|
|
Проблемы и тенденции развития рынка информационной безопасности в России в современных условиях04 июня 2009
Рынок информационной безопасности в России последние годы активно развивается и растет, это напрямую связано с ростом экономики. В условиях финансового кризиса в текущем году компании вынуждены сокращать расходы, что в первую очередь сказалось на финансировании ИТ проектов и в частности ИБ. Несмотря на это, темпы роста хоть и упали, но по нашим оценкам продолжают демонстрировать положительную динамику во многом благодаря закону ФЗ 152 «О персональных данных». Однако если сравнивать наш рынок с западным, то, безусловно, отставание есть и здесь финансовая составляющая не играет основной роли. На наш взгляд, одной из основных проблем развития рынка информационной безопасности в России является недостаточное понимание бизнесом необходимости долгосрочного превентивного планирования и проектирования процессов управления информационной безопасности, исходя в первую очередь из потребностей и целей бизнеса, и в целом это не зависит от масштабов компании, отрасли и сферы деятельности. Особенно хорошо это заметно при рассмотрении информационной безопасности не как внедрения каких-то технических решений, а как непрерывный процесс, затрагивающий все аспекты деятельности компании, все её ресурсы, особенно человеческие. Другими словами, зачастую приходится сталкиваться с непониманием того факта, что обеспечение информационной безопасности это не разовая установка специализированного ПО либо аппаратного устройства, позволяющих решить какую-либо определенную задачу по защите данных, а целый комплекс организационных (например, формирование стратегии и написание политик информационной безопасности, управление рисками, расчет и обоснование стоимости инвестиций в ИБ, проведение семинаров по повышению осведомленности пользователей) и техничеких мероприятий (например, проектирование и внедрение систем защиты, проведение периодических внутренних активных аудитов), в котором должны быть задействованы все сотрудники организации.
К сожалению, зачастую руководители обращают внимание на угрозы информационной безопасности, только тогда, когда «гром грянул», другими словами, когда возникает тот или иной инцидент безопасности, который либо приводит к ущербу, либо создает явные предпосылки для этого. Другая причина возникновения потребности в услугах по ИБ появляется при усилении государственного регулирования (в данный момент это особенно видно на примере ФЗ №152 «О персональных данных»). В первую очередь в связи с этим, несмотря на сокращение бюджетов, в России есть компании, которые вынуждены увеличивать расходы на ИБ. Также вряд ли будут снижать расходы на ИБ те компании, чей бизнес может серьезно пострадать из-за инцидентов в области ИБ, как, например, при коммерческом шпионаже, недружественных поглощениях, которые без «утечки» вряд ли возможны. В настоящий момент следует отметить, что кризис «подталкивает» руководителей к более взвешенным решениям по приобретению средств безопасности и особенно их лицензированию, то есть инвестиции стали более продуманными и экономически обоснованными. В условиях непростой экономической ситуации можно предположить, что пиратского ПО станет использоваться больше, связано это как раз с секвестированиями бюджетов. Однако по нашему мнению такой подход не совсем оправдан, так как вполне логично предположить и увеличение в связи с этим проверок правоохранительными органами.
Основной спрос российских компаний приходится на средства защиты от несанкционированного доступа и криптографической защиты данных. Именно эти технологии позволяют обеспечивать конфиденциальность и целостность информации. Им сейчас уделяется больше внимания, так как в условиях кризиса повышаются угрозы, связанные с инсайдерами и сокращенными сотрудниками. Для сотрудников российских компаний становится уже обычной практикой в случае увольнения уносить с собой всю наработанную базу клиентов или документации. Как показывает наш опыт, защитой от такой угрозы располагают далеко не все компании и зачастую ущерб усугубляет проблемы бизнеса. Традиционной популярностью пользуются антивирусные решения и средства контроля электронной почты и доступа в интернет. Для компаний, имеющих развитые инфраструктуры, актуальны решения по централизованному управлению идентификационными данными и доступом, обнаружению вторжений, и защите от утечек.
Что касается отраслевой специфики, то достаточно трудно выделить зависимость технологий защиты информации от отрасли, где они применяются. В первую очередь ИБ ориентирована на защиту информационных активов организации, непосредственно влияющих на основные бизнес-процессы компании, приносящие прибыль. Таким образом, каким бы видом деятельности не занималась компания, подходы к проектированию и построению систем безопасности остаются схожими. Различия могут проявляться на уровне выбора тех или иных технических средств защиты и конкретных организационных мер и больше зависят от масштабов организации, ее распределенности (в т.ч. информационных систем), а также выделяемых бюджетов. Также на выбор технических средств защиты и конкретных мер по обеспечению защиты информации (в т.ч. организационных) оказывают влияние отраслевые стандарты по информационной безопасности (например, стандарт PCI DSS для платежных систем), характер обрабатываемой информации (например, гостайна), отраслевые рекомендации (стандарт СТО БР РФ ИББС-1.1-2007 для банковских организаций), внутрикорпоративные стандарты и правила, а также контрактные обязательства. В целом методики и принципы проектирования и построения СУИБ остаются весьма схожими.
Вендоры достаточно чутко реагируют на изменения экономических условий, финансовый кризис повлиял на всех, и новые экономические условия необходимо учитывать. Так, некоторые, например, заморозили либо цены на свою продукцию, либо курс валют, кто-то предоставляет рассрочку платежа. В целом все понимают, что без разработки и введения новых финансовых инструментов и программ продажи серьезно упадут. Касаясь решений отечественных компаний, можно отметить, что, так как стоимость их продукции зачастую ниже, то покупатели готовы пожертвовать известным именем и иногда избыточными для них возможностями аппаратно-программных решений, заплатив при этом меньшие деньги. Правда, к сожалению, далеко не все импортные средства можно заменить на российские, к полному импортозамещению мы придем еще не скоро. Так что у российских производителей появляется дополнительный стимул к развитию. Отдельно можно заметить, что, так как информационные технологии проникают всё глубже в жизнь простых граждан, то проблемы ИБ станут волновать не только юридических лиц, но и частных, т.е. ИБ «опустится с высот на землю».
Не в последнюю очередь на развитие рынка влияет недостаток квалифицированных специалистов в области ИБ, которые могли бы говорить на одном языке с топ-менеджерами компаний и донести преимущества и необходимость применения процессного подхода к управлению ИБ. В России катастрофически не хватает грамотных специалистов по информационной безопасности, обладающих такими качествами. И дело тут в системе образования вообще. Современный специалист должен обладать теми навыками и знаниями, которым его просто не учат в ВУЗе. Государственные стандарты образования не отражают современных требований бизнеса, например, попробуйте спросить обычного выпускника технического ВУЗа что такое ROSI или TCO. Ответ вы вряд ли получите. А потом такой специалист приходит работать в компанию, выстраивать её защиту, которая, скорее всего, получится хорошей именно с технической точки зрения, а вот с точки зрения бизнеса могут возникнуть вопросы о том, насколько эффективно это было сделано с учетом специфики бизнес-процессов компании и расходования выделенных средств. У выпускников российских ВУЗов, обладающих достаточными техническими знаниями, не всегда есть четкое понимание того, что процессы информационной безопасности должны выстраиваться именно исходя из требований бизнеса. Таким образом, компаниям приходится дополнительно вкладывать средства в дополнительное образование молодых специалистов. Однако данный сценарий применим только в том случае, если в самой компании менеджмент осознает необходимость выстраивания процессов управления безопасностью неотрывно от основных бизнес-процессов, приносящих прибыль.
Если говорить про перспективы дальнейшего развития рынка, то, во-первых, будет дальнейшее усиление влияния регуляторов. Во-вторых, будет дальше расти рынок средств DLP, скорее всего будет сохраняться тенденция, связанная с консолидацией рынка путем покупок более мелких игроков крупными, которые в свою очередь благодаря этому будут выпускать все больше средств «все в одном».
Что касается кадровых проблем, то нехватка специалистов затрагивает как самих игроков рынка ИБ, так и компании, которые нанимают специалистов для решения внутренних задач. В связи с этим в настоящее время прослеживается тенденция к запуску специальных программ дополнительного образования для специалистов и руководителей по ИБ, предполагающих комплексное бизнес и ИБ образование.
Управляющий партнер компании Pointlane
Королёв Алексей
|
НАШИ КЛИЕНТЫ
|
