|
|
|
Российский рынок ИБ должен преодолеть проблемы ростаРоссийский рынок информационной безопасности находится на начальной стадии своего формирования. Его развитие характеризуют как позитивные, так и негативные факторы. Из последних можно выделить стагнацию некоторых игроков, растущих медленнее рынка, а также недостаточность спроса на отечественные разработки со стороны корпоративного сектора, в значительной мере ориентированного на продукцию западного производства. Сложившаяся зависимость от госсектора в условиях нарастающей рыночной конкуренции и вступления в ВТО может оставить российских разработчиков на обочине. Если посмотреть на одно из определений термина «рынок», то мы увидим, что это «механизм, который сводит вместе покупателей и продавцов конкретного товара или услуги». Т.е. это не только продавцы и суммы их продаж, как часто считается, но и потребители, которые используют средства защиты на своих предприятиях. Но и этим рынок не ограничивается. В отличие от ряда других отраслей, сфера информационной безопасности достаточно жестко регулируется, а значит, к покупателям и продавцам у нас прибавятся регуляторы. Но и на этом список игроков рынка не ограничивается. В их число также входят: ВУЗы, готовящие специалистов по безопасности; сертификационные и аттестационные лаборатории; НИИ, проводящие различные НИОКР в области информационной безопасности; издательства, выпускающие книги по защите информации; общественные организации (например, МОО АЗИ или АДЭ), оказывающее влияние на рынок, а также СМИ, активно пропагандирующие информационную безопасность. Было бы неправильно считать, что только продавец и регулятор играют основную роль на рынке. Каждая из перечисленных ролей важна для эффективного развития. Без вузов у нас не будет специалистов, без хороших НИИ страна не сможем технологически развиваться, без СМИ рядовой пользователь не будет задумываться о своей безопасности… Регуляторы отрасли Регулирующая роль государства в области информационной безопасности всегда была сильно и сейчас она только усиливается. Как и раньше сейчас существует 4 системы сертификации решений по информационной безопасности, «подвластных» Федеральной службе по техническому и экспортному контролю (ФСТЭК), Федеральной службе безопасности (ФСБ), Министерству Обороны и Службе внешней разведки. О последней мало что известно. Да и сфера ее применимости достаточно специфична. Наиболее интересны два первых регулятора, так как именно они «работают» для широкой общественности, в отличие от МинОбороны, ориентированного на нужды только своего ведомства. ФСТЭК (бывшая Гостехкомиссия) отвечает практически за все вопросы, связанные с некриптографической защитой информации. За криптографию отвечает ФСБ, которая плюс к тому обеспечивает защиту высших органов власти. За защиту от несанкционированного доступа к сетям связи также отвечает Мининформсвязь, а его подведомственная структура – Федеральное агентство по информационным технологиям (Росинформтехнологии) является уполномоченным органом в области использования электронной цифровой подписи и удостоверяющих центров. Ключевые тенденции формирующегося рынка Российский рынок информационной безопасности находится на начальной стадии своего формирования, а потому на нем присутствуют как позитивные тенденции, так и различные негативные факторы. Первая не очень приятная тенденция – стагнация некоторых лидеров рынка. По данным CNews Security за 2005 год ежегодный рост рынка ИБ у нас составляет около 38% (по менее оптимистичным данным этот рост вплотную приблизился к 30%). Если посмотреть на прошлогодний рейтинг CNews Security, то из 30 вошедших в него компаний ровно половина росли медленнее самого рынка (5 из них входят в Top10). Более того. Берем пресс-релиз одной российской компании, которая говорит, что у нее рост 30% и ее задача на следующий год сохранить этот рост. Если не вдумываться, то показатель неплохой. Но если учесть рост рынка, то получается, что компания топчется на месте и развивается только потому, что растет сам рынок, а не сама по себе. Более того, ее цель не рост, а удержание текущих показателей, для того, чтобы только поспевать за рынком. Если еще раз посмотреть на прошлогодний рейтинг CNews Security, то среди всех разработчиков только четверо чувствуют себя достаточно неплохо, и их рост опережает рыночный – «Лаборатория Касперского», Aladdin, Infowatch и Positive Technology. И только одна из них входит в тройку лидеров российского рынка («Лаборатория Касперского»). Можно сделать поспешный вывод о том, что своя разработка не перспективна. Однако это не совсем так, и приведенные имена компаний лишний раз показывают, что продукт, ориентированный на потребителя, дает его разработчику возможность достаточно неплохо развиваться. Если же ориентироваться только на требования законодательства в ущерб пользователю, то продукт обречен на существование только там, где такие требования существуют, не имея возможности сделать шаг влево-вправо. К сожалению, многие отечественные разработчики до сих пор надеются на обязательную сертификацию средств защиты, которая позволяет им держаться «на плаву». Еще одна тенденция заключается в том, что продукт российского производства в основном используется в госсекторе с его жестким регулированием. Корпоративный рынок во многом ориентирован на продукцию западного производства. Связано это с несколькими причинами. Во-первых, западный продукт очень четко «заточен» на потребителя. Там почти нет требований по обязательной сертификации, и поэтому выживает тот производитель, который может предложить лучший продукт. Лучший с точки зрения технологии, удобства использования, поддержки и т.д. Иными словами, у нас требования к системам защиты часто диктует система сертификации, а на Западе – рынок. Корпоративный же заказчик в отличие от «государевых» структур, свободен от ограничений и может действительно выбирать то, что ему лучше всего подходит, а не то, что имеет сертификат. Такая зависимость в условиях нарастающей рыночной конкуренции и вступления в ВТО может оставить российских разработчиков на обочине. Вступление в ВТО, которое не за горами, в отличие от распространенного мнения, является далеко не положительным моментом для российских компаний. Сюда придут те, кто еще не пришел и подвинет тех, кто не сможет бороться на равных. Хотя основные игроки уже появились, есть еще ряд компаний, которые у нас не представлены или работают «спустя рукава». А вот нас ТАМ никто не ждет. Но, даже несмотря на это, российские разработчики, вышедшие на западный рынок, все же существуют. Это и «Лаборатория Касперского», и Infowatch, и Positive Technologies и ряд других. Где и в чем сильны российские разработчики Надо честно признать, что несмотря на постоянные призывы с высокой трибуны «догнать и перегнать», нам почти нечем похвастаться в области общепризнанных разработок по безопасности, исключая 2 направления – антивирусы и криптография. Технологии «Лаборатории Касперского» активно используются во многих антивирусах, а российские криптографические алгоритмы описаны как RFC и могут использоваться разработчиками по всему миру. Очень часто на различных конференциях и с телеэкрана приходится слышать о том, что российские разработчики самые лучшие в мире и наши программисты работают во всех крупных корпорациях мира. Это действительно так. Но только наличие хороших программистов не делает нашу страну технологическим лидером. Если посмотреть на кривую развития технологий сетевой безопасности, разработанную и регулярно обновляемую Gartner, то Россия не представлена ни в одной из них, исключая уже упомянутый сегмент антивирусов. «Не представлена» - это значит, что у нас нет развитого рынка и достаточного количества необходимых продуктов. Один-два – это еще не рынок. Разумеется, определенные наработки есть и у нас. Например, сканер безопасности X-Spider, система проверка соответствия требованиям по безопасности Digital Security Office (бывшие «Гриф» и «Кондор»), решения по контролю утечки информации Infowatch и т.д. Но пока это скорее исключение из правил, чем распространенная практика. С активным проникновением «Запада» российские компании начинают все больше использовать западные методики, стандарты, руководства в области информационной безопасности. Более того. И российские регуляторы уже не изобретают велосипед заново, а адаптируют зарубежные стандарты. В качестве примера можно назвать ISO 15408, ISO 17799, ISO 27001 и т.д. Однако было бы не совсем правильно говорить, что Россия окончательно встала на «путь 27001». В 2006 году такую сертификацию одного из своих процессов прошли всего 4 компании. Капля в море. Также можно отметить, что если раньше для большинства заказчиков безопасность сводилась преимущественно к закупке софта и железа, то сегодня ситуация постепенно налаживается. Многие корпоративные заказчики задумываются о том, чтобы привести свою безопасность в порядок и рассматривают ее как единую, целостную и эффективную систему. Также растет спрос на услуги (все, за исключением аутсорсинга), но опять же – только у корпоративных заказчиков и крупных операторов связи. Сегмент SMB пока не готов платить за достаточно дорогостоящие сервисы аудита, консалтинга, внедрения и т.д. Алексей Лукацкий |