«Директор информационной службы»
Заказчики заинтересованы не только во внедрении систем информационной безопасности, но в более широком комплексе услуг
Говоря о современных тенденциях рынка информационной безопасности, участники круглого стола программного комитета выставки-конференции Infosecurity Russia 2007, сошлись во мнении, что в нынешних условиях крайне важно учитывать, что становятся иными не только и даже не столько угрозы, сколько реальная опасность, с ними связанная.
Информационная безопасность становится необходимым компонентом инфраструктуры бизнеса, предприятия склонны рассматривать ее не как набор отдельных средств или инструментов, а как единый бизнес-процесс по обеспечению информационной безопасности, который включает в себя технологии, регламенты их применения и оценки рисков. Проблемы информационной безопасности становятся все более высокоуровневыми, а следовательно, и более сложными. В свою очередь это влияет на развитие внешних услуг, которые позволяют решать сложные проблемы, потому что держать для этого специалистов в своем штате становится довольно накладно для самого бизнеса.
Как считает председатель программного комитета выставки, заместитель коммерческого директора компании «Информзащита» Михаил Емельянников, продуктами, используемыми для обеспечения информационной безопасности, рынок уже достаточно насыщен. В то же время, поскольку данные корпоративных информационных систем действительно стали представлять коммерческую ценность, на первый план вышла не война с хакерами, а борьба с инсайдерами. Эта проблема сейчас наиболее часто обсуждается и тяжелее всего решается. В результате смещение рынка в сторону борьбы с инсайдерами приводит к повышенному интересу к инструментам контроля за внешними устройствами и за контентом.
Однако мнение, что все технологические проблемы информационной безопасности решены и вопрос только в размере средств, которые клиенты готовы потратить на сборку оптимального решения для себя, разделили далеко не все участники круглого стола. Во-первых, на сегодняшний день самой сложной и плохо решаемой задачей остается централизация системы управления безопасностью. Как заявил Емельянников, в современной системе около десятка разрозненных механизмов обеспечения информационной безопасности. Это «тяжелые» и требующие больших вложений продукты. Они требуют персональной настройки под особенности гетерогенных сетей с «зоопарком» приложений предприятия пользователя. Обеспечить их интеграцию в этих условиях крайне непросто, тем более что время от времени появляются принципиально новые угрозы.
Участникам круглого стола не удалось избежать полемики между интеграторами и представителями заказчиков. Основное противоречие заключается в том, что заказчики хотели бы получать не просто внедрение информационной системы, а широкий комплекс услуг — техническое сопровождение, организацию обучения персонала, круглосуточную поддержку и т. д. Казалось бы, очевидные вещи, но на рынке в лидерах будут те компании, которые эти услуги смогут обеспечить лучше других. Однако, по мнению Емельянникова, предоставление всего спектра услуг может оказаться слишком сложной задачей для компаний, которые информационную безопасность рассматривают как вторичное направление своей деятельности, как дополнительную услугу к ИТ-интеграции.
Свои пожелания заказчики этим не ограничили. По их мнению, интеграторы должны быть более узкоспециализированными, чтобы лучше разбираться в нюансах того или иного сегмента. Но представители российских банков сами были вынуждены признать, что это невыполнимо, поскольку у нас пока нет устойчивых вертикальных рынков, даже в привлекательной для интеграторов кредитно-финансовой сфере, только в первой двадцатке банков вопросы информационной безопасности решаются на высоком уровне. 200 крупнейших банков более или менее задумываются над этими вопросами. Более мелкие структуры, как было заявлено на круглом столе, в области безопасности практически ничего не делают. Поэтому интеграторы стараются идти по другому пути, создавая специализированные подразделения внутри компаний по вертикальным рынкам.