В настоящее время оценка уровня зрелости информационной безопасности в России формируется как самостоятельный сегмент внутри рынка ИБ-консалтинга и аудита. Основной спрос здесь определяют крупный бизнес (финансовый сектор, ТЭК, телеком, промышленность), организации, попадающие под требования госрегуляторов, и структуры с распределенной ИТ-инфраструктурой.
Отдельная статистика именно по сегменту «Оценка уровня ИБ-зрелости» пока в стране публично не ведется, однако, по некоторым экспертным оценкам, его емкость сегодня ориентировочно составляет
Основными игроками этого направления являются крупные ИТ- и ИБ-интеграторы и консалтинговые компании (такие как Positive Technologies, BI.ZONE, «Ростелеком-Солар», «Инфосистемы Джет», КРОК, «АйТи», ЛАНИТ, «Газинформсервис», Digital Security, Angara Security и др.).
В числе главных проблем рынка эксперты называют в первую очередь отсутствие унифицированной методологии проведения оценки, недостаток компетенций в среднем и малом бизнесе, подмену компаниями ИБ-зрелости соответствием требований регуляторов.
При таком состоянии в России сегмента оценки корпоративной ИБ-зрелости эксперты бизнес-направления AKTIV.CONSULTING компании «Актив» провели его исследование, а по результатам подготовили и опубликовали первый в стране аналитический отчет «Оценка уровня зрелости информационной безопасности».
Как сообщила руководитель маркетинга AKTIV.CONSULTING Варвара Шубина, исследователи сделали вывод, что в настоящее время только самые крупные российские компании занимаются оценкой уровня зрелости своей корпоративной ИБ, используя для этого собственные методологии или лучшие мировые практики и инструменты. Однако для компаний сегмента СМБ этот вариант недоступен, прежде всего из-за его стоимости. Именно это побудило AKTIV.CONSULTING попробовать создать универсальный инструментарий для оценки уровня зрелости корпоративной ИБ, доступный в том числе и для заказчиков из СМБ.
По мнению специалистов AKTIV.CONSULTING, оценка уровня зрелости ИБ помогает руководству компаний включить развитие ИБ в стратегию развития своего бизнеса, обосновать вложение ресурсов в направление ИБ, в выстраивание ИБ-процессов, адекватное потребностям бизнеса, подчинить выполнению этих задач процесс управления ИБ.
Как напомнила руководитель AKTIV.CONSULTING Анастасия Харыбина, рынок сегодня предлагает несколько методик и инструментов для оценки уровня зрелости корпоративной ИБ и работает над их улучшением. Предлагая собственную разработку, AKTIV.CONSULTING преследует цель создать такую методику, по которой такую оценку могли бы проводить разные по масштабам и уровню зрелости структуры, используя при этом такие ключевые корпоративные категории, которые в состоянии дать объективные усредненные показатели. В основу методологии исследования лег опросник для самооценки, разработанный экспертами AKTIV.CONSULTING. Самооценка респондентов выявила низкий уровень ИБ-зрелости, и это несмотря на растущие в стране бюджетные вложения в это направление.
В исследовании приняли участие 52 организации (из которых около 70% относятся к субъектам критических информационных инфраструктур) из пятнадцати отраслей экономики; корпоративных участников исследования представляли руководители их служб ИБ.
Полученные в результате исследования данные были переданы пяти независимым экспертам, которые подтвердили релевантность полученных AKTIV.CONSULTING данных о состоянии ИБ в представляемых экспертами отраслях, возможность распространения результатов на все отечественные компании и получения рекомендаций для ключевых изменений (на стороне государства, игроков рынка ИБ, сообщества ИБ-экспертов), необходимых для повышения уровня зрелости корпоративной ИБ.
Эксперты также указали на то, что для повышения уровня зрелости ИБ необходимо соблюсти следующие ключевые условия: в госрегулировании важно соблюдать баланс между регуляторными требованиями и реальными мерами по повышения уровня ИБ-зрелости; игроки российского рынка ИБ должны стремиться повысить доступность СЗИ для заказчиков и одновременно повышать качество своей продукции, ориентируясь при этом на мировые показатели качества; внутри организаций для ИБ-служб важно грамотно выстраивать корпоративные ИБ-процессы и постоянно находиться при этом в диалоге с бизнесом, встраивать ИБ-процессы в процессы бизнеса; с учетом технологических трендов важно активно использовать в обеспечении ИБ искусственный интеллект, совершенствуясь при этом в обеспечении его киберзащиты; сообщество ИБ-специалистов должно активизировать обмен информацией между всеми участниками ИБ-рынка в целях оперативной выработки решений для противостояния киберугрозам.
Анастасия Харыбина считает, что у российских компаний есть реальная потребность в оценке ИБ-зрелости, ибо она обеспечивает хороший старт для постановки конкретных актуальных бизнес-задач, включая задачи реструктуризации, формирования стратегии развития бизнеса. Она напомнила, что «Актив» уже оказывает заказчикам услугу по оценке уровня ИБ-зрелости, при этом помимо собственной методологии AKTIV.CONSULTING использует ряд других, наиболее известных в мире.
По оценкам специалистов AKTIV.CONSULTING, оказываемые ими услуги по оценке ИБ-зрелости сегодня составляют
AKTIV.CONSULTING планирует развивать проект далее и готовить по нему ежегодные отчеты. В планы развития проекта на следующий год входит, как минимум, разработать и включить в методологию отраслевые показатели уровня ИБ-зрелости и попытаться оценивать корреляцию этих показателей с межотраслевыми.
