“ИБ-интеграторам нужны нормативная база и сертифицированный инструментарий”

По мере развития в стране направления виртуализации ИТ-ресурсов все острее встает проблема обеспечения их информационной безопасности. На пике решения этих задач находятся системные интеграторы. Об опыте группы “Астерос” в данной области научному редактору PC Week/RE Валерию Васильеву рассказывает директор департамента информационной безопасности компании “КАБЕСТ”, входящей в группу “Астерос”, Иван Бурдело.

PC Week: Как вы оцениваете годовой объем российского рынка организации защиты виртуализованных ИТ-сред?

Иван Бурдело: По мнению специалистов нашей компании, данный рынок сегодня незначителен: 15—20 млн. долл. При этом, конечно, нужно учитывать его непрозрачность, как, впрочем, и всего российского ИБ-рынка в целом.

PC Week: А что можно сказать о его динамике?

И. Б.: Она напрямую зависит от динамики развития технологий виртуализации. От западного рынка мы в этом процессе отстаем на два-три года. Если там процент виртуализированных ИТ-сред к общему числу физических серверов составляет примерно 60%, то российский рынок сегодня только приближается к отметке в 40—45%.

В данном процессе явными лидерами являются крупные компании и организации из финансово-кредитного сектора, телекома, нефтегазовой и энергетической промышленности, а также ряд государственных монополий. Как правило, они имеют в своем штате квалифицированный ИТ- и ИБ-персонал и, самое главное, достаточные финансовые ресурсы, чтобы осуществлять переход на данную технологию.

Что касается темпов развития рынка, то они эволюционные, а не революционные. Ускорения можно ожидать, если в рамках каких-нибудь федеральных целевых программ в области ИТ на облачные технологии начнут переводить организации госсектора, что было бы резонно, — ведь решать задачи электронного правительства и предоставления электронных госуслуг с помощью виртуализации и облачных технологий по многим причинам гораздо легче и, самое главное, дешевле, в том числе с точки зрения возврата инвестиций и совокупной стоимости владения ИТ-инфраструктурой.

PC Week: Насколько это реально?

И. Б.: Этого хочется многим, но, во-первых, у государства не хватает средств на решение таких достаточно амбициозных задач, и, во-вторых, наше законодательство в целом и нормативные документы в области ИБ в частности все еще далеки от специфики виртуализации. Сейчас они соответствуют уровню отдельных автоматизированных систем, и не учитывает все нюансы, связанные с облачными технологиями, особенно с предоставлением услуг по бизнес-модели IaaS (Infrastructure as a Service). С учетом того, что область ИТ динамична, технологиям безопасности для виртуализованных сред и нормативной базе в области обеспечения ИБ требуется существенный качественный скачек в своем развитии и дальнейшем совершенствовании.

PC Week: Насколько полными являются современные промышленные предложения для защиты виртуализованных ИТ-сред?

И. Б.: Практика показывает, что в полной мере обойтись продуктами одного вендора очень сложно, поскольку эффективная система защиты виртуализированных ИТ-сред должна иметь многоуровневую структуру и охватывать виртуальную машину, виртуальную среду, и, что не маловажно, уровень гипервизора. Производители, как правило, не имеют в своем арсенале всей линейки средств защиты, которые могут использоваться для решения столь различных задач и одновременно применяться на том или ином уровне виртуализированной ИТ-среды, поэтому интеграторам зачастую приходится комбинировать ИБ-решения разных вендоров.

PC Week: Что сложнее защищать — традиционную ИТ-инфраструктуру или виртуализованную?

И. Б.: Проектный подход к построению системы защиты принципиально не отличается в обоих вариантах. В случае виртуализации сложность заключается в понимании заказчиками подходов к построению такой защиты. Уровень зрелости в этой области еще не достаточно высок. Хотя уже нет заблуждений насчет “природной” защищенности виртуализованной ИТ-среды, но и четкого представления о способах и методах решения задач ИБ в этих средах пока не сформировано. Думаю, года через полтора ситуация изменится к лучшему. Сегодня же интегратор зачастую играет дополнительную роль консультанта, объясняя общие подходы к созданию системы защиты виртуальных ИТ-сред.

В некоторых компаниях ИТ-служба оказывается гораздо более зрелой, чем служба ИБ. Нам известны примеры, когда компании не переводят свои ИТ-мощности в облачные модели PaaS, IaaS, SaaS только потому, что их службы информационной безопасности, следующие классическим подходам в организации ИБ, не понимают, где при переходе на технологии облачных распределенных вычислений будут физически располагаться серверы и каким образом будет организован доступ к ним, как будет обеспечено разграничение доступа к критичным информационным активам. Все это и многое другое является камнем преткновения.

В проектах приходится учитывать, что ИТ-инфраструктуру заказчика обычно строит не один интегратор, а предлагаемые вендорами ИБ-решения рассчитаны на определенные платформы виртуализации. Кроме того, могут возникать проблемы взаимодействия между виртуализованными серверами приложений внутри одной виртуальной платформы. Поэтому, автоматизируя новые бизнес-процессы, интегратор вынужден модернизировать ИТ-инфраструктуру для поддержки тех из них, что были автоматизированы раньше. Это расширяет проект сверх планируемых границ, увеличивает нагрузку на ИТ-подразделение заказчика и на специалистов интегратора.

PC Week: А сами российские интеграторы готовы выполнять проекты по организации защиты виртуализованных ИТ-сред?

И. Б.:. К настоящему времени, думаю, все крупные российские системные интеграторы к подобным проектам готовы в полной мере. Сегодня дело тормозится, как я уже говорил, отсутствием нормативной базы, регулирующей эту новую ИТ-область, и недостаточным развитием самих технологий безопасности для виртуальных ИТ-сред. Кроме того, подавляющая часть инструментов защиты виртуальных сред является зарубежными разработками, а их применение невозможно или сильно ограничено для информационных активов, защита которых регламентируется российскими законодательством и иными нормативными документами ФТЭК и ФСБ России. Поэтому дело здесь не за интеграторами — нам нужна нормативная база и сертифицированный инструментарий.

PC Week: Благодарю за беседу