"Безопасность инфраструктуры компании должна быть основана на двух составляющих"
Интервью с Александром Офрером, presale-менеджером компании OpenTrust.
- Компания OpenTrust позиционирует себя как разработчик программных продуктов для создания доверительной ИТ-экосистемы. А что вы подразумеваете под понятием "доверительная ИТ-экосистема"?
- Концепция "доверительной ИТ-экосистемы" подразумевает, что все носители информации, входящие в "сферу доверия" компании или соприкасающиеся с ней, должны обязательно обладать цифровыми сертификатами. Поскольку мы говорим о сфере ИТ, то, конечно, под сертификатами подразумевается использование формата Х509.
- Насколько актуальна на сегодняшний день задача защищенного обмена информацией?
- Сегодня во всем мире, в том числе и в России, бумажный документооборот постепенно уходит в прошлое, уступая место электронному обмену информацией - через интернет. Это очень быстро и удобно, но как только данные, которыми обмениваются пользователи, попадают во всемирную паутину, они сразу становятся мишенью для хакеров. Поэтому задача защиты обмена информацией сегодня актуальна как никогда. В России она регламентируется законом 152-ФЗ.
- Чем принципиально различаются понятия электронный документооборот и обмен файлами?
- Электронный документооборот - это, как правило, хранение и управление жизненным циклом документов, в то время как основная задача обмена файлами – отправка и получение документов пользователями или программами. Несмотря на то, что система обмена файлами хранит документ только ограниченное время и не позволяет вносить в него какие-либо изменения, процесс передачи файлов становится намного проще и безопаснее, чем в приложениях по управлению документооборотом.
- Одним из ваших основных продуктов является инфраструктура открытых ключей (PKI). В каких областях сегодня чаще всего применяется эта технология?
- Основные сферы применения PKI – это безопасность сети (VPN, 802.1X, Wi-Fi WPA-TLS), безопасность передачи данных (ЭЦП, электронных сообщений) и безопасность доступа (электронный пропуск, e-banking).
- Насколько интересен вопрос о PKI в российских условиях, с учетом ГОСТов и различных государственных нормативов?
- Вопрос о внедрении PKI в инфраструктуру российских компаний, действительно, довольно интересен, поскольку в России используется собственный государственный стандарт криптозащиты (ГОСТ). Более того, использование криптографии и цифровых сертификатов в России строго регламентировано (например, законом о защите персональных данных (152-ФЗ) и законом об электронной подписи (63-ФЗ)). В связи с этим все решения PKI, применяющиеся в российских организациях, должны обязательно обеспечивать полное соответствие российскому законодательству и поддерживать необходимые стандарты.
- Для каких компаний наиболее приоритетной является задача построения системы управления жизненным циклом смарт-карт, и какие бизнес-задачи она решает?
- Очевидно, что применение системы управления жизненным циклом смарт-карт (CMS) является приоритетной задачей для тех компаний, которым необходимо внедрить смарт-карты в свою инфраструктуру, используя при этом простое и надежное решение, что существенно влияет на совокупную стоимость продукта. Эксплуатация смарт-карт без CMS обычно приводит к ослаблению безопасности (например, когда для всех смарт-карт назначается одинаковый административный ПИН-код) и потерям рабочего времени (например, из-за процесса разблокировки смарт-карт).
Обычно вместе со смарт-картами компании применяют CMS для существенного повышения уровня безопасности системы: двухфакторная аутентификация, несомненно, намного лучше паролей. Кроме того, многие организации внедряют в свою инфраструктуру только сертифицированные решения CMS, например, для соответствия ISO 27001 или PCI / DSS. Применение смарт-карт существенно облегчает использование электронной подписи и шифрования, когда необходимые сертификаты, вместо компьютера пользователя, сохраняются на отдельном безопасном устройстве.
- Каковы, по вашему мнению, основные средства, необходимые для построения надежной системы защиты информационной среды компании?
- По моему мнению, безопасность инфраструктуры компании должна быть основана на двух составляющих - традиционной защите по периметру с использованием таких инструментов, как антивирусы и межсетевые экраны, усиленные системами IPS/IDS, и "доверительной среде безопасности", которая ориентирована как на защиту данных компании, так и на управление доступом к этой информации. Здесь применяются PKI и технологии шифрования.
© @Astera