|
|
Обзор подготовлен
В условиях, когда множество игроков вынуждено заниматься решением проблемы приведения своих ИС в соответствие требованиям законодательства, возникает потребность в упрощении "готовых" решений. В итоге на рынке ИБ-услуг начали появляться типовые предложения.
Прогнозируемый в начале 2000-х годов рост рынка информационной безопасности в России был достаточно существенно скорректирован сначала привычным желанием компаний сэкономить на непрофильных активах (соответственно, часто ИБ-услуги оказывались специалистами внутреннего ИТ-департамента, когда это было возможно), а в конце десятилетия и тотальным урезанием расходных статей на ИТ. В итоге, по оценкам Leta-IT company, «проседание» рынка за 2009 год составило 15%. При этом оно могло быть и значительно больше, если бы не два ключевых фактора, по сути удержавших рынок.
Во-первых, общемировая тенденция к увеличению и усложнению ИБ-угроз. 2009 год был богат на события, связанные с крупными веб-атаками, заражением промышленных систем вредоносными программами (Stuxnet) и программами-шпионами (Zeus), при продолжающемся росте спама и зомби-сетей, никуда не исчезнувшими проблемами инсайдерства и нецелевого использования ИТ-ресурсов компании, а также новыми проблемами доступности «облачных» решений.
Во-вторых, усилившаяся на местном рынке тенденция к «завинчиванию гаек» со стороны регуляторов. Последние делали это настолько непоследовательно и активно, что первая половина 2009 года, пришедшаяся на разгар кризиса в ИТ-отрасли, заставила многие компании скорректировать свою политику развитию информационных систем и дожидаться более скоординированных действий со стороны государства. Так, например, проектирование и внедрение средств защиты остались на прежнем уровне, но при росте числа проектов сократились их объемы. Достаточно заметно снизился интерес к аудиту и тестированию систем ИБ, поскольку эти два мероприятия в режиме дефицита бюджета, как правило, попадают под сокращение. Активность регуляторов не заставила себя ждать уже к середине года, что повлекло рост спроса на ИБ-услуги, связанные с подготовкой бизнеса к исполнению требований законов (в основном, комплекс мероприятий относился к защите персональных данных у их «операторов», которыми становились практически все компании в России). Как результат, примерно 20% всех расходов компаний в 2009 году и в первой половине 2010 года были связаны с исполнением ФЗ «О защите персональных данных».
2009 год принес на рынок ИБ-услуг новую парадигму общения ИТ-специалистов и руководителей бизнеса. Раньше последние полагали, что их компаниям нужно применять конкретные решения, чтобы защититься от конкретных ИБ-угроз – вирусных атак, спама, хакеров и так далее, поэтому они обращались к ИТ-службе с целью внедрения определенных продуктов, закрывающих подобные проблемы, воспринимая неизбежные траты как дополнительную нагрузку на бюджет, от которых они не могут (в силу незнания или нежелания) требовать определенной коммерческой отдачи. В 2009 году бизнес заинтересовался проблемой на более глобальном уровне – ИБ-угрозы стали восприниматься как нечто обобщенное, что мешает развиваться, что препятствует непрерывности бизнес-процессов и вообще ставит деятельность фирмы под вопрос. Соответственно, подход к решению этих проблем приобрел для менеджмента более привычные черты – они начали обращать внимание на финансово-экономические показатели внедряемых решений.
От ИТ/ИБ-специалистов теперь требуется максимально грамотно применить свои знания и реализовать поставленные на языке бизнеса задачи («быстро», «непрерывно», «эффективно»). Соответственно, вся технологическая сторона вопроса стала уходить на периферию, а компетенция штатных ИТ-специалистов, которые знали в определенной мере развитие некоторых сегментов ИБ-рынка, и сами выбирали продукты и решения, стала требовать все более весомой поддержки со стороны ИБ-интеграторов.
Требования регуляторов, о которых шла речь выше, вызвали у операторов персональных данных, которыми становились, по сути, большинство компаний, интерес к привлечению специалистов в области информационной безопасности к проведению конкретных мероприятий по аудиту ИС, их сертификации на соответствие необходимым стандартам и определению политики развития ИБ в компаниях. Иными словами, вместо вспомогательной роли «безопасники» начали играть конкретные бизнес-роли, связанные с поддержанием функционирования бизнеса, а ИБ стала стратегическим направлением инвестирования. Вместе с этим, как отмечают аналитики Leta-IT Company, у компаний произошло увеличение затрат на ИБ, поскольку внедрение средств защиты стало перешло в разряд среднесрочных расходов. Так, в 80% организаций с парком ПК более 300 машин появились специальные должности менеджеров по информационной безопасности. Сам закон 152-ФЗ создал отдельный и весьма крупный рынок продуктов и услуг, связанных с приведением информационных систем и регламента обработки персональных данных в соответствие с требованиями подзаконных актов.
Формально ИБ стали прагматичными. Вместе с тем, чтобы превратить ИБ в рабочий инструмент для бизнеса «прагматика» должна быть подкреплена соответствующими организационными мерами и стандартами, по которым фирмы могут точно определять размер капиталовложений в обеспечение безопасности. На развитых рынках Запада стоимость ИБ-проекта на 40-50% состоит из расходов на консалтинг и организационные меры.
В кризисный 2009 год большой популярностью у заказчиков пользовались системы защиты от мошенничества, инсайда и взлома. Также из-за того, что у многих компаний серьезно сократились ИТ-бюджеты, в том числе, и на ИБ, широкое распространение получили услуги по миграции с одного решения на другое и сопряженные с этим услуги сервисного обслуживания. В любом случае, клиентские запросы касались реализации комплексности и полной интеграции систем ИБ в существующие ИС, гибкости, большей функциональности, масштабируемости.
Требования регуляторов заставили компании обращаться к специализированным интеграторам с целью проведения услуг комплексного аудита ИС на соответствие требованиям закона и подготовку информационной системы оператора персональных данных к проверкам, разработки комплексных систем СОИБ. Также появился спрос на адаптацию политик информационной безопасности и других регламентирующих обращение информации внутрикорпоративных документов, включая трудовые соглашения. Сам заказчик стремится достичь адекватного представления о тех или иных технологиях безопасности и конкретных продуктах в контексте их оптимального и эффективного функционирования в конкретной информационной сети. Это во многом является результатом насыщения рынка различными ИБ-решениями в таких продуктовых сегментах, как DLP и программно-аппаратные комплексы по защите от спама и вирусов. В итоге бизнес-пользователю становится все труднее ориентироваться в различных вариантах ключевых технологий обеспечения безопасности, что при наличии повышенных требований со стороны топ-менеджмента к эффективности работы ИТ/ИБ-подразделений, заставляет последних обращаться за советом в специализированные консалтинговые компании. Обладая достаточными для проведения оценок методологическими и технологическими базами, те помогают в большинстве случаев получить необходимое представление о целесообразно реализации того и иного решения, которое самостоятельно ИТ/ИБ-подразделения выполнить не может в силу нехватки опыта и компетенций.
В результате подобного антикризисного подхода к решению ИБ-проблем на рынке наметилось «оздоровление»: в условиях ограниченного финансирования компании начали более скрупулезно относиться к выбору средств ИБ, прекратили закупать софт для защиты впрок или не по потребностям. Расходы же на ИБ стали теперь рассматриваться как инвестиции, от которых бизнес ждет вполне реальных результатов – обеспечения эффективности протекания бизнес-процессов, которые не смогут остановиться, например, в случае взлома корпоративной сети или внезапной проверки регулятора.
В условиях, когда практически все организации вынуждены заниматься решением проблемы приведения своих ИС в соответствие требованиям законодательства (причем, как отмечают сами игроки, не все они являются столь необходимыми и обоснованными для повседневного ведения деятельности компании), на рынке возникает тенденция к упрощению подобных «готовых ответов». В итоге в 2009 году на рынке ИБ-услуг появились типизированные решения в области защиты персональных данных (ЗПД) и некоторые другие.
По сути, если принять во внимание, что угрозы ИБ одинаковые и одинаковым является законодательство, регулирующее коммерческую деятельность компаний, связанную с возможными рисками от реализации этих угроз, то выстроить готовое «коробочное» решение действительно можно, когда сам список ИБ-услуг является примерно одинаковым. Оно поможет избежать лишних трат и наиболее эффективно использовать имеющийся в распоряжении потенциал и финансы для построения современной эффективной системы защиты информационных ресурсов, отвечающей также всем необходимым законодательным (или отраслевым) требованиям (например, стандарту Банка России СТО БР ИББС, ФЗ №152 с его подзаконными актами и др).
Тем не менее, оно может не подходить крупным компаниям, имеющим специфические требования к подобным решениям. Велик и риск представления за типовой продукт просто маркетинговых идей, которые привлекают покупателя своей простотой в разрешении сложных проблем. В конечном итоге, как полагают специалисты, типизация ИБ-услуг без негативных смыслов все же возможна и она может формироваться на базе пакетированных решений в сегменте SaaS (Security as a service) и «облачных» технологий.
Михаил Демидов