О КОМПАНИИ
Допустимые риски и невосполнимые потери
14.03.2019
Допустимые риски и невосполнимые потери
Мнение | Источник статьи |
Аналитик компании «Код безопасности» Владимир Верещагин – о том, как за последний год поменялся рынок информационной безопасности и какие тенденции будут определять его развитие в дальнейшем.
«В последний год на рынке информационной безопасности произошел ряд изменений. Наиболее тяжелым 2018 год оказался для небольших коммерческих компаний. Дело в том, что в условиях дефицита госзаказов такие игроки просто остановились в росте. Крупные компании со стабильным потоком госзаказов наоборот смогли расширить свои активы за счет этих небольших компаний, купив их и получив, в первую очередь, их лицензии, интеллектуальную собственность. Некоторые госструктуры, работающие в сфере информационной безопасности, укрепили свои позиции по отношению к коммерческим компаниям за счет госсубсидий. Нельзя сказать, что субсидии полностью спасают ситуацию, но они позитивно сказываются на положении данных организаций.
Оказала свое влияние и ставка государства на цифровизацию. Те компании, которые ранее создали российское ПО, тем самым обеспечили себе базу для освоения рынка в дальнейшем. В 2018 году президент страны поставил задачу перейти на отечественный софт, так что все ПО, производимое в России, будет востребовано. Те, кто имеет подобные заделы, может свободно заниматься развитием своей продуктовой линейки, а тем, кто только приступает к таким разработкам, будет тяжело.
Во многом за последнее время изменилось и отношение бизнес-клиентов к вопросам обеспечения информационной безопасности. Прежде всего, мы видим серьезное усиление потребности в автоматизации бизнес-процессов. Для предприятий эта задача вышла на первое место, поэтому акцент с защиты информации несколько сместился в сторону автоматизации, особенно если отсутствие защиты приведет к незначительным финансовым рискам. В связи с этим руководство бизнеса часто уточняет, потерей какой суммы грозит пренебрежение защитой. И если она не слишком существенна, то выполнять требования регулятора в области защиты информации перестают.
Т.е. с одной стороны, оснований для обеспечения безопасности данных появляется все больше, а с другой — деньги играют решающее значение в вопросе «Быть или не быть защите?» В результате могут оказаться не защищены данные клиентов этого бизнеса. Перед нами такая ситуация ставит дополнительную задачу: заниматься уточняющим расчетом рисков владельцев защищаемой информации (банковских счетов, персональных данных и пр.) с последующим повышением информированности общества. Ведь то, что для управляющих компаний является допустимым риском, для их клиентов может обернуться невосполнимой потерей. Интересы конечных пользователей не должны быть на втором плане, потребности граждан в безопасности необходимо учитывать единовременно с построением необходимых бизнес-процессов.
Одной из причин нежелания организаций внедрять системы защиты является сложность быстрой и качественной интеграции информационных систем бизнеса с сертифицированными системами защиты. Не редко требуется внесение изменений в работу программ и аппаратной конфигурации. Этого можно избежать полностью, если учитывать защиту на ранних этапах создания информационной системы (любого масштаба). В большинстве же случаев требуется быстро адаптировать системы защиты. До недавнего времени динамическое обновление выливалось в существенные проблемы из-за сложностей процесса сертификации. В 2018 году законодательство упростило эту задачу и теперь, без потери в качестве, стало возможным осуществлять выпуск необходимых изменений, не останавливая и не задерживая работу защищаемых систем клиента. Несмотря на то что ряд сложностей еще сохранился, законодатели явно учли сложившуюся практику и, вероятно, в следующем году следует ожидать новых приближений к фактическому положению дел.
Изменения в технологии сертификации продуктов, сказываются и на рынке труда: растут потребности в специалистах по тестированию. А увеличение спроса на целостные решения по безопасности требует большего штата проектировщиков систем защиты.
Перемены, коснувшиеся нас в прошедшем году, часто имеют не мгновенную причинно-следственную связь. Например, изменения еще 2017 года в стандартах разработки программного обеспечения систем защиты информации, отразились теперь на бо́льшей формализации процесса разработки продукции и на качестве. А вступление в силу в августе нового Положения ФСТЭК о сертификации средств защиты позволило сформулировать новые стратегии эффективной разработки, но фактические результаты планируется получить в текущем 2019 году. Также ряд архитектурных и функциональных изменений был внесен в готовящиеся к выпуску продукты, в результате подписания 10 октября Россией протокола изменений к «Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».