Рубрикатор |
Статьи | ИКС № 09 2011 |
16 сентября 2011 |
Безопасность по стандарту
Тематика информационной безопасности в разрезе рынка услуг операторов связи в последнее время достаточно широко освещается. Тем не менее хотелось бы высказаться немного в другом русле, дистанцируясь от радужных прогнозов роста услуг информационной безопасности, особенно в формате SaaS.
На мой взгляд, услуги этого формата могут быть интересны в России в первую очередь физическим лицам, а также малому и среднему бизнесу (если исключить из рассмотрения филиалы и дочерние предприятия зарубежных компаний, имеющих привнесенную из-за рубежа корпоративную культуру работы с аутсорсингом и SaaS-услугами).При работе с физическими лицами высока конкуренция с производителями антивирусного программного обеспечения (в первую очередь с «Лабораторией Касперского»). Впрочем, вступить здесь в конкурентную борьбу операторы даже не успели. Большинство услуг, которые они могут предложить, вполне заменяются широко разрекламированными программными продуктами отечественных производителей, имеющими к тому же больший функционал.
Проблемы же малого и среднего бизнеса лежат в большинстве своем не в информатизации, и тем более не в соблюдении режима информационной безопасности. Даже при 50%-ном проникновении услуг ИБ на рынок SOHO/SMB они вряд ли окупят вложения операторов – по причине незначительности самой абонентской базы. Рынки стран, демонстрировавших разумную окупаемость вложений в SaaS, характеризуются гораздо более высокой степенью развития информатизации общества и сегмента среднего и малого бизнеса.
Куда инвестировать оператору
В общем случае все вложения операторов в информационную безопасность можно разделить на три вида:
1) вложения в поддержание основного вида деятельности за счет снижения рисков, связанных с безопасностью, в первую очередь с DDoS-атаками и возможным выходом из строя аппаратуры;
2) вложения в SaaS – в большинстве случаев они обеспечивают паритет с другими операторами в конкурентной борьбе за клиента и имиджевые составляющие;
3) вложения в приведение систем и процессов в соответствие с требованиями международных стандартов и российских руководящих документов.
На третьей составляющей остановимся подробнее, хотя она важна в первую очередь для операторов, имеющих свои дата-центры и оказывающих на их базе различные услуги.
Комплекс защиты корпоративной ИТ-инфраструктуры Компания АМТ-ГРУП выполняет полный комплекс работ по защите конфиденциальной информации, персональных данных (ПДн), ключевых систем информационной инфраструктуры, коммерческой и банковской тайны. Этот комплекс включает:
Защита корпоративных информационных систем предполагает выполнение пилотных проектов на объектах заказчика со сравнительным анализом оборудования разных производителей и проведение всех стадий проектных работ (в соответствии с ГОСТом) в части создания комплексных систем информационной безопасности. Сюда включается предпроектное обследование, техническое задание, эскизное, системное, техническое, рабочее проектирование, разработка программы и методики испытаний; технический план миграции, эксплуатационная документация. После выполнения пусконаладочных работ проводятся приемо-сдаточные испытания (автономные, комплексные). Проектирование, разработка планов миграции и внедрение систем защиты информации любой сложности охватывают такие виды защиты, как:
|
Безопасность и стандарты
Какие требования, касающиеся соответствия, предъявляются сегодня к ЦОДам? В первую очередь логично поинтересоваться, как оператор выполняет требования 152 ФЗ «О персональных данных» с учетом всех дополнений и нововведений. С одной стороны, инвестиции в эту сферу оператору необходимы, чтобы снизить издержки при проверке регулирующих органов, с другой – вложения позволят привлечь потенциальных клиентов, чья деятельность связана с обработкой значительного количества персональных данных.
Следующим пунктом стоит соответствие (подтверждаемое наличием сертификата) требованиям стандарта PCI DSS, который распространяется на компании и организации, обрабатывающие информацию о держателях платежных карт. Потребности в услугах ЦОДов для размещения информационных систем, связанных с обработкой, хранением и передачей карточной информации (процессинговых центров, хранилищ носителей резервных копий данных и т.д.), будут расти опережающими темпами. В этих условиях прохождение сертификации на соответствие требованиям PCI DSS станет заметным преимуществом.
Сертификационное производство В 2007 г. АМТ-ГРУП стала первой компанией на российском рынке, получившей право на серийный выпуск программно-технических средств защиты информации (ПТСЗИ), отвечающих требованиям Федеральной службы по техническому и экспортному контролю (на основе продуктов компании Cisco). Выпускаемое АМТ-ГРУП оборудование входит в Государственный реестр сертифицированных средств защиты информации ФСТЭК России. Согласно требованиям российского законодательства, ПТСЗИ, использующиеся в системах обработки конфиденциальной информации и персональных данных, подлежат обязательной сертификации. Сертификация ПТСЗИ подтверждает, что законодательные требования и требования ФСТЭК данным оборудованием выполняются. Наличие у АМТ-ГРУП данных сертификатов значительно сокращает время получения заказчиком сертифицированного оборудования и ввода автоматизированных систем в эксплуатацию. Специалисты АМТ-ГРУП проводят испытания ПТСЗИ на соответствие требованиям ФСТЭК России и предоставляют заказчикам сертифицированные ПТСЗИ c комплектом документов, соответствующим российскому законодательству:
|
Также представляется важным наличие у оператора сертификации систем менеджмента по международным стандартам, в первую очередь ISO 27001 и BS 25999. Вложения в сертификацию соответствующих систем менеджмента по ISO 27001 и BS 25999 помогут обеспечить следующие преимущества:
• наглядное представление потенциальным заказчикам эффективности внедренных мер защиты и обеспечения непрерывности бизнес-процессов;
• демонстрация защиты внутренних средств управления и соответствия лучшим отраслевым практикам;
• независимая демонстрация соблюдения действующих законов и нормативных и регулирующих актов;
• предоставление потенциальным заказчиком данных для аудитов, проводимых третьей стороной;
• независимое подтверждение того, что риски оператора должным образом выявлены, оценены и находятся под контролем, процессы формализованы, процедуры и документация, относящиеся к обеспечению информационной безопасности, разработаны и поддерживаются;
• демонстрация устойчивости к сбоям, наличие процесса постоянного повышения устойчивости оператора к сбоям и инцидентам;
• предоставление эффективных инструментов управления непрерывностью бизнеса для потенциальных заказчиков.
Таким образом, с точки зрения окупаемости и получения реальных конкурентных преимуществ представляются разумными капитальные затраты (CAPEX) на средства обеспечения информационной безопасности основной инфраструктуры операторов и операционные расходы (OPEX) – на подготовку и проведение сертификации организации на соответствие требованиям международных стандартов, в частности PCI DSS, ISO 27001 и BS 25999. Прочие затраты будут носить ярко выраженный имиджевый характер или будут связаны с соблюдением российского законодательства.