Об отрасли и о себе
Дмитрий СОБОЛЕВ,
директор департамента информационной безопасности «Энвижн Груп»:
«ЭНВИЖН ГРУП» ОБЕСПЕЧИВАЕТ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ БАНКОВ С МОМЕНТА ОБРАЗОВАНИЯ КОМПАНИИ, А ЭТО УЖЕ 12-Й ГОД»
Отрасль товаров и услуг для обеспечения информационной безопасности банков сформировалась достаточно давно, как минимум 10 лет назад. Её «созреванием» можно считать период, когда компании – системные интеграторы организовали специальные направления, пос- вящённые исключительно работе с банками в части ИБ.
Основные особенности информационной безопасности банков – это необходимость соответствовать множеству стандартов и законов и, как следствие, более строгие требования к исполнителю. Немаловажна для банков и поддержка высокой отказоустойчивости решений вместе с быстрой реакцией на инциденты безопасности. Поэтому компании, выходящие на этот рынок, должны отличаться динамичностью, а их ИБ-специалисты – не только профессионализмом, но и высокой ответственностью.
«Энвижн Груп» обеспечивает информационную безопасность банков с момента образования компании, а это уже двенадцатый год.
За это время нам удалось многого достичь: «Энвижн» сотрудничает с крупнейшими российскими и отечественными ИБ-вендорами, имеет соответствующие компетенции и опыт, а также доверие клиентов.
Для успешного бизнеса, на наш взгляд, самое главное – профессиональная команда. На втором месте – умение выстроить доверительные отношения с заказчиком. Успех – следствие.
Мы подбираем сотрудников для департамента ИБ, в первую очередь, оценивая умение мыслить и грамотно излагать свои мысли. Также приветствуется высокая работоспособность: многие ИБ-проекты отличаются масштабностью и долгими сроками реализации, требуя полной отдачи от начала до конца.
Российский рынок информационной безопасности кредитно-финансовых организаций и платёжных систем растёт наиболее динамично. С каждым годом кибермошенников и ИБ-угроз становится всё больше, а значит, спрос на продукты и услуги, способные им противостоять, будет постоянно увеличиваться. Мы видим спрос на «традиционные» решения по ИБ и аудит на соответствие PCI DSS.
Виктор СЕРДЮК,
генеральный директор ЗАО «ДиалогНаука»:
«НОРМАТИВНО-ПРАВОВЫЕ ДОКУМЕНТЫ – ДРАЙВЕР РОСТА РЫНКА»
С нашей точки зрения, отрасль товаров и услуг для обеспечения информационной безопасности банков сформировалась одновременно с началом массового использования информационных технологий для автоматизации ключевых бизнес-процессов банков.
Безусловно, обеспечение информационной безопасности кредитно-финансовых организаций имеет свои отраслевые особенности, вот лишь некоторые из них:
• наличие специализированных отраслевых стандартов, таких как СТО БР ИББС, PCI DSS и др.;
• наличие угроз, характерных для кредитно-финансовых организаций. В первую очередь к таким угрозам относится банковский фрод;
• наличие специфических информационных систем, таких как системы ДБО, АБС и др.
Компания, предлагающая услуги и решения по обеспечению информационной безопасности для банковской отрасли, должна удовлетворять следующим обязательным требованиям:
• иметь необходимые лицензии ФСТЭК России и ФСБ России на право выполнения соответствующих работ по защите информации;
• иметь достаточный опыт проведения аналогичных работ для кредитно-финансовых организаций и платёжных систем. При этом опыт должен быть подтвержден отзывами Заказчиков с описанием выполненных работ и полученных результатов;
А иметь достаточное количество квалифицированных специалистов для реализации проекта. Квалификация специалистов, как правило, подтверждается наличием соответствующих сертификатов.
Можно назвать следующие рекомендуемые требования к компаниям, работающим на этом рынке: 4 членство в специализированных ассоциациях по защите информации, например, НП «АБИСС»;
• наличие сертификата на систему менеджмента компании в соответствии с ISO 9001;
• наличие сертификата на систему менеджмента информационной безопасности в соответствии с ISO 27001.
ЗАО «ДиалогНаука» успешно работает с кредитно-финансовыми организациями уже более 10 лет. Наши первые проекты были связаны с поставкой и внедрением антивирусного программного обеспечения. Сейчас «ДиалогНаука» предлагает широкий спектр услуг и решений для обеспечения информационной безопасности банков.
Вот лишь некоторые из них:
• внедрение систем выявления и предотвращения фактов мошенничества в системах ДБО;
• услуги по оценке соответствия и внедрению стандарта СТО БР ИББС; 4 создание для банков ситуационных центров мониторинга событий информационной безопасности;
• услуги по аудиту информационной безопасности банков, включая тестирование на проникновение;
• внедрение средств защиты от утечки конфиденциальной информации и др.
На сегодняшний день наша компания имеет опыт работы как с крупными банками, входящими в десятку ведущих кредитно-финансовых организаций, так и со средними и небольшими.
С нашей точки зрения, рынок товаров и услуг обеспечения информационной безопасности кредитно-финансовых организаций и платёжных систем динамично развивается и постоянно растет. По нашим оценкам, ежегодный рост данного сегмента рынка составляет около 15–20%.
Говорить о сформировавшемся стабильном спросе на услуги и решения в области защиты информации можно. Определенным драйвером роста данного сегмента рынка стал выход нормативно-правовых документов, определяющих требования и рекомендации по защите информации. К таким документам относятся федеральный закон ФЗ-152 «О персональных данных», СТО БР ИББС, PCI DSS и др.
На сегодняшний день в данном секторе рынка информационной безопасности – высокий уровень конкуренции, и вероятность его монополизации крайне низка. Российские компании могут успешно предлагать свои услуги и решения на рынках информационной безопасности стран СНГ. Например, у ЗАО «ДиалогНаука» есть подобный успешный опыт с банками Республики Беларусь и Казахстана. Что касается рынка информационной безопасности США и Европы, то, с нашей точки зрения, российские компании пока не готовы конкурировать со своими западными коллегами.
?
Олег КОНОСОВ,
руководитель направления ОАО «ЭЛВИС-ПЛЮС»:
«ДЕФИЦИТ ОТДЕЛЬНЫХ РЕШЕНИЙ НЕ БЫВАЕТ ДОЛГИМ»
Отечественную банковскую систему условно можно разделить на 2 части: компании, давно осознавшие для себя ценность информации и информационных сервисов, и все остальные. Так как в основной массе компании первого типа – в первых строках рейтингов, именно они инициировали возникновение отрасли услуг и продуктов информационной безопасности в России ещё в конце девяностых – начале двухтысячных годов. Скачкообразно рынок начал расти в 2006–2008 годах в связи с пониманием на государственном уровне важности прав граждан на неприкосновенность личной жизни, что нашло отражение в законе ФЗ-152 «О персональных данных».
Для государственных организаций, включая банки с государственным участием, финансирование выполнения целевых функций и требований законодательства, в том числе к информационной безопасности, достаточно сбалансировано.
Коммерческие компании, напротив, стараются отвлечь от основных бизнес-процессов как можно меньше средств на защиту информации. Так как для них каждый потраченный рубль – недополученная прибыль. Однако с появлением ФЗ-152 «О персональных данных» и ФЗ-161 «О национальной платёжной системе» ситуация несколько изменилась, позиция коммерческих организаций сблизилась с государственным подходом.
Введение закона о НПС, а именно ст. 9, обещает волну мошенничеств, как это было с ФЗ-152, когда случаи мошенничества были зафиксированы неоднократно. Несовершенство законодательства эту ситуацию только усугубит.
В свете законодательного регулирования ситуация с информационной безопасностью местами даже усложнилась, а тренд развития отрасли претерпел заметную реструктуризацию. Причина в том, что небольшие бюджеты на информационную безопасность переориентировались только на соответствующую нормативам, но не всегда оптимальную для бизнеса безопасность.
Если рассматривать безопасность бизнеса в целом, то в общем объёме экономических потерь процент прямых убытков, связанных с IT-риска- ми, кажется незначительным. Однако в абсолютных величинах, да ещё с учетом последствий – перехват клиентов, судебные иски, отвлечение персонала на урегулирование последствий, ухудшение имиджа и т.?д.– эта «малая часть» не так уж и мала.
Любая компания, претендующая на достойное положение на рынке, должна быть ценной для потенциальных заказчиков. Для крупнейших заказчиков – широкими вертикальными и горизонтальными компетенциями, способностью быстро осваивать новые технологии, научно-исследовательским потенциалом, общей стабильностью, практическим опытом реализованных проектов, полным циклом создания систем, постпроектным сопровождением, гарантией качества и т.?д.
Для среднего бизнеса привлекательно, пожалуй, наличие готовых, практически коробочных решений, сроки выполнения работ, разумные цены. В общем, принцип «купил и о проблеме забыл».
На данный момент степень развития, внутренние процессы и объём накопленного за 21 год опыта работы у «ЭЛВИС-ПЛЮС» таковы, что компания способна удовлетворять потребности заказчиков различных отраслей и разных масштабов.
С другой стороны, помня про «двух зайцев», мы сконцентрированы на информационной безопасности и только на ней, не отвлекаясь на другие, пусть даже выгодные в краткосрочной перспективе проекты. С таким бэкграундом без суеты продолжаем осваивать рынок кредитно-финансовых организаций.
Единственным серьёзным барьером для нас в свое время был, пожалуй, разумный консерватизм рынка. Большинство КФО уже имеет опыт работы с поставщиками услуг и в случае, если поставщик в целом отрабатывает удовлетворительно, обоснованно склонны продолжать с ним сотрудничество, даже если конкурентное предложение привлекательнее.
Если учитывать работы с Банком России, вся история нашей компании связана с рынком кредитно-финансовых организаций – и мы успешно реа- лизовывали проекты на этом рынке уже в 1998 году. Рассматривать КФО как отдельный, самостоятельный сегмент рынка мы стали примерно 1,5–2 года назад. Мы и раньше работали с отдельными банками, страховыми компаниями, игроками фондового рынка и т.?д.
С 2010 года этот рынок стал развиваться системно, и сейчас мы оказываем услуги по всем основным направлениям информационной безопасности КФО. За этот период реализовано более 30 проектов для заказчиков, среди которых Банк России, Газпромбанк, Россельхозбанк, а также Росфинмониторинг. Мы особенно гордимся доверием, оказанным нам Банком России, с которым сотрудничаем в области ИБ уже 15 лет.
На протяжении года можно наблюдать сезонные колебания рынка, связанные со спецификой бюджетирования большинства компаний, обязанных реализовать средства в течение года. Пик активности наступает в 3-м квартале и завершается ближе к новогодним праздникам.
Если смотреть по годам, то рынок ИБ в КФО практически коррелирует с рынком ИБ в целом и показывает равномерный рост, корректируемый кризисами и регулятивным воздействием. По некоторым оценкам, ёмкость рынка информационной безопасности в 2013 году составит около 90 млрд. рублей. Если говорить о дефиците, то это дефицит решений для отдельных сегментов и ниш, и, как правило, такой дефицит не бывает долгим.
Иван МЕЛЕХИН,
директор департамента консалтинга и аудита,
Евгений АФОНИН,
начальник отдела безопасности банковских систем компании «Информзащита»:
«ГЛАВНЫЙ ЗАЩИЩАЕМЫМ АКТИВ – ПЛАТЁЖНАЯ ИНФОРМАЦИЯ»
Спецификой работы финансово-кредитных организаций является сильное государственное регулирование, стандартизация и зависимость от информационных технологий. Сама банковская деятельность обусловливает спрос на товары и услуги в области информационной безопасности. В России этот спрос появился сразу после формирования банковской системы.
Особенности обеспечения информационной безопасности кредитно-финансовых организаций и платёжных систем обусловлены спецификой защищаемых информационных активов, организацией бизнес-процессов, требованиями законодательства и регуляторов. Основным защищаемым информационным активом кредитно-финансовых организаций и платёжных систем является платёжная информация, что и определяет её критичность и необходимость защиты.
Важно отметить, что финансовый сектор всегда стоит в авангарде развития и применения информационных технологий. Бизнес-процессы в таких организациях имеют высокую степень автоматизации и массовости. Многие сервисы предоставляются банками дистанционно, в том числе путем интеграции различных автоматизированных систем, что, в свою очередь, повышает риски ИБ и определяет необходимость применения адекватных мер защиты.
Наконец, необходимо сказать, что требования законодательства и регуляторов по защите платёжной информации имеют более высокие в сравнении с другими отраслями уровень зрелости и степень определённости. Соответствие этим требованиям для организаций финансового сектора – необходимое условие для осуществления деятельности.
Резюмируя вышесказанное, можно сделать вывод, что банки, решая вопросы ИБ, одними из первых осознали необходимость комплексного подхода, применение которого рассматривается в качестве инвестиций, направленных на снижение операционных рисков. И, как следствие, в большинстве финансовых организаций информационная безопасность становится неотъемлемой частью бизнес-процессов.
Компания «Информзащита», основанная в 1995-м году, предоставляет услуги банкам с самого начала своего существования. За эти 17 лет кредитно- финансовые организации стали составлять значимую часть наших заказчиков. В настоящий момент в компании выделено отдельное подразделение – Отдел безопасности банковских систем. В нём работает самое большое количество (по сравнению с другими компаниями на рынке РФ) сертифицированных аудиторов платёжных систем.
Мы предлагаем широкий спектр услуг, специально адаптированных для кредитно-финансовых организаций, включая обеспечение соответствия требованиям PCI, НПС, СТО БР, по защите персональных данных, инструментальное тестирование защищённости инфраструктуры и приложений, построение процессов управления ИБ и многое другое.
В качестве перспективных направлений бизнеса мы рассматриваем услуги в части приведения к соответствию требованиям НПС, требованиям международных платёжных систем, распространяющихся на мерчан- тов, помощь в выстраивании интегрированной системы риск-менеджмента и внутреннего контроля, обеспечивающей эффективное взаимодействие служб управления рисками, внутреннего контроля и аудита информационной безопасности.
Рассматривая рынок ИБ в целом, необходимо отметить, что достаточно длительный период наблюдается его рост. Иногда медленный, особенно в период кризисов, иногда достаточно бурный,– но рынок растет постоянно. Безусловно, по разным группам услуг наблюдаются различные тренды, например объём запросов на первоначальное обеспечение соответствия стандарту PCI DSS постепенно падает. Но, с другой стороны, объём запросов на соответствие требованиям НПС неуклонно растёт. Таким образом, «старые» темы сменяют «новые», что и обеспечивает плавный рост рынка.
?
Руслан БЯЛЬКИН,
директор по работе с ключевыми клиентами Корпорация «Oracle в СНГ»:
«СОВЕРШЕНСТВОВАТЬ БЕЗОПАСНОСТЬ ДО НЕСОКРУШИМОСТИ»
Особенности обеспечения безопасности в кредитно-финансовых организациях есть, поскольку защищаются данные довольно чувствительные, как для организаций, так и для физических лиц. Кроме того, используется широкий набор средств доступа, как внутренний, так и внешний, что не может не накладывать определённую сложность на защиту таких систем.
Однако обеспечение информационной безопасности настолько многостороняя деятельность, что скорее можно говорить о её ярко выраженных особенностях, чем выделять в отдельное направление. Например, если мы возьмем сферу АСУТП, то большинство систем не открыты внешней среде, но недооценивать системы безопасности для них было бы нелогично. Разве можно сравнивать чисто финансовые потери и ущерб от выхода из строя ядерного реактора?..
При этом все специалисты отрасли отмечают, что преступники в первую очередь стремятся получить финансовую выгоду. Поэтому кредитно-финансовая сфера – одно из самых актуальных и востребованных направлений реализации решений по обеспечению информационной безопасности. Отрасль товаров и услуг в сфере информационной безопасности банков стала активно оформляться в период массового выхода отечественных банков на рынок IT-услуг. Именно тогда банки-первопроходцы столкнулись с первыми информационными угрозами и задумались о том, как их минимизировать и как от них защищаться.
По мере увеличения количества банков, вступавших на рынок «виртуальных» услуг, росла и отрасль. Основное её формирование, на мой взгляд, стало происходить в 2005–2006 годах. Стал всё чаще подниматься вопрос, как и какие информационные системы банков защищать. Именно тогда зарубежные специалисты отмечали взрывной рост банковской отрасли и применяемых технологий в России, и это не могло не сказаться на росте рынка информационной безопасности.
Корпорация Oracle с момента своего основания уделяла в своих продуктах огромное значение безопасности. Именно она в 1994 году стала одной из первых компаний, производивших программное обеспечение, продукты которой удовлетворяли первым независимым требованиям к безопасности, и провела интеграцию со сторонними продуктами по безопасности.
В настоящий момент, безопасности продуктов по уделяется огромное значение на всех уровнях корпорации, и они по достоинству оценены специалистами отрасли. Многие помнят 2002 год, когда Корпорация Oracle объявила о «несокрушимости» своих продуктов в области баз данных.
Небывалый всплеск активности как аналитиков, так и хакерского сообщества, вызванный данным заявлением, помогли компании посмотреть на безопасность продуктов со всех сторон и использовать полученные данные для совершенствования своих продуктов по безопасности.