Данная статья носит обзорный характер. В ней освещается состояние рынка информационной безопасности Украины в целом, его ключевые игроки, а также долевое распределение по структурным сегментам.
1. Сертификация решений информационной безопасности в Украине
3. Кто выступает регулятором в вопросах обеспечения информационной безопасности?
4. Кто представляет IT-индустрию в Украине?
Сертификация решений информационной безопасности в Украине
До принятия Закона Украины «О защите персональных данных» вопросами информационной безопасности в глобальном смысле этого термина были озадачены две категории организаций: государственные учреждения и банки.
У большинства других предприятий информационная безопасность ассоциировалась в большей степени со средствами охранной и пожарной сигнализации, а также видеонаблюдения.
На сегодняшний день, особенно после принятия Закона Украины «О защите персональных данных», основными специалистами в области защиты информации в силу возложенных на них функциональных обязанностей стали представители кадровых служб предприятий.
Именно они отвечают за выполнение требований законодательства относительно вопросов защиты персональных данных. Предприятия, существующие на рынке Украины, можно поделить на три категории:
- Small. Предприятия, численность персонала которых составляет не более 15 человек, отсутствует информационно-телекоммуникационная система (ИТС), информация обрабатывается как в электронном, так и в бумажном виде.
- Middle. Предприятия, численность персонала которых составляет от 15 до 100 человек, данные обрабатываются в пределах одной информационно-телекоммуникационной системы.
- Large. Предприятия, численность персонала которых составляет более 100 человек, данные обрабатываются в нескольких информационно-телекоммуникационных системах и в силу особенностей бизнес-процессов могут передаваться из одной системы в другую.
Так как речь идет о коммерческих организациях, то в этом случае существует всего один вопрос: как законодательство Украины регулирует вопрос защиты информации в информационно-телекоммуникационных системах?
Согласно Закону Украины «Об информации» выделяется два вида информации: открытая и информация с ограниченным доступом. Информация с ограниченным доступом, в свою очередь, делится на:
- конфиденциальную,
- служебную,
- составляющую государственную тайну.
В законе делается особый акцент на понятии конфиденциальной информации в отношении данных о физическом лице. Так, например, пункт 2 статьи 21 этого же закона говорит о том, что конфиденциальной является информация о физическом лице, а в статье 11 дается более четкое определение, какие именно данные о физическом лице являются конфиденциальными:
«К конфиденциальной информации о физическом лице относятся, в частности, данные о национальности, об образовании, о семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дата и место рождения».
Также имеет смысл обратить особое внимание на такой документ, как «Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», утвержденные постановлением Кабинета министров Украины от 29.03.2006 № 373 (далее – Правила). Можно сказать, что данный документ известен достаточно узкому кругу специалистов, занимающихся непосредственно вопросами технической защиты информации, построением комплексных систем защиты на предприятии. Однако Правила дают четкий ответ на вопросы относительно того, какая же информация, по мнению государства, подлежит защите и что подразумевается под словом «защита». Так, например, в пункте 4 этого документа говорится следующее:
Защите подлежит:
- Открытая информация, которая является собственностью государства и в определении Закона Украины «Об информации» принадлежит к статистической, правовой, социологической информации, информации справочно-энциклопедического характера и используется для обеспечения деятельности государственных органов или органов местного самоуправления, а также информация о деятельности указанных органов, если она публикуется в Интернете, других глобальных информационных сетях и системах или передается телекоммуникационными сетями (далее – открытая информация);
- Конфиденциальная информация, которая является собственностью государства или требование относительно защиты которой установлено законом, в том числе конфиденциальная информация о физическом лице (далее – конфиденциальная информация);
- Информация, составляющая государственную или другую предусмотренную законом тайну (далее – секретная информация).
Далее в этом же документе идет речь о том, что для обеспечения защиты информации в системе должна создаваться комплексная система защиты информации, которая предназначается для защиты информации от утечки по техническим каналам, от несанкционированных действий с информацией, в том числе с использованием компьютерных вирусов, от специального воздействия на средства обработки информации.
Данная часть документа перекликается со статьей 8 Закона Украины «О защите информации в информационно-телекоммуникационных системах», в которой говорится о том, что информация, которая является собственностью государства, или информация с ограниченным доступом (конфиденциальная), требование относительно защиты которой установлено законом, должна обрабатываться в системе с применением комплексной системы защиты информации, подтвержденной соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством.
Комплексная система защиты информации (КСЗИ) представляет собой взаимосвязанную совокупность организационных и инженернотехнических мероприятий, средств и методов защиты информации. Для создания комплексной системы защиты информации используются средства защиты информации, которые имеют сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере технической и/или криптографической защиты информации.
Рассмотрим основных сертифицированных игроков на рынке информационной безопасности. Согласно данным, представленным на официальном сайте Государственной службы связи и защиты информации Украины, лидирующие позиции занимает компания Cisco Systems (США), имеющая на рынке Украины более 70 сертифицированных продуктов. Стоит также отметить, что на украинском рынке IT компания Cisco имеет порядка 340 партнеров.
На втором месте находится французская компания Alcatel-Lucent, сертифицировавшая около 40 единиц продуктов. Третье место по количесту продуктов (22–27), соответствующих требованиям нормативних документов Украины в области технической защиты информации, делят Quintum Technologies (США), Hewlett-Packard (США) и Hangzhou H3C Technologies (Китай).
Далее следует компания-представитель Китайской Народной Республики Huawei с 11 единицами сертифицированного оборудования. И замыкает список компания ZTE (Китай), имеющая в своем арсенале 6 сертификатов соответствия. В процентном соотношении информация представлена на рисунке 1.
Рисунок 1. Количество (%) сертифицированных средств общего назначения, которые разрешены для обеспечения технической защиты информации, необходимость охраны которой определена законодательством Украины
Если говорить о программном обеспечении, то на рынке Украины аттестаты соответствия имеют:
Антивирусное программное обеспечение
(рисунок 2):
- а) ESET, Словакия;
- б) «Лаборатория Касперского», Россия;
- в) «Доктор Веб», Россия.
Рисунок 2. Доли рынка сертифицированного антивирусного программного обеспечения
Специализированное программное обеспечение:
- а) система автоматизации управления предприятием «Парус-Корпорация»;
- б) программный комплекс «1С: Предприятие, версия 8.2»;
- в) система документооборота «Мегаполис»;
- г) система документооборота «ДОК ПРОФ 2.0»;
- д) программный комплекс «ABBYY FlexiCapture, версия 10.0»;
- е) Microsoft Windows 7 Enterprise Edition Service Pack 1 (32-bit и 64-bit);
- ж) Microsoft Windows Server 2008 R2Enterprise Edition Service Pack; и др.
Еще одним важным моментом является то, что согласно Правилам передача конфиденциальной информации из одной системы в другую должна осуществляться в зашифрованном виде или по защищенным каналам связи в соответствии с требованиями законодательства по вопросам технической и криптографической защиты информации. В основе всех сертифицированных в Украине средств криптографической защиты информации лежит алгоритм симметричного шифрования, ГОСТ 28147-89.
Порядок проведения работ по созданию КСЗИ описан в одноименном документе:
НД ТЗИ 3.7-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе». Согласно этому документу создание комплекса средств защиты от несанкционированного доступа осуществляется во всех ИТС, где обрабатывается информация, являющаяся собственностью государства, относится к отдельным видам информации, необходимость защиты которой определена законодательством, а также в ИТС, где такая необходимость определена собственником информации.
Порядок создания КСЗИ в ИТС является единым независимо от того, создается КСЗИ в ИТС, которая проектируется, или в действующей ИТС, если возникла необходимость обеспечения защиты информации либо модернизации уже созданной КСЗИ.
Из всего сказанного можно сделать следующие выводы:
Государственные органы, если у них есть информационно-телекоммуникационная система и они имеют информационный ресурс в сети Интернет, обязаны в любом случае строить комплексную систему защиты информации.
Коммерческие организации, если они обрабатывают конфиденциальную информацию о физическом лице (в частности, данные о национальности, об образовании, о семейном положении, религиозных убеждениях, состоянии здоровья, а также адрес, дату и место рождения) в информационнотелекоммуникационной системе, также должны строить КСЗИ.
При построении КСЗИ необходимо использовать сертифицированное оборудование и программное обеспечение. Если же в ИТС присутствует оборудование, не имеющее аттестата соответствия, то либо его необходимо заменить на сертифицированное, либо провести процедуру оценки его соответствия требованиям национальных стандартов в области технической защиты информации на этапе государственной экспертизы комплексной системы защиты информации.
Где этому учат?
На сегодняшний день повышение квалификации персонала в области информационной безопасности проходит в двух направлениях:
- изучение требований международного стандарта ISO 27001;
- получение разъяснений относительно требований Закона Украины «О защите персональных данных».
Разъяснительные семинары в области защиты персональных данных на регулярной основе проводит Государственная служба Украины по вопросам защиты персональных данных. Основными потребителями данных семинаров являются менеджеры по персоналу.
Что касается ISO 27001, то на данный момент на рынке Украины существует два учебных центра, которые проводят данный курс. Стоит отметить, что особой популярностью среди слушателей пользуются московские лекторы. Однако тенденция такова, что за последние два года количество слушателей сократилось примерно на 50%. Упор делается преимущественно на корпоративное обучение.
Производными от ISO 27001 являются тренинги на тему «Управление информационными рисками (IT-рисками)» и «Внедрение системы управления информационной безопасностью (СУИБ) на основе отраслевого стандарта информационной безопасности СОУ Н НБУ 65.1 СУИБ 1.0:2010». Национальный банк Украины переработал ISO 27001, и как результат появился Стандарт организации Украины «Методы защиты банковской деятельности. Система управления информационной безопасностью. Требования» (сокращенно – СОУ Н НБУ 65.1 СУИБ 1.0:2010).
Кто выступает регулятором в вопросах обеспечения информационной безопасности?
Как уже ранее упоминалось, главным регулятором в вопросах информационной безопасности выступает Государственная служба специальной связи и защиты информации Украины, основными задачами которой являются:
- формирование и реализация государственной политики в сфере защиты информационных, телекоммуникационных и информационно-телекоммуникационных систем;
- определение требований и порядка создания, развития систем технической и криптографической защиты информации, являющейся собственностью государства, или информации с ограниченным доступом, требование относительно защиты которой установлено законом;
- разработка и осуществление мероприятий по развитию телекоммуникационных сетей, улучшение их качества, обеспечение доступности и устойчивого функционирования;
- содействие интеграции сфер телекоммуникаций, пользования радиочастотным ресурсом Украины в мировое информационно-коммуникационное пространство.
Однако в вопросах защиты персональных данных уполномоченным органом является Государственная служба Украины по вопросам защиты персональных данных, основными задачами которой являются:
- внесение предложений по формированию государственной политики в сфере защиты персональных данных;
- реализация государственной политики в сфере защиты персональных данных;
- контроль над соблюдением требований законодательства о защите персональных данных;
- осуществление международно-правового сотрудничества в сфере защиты персональных данных.
Кто представляет IT-индустрию в Украине?
Ведущие позиции в области системной интеграции занимает «Инком». На втором месте – «БМС Консалтинг».
Далее:
- ITodor;
- S&T Ukraine («Эс энд Ти» Украина);
- «ТехноCерв Украина»;
- «Приоком»;
- NetWave;
- OSIS;
- «Ситроникс ИТ Украина»;
- IBA Group;
- Integrity Vision;
- SI BIS;
- RIM2000;
- Space IT;
- Triasystems;
- «Инлайн Груп Запад»;
- Астерос Украина и др.
Согласно данным Госстатистики, оборот телекоммуникационного оборудования за первый квартал 2012 года составил 568 436,9 тыс. гривен (примерно 71 млн долларов США), за первое полугодие 2012 года – 1 288 045,4 тыс. гривен (примерно 161 млн долларов США).
Начиная с 2005 года продажи компьютерного оборудования и другой вычислительной техники возросли в 5,3 раза. С 2008 по 2009 год наблюдается спад показателей до уровня 2007 года, этот период совпадает с экономическим кризисом в стране. На рисунке 3 представлены данные по обороту компьютерного оборудования за 2005–2011 годы.
Рисунок 3. Оборот компьютерного оборудования и другой вычислительной техники
О выставках и конференциях
На регулярной основе в Украине проходят:
• Международная конференция «Банковские системы и безопасность информационных технологий», на которой преимущественно рассматриваются вопросы информационной безопасности в банках;
• Международная конференция Computer Forensics llkjraine, посвященная вопросам компьютерной криминалистики и информационной безопасности;
• Конференция McAfee Security Day in Ukraine, на которой обсуждаются тенденции развития киберпреступности и методы борьбы с ней.
В 2012 году впервые была проведена Международная конференция «Защита персональных данных: право, практика, надзор». В ней приняли участие представители Группы уполномоченных органов по вопросам защиты персональных данных стран Центральной и Восточной Европы.
Что касается выставок, то их всего две:
Cisco Expo - выставка, посвященная продуктам и технологиям Cisco.
«Безпека» - выставка, которая представляет комплекс систем, средств и услуг для обеспечения безопасности предприятия, офиса, дома и человека.
Если первая интересна с точки зрения информационной безопасности и телекоммуникационных систем, применения современных решений при обработке и передаче данных, то вторая достаточно статична и сосредоточена исключительно на вопросах физической защиты.
Итоги
Рынок информационной безопасности Украины условно можно поделить на следующие сегменты:
- Обеспечение информационной безопасности в автоматизированных (компьютерных) и телекоммуникационных системах (локальные сети предприятия, телефония).
- Обеспечение информационной безопасности путем шифрования и/или использования инфраструктуры открытых ключей (электронно-цифровая подпись).
- Обеспечение информационной безопасности путем физической защиты помещений, систем, сетей и комплексов обработки информации, в том числе биометрическая система защиты.
Консалтинг, аудит информационной безопасности, а также повышение квалификации. Если для государственных организаций и банков ответ на вопрос относительно необходимости зашиты информации очевиден, то для всех остальных предприятий он все еще остается открытым по двум причинам:
- Финансовая.
- Организационная.
Причем эти причины взаимосвязаны.
Но несмотря на существующие сложности, украинский рынок информационной безопасности продолжает развиваться, предпринимаются попытки адаптировать и интегрировать в жизнь лучшие мировые практики в области информационной безопасности и информационных технологий.
Исследование: Рынок информационной безопасности Российской Федерации + Обзор рынка информационной безопасности Украины. 2013 г. Евгений Царев. Глава 4.
Авторы:
Евгений Царев
Екатерина Ляшенко
Данная статья является авторским материалом и публикуется по принципу «как есть», без купюр и изменений. Редакция Anti-Malware.ru не несет ответственности за содержание статьи.
Cтатья является частью глобального исследования "Рынок информационной безопасности Российской Федерации + Обзор рынка информационной безопасности Украины. 2013 г."