Джон Ганц не разделяет строго информационную и физическую составляющие безопасности

Компания IDC и издательство «Открытые системы» провели 10 и 11 апреля конференцию под названием «Информационная безопасность корпорации: практический подход». На ней шел разговор не только о компьютерной защите, но в общем о защите бизнеса, который использует ИТ.

В частности, в вопросе об экономической оценке информации, которая принадлежит отдельной организации, большинство собравшихся пришло к мнению, что она зависит от стоимости всей компании. Понятно, что эта оценка максимальна, тем не менее ее достаточно, чтобы определить необходимый уровень информационной защиты. По статистике компании тратят на ИТ-безопасность около 10% бюджета отдела информационных технологий.

Объем рынка информационной безопасности в России в 2002 году, по данным IDC, составил 29 млн. долл., а к 2007 году эта цифра может увеличиться до 98 млн. В мире к этому времени оборот на рынке ИТ-безопасности составит 21 млрд. долл. Основную долю этой суммы составляют продажи антивирусов и других средств защиты данных, затем — межсетевых экранов и VPN-решений. В то же время отмечается, что нападения становятся комплексными, затрагивающими несколько элементов информационной системы. Кроме того, размывается понятие периметра корпоративной сети, поскольку в нее подключаются удаленные пользователи, а иногда партнеры и клиенты.

Джон Ганц, директор по исследованиям и старший вице-президент компании IDC, отметил, что компьютерная безопасность начинает сливаться с физической. Так, для охраны здания некоторые компании уже используют сетевые видеокамеры и аутентификацию по смарт-картам. Аналогично от надежности информационной безопасности зависит и безопасность бизнеса компании, поскольку ИТ-технологии все чаще начинают использовать в основных бизнес-процессах. Эту взаимосвязь показал Андрей Курило, заместитель начальника Главного управления безопасности и защиты данных ЦБ РФ, который выделил восемь уровней информационной безопасности: физический, почтовый, сетевой, аппаратный, баз данных, ПО, бизнес-процессов и бизнес-логики. При этом на каждом уровне должна быть своя система защиты, блокирующая соответствующий тип угроз. Построение такой комплексной защиты позволяет отражать комплексные нападения, которые могут быть не замечены на одном отдельном уровне.

Большинство руководителей компаний воспринимают информационную безопасность как набор технических средств, которые достаточно поддерживать в рабочем состоянии, чтобы оградить себя от внешних угроз. В то же время, по оценкам IDC, у 51% компаний нет антикризисного плана действий, а у 59% он не зафиксирован в виде приказов. Этот план является базой для организационных методов информационной защиты и должен регламентировать не только действия ИТ-отдела, но и иных подразделений. В нем необходимо предусмотреть поведение отдела по связям с общественностью при вирусной атаке на информационную сеть предприятия. Скажем, наличие системы информационной защиты должно рассматриваться как конкурентное преимущество и применяться в том числе и в рекламных целях.

К сожалению, большинство компаний используют только технические средства безопасности, практически не занимаясь защитой бизнес-процессов. Возможно, это связано с тем, что российское законодательство уделяет большое внимание именно технологиям защиты, оставляя решение организационных вопросов на совести потенциальных жертв. Может быть, такая ситуация связана с рекламным давлением производителей технических средств, которые не очень заинтересованы в административных методах защиты. Или же свою лепту вносит отсутствие профессионалов информационной безопасности, роль которых часто исполняют «дружественные» администраторы информационных систем. В правильно работающей компании все восемь уровней, определенных Курило, должны развиваться гармонично, что позволяет максимально оградить бизнес от постороннего влияния.


Сегмент для россиян

На брифинге, посвященном конференции, Джон Ганц, директор IDC по исследованиям и старший вице-президент компании, заявил, что информационная безопасность сегодня уже не рассматривается только в качестве страховки бизнеса, а является его конкурентным преимуществом и даже необходимым условием его ведения.

Уязвимость бизнеса растет прямо пропорционально росту объемов электронной коммерции , однако, по данным IDC, темпы вложений в информационную безопасность до сих пор были в пять раз ниже.

Российские компании имеют неплохие шансы на рынке систем обеспечения безопасности, особенно безопасности в Сети. Причины этого, как заявил Тимур Фарукшин, аналитик IDC по рынку ПО, в высокой технологичности и наукоемкости таких решений, низкая доля пиратства в этой сфере и необходимость обязательной сертификации программ. Рынок ПО обеспечения безопасности в Internet условно можно разделить на пять сегментов: программы класса ААА (аутентификация, авторизация, администрирование), экраны, средства обеспечения безопасности контента, системы шифрования, средства обнаружения вторжений и оценки уязвимостей. В 2002 году российский рынок таких программ оценивался, по данным Фарукшина, в 30 млн. долл., к 2007-му это показатель достигнет 98 млн. при 28% ежегодного прироста.

По данным IDC, темпы роста рынка решений по ИТ-безопасности в два раза превышают средние по отрасли, и к 2006 этот рынок составит 150 млрд. долл., причем многие компании считают, что нынешний уровень затрат на эту сферу недостаточен. Сектор безопасности на который сегодня приходится 7% всех ИТ-затрат, к 2006 году увеличится до 11%. Более 80% крупных корпораций уже сейчас имеют у себя планы по восстановлению ИТ-инфраструктуры в случае сбоев, в то время как из остальных предприятий их имеет не более 10-50%.

Дмитрий Волков