Пришло время оценивать риски
Статья Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Проблемы надежности
Утечки или потеря части корпоративной информации могут затормозить развитие организации, а зачастую и разрушить бизнес. В связи с этим эволюционируют в сторону непрерывного повышения и требования к средствам защиты информации. Сегодня заказчику нужна не таблетка от "головной боли", связанной с какой-то частной проблемой ИБ, а комплексные решения, не только закрывающие проблемы ИБ, но и дающие приемлемые характеристики по совокупной стоимости владения в течение 3–5 лет.
Сейчас много говорят и пишут о надёжности. Однако в сфере ИБ системных исследований надёжности в принципе мало, а определение критериев и комплексной оценки качества СЗИ пока не проводилось, во всяком случае, результатов таких исследований в открытых источниках найти невозможно. Несмотря на это, почти каждый разработчик пишет в своих рекламных буклетах "у нас самое надёжное решение".
Из множества определений надёжности выделим самое весомое: надёжность – это качество, развернутое во времени. Это касается не только самих СЗИ. Надёжность компании–разработчика также является весьма важной характеристикой при выборе решений, однако заказчика интересует, в первую очередь, не столько разработчик, сколько качество самого продукта. Заметим, что далеко не все СЗИ имеют проверенные надёжностные характеристики. Что имеется в виду? Оценки надёжности и безопасности СЗИ также следует исследовать, начиная с оценки рисков. Оценки надёжности позволяют определить вероятность и своевременность выполнения функций безопасности СЗИ, коэффициент готовности, ремонтопригодность, среднее время простоя и т.д. На открытом рынке средств ИБ в исследовании надёжности делаются только первые робкие и пока неуверенные шаги. Но за этим – будущее отрасли. Выбор разработчика и системы СЗИ в недалёком будущем также будет выполняться с позиций анализа рисков.
Проблемы импортозамещения
Вопрос качества СЗИ далеко не праздный, особенно ввиду начинающегося затяжного кризиса, в котором выживут, в первую очередь, те компании, которые уделяли в своей деятельности по проектированию, разработке и качеству своих продуктов самое пристальное внимание.
Не всё так просто. В результате пресловутой приватизации и последовавшего развала значительной части отечественных промышленных предприятий мы потеряли темпы развития микроэлектроники. Восстановить быстро и подняться на достойное место в мире вряд ли удастся в короткие сроки. Наши попытки выбиться в мировые лидеры по производству системного программного обеспечения также должны пройти определённые этапы развития, включая шишки, которые набивают все. Поэтому позволю себе ввести термин "мягкое импортозамещение", к которому постепенно приходят многие разумные головы. В чём суть этого термина? Не секрет, что даже в военной отрасли изделия делаются с применением импортных комплектующих. Подобно этому, российские разработчики собирают из кубиков (своих и чужих) свои решения. Только чужие "кубики" не обязательно должны быть американского производства. В Юго-Восточной Азии и ряде других стран производят примерно такие же "кубики", которые можно и нужно проверять перед применением в тех или иных решениях.
Перспективные технологии
Полное импортозамещение – долгий и трудный путь. На данном этапе, согласно концепции "мягкого импортозамещения", можно рассмотреть разумные полумеры.
Задумывался ли кто-нибудь над вопросом "какую технологию считать перспективной"? Принято увязывать понятие перспективной технологии прежде всего с её новизной и повышением универсальности использования, или, как модно сейчас говорить, инновационностью. Существуют ли критерии, по которым те или иные "инновационные" решения действительно можно отнести к перспективным? Например, считается ли технология перспективной только потому, что она, как сотовая связь, может послужить ещё, как минимум, 10–15 лет? По такому критерию можно отобрать свыше десятка технологий. В полной мере это относится и к рынку ИБ. Аналитика рынка СЗИ пока не развита. Обзоры (пример – Исследование "Рынок информационной безопасности Российской Федерации" + Обзор рынка информационной безопасности Украины, 2013 г.) появляются редко. Пока к опубликованным обзорам не всегда возникает чувство объективности и доверия. По итогам размышлений можно дать простой совет: и в данном случае выбор может основываться на анализе рисков, во всяком случае, такой совет не повредит правильному выбору.