19.09.2001, среда

 

Обзор рынка комплексных систем информационной безопасности

Рынок систем защиты информации можно условно разделить на два, совершенно различных сегмента: первый, о котором все говорят, который понятен, который уже давно сформировался - продуктовый рынок, и второй - молодой и неокрепший рынок комплексных систем информационной безопасности, фактически рынок консалтинговых услуг. И эти два сегмента нельзя путать, они различны по своему составу, характеристикам, методам продвижения продукции/услуг.

Рынок комплексных систем защиты информации начал зарождаться в конце 1998 - начале 1999 года благодаря тому, что:
  • область IT вышла на качественно новый уровень, начала серьезно проникать в бизнес-процессы крупных предприятий и организаций;
  • проблема сохранности конфиденциальной информации начала выходить на первый план;
  • средства защиты информации настолько усложнились, что квалифицированно установить их в корпоративной системе могли только профессионалы;
  • система защиты информации перестала быть просто совокупностью каких-либо средств защиты, их эффективное объединение имело под собой синергетическую основу;
  • качественный комплексный проект требовал серьезной научно-методической базы, привлечения широкого круга специалистов по информационной безопасности.
Рынок комплексных систем защиты информации начал зарождаться в конце 1998 - начале 1999 года благодаря тому, что: То есть начал формироваться даже пока не спрос, а скорее интерес к теме информационной безопасности, появилось понимание того, что защита информации - это не просто набор продуктов. И лишь значительно позже заказчики начали понимать, что помимо "коробок" необходимо покупать и услуги по проектированию и внедрению систем информационной безопасности - как взаимоувязанного комплекса организационных, процедурных и программно-аппаратных мер защиты. Прежние структуры, исконно занимавшиеся защитой информации (режимно-секретные органы, первые отделы), уже не могли разработать такой системы - слишком быстро развивалась технология, слишком много появлялось новых угроз информации, общедоступные сети стали неотъемлемой частью корпоративных систем.

Нельзя сказать, что к настоящему моменту рынок комплексных систем окончательно сформировался - нет, он еще не набрал той силы, которая позволила бы противостоять "сезонным" колебаниям, не перестал быть той статьей расходов, которая может быть сокращена в случае нехватки средств. Он всё еще продолжает быть зависимым от продуктового рынка. Основной бизнес крупных компаний - это всё же продажа/производство/дистрибуция средств защиты информации. Часто консалтинговые услуги оказываются на начальном преддоговорном этапе, то есть они, как правило, бесплатны и имеют своей целью убедить заказчика купить тот или иной продукт. Однако буквально в последний год всё большим спросом пользуются действительно независимый консалтинг - обследование информационных систем, их аудит, проектирование комплексных систем информационной безопасности.

Основные предложения на рынке систем информационной безопасности

Предлагаемые на рынке услуги можно разделить на несколько крупных классов, в соответствии с этапами работ по защите информации:
  • обследование организации. Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват "бумажного" документооборота и бизнес-процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п.;

  • проектирование системы защиты информации. При проектировании системы информационной безопасности могут быть охвачены как все три уровня мер защиты - организационного, процедурного и программно-аппаратного, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, т.к. первый предполагает разработку концепции информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом - технического проекта;
  • внедрение системы защиты информации - заказчику выгодно использовать подрядную организации и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем качества выполняемых работ, выработкой единой политики безопасности;
  • сопровождение системы информационной безопасности - оперативное реагирование на внештатные ситуации, периодическое обновление специального ПО, установка необходимых "заплат" на общесистемное ПО, отслеживание появления новых атак и уязвимостей, т.е. в предельном случае аутсорсинг работ по защите информации;
  • обучение специалистов по защите информации, руководителей служб безопасности, руководителей IT-подразделений, пользователей средств защиты.
Потребители рынка систем информационной безопасности

Кто же является потребителем таких услуг? Первый класс компаний - это отраслеобразующие заказчики, которые, как правило, имеют собственные команды специалистов, способные самостоятельно проектировать и поддерживать системы защиты информации, формировать политику безопасности, вплоть до выпуска собственных отраслевых стандартов. Такие компании пользуются внешними услугами только на конкретных участках работ и, как правило, не отдают внешним компаниям решение концептуальных вопросов.

Следующим классом являются заказчики так называемого "закрытого" рынка, предприятия Министерства обороны, Минатома и т.п., основной защищаемой информацией которых является государственная тайна. Это достаточно большой рынок с большим объемом и интеграционных и научно-исследовательских работ, однако круг компаний, работающих на нем, жестко ограничен - это государственные унитарные предприятия, бывшие НИИ и очень редко - коммерческие организации.

Основным же потребителем дорогих комплексных услуг по защите информации являются крупные государственные и коммерческие компании. Такие компании имеют развитые вычислительные системы, мощные телекоммуникационные структуры, многие бизнес-процессы таких компаний автоматизированы. Как правило, крупные организации самостоятельно вопросы информационной безопасности не решают, а привлекают сторонние специализированные организации. Заказчики готовы платить немалые деньги за уверенность в качественной и надежной системе защиты информации. Системные интеграторы выполняют работы по полному циклу, начиная с обследования и заканчивая сдачей системы "под ключ".

Средние компании с количеством сотрудников порядка 50 - 100 человек также начинают переключать свой интерес от исключительно продуктового рынка к комплексным решениям, по прогнозам, как раз именно этот сегмент рынка будет самым бурно растущим. Однако сейчас он практически не сформирован, т.к. традиционные услуги по созданию систем, предлагаемые крупным компаниям, для этого рынка не приемлемы из-за высокой стоимости, а поставщики услуг пока не нашли эффективных способов продвижения. Средние компании, как правило, не могут платить за чистые услуги, бюджет на информационную безопасность включен в общий IT бюджет, сам по себе не очень большой, и IT-руководитель, на которого возложено обеспечение безопасности, должен решить, как за небольшие деньги получить и качественный консалтинг, и необходимые продукты. Видимо, лучшим выходом здесь является предложение на этот рынок типовых решений, например, "Защита от атак из Интернет" или "Защита корпоративной системы передачи данных" и т.п., то есть предложение заказчику некого стандартного (но достаточно гибкого) решения, в цену которого уже заложено и оборудование и услуги по внедрению. Это, во-первых даст заказчику нечто осязаемое, отработанное на испытательном стенде и на других объектах, и, во-вторых, не оставит его один на один с набором "коробок", которые необходимо как-то внедрить. Стоимость таких решений не должна превышать 30 - 50 тысяч долларов.

И последний класс компаний, не рассматриваемых здесь, - мелкие фирмы, которые пока не могут дать компания-интеграторам ощутимой прибавки к объему. Такие фирмы ориентированы исключительно на продуктовый рынок, и пока практически никто из участников рынка не готов инвестировать в его развитие.

Игроки рынка СИБ

Исторически первыми на этом рынке, еще когда рынка не было как такового, были закрытые государственные НИИ, ведущие те или иные разработки в области защиты информации, проектные институты. Эти организации обладают очень высоким научным потенциалом. В настоящее время они обслуживают "закрытый" рынок и практически не выходят за его рамки.

Очень большой класс компаний, работающих на рынке интеграционных проектов, представляют производители средств защиты, имеющие в своем составе проектную группу. Компании-производители достаточно давно работают на этом рынке и накопили обширный опыт по проектированию систем, однако они стараются строить комплексные проекты на собственной линейке продуктов и практически не внедряют "чужие" решения. Это объясняется и технологией организации работы, и отсутствием связей с другими производителями, часто являющимися конкурентами.

Правильно ли в одной компании иметь два направления? В данной ситуации играют роль следующие факторы. Первый - каждый производитель средств защиты старается стать "правильным вендором", то есть отстроить эффективные каналы дистрибуции и перенести основной объем с прямых продаж на продажи через партнеров, что сильно сократит его затраты. А таким партнерами в основном являются как раз системные интеграторы, основной бизнес которых заключается в создании комплексных проектов. Таким образом, производитель, имея в своем составе проектную группу и самостоятельно занимаясь интеграцией, добивается двух отрицательных результатов: становится конкурентом потенциальному партнеру-интегратору, и подрывает сам рынок, предлагая однобокие проекты, часто дискредитирующие идею интеграции.

Второй же фактор таков, что проектная деятельность приносит производителю до 40% его годового объема, от которых никто отказываться не хочет. Это то и позволяет сейчас сохраняться такой ситуации, когда производитель конкурирует со своими поставщиками, участвуя в различных тендерах, может снижать цены не просто в разы, а на порядки, тем самым препятствуя формированию рынка. Подобная ситуация будет сохраняться до тех пор, пока не наберет силу рынок системной интеграции, пока заказчик не поверит в него, пока доходы производителя от проектной деятельности не упадут настолько , что перестанут интересовать производителя.

В последние несколько лет большинство системных интеграторов, IT-холдингов, которые по сути всегда работали над комплексными проектами, начали создавать в своем составе подразделения, строящие системы информационной безопасности. Это вполне объяснимо, т.к. ни одна действительно серьезная информационная система не может существовать без системы защиты. Такие подразделения, как правило, не имеют собственных продуктов и поэтому могут достаточно объективно предлагать заказчику решения по защите информации. Структура компаний-интеграторов, создаваемая под проектную деятельность, то есть эффективное объединение и внедрение продуктов от различных производителей, достаточно оптимальна для разработки комплексных систем информационной безопасности.

Существуют ли "чистые консалтинговые" компании, занимающиеся исключительно системной интеграцией и консалтингом в области защиты информации? Видимо пока они не могут самостоятельно существовать на рынке, т.к. спрос только формируется, и прибыльность "чистой" интеграции будет незначительной. А, как известно, консалтинг по безопасности требует высококлассных дорогих специалистов и наукоемких технологий, всё это под силу только большой компании. Таким образом, у подобных компаний есть два пути развития для удержания на рынке: либо искать поддержки у больших компаний-интеграторов, либо заниматься дистрибуцией какого-либо продукта по защите информации, в результате чего они перестанут быть консалтинговой компанией.

В настоящее время можно рассматривать еще один класс участников рынка - это различные объединения и альянсы, консолидирующие усилия производителей, интеграторов для достижения тех или иных целей. Как правило, флагом и главной целью таких объединений является формирование рынка. Однако действительной силы такие объединения пока не представляют, это либо сотрудничество на техническом уровне, в результате которого появляется некий "бандл" (bundle), объединяющий в одной коробке несколько взаимодополняющих продуктов разных производителей, либо просто формальное заявление о сотрудничестве и дружбе, выливающееся в совместные PR-акции и, максимум, запуск продуктов партнера в свои каналы сбыта. То есть своей стратегической цели такие объединения не достигают. Это объясняется тем, что участники объединений не готовы брать на себя каких либо обязательств, они не желают ограничивать свободу своего бизнеса в некоторые даже очень широкие рамки. Ведь рынок сейчас растет сам по себе - это объективная ситуация и от участников рынка требуется не мешать ему, не ломать его, не демпинговать, давать рынку правильно развиваться.

Подходы к проектированию систем информационной безопасности

Сейчас на рынке можно выделить три типа поставщиков комплексных систем информационной безопасности, предлагающих три различных концептуальных подхода к проектированию систем защиты:

Подход первый: "от продукта". Этого подхода придерживаются, как правило, компании- производители, имеющие в своем составе проектную группу. Фактически, в таких компаниях интеграция выросла из просто внедренческого направления, в тот момент, когда заказчик попросил не просто продукт, а проект. Таким образом, вся технология проектирования ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи. Данный подход не всегда реально обоснован, особенно в условиях агрессивного маркетинга и позиционирования продукта, как "панацеи" от большинства угроз безопасности.

Однако, в случае, когда заказчик обладает достаточной квалификацией, чтобы широко смотреть на проблему защиты информации в целом и избегать однобоких решений, реализуются проекты высокого качества, что понятно - никто кроме производителя не знает продукта лучше. Но в этом случае требуется либо наличие собственных высококлассных специалистов, системных архитекторов, либо привлечение внешних консалтинговых компаний.

Позиция вторая - компания выступает поставщиком решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Оно состоит из комбинации нескольких технологий защиты, например, межсетевых экранов для защиты от атак из интернета, VPN - для закрытия каналов связи и т.п. Вот, казалось бы, оптимальная позиция: каждая технология, каждый продукт занимает свою нишу и закрывают определенные угрозы. Но тут существует одна проблема.

Формально схема выглядит следующим образом: сейчас существуют четыре основные технологии защиты: межсетевое экранирование, VPN, криптографическая защита, активный аудит. В каждой технологии есть по 3-4 действительно работающих продукта. То есть, четыре технологии по четыре продукта образуют 16 кубиков, из которых может строиться система безопасности. Тогда задача архитектора системы защиты сводится к тому, чтобы найти, куда пристроить каждый кубик. Возникает искушение начинать строить систему, отталкиваясь не от потребностей заказчика, а от имеющихся в наличии средств защиты.

Может быть, такая технология работы была бы оправдана в условиях полностью электронного документооборота в организации, но российские реалии таковы, что большинство компьютерных систем в наших организациях представляет собой 300-400 печатных машинок, объединенных сетью. В условиях бумажного документооборота все документы готовятся на компьютере, распечатываются, а потом в бумажном виде движутся по организации. В сети существуют лишь очаги автоматизации, например, в бухгалтерии, в конструкторском отделе и т.п. А все остальные сотрудники общаются друг с другом, в лучшем случае, по e-mail или через общие папки. Поэтому бывает трудно объяснить, зачем использовать, например, VPN, если вся информация отправляется по почте или факсу. Или зачем устанавливать на компьютеры электронные замки, если все документы хранятся в shared папках, не закрыты паролями, и их может получить практически любой сотрудник.

Нельзя говорить, что подход от "кубиков" не приемлем и не жизнеспособен. В настоящее время существует большой неосвоенный рынок средних и мелких компаний, для которых слишком дорого покупать серьезные консалтинговые услуги компаний-интеграторов. Таким компаниям как раз и нужен некоторый набор продуктов и решений, которые могли бы просто объединяться в систему, придавая ей необходимую функциональность.

И существует третья позиция - самая сложная и достаточно редко встречающаяся на нашем рынке. Какова стандартная схема продажи некоторого продукта или системы? Поставщик приходит к заказчику, изучает его проблему и предлагает то или иное решение, продукт или варианты решения, либо заказчик организует тендер, получает несколько предложений. И в том и в другом случае заказчик самостоятельно принимает решение о том какую систему, технологию внедрять. Т.е. ответственность за принятие решений по защите информации возлагается на заказчика, который, вообще говоря, не является экспертом в области защиты информации. Самая сложная задача, которая может и должна стоять перед компанией-интегратором, - это принять на себя ответственность за выбор стратегии обеспечения безопасности организации, развитие системы, ее адекватность развивающимся технологиям. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.

Перед выработкой решения по информационной безопасности интегратор должен провести всестороннее глубокое обследование не просто информационной системы заказчика, а всей "информационной жизни" организации. Обследование должно вестись на трех уровнях: на уровне бизнес-процессов, который выявляет документальные потоки, типы обрабатываемой информации, уровни ее конфиденциальности; на инфраструктурном уровне - для выявления уязвимостей серверного парка, сетевого оборудования; на уровне приложений, на котором выявляются уязвимости в программном обеспечении, ошибки в настройках механизмов разграничения доступа и др.

На основе полученных данных необходимо формировать сначала концептуальное решение по защите информации, состоящее из комплекса организационных, процедурных и программно-аппаратных мер защиты, а затем, четко обосновывая выбор, предлагать внедрение тех или иных технологий защиты. При этом нужно учитывать, что подсистема информационной безопасности является поддерживающей системой по отношению ко всей информационной системе организации. Она не должна играть доминирующую роль в развитии организации и ее информационной системы. То есть система информационной безопасности должна защищать информацию, обеспечивающую бизнес-задачи организации.

Таким образом, любая система информационной безопасности, защищающая крупную организацию с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.

Заключение

В заключение хотелось бы дать количественную оценку объема российского рынка. Это задача достаточно не простая, а тем более в условиях только формирующегося рынка. В настоящее время рынок систем информационной безопасности практически не отделим от продуктового, консалтинг часто идет условно бесплатным, а его стоимость включается в стоимость поставки оборудования. Системные интеграторы помимо проектов занимаются продажей, дистрибуцией средств защиты. Участники рынка либо не показывают своих объемов, либо завышают их. Объемы "закрытого" рынка практически невозможно оценить из-за отсутствия информации по этой теме, можно лишь построить интегральную оценку объема, исходя из примерной численности работающих на этом рынке специалистов. Можно предположить, что объем рынка составляет порядка 20 миллионов долларов. При этом рост, прогнозируемый аналитиками, может составлять около 30% в год, а по некоторым оптимистичным оценкам объем рынка в ближайшие годы может вырасти в разы.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS