В России немало отраслей, которые очень сильно зависят от действий государства. Одним из них является рынок средств информационной безопасности, «расколотый» на две части — открытую и закрытую. В первой действуют классические законы товарно-денежных отношений, во второй правила игры в основном определяет государство, выступающее его регулятором посредством таких механизмов, как сертификация.
Это было очень хорошо заметно на 11-й конференции «РусКрипто», которая прошла в начале апреля. В этом году она была организована Академией информационных систем совместно с компанией «Актив». Если ранее подобные мероприятия были посвящены проблемам криптографии как науке и направлены против ее фактической «национализации», то сейчас на «РусКрипто» приехали главным образом представители тех компаний, которые активно работают с госсектором. Естественно, что акцент выступлений сместился в сторону практического применения криптографических продуктов и других средств защиты, а также соответствия требованиям регуляторов.
Руководящая роль регуляторов в обеспечении безопасности была особенно заметна на круглом столе, открывающем конференцию. На нем планировалось обсуждать перспективы рынка информационной безопасности, но в результате выступающие говорили преимущественно о государственном контроле и международных стандартах.
Игорь Курепкин, заместитель генерального директора «КриптоПро», отметил, что государство стимулирует рынок информационной безопасности не только путем установления требований в области защиты конфиденциальной информации и персональных данных, но и за счет развития систем электронного государства.
Хакеров и взломщиков на вступительном круглом столе даже не упомянули как фактор, влияющий на рынок информационной безопасности. Тем не менее проблемы, связанные со злоумышленниками, обсуждались во второй день на специальной секции, которая называлась «Интернет и информационная безопасность». На ней в основном речь шла о тестах на проникновение.
Сегмент тестов на проникновение сейчас находится на подъеме. Однако связано это не с тем, что компании вдруг осознали необходимость независимого обследования своей защиты, а с рекомендациями стандартов: и в PCI DSS, и в ISO 27001, и в стандарте Центробанка есть требования по регулярному проведению тестирования на проникновения. В результате появилась потребность в качественных тестах на проникновение.
Регуляторы стимулируют рынок — некоторые законодательные акты вынуждают компании вкладывать деньги в информационную безопасность. Проблемы, которые возникают при этом, обсуждались на круглом столе «Compliance management по-русски». На нем Олег Слепов, руководитель направления информационной безопасности компании «Инфосистемы Джет», отметил, что у всех стандартов и руководящих документов по информационной безопасности 80% требований совпадают. Поэтому есть возможность составить такой набор требований, который мог бы удовлетворить всех регуляторов. С другой стороны, Сергей Гордейчик, руководитель отдела консалтинга и аудита компании Positive Technologies, считает, что 30% требований стандартов нереализуемы, противоречивы или неприменимы к конкретным условиям.