Согласно исследованию аналитической компании IDC, объем российского рынка услуг в области информационной безопасности (ИБ) в 2011 г. составил 445 млн. долл., что на 43% превышает показатель предшествующего года. На 2012-й аналитики из IDC прогнозируют рост более чем на 30%. Таким образом, можно констатировать, что это один из наиболее быстро развивающихся сегментов ИТ-рынка России.
Факторы, стимулирующие данный рост, опрошенные нами эксперты разделяют на общемировые и региональные. К общемировым они относят количественный и качественный рост кибератак. В их организации киберпреступники применяют уникальные технологии и методы, из-за чего, с одной стороны, как отметил менеджер компании ASBIS по развитию проектных решений Microsoft Андрей Пинк, значительно возросла цена утечки информации, а с другой, по словам генерального директора “McAfee в России и СНГ” Павла Эйгеса, объектами атак теперь становятся не только отдельные (в том числе и крупные) предприятия, но и целые государства.
Важным фактором роста российского ИБ-рынка служит также бóльшая осведомленность ИТ-потребителей в вопросах ИБ и их более зрелый подход к защите информации. На впечатляющие количественные показатели, зафиксированные IDC, как считает технический директор компании LETA Александр Бондаренко, оказывает влияние и то, что многие разработчики ИТ-продуктов стали встраивать в них функции безопасности, тем самым тоже демонстрируя зрелось в области ИБ. В результате в зачет объемов ИБ-рынка стали попадать и ИТ-продукты, которые раньше там не учитывались.
Из региональных факторов влияния на ИБ-рынок эксперты прежде всего называют усиление регулятивных норм в области применения информационных технологий — регламентацию работы с персональными данными, с электронными платежами, информационными и развлекательными ресурсами в Интернете.
Структура российского рынка ИБ-услуг
Как отмечает заместитель генерального директора компании “Аладдин Р.Д.” Алексей Сабанов, на сегодняшний день в нашей стране не существует утвержденной классификации ИБ-услуг. Наиболее логичным, с его точки зрения, представляется разделение их на технико-аналитические, экспертно-аналитические и дополнительные.
Под технико-аналитическими ИБ-услугами он предлагает рассматривать комплексное обследование защищенности информационных систем, разработку документации, разработку, апробацию и внедрение решений по защите данных, техподдержку и сопровождение, а также установку и настройку средств защиты информации. Этот вид ИБ-услуг, по оценкам г-на Сабанова, сегодня наиболее востребован — на него, как он считает, приходится более 50% российского рынка ИБ-услуг.
К экспертно-аналитическим услугам г-н Сабанов относит анализ информационных рисков, аттестацию объектов информатизации, сертификационные испытания, расчет финансово-экономических показателей систем обеспечения безопасности информации (СОБИ), экспертизу проектов и решений. В числе дополнительных ИБ-услуг он называет консалтинг, обучение и аутсорсинг эксплуатации СОБИ.
Согласно оценкам директора по развитию бизнеса компании “Информзащита” Андрея Степаненко, около 40% российского рынка ИБ-услуг составляют услуги по внедрению и интеграции ИБ-средств, примерно треть его приходится на консалтинговые услуги, остальное — на услуги по поддержке, обучению, а также на ИБ-аутсорсинг, доля которого, как он полагает, будет расти по мере всеобщего перехода на сервисную модель обеспечения ИБ. Сегодня же, по его наблюдениям, ИБ-аутсорсинг используют наиболее зрелые в отношении ИБ заказчики.
Павел Эйгес обращает внимание на то, что в проектах по приведению ИТ- и ИБ-систем в соответствие с регулятивными требованиями необходимы этапы первоначального аудита и построения систем контроля над изменениями и отклонениями от сертифицированного состояния ИТ и ИБ. Это, по его оценкам, весьма дорогостоящие и длительные проекты. Тем не менее спрос на них значительно вырос за последние годы и будет расти и дальше.
Отмечая снижение спроса на доминировавший до недавнего времени на рынке ИБ-консалтинг, обусловленный законом “О персональных данных” (рынок сейчас находится в ожидании новых подзаконных актов), г-н Бондаренко считает, что вышедший летом прошлого года закон “О национальной платежной системе” в состоянии вернуть оживление на рынок ИБ-консалтинга. Активным спросом, по его оценкам, пользуются сегодня услуги и решения, обеспечивающие базовые потребности компаний в области ИБ, к которым следует отнести управление доступом, защиту сетей и каналов связи, защиту от утечек информации.
К этому перечню г-н Эйгес добавляет (пока еще слабо востребованные, но имеющие большие перспективы, если судить по общемировому ИБ-рынку) услуги по удалённой оценке наличия уязвимостей в корпоративной ИТ-инфраструктуре, по защите от DDoS атак на ресурсы компаний на уровне провайдера услуг связи, защите мобильных данных (mobility data protection) на уровне операторов мобильной связи.
Андрей Пинк отмечает заметный спрос в нашей стране на антивирусную защиту как услугу, прежде всего со стороны индивидуальных российских ИТ-пользователей. Вместе с тем основными потребителями ИБ-услуг в нашей стране, по мнению г-на Сабанова, являются государственный и крупный корпоративный сектора, где системы защиты информации в основном уже построены, и нынешний рост рынка ИБ-услуг он связывает с необходимостью совершенствовать, поддерживать эти системы и управлять ими.
К важным факторам роста рынка ИБ г-н Сабанов относит также появление государственных и коммерческих услуг в электронном виде. Этот бурно развивающийся сегмент, по его мнению, требует ИБ-обеспечения, в том числе ИБ-сервисов, и одно из первых мест здесь занимает поддержка электронной подписи (ЭП). Оценивая объем рынка ИБ-услуг, он приводит такие данные. Сегодня одних только зарегистрированных удостоверяющих центров ЭП в стране насчитывается около 350, и их число продолжает расти; сервисный годовой контракт на обслуживание сертификата ключа ЭП стоит не менее 2 тыс. руб.; всего выдано свыше 3 млн. сертификатов ключей; в результате 6 млрд. руб. в сфере сервисов ИБ можно отнести только на поддержку сервиса ЭП.
Локомотивами этого рынка в ближайшие годы, по мнению г-на Сабанова, будут консалтинг, а также построение и поддержка единого пространства доверия. Последнему способствует активное развитие облачных ИТ-сервисов. Для получения доступа к ним пользователь должен будет обратиться к Единой системе идентификации и аутентификации (ЕСИА), где ему предоставляется личный кабинет. После авторизации пользователю транслируется определенный уровень доверия, в соответствии с которым он получает доступ к соответствующим этому уровню сервисам. “Ростелеком” к настоящему времени создал платформу для таких сервисов и начал набирать поставщиков услуг. По оценкам г-на Сабанова, такие сервисы появятся в стране через два-три года.
Росту рынка ИБ-услуг, как считает г-н Сабанов, способствует и тенденция к переводу обслуживания ИТ-систем на схему аутсорсинга: компании стремятся уменьшать штат ИТ-персонала, переводя его на сервисные контракты.
Давая свою оценку перспективам развития российского рынка ИБ-услуг, аналитик из компании “Доктор Веб” Вячеслав Медведев говорит, что появление их новых видов сомнительно, несмотря на активную рекламу. Более того, он отмечает сокращение разновидностей предоставляемых ИБ-услуг и сосредоточение провайдеров на наиболее популярных. Лидерами среди них, по его мнению, остаются интеграционные и консалтинговые, что он связывает с доминирующим у заказчиков традиционным восприятием понятия ИТ-услуги.
Преимущества и недостатки сервисной модели построения корпоративной ИБ
По мнению инженера-консультанта по информационной безопасности компании MONT Сергея Ласкина, принципиальных различий в обеспечении ИБ между традиционной и сервисной моделью нет. Если, например, требуется провести ИБ-аудит, то не имеет значения, кто его будет проводить — свой ИБ-персонал или внешний аудитор. Разве что у внешнего аудитора квалификация зачастую (благодаря специализации) выше, зато возникает проблема доверия к его сотрудникам, которые будут проводить проверки, полагает он.
Другие наши эксперты не согласны с такой оценкой. Так, г-н Эйгес указывает на принципиальные различия между этими двумя моделями, связанные прежде всего с затратами (покупая ИБ в качестве сервиса, организация платит только за саму услугу, не делая существенных инвестиций в инфраструктуру), а также с гораздо более высокой надёжностью второй модели. По его словам, сервисная модель — не простая замена реализованных собственными силами ИБ-сервисов, а перевод их на качественно более высокий уровень с одновременным снижением расходов.
С поправкой на дефицит квалифицированных ИБ-специалистов, с учетом бюджета и размеров бизнеса заказчика г-н Пинк тоже считает сервисный вариант более выгодным для большей части компаний.
Согласно наблюдениям г-на Бондаренко, в традиционной модели построения ИБ корпоративной службе информационной безопасности выделяется определенный бюджет, который далеко не всегда соответствует потребностям бизнеса и существующим рискам (с погрешностями как в большую, так и в меньшую сторону), а ИБ-служба, в свою очередь, выполняет только те функции, которые она может выполнить исходя из имеющегося бюджета. Сервисная же модель предполагает четкое формулирование ожиданий бизнеса от функции безопасности и оплату только использованных сервисов.
В числе очевидных преимуществ сервисной модели г-н Степаненко называет возможность компании-заказчика сосредоточиться на своих непосредственных бизнес-задачах и отказаться от вспомогательных (к которым относится и ИБ), сокращение расходов на обучение и удержание ИБ-специалистов, задействованных в эксплуатации ИБ-средств, появление рычагов, позволяющих требовать от провайдера гарантированное качество ИБ-услуг, в виде договора на уровень качества обслуживания (SLA).
Обращаясь к проблемам перехода на сервисную модель обеспечения ИБ, г-н Степаненко указывает на то, что она, в отличие от сервисной модели потребления ИТ, крайне редко дает возможность оказывать прямое влияние на качество бизнес-сервисов и оперировать бизнес-терминологией, на которой как раз и строится обоснование внедрения сервисной модели. Поэтому иногда сложно обосновать финансовую выгоду от ИБ-сервиса.
По мнению г-на Медведева, использование сервисной модели требует гораздо более серьезной, чем традиционная модель, проработки документального оформления отношений между поставщиком и потребителем ИБ-услуги.
Подчеркивая этот же аспект, г-н Сабанов утверждает, что для правильного документального оформления таких отношений клиенты должны иметь в своем штате ИБ-специалистов очень высокой квалификации. Основная их задача заключается в том, чтобы составлять договоры SLA таким образом, чтобы интересы всех участников процесса поставки и потребления ИБ-сервиса были сбалансированными.
Организационно-технические аспекты предоставления ИБ-услуг
Переход на сервисную модель обеспечения ИБ в нашей стране, по мнению г-на Бондаренко, серьезно осложнен тем, что во многих организациях и компаниях даже ключевые бизнес-процессы пока не используют сервисные подходы. Поэтому говорить о сервисном подходе в ИБ еще рано. До недавнего времени вопросы обеспечения информационной безопасности вообще воспринимались бизнесом как часть задач ИТ-подразделения, причем далеко не самая важная.
К тому же сервисная модель, как подчеркивает г-н Бондаренко, предполагает участие сторонней компании в таком чувствительном для бизнеса вопросе, как ИБ. Здесь на первый план выходит вопрос доверия, а значит, нужны какие-то серьезные механизмы обеспечения этого доверия на рынке (такие, например, как сертификация), которые пока не созданы.
Серьёзную зависимость от провайдера ИБ-услуг г-н Степаненко определяет как оборотную сторону сервисной модели обеспечения ИБ. Положившись на поставщика ИБ-услуг, компания, отмечает он, в случае неудачного опыта будет испытывать сложности со сменой провайдера. Возврат же к прежней, традиционной модели обеспечения ИБ будет значительно затруднен в силу утраты собственных высококвалифицированных специалистов и соответственно внутренних компетенций в области информационной безопасности.
Среди наиболее очевидных причин, сдерживающих распространение потребления ИБ как сервиса в России, наши эксперты называют явный дефицит подготовленных специалистов, которым предстоит работать на стороне ИБ-провайдеров, а также недостаточный уровень проникновения широкополосного доступа в Интернет в регионах.
Временной, но существенной причиной, препятствующей распространению сервисной модели ИБ, является кризисная ситуация в мировой экономике, на что обращает внимание г-н Ласкин. В таких условиях компании стараются экономить ресурсы, используют проверенные способы ведения бизнеса и неохотно идут на какие-либо новации.
В то же время, как полагает г-н Бондаренко, многие российские интеграторы готовы предложить своим клиентам сервисную модель предоставления услуг по обеспечению корпоративной ИБ. Хотя, по мнению г-на Эйгеса, при этом они должны будут использовать зарубежные разработки и действовать им придется в жесткой конкуренции с зарубежными провайдерами, особенно если дело касается высокопроизводительных, надёжных, полнофункциональных облачных ИБ-решений для крупных заказчиков, поскольку ИБ-решений мирового уровня, как он считает, российские производители предложить рынку не могут.
Скептически оценивает готовность инфраструктуры нашей страны к переходу на сервисную модель ИБ г-н Сабанов, отмечая отсутствие регулирования и стандартизации в этой области. Он считает, что это мешает объективно сравнить многие имеющиеся на рынке технологии и решения. По его мнению, действующая в стране система сертификации до некоторой степени условна, поскольку вендоры часто сами пишут технические условия (ТУ), которым должен отвечать их продукт, и сертифицируют его именно по этим ТУ. Что же касается более универсальной сертификации ИБ-продуктов на соответствие общим руководящим документам, то делают это далеко не все ИБ-производители. В результате из-за отсутствия объективного сравнения (в принципе его должен проводить какой-либо независимый институт, который еще нужно создать) заказчикам зачастую приходится поочередно внедрять несколько однородных решений от разных поставщиков.
Говоря об ИБ-услугах, г-н Сабанов обращается к вопросу их качества — надежности, доступности, времени отклика на запросы заказчика и т. д. Качество, по его мнению, должно измеряться по утвержденным стандартам, требованиям и т. п., которых, увы, сегодня нет, и SLA-договоры заключаются согласно сложившейся практике в том виде, в котором их составляют сами поставщики услуг, что, считает г-н Сабанов, не совсем правильно. Он предполагает, что в практике предоставления ИБ-услуг адекватная система качества появится только через несколько лет.
Наши эксперты обращают внимание на то, что переводу на сервисную модель поддаются не все функции ИБ — всегда останутся наиболее критичные бизнес-компоненты, процессы, данные, ИБ-обеспечение которых компании не захотят передавать на сторону. Поэтому они полагают, что наилучшего результата в организации ИБ можно добиться только в том случае, если сочетать работу собственных ИБ-специалистов (численность которых в сервисной модели резко сокращается, зато характер работы меняется на экспертно-управленческий и резко возрастают требования к их квалификации) с ИБ-услугами внешнего провайдера (которому перепоручаются рутинные ИБ-задачи).
Пока же приходится констатировать, что сегодня построение корпоративной ИБ по сервисной модели происходит в условиях, когда невозможно в достаточной степени документально затвердить требуемые гарантии качества обслуживания, а значит, со стороны заказчика предполагается некоторая доля авантюризма.
