Безопасность безопасников

Подорвут ли «Общие критерии» позиции российских разработчиков

Гармонизация стандартов в виде принятия «Общих критериев» и закона «О техническом регулировании» вызывает озабоченность отечественных разработчиков средств защиты информации. Так, Владимир Гайкович, генеральный директор компании «Информзащита», выразил мнение, что если Россия признает зарубежные сертификаты по ?Общим критериям?, то отечественным разработчикам средств защиты придется менять специализацию. По убеждению Гайковича, полное открытие российского рынка программного обеспечения информационной безопасности для иностранных компаний приведет к вытеснению с этого рынка отечественных разработчиков. Он опасается, что российские компании не смогут конкурировать с западными гигантами по финансовым показателям.

В «Информзащите» осознают, что их собственные продукты для государственного использования содержат избыточную функциональность, необходимую для коммерческих предприятий

Тем не менее в настоящее время здесь сложился определенный паритет. Не секрет, что на данном секторе ИТ-рынка есть определенное разделение решений для государственного и коммерческого секторов. Рынок коммерческий открыт, на нем действуют законы конкуренции и по количеству предложений доминируют зарубежные решения. Государственный рынок закрыт, его участники доверяют только избранному кругу поставщиков. Взаимопроникновение между этими секторами практически отсутствует: коммерческие решения направлены в основном на защиту периметра корпоративной сети, а государственные — служат для обеспечения внутренней безопасности.

В ассортименте «Информзащиты» есть как собственные разработки, так и западные. При этом коммерческие фирмам в первую очередь продаются детекторы вторжений Internet Security Systems, сетевые экраны CheckPoint и информационные фильтры Clearswift, и только на четвертом месте по популярности стоит система защищенного взаимодействия «Континент», которую разработала сама «Информзащита». Для госсектора ситуация прямо противоположная. На первом месте по популярности электронные зам?ки «Соболь», затем защищенные решения Secret Net, а на третьем месте тот же «Континент». Такое распределение, в частности, связано с тем, что государственные предприятия практически не имеют доступа к Internet, поэтому и решения для защиты периметра им просто не нужны.

Впрочем, в «Информзащите» осознают, что их собственные продукты для государственного использования содержат избыточную функциональность, необходимую для коммерческих предприятий. Сейчас компания собирается переработать свой продукт Secret Net и выпустить к весне 2005 года его коммерческую версию Secret Net 5.0, то есть «Информзащита» намерена бросить вызов западным компаниям. Также появится специальная версия Secret Net M5XX, в которой будут усовершенствованы характеристики, нужные государственным учреждениям. Кроме того, компания планирует выпустить на рынок решение для управления корпоративной информационной безопасностью.

Достаточно большую долю в доходе компании составляют услуги по установке, настройке и техническому сопровождению средств информационной защиты. В этой сфере «Информзащита» даже отработала определенный процесс внедрения комплексных решений. Вначале компания проводит обследование корпоративной системы и выдает ее технический проект. После этого в 50-60% случаев клиенты заказывают разработку подробного рабочего проекта, который можно уже воплощать в конкретных устройствах. Однако для крупных заказчиков — примерно в 10-15% случаев — требуется дополнительный этап — пилотный проект. Отдельные пакеты услуг связаны с образованием (им занимается учебный центр «Информзащиты»), аналитикой и консалтингом.

Следует заметить, что западные производители средств информационной безопасности в подавляющем большинстве случаев при работе в России опираются на местных партнеров, таких как «Информзащита». Именно российские компании занимаются установкой и сопровождением западных продуктов. Так что даже в том случае, если признание зарубежных сертификатов на «Общие критерии» окажет столь негативное воздействие на позиции отечественных производителей, наши специалисты по информационной безопасности не останутся без работы — собственно, кадров и сейчас не хватает. К тому же сомнительно, что государственные ведомства в одночасье перейдут на иностранные продукты.

Common Criteria

ISO 15408 ISO 15408 The Common Criteria for Information Technology Security Evaluation («Общие критерии оценки безопасности информационных технологий») — один из наиболее распространенных международных стандартов в области безопасности, в котором подробно рассмотрены общие подходы, методы и функции обеспечения защиты информации в организациях. По инициативе Гостехкомиссии РФ была выполнена значительная работа по гармонизации российских и международных стандартов информационной безопасности.