Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который является регулятором в области объектов КИИ, выступил с инициативой создать ассоциацию пользователей средств защиты информации. Эта организация должна взять на себя функцию по влиянию на вендоров, чтобы развитие продуктов шло в нужном для заказчиков направлении.
© ComNews
07.10.2022

В ходе конференции "Инфофорум Прикамье" заместитель директора НКЦКИ Николай Мурашов предложил создать ассоциацию пользователей средств защиты информации.

Данное предложение появилось в ходе обсуждения темы защиты критической информационной инфраструктуры (КИИ). Эксперт центра мониторинга и реагирования на инциденты ИБ Jet CSIRT "Инфосистемы Джет" Валерия Суворова заявила, что на средства защиты информации (СЗИ) нельзя полагаться полностью, поскольку они могут пропустить угрозу. В ответ на это Николай Мурашов выступил с инициативой создания ассоциации пользователей средств защиты информации. Данная организация должна, по мнению Николая Мурашова, взять на себя все усилия по влиянию на вендоров, чтобы развитие продуктов шло в нужном для заказчиков направлении. Кроме того, ассоциация могла бы при необходимости участвовать в судебных разбирательствах в случаях, когда инцидент произошел вследствие некорректной работы СЗИ.

Коммерческий директор "БСС Безопасность" Валерий Степанов считает идею создания такого объединения нужной и своевременной: "Это обусловлено нестабильной геополитической конъюнктурой и, как следствие, кратно возросшими рисками информационной безопасности для предприятий из всех отраслей экономики. Рынок российских средств защиты информации развивается стремительно. Настолько же стремительно растет и количество активных пользователей - особенно учитывая вопросы импортозамещения. Необходимость создания той или иной ассоциации зависит от ее четко сформулированных целей и задач. Ассоциация в формате коллективного разума может проводить аналитику по актуальным (или особенным) атакам злоумышленников и методам защиты и генерировать идеи развития для каждого из отечественных производителей. Дееспособность организации будет зависеть как от организаторов, так и от пользователей и производителей средств защиты. Если будет создана благоприятная атмосфера без давления на кого-либо из участников и высокий уровень информационного обмена - все получится".

Директор центра разработки Artezio (входит в ГК "Ланит") Дмитрий Паршин считает, что будет довольно сложно организовать пользователей во влиятельную ассоциацию: "Вряд ли сейчас можно говорить, что существует запрос на создание подобной организации, так как влияние на поставщиков решений по безопасности и так существует. Они в любом случае ориентированы на мнение пользователей, особенно если мы говорим о крупных компаниях. Без учета их мнения не будет работать рыночная система, при которой продукт как минимум должен соответствовать ожиданиям клиентов, учитывать их требования. И если говорить об ассоциации, то нужно представлять, решение каких вопросов она может взять сверх того, что и так регулируется спросом и предложением. Обычно подобные организации нужны для лоббирования, снижения цен на программные решения или предоставления определенных преференций. Было бы разумно говорить о формате ассоциации со стороны вендоров, которые могли бы координировать в рамках организации усилия по обеспечению безопасности данных. Смогут ли пользователи средств защиты использовать формат ассоциации для синхронизации своих действий - большой вопрос. Проблема в том, что пользовательские запросы разные. У разных потребителей свои требования и к формату защиты данных, и к внедрению определенных решений. При всей привлекательности идеи создания ассоциации следует учитывать факт, что интересы и возможности применения специализированного ПО у потребителей разные. Будет очень сложно находить общие точки для влияния на вендоров. Гораздо проще клиентам будет договориться с вендорами напрямую - производители решений заинтересованы, чтобы их покупали".

"Невозможно оценить своевременность и предполагаемую пользу от ассоциации, целевая задача и организационные подходы которой неясны. Предметный разговор станет возможным только после четкого изложения целей и задач этого объединения, - заявил генеральный директор АО "ИВК" Григорий Сизоненко. - Может быть, ассоциация задумана как площадка для дискуссий? Но в этом качестве она отрасли и пользователям не нужна. Защита информации выстраивается в соответствии с требованиями регуляторов. Их требования организации должны соблюдать неукоснительно, и участие в ассоциации для этого не нужно. Надо отметить, что регуляторы прекрасно справляются с задачей обеспечения ИБ и устойчивости информационных систем в масштабе всей страны - даже при том, что подавляющее число информационных систем в стране построено на импортных решениях. Эти системы подвергаются массовым атакам, их буквально убивают - а они работают. Это говорит о том, что регуляторы со своей задачей справились очень хорошо".

По оценке генерального директора Zecurion Алексея Раевского, особого смысла в создании такой ассоциации нет: "Конкуренция на нашем рынке сильная, рынок является рынком покупателя. То есть крупные клиенты и так имеют инструмент влияния на производителей. Поэтому дополнительные меры влияния избыточны".

Основатель Qrator Labs Александр Лямин считает, что судить о своевременности и полезности этой ассоциации до официального заявления о составе ее учредителей и манифесте невозможно, а в индустрии запроса на создание подобной ассоциации не наблюдается.

Новости из связанных рубрик