нарушением конфиденциальности, целостности и доступности информации.

Кроме того, мы ожидаем значительного роста интереса клиентов к ИБ-решениям в сфере «облачных» вычислений. Эта тенденция наблюдается уже сейчас, и в последующие годы будет только усиливаться.

CNews: Спасибо.

Toolbar | КПК-версия | Подписка на новости  | RSS