– Олег Вячеславович, давайте начнем с элементарного: что такое информационная безопасность, и насколько важно соблюдать ее требования?

– Мне, как преподававшему информационную безопасность более 20 лет, ответить на этот вопрос и легко и сложно. С одной стороны можно дать академические определения информационной безопасности, и это будет мало кому интересно, с другой стороны, можно привести примеры разных типов информации, данных, которыми оперируют различные пользователи. Вообще, под информационной безопасностью понимаются все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Однако разные категории пользователей имеют различное понимание, например, банки, которые обрабатывают финансовую информацию, озабочены сохранностью информации о сделках, финансовых транзакциях, защитой от утечек и т.п.

Частные лица под безопасностью понимают сохранение личных секретов, а также недопущение, например, утраты контактов из своей телефонной книги или возможность получения полюбившегося интернет-сервиса в любой момент.

На этих двух простых примерах мы можем видеть, что безопасность может быть представлена в разных ее аспектах:
– конфиденциальность, т.е. недопущение ее раскрытия посторонним;
– целостность – недопущение несанкционированной подмены информации или ее утрата, потеря;
– доступность – возможность получения информации за приемлемое время.

Каждый пользователь к информации предъявляет свои требования по безопасности. Но есть категория информации, требования к безопасности которой предъявляет государство. Это относится к информации, которая может быть отнесена к персональным данным, государственной тайне и другим видам тайн.

Поэтому, если речь идет об информации, безопасность которой не определена государством, то требования к безопасности определяет ее владелец и он же контролирует выполнение мер по ее соблюдению. Пользователь сам определяет, с насколько доверенным ресурсом он работает в интернете или как он обезопасит сохранность своих контактов вследствие потери телефона.

Но если безопасность информации определяется государством, то необходимо соблюдать требования, прописанные в законах и других нормативных актах.

Специалисты компаний естественно должны хорошо знать, как защищать важную, конфиденциальную информацию или сведения, составляющие гостайну.

Но сами компании должны иметь право заниматься защитой информации, т.е. иметь соответствующие лицензии ФСТЭК России, ФСБ России на осуществление работ, связанных с использованием сведений, составляющих государственную тайну, на деятельность с шифровальными средствами, на техническую защиту конфиденциальной информации, в зависимости от характера деятельности. В противном случае деятельность таких компаний будет находиться вне правового поля.

Одним из государственных инструментов обеспечения информационной безопасности является процедура лицензирования. Наличие лицензий также, зачастую, является необходимым условием для участия в различных конкурсах, тендерах и т.п.

Порядок лицензирования деятельности, связанной с защитой информации, и требования к лицензиатам определяются в законах Российской Федерации, в подзаконных актах, например, в Законе о государственной тайне, в Законе о персональных данных, Законе об информации, информационных технологиях и о защите информации, Постановлении Правительства РФ «О лицензировании деятельности, связанной с работой с шифровальными (криптографическими) средствами» и других.

– Как быстро меняются лицензионные требования? Они претерпевают изменения ежегодно?

– Нормативные документы разных уровней меняются с разной скоростью. Например, закон о государственной тайне был издан еще в прошлом веке и его требования не претерпевают серьезных изменений, т.к. принципы защиты государственной тайны были заложены очень давно, еще при Советском Союзе. Закон о защите персональных данных вышел 10 лет назад, однако дополнения к нему появляются достаточно часто. Постановления Правительства также выходят раз в несколько лет, но они не описывают всех ситуаций, возникающих при лицензировании.

Есть законы, есть Постановления правительства, и есть трактовка этих требований регулирующими организациями, и они могут меняться довольно часто, они могут быть разными в одно и то же время для разных регионов.

– И как же возможно обезопаситься от возможных срывов сроков лицензирования и подготовки документов к нему?

– Компания-консультант держится на двух основных китах – это репутация и сильная, профессиональная экспертиза. У нас есть много примеров, когда компании (наши нынешние клиенты) до прихода к нам обращались к другим так называемым «экспертам» – непрофессионалам и получали некачественные документы, не соответствующий требованиям персонал, и в результате – срыв сроков, и даже полный срыв получения лицензии.

– Вы осуществляете и подбор-подготовку кадров? Как вы их проверяете?

– Да, этим занимаются две наши бизнес-структуры – учебный центр и кадровое агентство. Учебный центр осуществляет профессиональную переподготовку и повышение квалификации по информационной безопасности. Кадровое агентство занимается подбором и трудоустройством специалистов.

У нас есть разные инструменты для проверки кандидатов. В первую очередь, это проверка представленных ими документов, анализ на соответствие лицензионным требованиям, запросы в различные государственные органы и негосударственные структуры. Но главное, нам важно, чтобы специалист с нашей помощью мог максимально раскрыть свои профессиональные компетенции и найти достойное место работы. А в случае необходимости мы можем «подтянуть» (поднять) его уровень за счет получения дополнительного профессионального образования, которое принимается регуляторами, ведь наши учебные программы согласованы с ФСБ и ФСТЭК России.
– Ваши услуги востребованы? Кто ваши основные клиенты?

– Мы работаем с клиентами, представляющие различные отрасли, и спектр этих отраслей довольно широк:
- кредитно-финансовые организации (банки, страховые компании, микрофинансовые организации)
- пенсионные фонды
- удостоверяющие центры
- мастерские по работе с тахографами
- информационно-аналитические центры
- медицинские и социльные учреждения
- учебные заведения
- НИИ, конструкторские бюро
- ЦТО (центры технического обслуживания контрольно-кассовой техники)
- госучреждения, городские и районные администрации
- комитеты и министерства по информатизации
- федеральные службы исполнения наказаний
- системные интеграторы и интернет-провайдеры
- казначейства
- телекоммуникационные компании и т.д.

– Вы оказываете услуги по всей России?

– Мы оказываем услуги на всей территории нашей страны, и наибольшим спросом они пользуются в Москве и Московской области, в Санкт-Петербурге как наиболее развивающихся регионах и центрах концентрации лицензиатов.

– Ваш сегмент рынка сегодня заполнен или такие компании, как ваши, пока еще единичны?

– Реалии нынешнего времени таковы, что наверное с трудом можно найти такие сферы, которые бы развивались вне конкурентной среды. На рынке есть компании, которые оказывают юридические услуги по подготовке к получению лицензии, компании, которые занимаются защитой информации, есть учебные центры, которые дают обучение по информационной безопасности, кадровые агентства по подбору соответствующего лицензионным требованиям персонала, но мы решаем задачу клиента комплексно и эффективно (т.е. можем оказывать все эти услуги) и оптимально, с возможностью оказания только необходимых клиенту услуг.