CC BY
34
УДК 681.326
В.А. Матвеев, Н.В. Медведев, И.И. Троицкий, В.Л. Цирлов
СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ ИНДУСТРИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ В 2011 г.
Проведен анализ состояния рынка информационной безопасности в России. Рассмотрены тенденции в области законодательства, стандартизации, технологий защиты информации.
E-mail: vz@cnpo.ru
Ключевые слова: информационная безопасность, защита информации.
Общие сведения. Согласно изменениям, внесенным в Федеральный закон Российской Федерации № 152-ФЗ «О защите персональных данных», предполагается необходимость соблюдения всеми операторами персональных данных требований по защите информации как для вновь разрабатываемых, так и для существующих информационных систем обработки персональных данных (ИСПДн). Это привело к значительному росту спроса и предложения на услуги системных интеграторов, обеспечивающих решение соответствующих задач «под ключ». Распределение соответствующих услуг в относительных единицах, по данным аналитического центра НПО «Эшелон», приведено на рис. 1.
Следует отметить, что перенос сроков введения изменений к действующему ФЗ несколько снизил активность игроков рынка в области защиты персональных данных, однако тенденция остается неизменной (рис. 2).
Рис. 1. Распределение услуг в области защиты персональных данных
2008 г. 2009 г. 2010 г. 2011г.
Рис. 2. Тенденции роста совокупного оборота основных игроков рынка услуг в области обеспечения информационной безопасности
По прогнозам авторов данной работы, вопросы защиты персональных данных останутся определяющими для отечественной индустрии информационных технологий. При этом можно выделить ряд тенденций, которые очевидным образом будут определять рынок информационной безопасности в ближайшей перспективе.
Тенденции в области законодательных и нормативных требований. Основной тенденцией в краткосрочной перспективе является смягчение требований в области технической защиты информации, в том числе и в ИСПДн. Принятие так называемых поправок Резника в Ф30-152 [1], а также планируемые изменения в нормативных документах ФСТЭК России, по всей вероятности, сведутся к следующему.
1. Изменение классификационных признаков, в соответствии с которыми ИСПДн относится к тому или иному классу. Данные изменения должны стать ответом на критику со стороны структур, работающих с большими массивами персональных данных, в первую очередь это медицинские организации, страховые компании, а также образовательные учреждения.
2. Упорядочение требований в части лицензирования деятельности по технической защите конфиденциальной информации. В настоящее время вопрос необходимости (или ее отсутствия) наличия лицензий для операторов персональных данных является в значительной степени спорным.
3. Формирование новых регламентов проведения сертификационных и аттестационных испытаний. В частности, должны быть уточнены особенности проведения инспекционного контроля программного обеспечения, а также порядок декларирования соответствия для ИСПДн.
4. Принятие документов, регламентирующих требования к таким классам средств защиты информации, как антивирусы и системы об-
наружения вторжений. Предполагается, что соответствующие нормативные документы будут использоваться при проведении сертификационных испытаний в системе ФСТЭК России.
5. Продолжится работа по уточнению и конкретизации ставших уже традиционными законодательных документов в области информационной безопасности, в первую очередь закона об электронно-цифровой подписи (ЭЦП).
Тенденции в области технических аспектов построения систем защиты информации. По мнению авторов, одним из наиболее перспективных направлений будет массированное распространение систем класса DLP (Data Leakage Prevention — предотвращение утечки данных). Данного рода системы, с одной стороны, позволяют решить значительную часть вопросов, связанных с выполнением формальных требований по защите персональных данных, и, с другой стороны, являются эффективным средством построения реальной защиты от угроз утечки конфиденциальной информации. В настоящее время на рынке присутствуют порядка пяти работоспособных решений — как отечественных, так и зарубежных — при этом зарубежные продукты в большинстве случаев либо завершили сертификационные испытания в системе ФСТЭК России, либо проходят их.
На рынке антивирусных программных продуктов завершается этап миграции интегрированных решений, включающих как традиционный антивирусный функционал, так и функции, характерные для систем обнаружения и предотвращения вторжений IDS/IPS (Intrusion Detection/Prevention Systems) и даже для персональных межсетевых экранов. Как и системы класса DLP, антивирусные решения зарубежных разработчиков активно проходят сертификацию в системе ФСТЭК России, причем для ряда продуктов (производства, например, компаний ESET, Symantec) данная сертификация успешно завершена.
Для средств анализа защищенности (в первую очередь для сканеров безопасности) будет прослеживаться тенденция перехода от точечных средств контроля к универсальным инструментам для комплексного аудита защищенности автоматизированных систем (Max Patrol, Сканер-ВС и т. д.).
Следует отметить, что в целом при построении систем защиты, требующих обязательной оценки соответствия (в том числе ИСПДн), наблюдается положительная тенденция отказа от «самописных» средств защиты информации в пользу промышленных сертифицированных решений. Безусловно, изначально такой переход был связан исключительно с высокими затратами на проведение сертификационных испытаний, однако на сегодняшний день многие компании убедились в эффективности такого подхода. Действительно, унификация средств защиты позволяет снизить их общую стоимость иногда до 40 % [2].
Тенденции в области национальных и отраслевых стандартов. Продолжится наметившаяся тенденция формирования отраслевых стандартов в области информационной безопасности, в том числе в части, касающейся защиты персональных данных. В 2010 г. пионерами в данной области стали кредитно-финансовые организации, за которыми вскоре последовали медицинские учреждения. Ожидается принятие аналогичных документов для страховых компаний, пенсионных фондов, образовательных учреждений и др.
Немаловажным является наличие в плане работ Технического комитета ТК-362 ряда задач по гармонизации и принятию стандартов ISO 27 серии.
Тенденции в области образования и повышения квалификации.
Возросший интерес к информационной безопасности со стороны крупнейших работодателей должен стать катализатором для развития как учреждений высшего профессионального образования, так и многочисленных учебных центров, осуществляющих профессиональную переподготовку. При этом прослеживаются следующие перечисленные ниже тенденции.
1. Для многих высших учебных заведений, в частности и МГТУ им. Н.Э.Баумана, характерен переход к формированию собственных образовательных стандартов; соответствующая работа направлена на актуализацию специальных дисциплин, приближение формируемых профессиональных компетенций к потребностям рынка, повышение содержания практической составляющей в учебных планах.
2. Курсы повышения квалификации и профессиональной переподготовки в большинстве случаев будут однозначно соответствовать актуальным потребностям рынка, так, например, по-прежнему будут пользоваться популярностью курсы, связанные с защитой персональных данных.
Заключение. В перспективе должна сложиться благоприятная ситуация для индустрии информационных технологий в целом и для информационной безопасности в частности. При сохранении благоприятной макроэкономической обстановки можно прогнозировать рост оборота основных игроков рынка в этой области до 60.. .70 %.
СПИСОК ЛИТЕРАТУРЫ
1. Сводный отчет по безопасности программного обеспечения в России и мире за 2010 год / Фадин А.А. и др.; под. ред. А.С. Маркова и В.Л. Цирлова. - М.: НПО «Эшелон», 2011. - 34 с.
2. Бюллетень «Вестник информационной безопасности». М.: Гротек, 2011. -№ 1-5.
3. Материалы Национального форума по информационной безопасности «Инфофорум-12». М.: «Инфофорум», 2011. - Т. 1-7.
Статья поступила в редакцию 19.10.2011
