Виктор Сердюк – генеральный директор ЗАО «ДиалогНаука».
С красным дипломом закончил МАТИ – РГТУ им. К.Э. Циолковского, где обучался на кафедре «Информационные технологии».
Защитил диссертацию по информационной безопасности на соискание ученой степени кандидата технических наук в Московском государственном институте электроники и математики. В 2007 году успешно защитил диплом MBA в Высшей школе IT-менеджмента Академии народного хозяйства при Правительстве РФ.
На вопросы Anti-Malware.ru любезно согласился ответить Виктор Сердюк, генеральный директор компании "ДиалогНаука". Это интервью продолжает цикл публикаций "Индустрия в лицах".
О внедрении и консалтинге
1. Сегодня ваша компания позиционирует себя как системный интегратор. Как вы оцениваете свое положение на этом рынке?
На сегодняшний день «ДиалогНаука» предлагает широкий спектр консалтинговых услуг в области информационной безопасности и имеет возможность реализовывать полный цикл работ по проектированию, созданию, внедрению и последующему сопровождению комплексных систем защиты информации. В настоящее время мы имеем опыт оказания таких услуг, как проведение аудита информационной безопасности, разработка нормативных документов по защите информации, создание систем менеджмента информационной безопасности и другие.
На данном этапе накопленный нами опыт и имеющиеся компетенции позволяют нам на равных конкурировать с крупнейшими системными интеграторами, работающими на российском рынке информационной безопасности.
2. Расскажите об одном из недавних крупных проектов. Какие задачи необходимо было решить и как это удалось?
За последнее время мы реализовали большое количество масштабных проектов в области системной интеграции. Так, в сентябре завершен проект по вводу в эксплуатацию удостоверяющего центра ОАО «МобильныеТелеСистемы». Данный центр является одним из крупнейших в России и предназначен для управления цифровыми сертификатами компании. В рамках данного проекта мы впервые столкнулись с задачей создать инфраструктуру открытых ключей в масштабах такой крупной и территориально распределенной компании как ОАО «МТС».
Удостоверяющий центр МТС предназначен для обеспечения конфиденциальности и контроля целостности информации при взаимодействии с удаленными дилерами в рамках единой системы приема платежей. Центр также используется для защиты документооборота компании и безопасного доступа к ее информационным ресурсам, в том числе для защиты документов от неавторизованного прочтения, копирования или изменения. В перспективе МТС планирует также использовать корпоративный удостоверяющий центр при обслуживании абонентов компании. Это станет возможным за счет внедрения процедуры записи цифрового сертификата в SIM-карты абонентов.
3. Вы работаете с решениями разных вендоров. На основании каких данных принимается решение о том, чтобы внедрять решение того или иного вендора?
В настоящее время в продуктовом портфеле нашей компании присутствуют решения практически всех основных вендоров, представленных на российском рынке информационной безопасности. Выбор конкретного продукта для внедрения у заказчика осуществляется на основе анализа существующей инфраструктуры, а также тех средств защиты, которые уже установлены и используются в организации. При формировании рекомендаций по использованию тех или иных решений мы стараемся добиться максимального сохранения инвестиций, которые уже были сделаны заказчиком в собственную IT-инфраструктуру.
В большинстве случаев мы предлагаем комплексные решения, которые одновременно включают в себя несколько продуктов различных производителей. Например, при создании системы антивирусной защиты компании мы рекомендуем использовать эшелонированный подход к защите от вредоносного кода, предусматривающий использование продуктов разных производителей на уровне шлюза, серверов и рабочих станций пользователей.
Внедряя решения для защиты от утечки конфиденциальной информации, мы также используем различные продукты для криптографической защиты, контроля доступа к внешним портам и контентного анализа сетевого трафика на уровне шлюза.
4. Есть мнение, что для многих «ДиалогНаука» прочно ассоциируется с решениями «Доктор Веб», и поэтому вам труднее бывает продвигать другие продукты и услуги. Как вы можете прокомментировать такую точку зрения?
«ДиалогНаука» занимается продвижением продуктов Dr.Web с начала 1990-х годов, поэтому не удивительно, что многие по-прежнему ассоциируют нас с этими продуктами. Тем более, что за всё время существования нашей компании мы накопили уникальный опыт по внедрению и сопровождению продуктов Dr.Web. Иногда такая «ассоциативная связь» способствует нам: те, кто приобретает у нас решения Dr.Web, обращаются к нам также за консалтинговыми услугами и комплексными решениями в области защиты информации, зная нас как доверенных опытных поставщиков Dr.Web, способных грамотно внедрить решение.
Вместе с тем все большее число наших крупных заказчиков воспринимает нас именно как системных интеграторов и не ассоциирует с поставщиком продуктов Dr.Web.
5. Немногим менее года назад ступил в силу федеральный закон «О защите конфиденциальных данных». Как вы полагаете, способен ли он решить проблему незаконного распространения конфиденциальной информации?
С моей точки зрения, вступивший в силу федеральный закон создаёт правовую базу для значительного повышения уровня информационной безопасности персональных данных. В настоящее время на основе данного закона силами ФСТЭК и ФСБ уже разработаны нормативные документы, позволяющие создавать системы защиты информационных систем, в которых обрабатываются персональные данные. Важно отметить, что требования федерального закона являются обязательными для всех организаций, осуществляющих обработку персональных данных.
6. Расскажите о новой услуге «ДиалогНауки» - аудит на соответствие требованиям этого закона.
В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для российских компаний. Это обусловлено тем, что согласно статье 25 ФЗ «О персональных данных», информационные системы должны быть приведены в соответствие с требованиями этого документа не позднее 1 января 2010 года. Наша новая услуга фактически позволяет компаниям оценить текущий уровень соответствия требованиям федерального закона, определить основные недостатки и выработать план конкретных мероприятий для приведения системы безопасности в надлежащее состояние.
На сегодняшний день данная услуга является очень востребованной и предоставляется как отдельно, так и в рамках общего аудита информационной безопасности компании.
7. Внедрение и консалтинг требуют всестороннего знания корпоративных информационных систем. Какие специалисты обладают соответствующей компетенцией? Иными словами, расскажите о кадровой политике «ДиалогНауки» - системного интегратора?
В нашей компании существует два базовых подразделения, в которых работают технические специалисты по информационной безопасности – это отдел консалтинга и отдел технического сопровождения. Первый отвечает за реализацию проектов, связанных с оказанием услуг в области информационной безопасности, таких как аудит, разработка политик безопасности и т.д. Второй предназначен для выполнения работ по установке, настройке и поддержке программных и программно-аппаратных средств защиты информации.
В отдел консалтинга мы принимаем людей с большим практическим опытом работы в области информационной безопасности. Одним из критериев приема в отдел консалтинга является наличие сертификатов, подтверждающих компетенции специалиста. Все кандидаты проходят тщательный отбор в процессе собеседований.
В отделе технического сопровождения работают специалисты по различным группам продуктов. В случае успешной и результативной работы сотрудники этого отдела могут претендовать на переход в отдел консалтинга. Мы активно сотрудничаем с ведущими вузами Москвы и можем принимать на работу в это подразделение студентов старших курсов.
О рынке аутсорсинга. Сервис «Защищенная почта»
1. Начало вашего сотрудничества с «Яндексом» по проекту «Защищенная почта» наделало много шума. По сути, в России сейчас только 2 подобных сервиса высокого уровня: производства «Яндекса» и «Лаборатории Касперского». Каковы, на ваш взгляд, перспективы этого рынка?
С моей точки зрения, рынок услуг аутсорсинга в целом и сервисов по защите почтового трафика в частности является сегодня одним из наиболее динамично развивающихся. Как мне кажется, объём рынка с каждым годом будет увеличиваться, и со временем он сможет занять достойное место в общей структуре рынка информационной безопасности.
2. В России - это довольно молодое направление. Что характерно именно для нашего рынка аутсорсинга защиты информации?
Основной особенностью рынка аутсорсинга в России является крайне низкий уровень доверия к подобного рода услугам. Например, при покупке услуги «Защищенная почта» нам часто задают вопрос об обеспечении конфиденциальности данных, опасаясь, что мы получим доступ ко всей корреспонденции компании. При этом люди иногда не задумываются о том, что в процессе передачи по сети Интернет электронная почта проходит через большое количество промежуточных узлов, неконтролируемых отправителем и получателем, где потенциально может быть нарушена её конфиденциальность. Таким образом, конфиденциальная информация в принципе не должна передаваться через Интернет в открытом виде. Тем не менее, несмотря на это, мы предлагаем всем желающим заключить с нами отдельное соглашение о неразглашении, в рамках которого мы берем на себя обязательство сохранять в тайне всю информацию, к которой у нас будет доступ.
3. Бытует мнение, что отдавать безопасность информационных систем на аутсорсинг - не слишком эффективно. Как вы относитесь к этому?
Эффективность аутсорсинга информационной безопасности зависит от многих факторов, таких как:
-
- уровень зрелости внутренних процессов по защите информации той организации, которая рассматривает возможность аутсорсинга;
- категория информации, защита которой должна быть обеспечена в рамках аутсорсинга;
- параметры SLA, которые должны быть соблюдены при передаче определённых задач защиты информации на аутсорсинг;
- сравнение стоимости услуг аутсорсинга и стоимости решения аналогичных задач собственными силами;
- и др.
Только после оценки всех этих факторов организация должна принять решение о целесообразности передачи тех или иных задач на аутсорсинг.
4. Для каких компаний, по вашему мнению, такой способ решения проблем безопасности был бы наиболее эффективным?
С моей точки зрения, можно выделить две категории компаний, для которых услуги аутсорсинга могут быть наиболее востребованными. К первой категории относятся небольшие компании, которым невыгодно иметь в штате выделенного специалиста по обслуживанию систем защиты информации. Ко второй категории можно отнести крупные компании, которые имеют высокий уровень зрелости внутренних IT-процессов и готовы передать управление непрофильными процессами сторонней организации.
5. Оцените, пожалуйста, позиции вашей компании на этом рынке?
В настоящее время рынок аутсорсинга находится только в стадии становления, поэтому мне сложно оценить на нём текущую позицию компании «ДиалогНаука».
Со своей стороны могу отметить, что мы постоянно совершенствуем функциональные возможности сервиса «Защищенная почта» и в ноябре готовимся выпустить его вторую версию, которая предоставит клиентам много дополнительных возможностей.
6. Кто кроме упомянутой «Лаборатории Касперского», какие еще компании являются вашими основными соперниками? Насколько в настоящее время серьезен технологический разрыв с мировыми поставщиками такого рода услуг, такими, например, как MessageLabs, Microsoft, Google (купивший Postini)?
Насколько мне известно, никто кроме «ДиалогНауки» и «Лаборатории Касперского» активно не продвигает в России услуги аутсорсинга защиты почтовой корреспонденции. Что касается технологических отличий, то по нашему мнению ни одна западная технология не может сравниться по качеству фильтрации русскоязычного спама с отечественными разработками. По этому показателю «Спамооборона» и Kaspersky Anti-Spam значительно опережают своих западных конкурентов.
7. Если ли у технологий «Яндекса» какие-то уникальные технологические преимущества?
Уникальной особенностью технологии «Яндекса» является использование собственной экспертной системы для принятия решения о том, является анализируемое письмо спамом или нет. Данная система основана на обновляемой базе знаний, которая включает данные RBL, шинглы и наборы эвристик. При этом решение «спам — не спам» принимается с учетом значимости сработавших правил, каждое из которых по отдельности не обладает достаточным весом.
Личная история успеха
8. Вы многое успели на этапе получения высшего образования, а также в период обучения в аспирантуре. И, кроме того, многое успеваете совмещать с основной работой. В чем ваш источник энергии?
Источником энергии для меня является интерес ко всему новому, что сделано, делается и предполагается сделать. Это в свою очередь приводит к необходимости дальнейшего развития, заставляет повышать собственную квалификацию, приобретать новые навыки, получать недостающие знания и т.д.
9. Что становится стимулом для дальнейших шагов - MBA и выпуск собственной книги?
Получение диплома MBA было необходимо для приобретения дополнительных навыков, необходимых мне как менеджеру. Полученные знания позволили более эффективно решать многие задачи в рамках операционного управления компанией.
Что касается книги, то она стала логичным завершением проведённых диссертационных исследований и обобщила полученные результаты в виде монографии.
10. Не задумывались о том, чтобы впоследствии проложить научные исследования - защитить докторскую диссертацию?
В настоящее время в области информационной безопасности существует большое количество интересных тем для научных исследований. Однако, к сожалению, не всегда получается уделять достаточное количество времени научной работе. Тем не менее, я надеюсь, что через несколько лет смогу вплотную подойти к защите докторской диссертации.
11. Расскажите о начале Вашей работы в «ДиалогНауке». Каков был Ваш путь к посту генерального директора?
В «ДиалогНауку» я попал во многом по воле судьбы, которой за это очень благодарен. Первоначально я пришел на должность технического директора. В рамках данной позиции я отвечал за развитие консалтингового направления компании. На том этапе был сформирован отдел консалтинга, который находился в моём прямом подчинении, был создан базовый пакет услуг, разработаны типовые технико-коммерческие предложения и т.д. Именно в это время «ДиалогНаука» смогла успешно реализовать первые крупные консалтинговые проекты для таких компаний как «МобильныеТелеСистемы» и «КапиталЪ-Страхование». Проработав определённое время на посту технического директора, я получил предложение занять должность генерального директора, на которой работаю уже больше двух лет.
12. Вы - молодой руководитель. Расскажите о вашем стиле управления. Какие приемы руководства представляются вам наиболее эффективными?
Я стараюсь придерживаться «мягкого» стиля управления и давать сотрудникам возможности для самореализации в компании. Наиболее эффективными приемами руководства, на мой взгляд, являются делегирование полномочий и ответственности линейным руководителям, а также контроль исполнения поставленных задач.
13. Есть такие обязанности начальника, которые вы не любите?
К числу наиболее неприятных обязанностей можно отнести увольнение сотрудника из компании. В этом случае на плечи руководителя ложится ответственность за то, что он не смог создать для этого специалиста условий для эффективной работы в рамках компании.
14. Какие профессиональные и, возможно, научные цели ставите перед собой на ближайшее будущее?
Моей основной задачей на ближайшее время является способствование дальнейшему развитию компании «ДиалогНаука». Перед нами поставлена задача войти в десятку крупнейших российских компаний на рынке информационной безопасности. За последние несколько лет наша компания демонстрирует хорошие темпы роста, и со своей стороны я постараюсь сделать все, чтобы данная цель была достигнута в ближайшее время.
Cпасибо!