Средства обеспечения корпоративной безопасности от Microsoft
Следует констатировать, что настольные операционные системы и офисные приложения корпорации Microsoft уже давно стали стандартом де-факто в большинстве российских компаний. Серверные операционные системы и многие другие серверные продукты и бизнес-приложения этой компании сегодня занимают лидирующие позиции на российском рынке, да и по числу разработанных на их основе решений Microsoft тоже входит в число лидеров. В связи с этим ИТ-директорам, ИТ-менеджерам и разработчикам прикладных решений следует уделить самое серьезное внимание вопросам информационной безопасности, связанным с применением продуктов этой компании, а также вопросам их соответствия российским стандартам в этой области. Мы предлагаем нашим читателям интервью с Владимиром Мамыкиным, директором по информационной безопасности Кабинета президента Microsoft в России и СНГ, данное ответственному редактору нашего журнала Наталии Елмановой.
Общие вопросы
КомпьютерПресс: Каковы, на ваш взгляд, самые серьезные угрозы, которые подстерегают сегодня корпоративных пользователей?
Владимир Мамыкин: Главная угроза — это отсутствие у большинства корпоративных пользователей общей стратегии обеспечения информационной безопасности. А это означает непонимание рисков для бизнеса с точки зрения утечки информации, отсутствие модели угроз, отсутствие классификации информации по степени важности и по степени доступа, отсутствие регламентов поведения сотрудников и многого другого. Отсутствие общей стратегии обеспечения информационной безопасности не дает возможности корпоративным пользователям эффективно строить систему защиты своих интересов, что может негативно отразиться на бизнесе.
КП: Какие проблемы обеспечения корпоративной информационной безопасности представляются вам наиболее актуальными для руководителей компаний в настоящее время и каких новых проблем им следует ожидать в ближайшем будущем?
В.М.: Прежде всего стоит отметить, что руководители информационных служб (CIO) не всегда несут ответственность за обеспечение информационной безопасности — часто эта обязанность возложена на специальные структуры, иногда входящие в общую службу безопасности. Поэтому ваш вопрос нужно отнести к руководителям, ответственным за обеспечение информационной безопасности в целом.
Одна из основных проблем — нехватка квалифицированных кадров, и она будет только усугубляться. В стране, в общем-то, имеются специалисты, технически хорошо подготовленные для обеспечения информационной безопасности, но найти среди них тех, кто знает особенности бизнеса и умеет построить решения на основе минимизации возможных рисков, — задача наивысшей сложности, и такие люди просто на вес золота. На данный момент уже недостаточно знать, КАК построить решение, — надо уметь обосновывать, ЗАЧЕМ это решение следует строить и ПОЧЕМУ строить его нужно именно так. И на вопросы «зачем» и «почему» следует отвечать с точки зрения бизнеса.
КП: Каковы, на ваш взгляд, самые распространенные ошибки, совершаемые системными администраторами и руководителями информационных служб при организации защиты корпоративных информационных ресурсов от вредоносного ПО?
В.М.: Прежде всего это нерегулярное обновление основного ПО, которое защищается антивирусными и антишпионскими программными средствами. Все уже привыкли, что антивирусные и антишпионские базы надо обновлять как можно чаще, однако к обновлению операционных систем, баз данных и приложений в России пока еще относятся как к чему-то необязательному. А ведь обновления основного ПО как раз и направлены на ликвидацию обнаруженных потенциальных уязвимостей, которыми пользуются вирусы и шпионы. Я бы рекомендовал в первую очередь заботиться об обновлении основного ПО, а уже потом об обновлении антивирусов и антишпионов.
Продукты и проекты Microsoft
КП: Антивирусный и антиспамовый продукт Microsoft Antigen — относительно новый для российских IT-специалистов. Если я не ошибаюсь, компания Sybari, разработавшая указанное решение, не вела активной деятельности в России. Можно ли охарактеризовать основную целевую аудиторию данного продукта?
В.М.: В основном это корпоративные пользователи, так как Antigen предназначен для серверов. А поскольку Antigen обладает уникальной особенностью проверять в режиме реального времени информацию, обрабатывая ее параллельно на девяти антивирусных ядрах от независимых производителей (CA, Sophos, «Лаборатория Касперского», Microsoft и др.), то это решение ориентировано на самые разные компании — от небольших до крупных.
КП: Кто из партнеров Microsoft занимается внедрением Microsoft Antigen в России?
В.М.: В России прежде всего следует назвать бывшего партнера Sybari — «Диалог-Наука», а также компании «Крок», Softline и «Антивирусный центр».
КП: Какие из средств безопасности Microsoft планируется выпустить в виде русскоязычных версий в ближайшее время?
В.М.: В первую очередь — ISA Server 2006, Antigen для Exchange Server, новую версию MS Assessment Tool (для оценки рисков в области ИБ) и Internet Explorer 7. В целом же общая стратегия выхода продуктов направлена на то, чтобы все продукты в России выходили на русском языке, в том числе и средства для обеспечения безопасности.
КП: Мы знаем, что деятельность Microsoft по ИТ-безопасности включает ряд проектов, связанных с сертификацией программных продуктов. Не могли бы вы перечислить основные достижения в этой области за последние годы?
В.М.: Корпорация очень серьезно относится к сертификации своих продуктов в России. За последние два года мы сертифицировали во ФСТЭК (бывшая Гостехкомиссия России) такие продукты, как Windows XP Professional, Windows Server 2003 (Standard и Enterprise Edition), SQL Server 2000 (Standard and Enterprise Edition) и Office 2003 Professional. Прошла и сертификация в ФСБ: получены положительные заключения от экспертной организации в отношении Windows XP Professional и Windows Server 2003. Сейчас идет процесс получения сертификатов.
КП: Расскажите, пожалуйста, о сотрудничестве Microsoft с органами государственной власти нашей страны в области безопасности. Чего вам удалось достичь в последнее время?
В.М.: Серьезный прорыв в этой сфере у нас произошел еще в 2002 году, когда мы подписали Соглашение о предоставлении доступа к исходным кодам продуктов Microsoft (Government Security Program, GSP). Россия первой в мире подписала этот документ, что привело к росту доверия к Microsoft со стороны государственных органов. С тех пор мы продолжаем работать над тем, чтобы укрепить это доверие государства к нам. Основным показателем здесь является успешная сертификация целого ряда продуктов Microsoft в различных государственных органах. Это позволяет госструктурам строить информационные системы на основе полностью сертифицированных в России решениях. С этой целью Microsoft расширяет доступ к своим исходным кодам, а также предоставляет российским специалистам для исследования исходные коды своих новых продуктов. Я не могу разглашать всех подробностей в силу конфиденциальности GSP, но вы можете мне поверить, что возможности по исследованию кодов мы предоставляем очень широкие, включая и коды некоторых продуктов, находящихся еще в стадии разработки. Я вижу, что наше сотрудничество расширяется и что доверие к нам растет. И это — главное достижение.
КП: Каковы дальнейшие планы Microsoft по сертификации программных продуктов?
В.М.: В наших планах — активное продолжение сертификации продуктов в России. Это связано еще и с тем, что пока не все классы наших продуктов мы сертифицировали, а также с тем, что новые продукты приходят на смену сертифицированным.
В ближайшее время мы планируем сертифицировать ISA Server 2006, SQL Server 2005, Windows Server R2, Share Point Portal Server и, конечно же, Windows Vista. Долгосрочные планы включают и множество других наших продуктов. Все это даст нашим клиентам возможность использовать решения, прошедшие самую серьезную проверку в ФСБ и ФСТЭК. Следует подчеркнуть, что государственные организации, которые согласно законодательству обязаны использовать сертифицированные решения, смогут выполнять свои непосредственные задачи и при этом соответствовать требованиям закона.
Продукты партнеров
КП: Не обострит ли выход корпорации Microsoft на рынок средств защиты ваши отношения с партнерами, производящими подобные продукты?
В.М.: Мы стараемся не переводить своих партнеров в разряд конкурентов. Например, в «Лаборатории Касперского» понимают, что появление на рынке наших антивирусных решений станет серьезным испытанием для всех производителей антивирусных решений. Но поскольку указанная компания поставляет свое антивирусное ядро для Antigen, а продажи Antigen после приобретения нами компании Sybari должны значительно возрасти, то бизнес «Лаборатории Касперского» будет в большей степени ориентирован на корпоративный рынок, чем на рынок домашних пользователей, поэтому компания останется нашим партнером. Но, например, Symantec, по-видимому, будет конкурировать с нами, а не сотрудничать. Мы всегда готовы к конкуренции. Главное, чтобы она была честной, без лоббирования принятия законов, направленных на то, чтобы не дать Microsoft выпускать интересующий пользователей продукт. При честной конкуренции, я уверен, мы победим. А выиграет в конечном счете пользователь.
КП: Планируются ли какие-то совместные действия Microsoft и других производителей средств защиты с целью ускорения реакции на новые угрозы?
В.М.: Мы постоянно работаем с рядом международных организаций, в частности с CERT, по такого рода вопросам. И скорость реакции на возникающие угрозы все время возрастает.
КП: Как вы полагаете, стоит ли при построении защиты корпоративной сети ориентироваться на продукты нескольких производителей?
В.М.: Это зависит от задач, стоящих перед вами. Если есть возможность воспользоваться решениями от одного вендора и если они вас полностью устраивают, это поможет существенно сэкономить ресурсы на управлении всем непростым хозяйством продуктов по обеспечению ИБ. Но если у вендора нет решений, которые удовлетворяют вас, то выход один — использовать продукты от разных вендоров. При этом нужно учитывать, что процессы интеграции этих продуктов, особенно общего управления ими, будут очень сложными, а иногда и невозможными.
КП: Каких продуктов и решений, на ваш взгляд, не хватает для решения проблем безопасности? И в чем заключается причина их отсутствия на рынке?
В.М.: Сегодня не хватает автоматизированных систем (например, роботов с искусственным интеллектом) для автоматического обеспечения задач информационной безопасности. Причина их отсутствия на рынке состоит в том, что человек — уж очень активно развивающееся создание, и придуманные им проблемы пока еще может решать только он сам. И это, как мне кажется, хорошо. Значит, у нас, у людей, есть будущее.
КП: Позвольте поблагодарить вас от имени нашей редакции и пожелать вашей компании, ее партнерам и вам лично еще больших успехов в создании защищенных продуктов и решений, а также в дальнейшем развитии добрых взаимоотношений с государственными органами нашей страны.
Владимир Николаевич Мамыкин — директор по информационной безопасности Кабинета президента Microsoft в России и СНГ. До прихода в Microsoft работал на руководящих должностях в ряде известных российских компаний, а также в чине полковника служил в военном исследовательском институте. Имеет 25-летний опыт разработки и внедрения защищенных информационных систем для государственных организаций и коммерческих структур, является разработчиком идей, руководителем проектов по созданию и выводу на рынок популярных программных продуктов, в числе которых поиск в базах данных «Поиск по-русски для Microsoft SQL Server 7.0», система электронной почты The Bat! Pro, инфраструктурный продукт «Безопасность в сети Windows Server 2000». |