Потребители СЗИ - объединяйтесь!

В ходе конференции "Инфофорум Прикамье" заместитель директора НКЦКИ Николай Мурашов предложил создать Ассоциацию пользователей средств защиты информации. Данное предложение появилось в ходе обсуждения темы защиты критической информационной инфраструктуры (КИИ). Эксперт центра мониторинга и реагирования на инциденты ИБ Jet CSIRT "Инфосистемы Джет" Валерия Суворова заявила о том, что на средства защиты информации (СЗИ) нельзя полагаться полностью, поскольку они могут пропустить угрозу. В ответ на это заместитель директора НКЦКИ Николай Мурашов выступил с инициативой создания Ассоциации пользователей средств защиты информации. Данная организация должна, по мнению Николая Мурашова, взять на себя все усилия по влиянию на вендоров, чтобы развитие продуктов шло в нужном для заказчиков направлении. Кроме того, ассоциация могла бы при необходимости участвовать в судебных разбирательствах в тех случаях, когда инцидент произошел вследствие некорректной работы СЗИ. Коммерческий директор "БСС Безопасность" Валерий Степанов считает идею создания такого объединения нужной и своевременной: " Это обусловлено нестабильной геополитической конъюнктурой и как следствие кратно возросшими рисками информационной безопасности для предприятий из всех отраслей экономики. Рынок российских средств защиты информации развивается стремительно. Настолько же стремительно растет и количество активных пользователей (особенно учитывая вопросы импортозамещения). Необходимость создания той или иной ассоциации зависит от ее четко сформулированных целей и задач. Ассоциация в формате коллективного разума может проводить аналитику по актуальным (или особенным) атакам злоумышленников и методам защиты и генерировать идеи развития для каждого из отечественных производителей. Дееспособность организации будет зависеть как от организаторов, так и от пользователей и производителей средств защиты. Если будет создана благоприятная атмосфера без давления на кого-либо из участников и высокий уровень информационного обмена - все получится". Директор Центра разработки Artezio (входит в ГК "Ланит") Дмитрий Паршин считает, что будет довольно сложно организовать пользователей во влиятельную ассоциацию: "Вряд ли сейчас можно говорить о том, что существует запрос на создание подобной организации, так как влияние на поставщиков решений по безопасности и так существует. Они в любом случае ориентированы на мнение пользователей, особенно если мы говорим о крупных компаниях. Без учета их мнения не будет работать рыночная система, при которой продукт как минимум должен соответствовать ожиданиям клиентов, учитывать их требования. И если говорить об ассоциации, то нужно представлять, решение каких вопросов она может взять сверх того, что и так регулируется спросом и предложением. Обычно подобные организации нужны для лоббирования, снижения цен на программные решения или предоставления определенных преференций. Было бы разумно говорить о формате ассоциации со стороны вендоров, которые могли бы координировать в рамках организации усилия по обеспечению безопасности данных. Смогут ли пользователи средств защиты использовать формат ассоциации для синхронизации своих действий - большой вопрос. Проблема в том, что пользовательские запросы разные. У разных потребителей свои требования и к формату защиты данных, и к внедрению определенных решений. При всей привлекательности идеи создания ассоциации следует учитывать тот факт, что интересы и возможности применения специализированного ПО у потребителей разные. Будет очень сложно находить общие точки для влияния на вендоров. Гораздо проще клиентам будет договориться с вендорами напрямую, производители решений заинтересованы в том, чтобы их покупали". "Невозможно оценить своевременность и предполагаемую пользу от ассоциации, целевая задача и организационные подходы которой не ясны. Предметный разговор станет возможным только после четкого изложения целей и задач этого объединения, - заявил генеральный директор АО "ИВК" Григорий Сизоненко. - Может быть, ассоциация задумана как площадка для дискуссий? Но в этом качестве она отрасли и пользователям не нужна. Защита информации выстраивается в соответствии с требованиями регуляторов. Их требования организации должны соблюдать неукоснительно, и участие в ассоциации для этого не нужно. Надо отметить, что регуляторы прекрасно справляются с задачей обеспечения ИБ и устойчивости информационных систем в масштабе всей страны – даже при том, что подавляющее число информационных систем в стране построено на импортных решениях. Эти системы подвергаются массовым атакам, их буквально убивают - а они работают. Это говорит о том, что регуляторы со своей задачей справились очень хорошо". По оценке генерального директора Zecurion Алексея Раевского, особого смысла в создании такой ассоциации нет: "Конкуренция на нашем рынке сильная, рынок является рынком покупателя. То есть крупные клиенты и так имеют инструмент влияния на производителей. Поэтому дополнительные меры влияния избыточны". Основатель Qrator Labs Александр Лямин считает, что судить о своевременности и полезности этой ассоциации до официального заявления о составе ее учредителей и манифесте невозможно, а в индустрии запроса на создание подобной ассоциации не наблюдается. Ссылка на источник