версия для печати
Андрей Никифоров
TopS BI

Андрей Никифоров:

Говорить о «цивилизованной» защите персональных данных с законодательной точки зрения пока преждевременно

На вопросы CNews ответил директор департамента ИТ-безопасности компании
TopS BI Андрей Никифоров.

CNews: Как отразилось изменение экономической ситуации на развитии рынка ИБ в России? Был ли здесь заметен в 2010 г. фактор отложенного спроса?

Андрей Никифоров: Сейчас модно говорить о том, что в 2010 г. важную роль в развитии рынка информационной безопасности сыграл фактор отложенного спроса. Если сравнивать ситуацию с провальными 2008-2009 гг., то, безусловно, в текущем году мы наблюдаем рост. Впрочем, сегмент информационной безопасности не так существенно пострадал от кризиса, как ИТ-рынок в целом. Но если говорить о динамике и объемах инвестиций в ИБ по сравнению с докризисными временами, то бюджеты заказчиков (и, соответственно, объемы бизнеса ИБ-интеграторов) пока не вернулись на прежний уровень.

CNews: Какие отрасли в настоящее время демонстрируют наибольший спрос на ИБ-продукты и услуги? Чем он обусловлен?

Андрей Никифоров: Стабильный спрос на услуги информационной безопасности демонстрирует финансовый сектор, прежде всего - банки. Этот сегмент традиционно уделяет большое внимание информационной безопасности и защите данных, динамика здесь стабильно высокая. Можно говорить о том, что финансовый сектор - основной драйвер в развитии ИБ в России. Сейчас большая часть крупных игроков этого сегмента уже нарастила ИБ-инфраструктуру, их затраты в настоящее время ориентированы на ее поддержку и дальнейшее развитие.

В то же время, существует целый ряд компаний, инвестирующих средства в ИБ именно по спросу, созданному законом о персональных данных. В первую очередь, это компании, деятельность которых напрямую связана с обработкой персональных данных. Санкции со стороны регуляторов могут серьезно поколебать их бизнес. Прежде всего, это касается крупного телекома и страховых компаний.

CNews: Как вы оцениваете изменение спроса российских заказчиков на услуги в области защиты персональных данных?

Андрей Никифоров: Последние три года спрос был достаточно стабильным. Причем сначала он был обусловлен шоковой составляющей ФЗ №152 – крупные игроки рынка серьезно восприняли требования закона о персональных данных и поспешили соответствовать им. По мере приближения крайнего срока к этому процессу начинали подключаться и другие компании. Таким образом, пока спрос на консалтинг в области защиты персональных данных находится в состоянии умеренного роста.

CNews: Эксперты рынка ИБ говорят об определенных недоработках требований 152-ФЗ. Насколько вы разделяете это мнение?

Андрей Никифоров: Я разделяю это мнение на 100%. Не секрет, что федеральный закон "О персональных данных" был принят в связи с ратификацией европейской конвенции "О защите физических лиц при автоматизированной обработке персональных данных". К сожалению, этот документ стал, скорее, формальным шагом к удовлетворению требований европейской конвенции. Причина - в отсутствии четкой регламентации, методологических документах и однозначной трактовке требований закона. На практике получается, что документ рынку не понятен, а реальная защита персональных данных, строго говоря, не реализуема. Как следствие - многие заказчики и консультанты идут по пути не фактической защиты персональных данных, а формального соответствия требованиям закона.

Кроме того, не наблюдается комплексного и согласованного подхода со стороны регуляторов. На один и тот же запрос в различных субъектах РФ вы можете получить принципиально разные ответы. Другой пример – это нечеткие формулировки. В законе есть такое понятие как «достаточность принятых мер». Но не очень понятно, кто именно определяет степень достаточности принятых мер. Подобных вопросов много: как регламентирован перечень угроз? Какова процедура идентификации субъекта, каких данных достаточно для его идентификации? Получается, что даже сам термин «персональные данные» описан в законе весьма расплывчато.

Безусловно, ситуация меняется, но говорить о «цивилизованной» защите персональных данных с законодательной точки зрения пока преждевременно.

CNews: Какие меры, на ваш взгляд, могли бы способствовать более позитивному восприятию требования регулятора российским бизнес-сообществом?

Андрей Никифоров: На мой взгляд, единственное, чего ожидает бизнес-сообщество от регуляторов - это заинтересованности в реальной защите персональных данных. Сейчас мы фактически видим формальную сторону (подготовка документации, проверки, наложение санкций и т.п.), но истинного стремления защитить персональные данные рынок пока не наблюдает.

Например, если в европейском сообществе организацию наказывают в случае утечки данных, то в российской практике накладывают санкции за несоблюдение требований закона. То есть, если ты все сделал правильно, в соответствии с требованиями закона, но хранившиеся у тебя персональные данные утекли - ты не виноват. Это не реальное решение важных бизнес-задач, перекладывание ответственности.

CNews: Какие изменения произошли в вашем бизнесе по направлению защиты информации за последний год?

Андрей Никифоров: Компания TopS BI начала активную миграцию с решений по периметральной защите в сторону решений, защищающих не инфраструктуру, а сами данные. Пожалуй, это главное изменение в нашей работе по ИБ-направлению. Причин как минимум две: это ожидания заказчиков и общемировой тренд.

Прежде всего, речь идет о решениях класса DLP (Data Leakage Prevention) и EDRM (Enterprise Digital rights management), препятствующих утечке данных. В целом, сегмент DLP и EDRM сейчас находится в стадии «евангелизации». Хотя серьезные российские заказчики - крупные операторы связи, ТЭК и кредитный сектор - уже начали активно переходить на эти решения. В результате - компании получают понятный, необходимый бизнесу инструмент и действительно защищают данные.

CNews: С какими основными сложностями вы сталкиваетесь при реализации проектов по приведению инфраструктуры заказчиков в соответствие с 152 ФЗ?

Андрей Никифоров: Основная сложность заключается в отсутствии у заказчика четкого понимания того, чего он в результате хочет добиться: соответствия требованиям регулирующих органов или собственно защиты данных. Разработка формальных документов сама по себе не влечет за собой защиту данных.

Также для заказчиков не всегда логичным выглядит тот факт, что стоимость комплексного проекта по защите персональных данных чаще всего не связана напрямую с масштабом бизнеса компании. Для того чтобы определить необходимый бюджет на реализацию подобного проекта, необходимо понять, каковы размеры ИТ-инфраструктуры компании, а также оценить специфику использования персональных данных в бизнес-процессах. Например, даже крупные FMCG-компании порой могут иметь лишь 5-10 пользователей систем персональных данных. В этом случае затраты на выполнение требований ФЗ-152 будут сравнимы со стоимостью работ для небольшого городского интернет-провайдера, штат которого не превышает 10 человек. Можно с уверенностью сказать, что в случаях, когда основное направление деятельности компании не связано с ведением или использованием клиентской базы физических лиц, затраты на реализацию требований ФЗ-152 никак не будут связаны с размером бизнеса.

CNews: Какой показательный тренд в отечественной индустрии ИБ за прошедший год вы могли бы отметить?

Андрей Никифоров: Приятно, что зарубежные производители средств криптографической защиты информации осознали, наконец, важность реализации в своей продукции поддержки российской криптографии. В 2010 г. сразу несколько западных вендоров либо представили свои решения с поддержкой шифрования по ГОСТ, либо включили такую интеграцию в свой roadmap на 2011 г.

CNews: Какими вам видятся ближайшие перспективы развития средств информационной безопасности? Какие ИБ-продукты и услуги станут, по вашим ожиданиям, наиболее востребованными в 2011-2012 гг.?

Андрей Никифоров: Тенденцией на ближайшие два-три года станет серьезный пересмотр подхода к информационной безопасности. На мой взгляд, бизнесом будут востребованы продукты, защищающие непосредственно данные. При этом значительную долю в сегменте ИБ составят консалтинговые услуги по внедрению подобных решений (в отличие от проектов по защите инфраструктуры). Закон о персональных данных также будет стимулировать этот процесс.

CNews: Спасибо.

Toolbar | КПК-версия | Подписка на новости  | RSS