Обеспечение информационной безопасности (ИБ) — один из главных пунктов любого серьезного ИТ-проекта. Крупные компании и государственные учреждения уже многие годы в обязательном порядке оговаривают в технических заданиях мероприятия по защите своих информационных систем (ИС). А в последние несколько лет о необходимости обеспечения ИБ заявляют практически все заказчики из сегментов среднего и малого бизнеса.
Такое повышенное внимание клиентов к вопросам безопасности понятно и объяснимо. Как отмечает Эльман Бейбутов, эксперт Центра ИБ компании «Инфосистемы Джет», за последнее десятилетие в России появились обязательные требования к безопасности информации не только для госсектора, но и для коммерческих организаций. Среди них можно, например, упомянуть стандарт безопасности платежных карт, требования международных платежных систем к зоне эмиссии карт, отраслевые требования по содействию оперативно-розыскным мероприятиям, а также закон и нормативные правовые акты в области защиты персональных данных. В связи с этим коммерческие организации включают в комплексные ИТ-проекты подсистемы ИБ, реализующие набор обязательных требований.
С другой стороны, считает Бейбутов, крупные компании проявляют повышенный интерес к непрерывности ключевых бизнес-процессов, доступности и целостности информационных ресурсов, а также конфиденциальности коммерческой тайны. В таких компаниях к ИТ-проектам помимо требований регуляторов предъявляются и требования, продиктованные бизнесом. Реализация в рамках единого проекта комплекса условий позволяет добиться от подсистем ИБ формального соответствия и эффективности в защите коммерческих интересов компании.
«Сейчас мероприятия по обеспечению ИБ стали неотъемлемой частью комплексных ИТ-проектов, — говорит Михаил Башлыков, руководитель направления ИБ компании „Крок“. — И связано это прежде всего с возросшей зрелостью ИТ-инфраструктуры и ИТ-процессов в компаниях. Заказчики стали внимательнее относиться к вопросам управления безопасностью и часто при создании ИС сами инициируют установку подсистем защиты».
Такого же мнения придерживается и Виктор Сердюк, генеральный директор ЗАО «ДиалогНаука». «Сегодня обеспечение ИБ стало обязательным условием любого комплексного ИТ-проекта. Для успешного внедрения любой ИС необходимо ее надежно защитить от многочисленных угроз, — поясняет он. — Это, в свою очередь, приводит к тому, что в составе практически любой проектируемой ИС предусматривается подсистема защиты информации».
Михаил Башлыков подчеркивает, что особенно это характерно для крупных организаций, обрабатывающих большие объемы данных. Информация для них — важнейший актив, который нуждается в гибком управлении и защите. Чем лучше развита корпоративная ИС, тем больше сервисов для управления данными в ней реализовано. А это, в свою очередь, влечет появление в ИС новых уязвимых мест и угроз сохранности информации, которые надо нейтрализовать.
«Сейчас крайне актуальна тема защиты персональных данных и создания защищенных ЦОДов, отвечающих требованиям законодательства, — пояснил Александр Фоминенков, руководитель группы исполнения центра компетенции по ИБ компании „АйТи“. — Поэтому в любом комплексном ИТ-проекте непременно учитывается ИБ — либо в составе проекта, либо в качестве последующего этапа. В любом случае каждый ИТ-проект строится с учетом требований по ИБ».
По словам Ивана Бурдело, директора департамента ИБ компании «Кабест» (группа «Астерос»), в последнее время при реализации комплексных ИТ-проектов заказчики стали серьезнее относиться к проблематике ИБ. «Такая тенденция связана с двумя ключевыми факторами, — заметил он. — С одной стороны, ужесточились требования регуляторов к обеспечению ИБ. С другой — постоянно появляются новые виды угроз, требующие совершенствования существующих или применения новых средств и мер защиты».
Впрочем, рост внимания клиентов к вопросам ИБ вряд ли можно объяснить одними лишь требованиями регуляторов и появлением новых угроз.
Как отмечает Павел Коростелев, эксперт Tops BI по направлению ИБ, все большее число руководителей российских компаний осознают значимость ИБ для поддержания непрерывности функционирования ИС, обеспечения конфиденциальности данных, их целостности и доступности. «Заказчики видят важность ИБ и относятся к ней как к обязательной составляющей комплексных ИТ-проектов, — сказал он. — Многие понимают, что если при разработке проекта не принимать во внимание аспекты ИБ, то при появлении дополнительных требований проект столкнется с большими трудностями. В настоящее время вопросам ИБ уделяется значительное внимание уже на стадии разработки проектов. Можно сказать, что вопросы безопасности стали осознанной необходимостью».
О заметном прогрессе в этой сфере говорят и специалисты дистрибьюторских фирм. По словам Ирины Мартыновой, руководителя направления Microsoft компании OCS, 2–3 года назад ИБ расценивалась лишь как разовая установка специализированного ПО либо аппаратного устройства, что позволяло решить какую-то одну задачу по защите данных. А сегодня клиенты говорят о комплексе организационных и технических мероприятий, в том числе о формировании стратегии, политик ИБ, проектировании и внедрении систем защиты.
«Судя по информации, которую мы получаем, заказчики все более и более внимательно относятся к ИБ, что не может не радовать, — говорит Сергей Комаров, руководитель отдела антивирусных разработок и исследований компании „Доктор Веб“. — Люди все лучше понимают важность обеспечения безопасности ИТ-инфраструктуры. Очевидно, что это объясняется всеобщим повышением уровня грамотности как специалистов, так и, в первую очередь, руководителей».
Но до идиллической картины еще далеко. Олег Летаев, специалист по продажам систем ИБ представительства IBM в России и СНГ, отмечает, что в больших компаниях, в серьезном бизнесе составляющая ИБ очень большая. Крупные заказчики, даже прокладывая новые линии связи, обязательно соблюдают требования департамента ИБ по дополнительному оборудованию, обеспечивающему безопасность этих новых каналов. В среднем и малом бизнесе ИБ реализуется на уровне отдельных проектов, например, когда систему приводят в соответствие с ФЗ № 152. А когда малая или средняя компания внедряет конкретную систему, например CRM, о ее безопасности никто не задумывается.
Интересную тенденцию подметил Александр Белов, руководитель отдела продаж проектов департамента ИБ Softline Services. По его словам, в связи с усложнением решений и проектов в области ИБ они все реже становятся частью комплексных ИТ-проектов. Сказываются и высокая доля специфичного консалтинга, и необходимость привлечения специалистов, обладающих достаточно высокой компетенцией в данной области. Все перечисленное повышает целесообразность выбора отдельного подрядчика для реализации ИБ-проекта. Вместе с тем это не отменяет необходимости учитывать требования ИБ еще на стадии проектирования ИТ-систем.
На безопасности стараются не экономить
Кризис ощутимо ударил практически по всем сегментам ИТ-рынка. Лишь в некоторых нишах ситуация оставалась относительно благополучной. Одна из таких ниш — информационная безопасность. Здесь снижение объемов бизнеса было не таким существенным, как в среднем по ИТ-рынку. А в ряде компаний даже зафиксировали рост.
«В период кризиса спрос на решения в области ИБ не только не уменьшился, но кое-где смог вырасти, — утверждает Виктор Сердюк. — Это обусловлено тем, что в 2009 г. ряд компаний инвестировали значительные средства в проекты по защите персональных данных для выполнения требований законодательства».
По словам Сергея Комарова, кризис сказался на платежеспособности некоторых клиентов, но не на их отношении к отдельным разработкам, в том числе и к антивирусным. «К нашей радости, клиенты здраво оценили ситуацию и не стали массово экономить на критически важном для бизнеса аспекте — информационной безопасности», — сообщил он. Михаил Башлыков также отметил, что в компании «Крок» направление ИБ в кризис продемонстрировало рост. Заказчики сокращали более затратные статьи расходов, например экономили на закупке аппаратных средств. А в отношении ИБ кризисная ситуация подтолкнула компании к пересмотру требований к этим решениям. Теперь от внедрения средств защиты ожидают определенного экономического эффекта, появления новых возможностей для бизнеса. Это относительно новая тенденция. Прежде клиенты считали, что средства ИБ помимо того, что требуют затрат на внедрение, сковывают бизнес, снижают его гибкость. Но при правильном построении систем ИБ некоторые неудобства могут быть компенсированы экономическим эффектом.
«На наш взгляд, кризис не оказал существенного влияния на готовность заказчиков внедрять те или иные ИБ-решения, — рассказывает Иван Бурдело. — На фоне остальных этот сегмент ИТ-рынка пострадал в наименьшей степени. В кризисный год количество проектов по ИБ, выполненных нашей компанией, даже увеличилось. Это обусловлено тем, что проблематика ИБ с каждым годом приобретает все большую актуальность. ИТ-инфраструктура компаний постоянно расширяется, усложняется, приобретает распределенный, нередко гетерогенный характер, что создает почву для появления новых угроз. Для того чтобы им противостоять, необходимо все время „держать руку на пульсе“ и внедрять новые технологии защиты и подходы к управлению безопасностью».
Минувший год можно назвать годом обследований и консалтинга. Лишь незначительное число проектов было завершено полноценным внедрением систем ИБ. В сложный с экономической точки зрения год интерес заказчиков подогревали законодательные требования защиты персональных данных, а для компаний, обрабатывающих данные платежных карт, еще и необходимость соответствовать стандартам безопасности последних.
Неудивительно, что рынок систем ИБ быстро отреагировал на возросший спрос к отдельным услугам и решениям, что привело к наращиванию компетенций системных интеграторов в защите персональной информации и данных платежных карт.
Особое внимание, как отмечает Эльман Бейбутов, заказчики и производители средств защиты обратили на сертификацию ФСТЭК России. Ключевым критерием выбора решения для реализации подсистемы ИБ стала возможность использования сертифицированных средств защиты. Кризис внес коррективы в процесс выбора и обоснования решений в области ИБ. От систем безопасности требуется не только обеспечивать формальное соответствие, но и решать вопросы защиты коммерческой тайны.
С этим мнением согласен Александр Фоминенков. Он считает, что кризис заставил клиентов более продуманно относиться как к построению систем ИБ, так и ИС в целом. «Большинство компаний стремятся оптимизировать процессы, используя уже имеющиеся средства. Более того, заказчики стали внимательнее относиться к составу и квалификации команды исполнителя», — добавил он.
«Решения по выбору тех или иных проектов в сфере ИБ стали более выверенными и аккуратными. Заказчики сосредоточили внимание на соответствии требованиям отрасли и регуляторов, — говорит Андрей Голов, заместитель коммерческого директора компании „Информзащита“. — В связи с кризисом также появилась заинтересованность в проектах по защите от внутренних злоумышленников, мониторингу работы сотрудников».
Некоторые специалисты отмечают, что в прошлом году рынок ИБ оказался в довольно сложных условиях из-за сокращения бюджетов. Поэтому, несмотря на важность ИБ в кризисное время (последствия любого инцидента, например связанного с утечкой конфиденциальной информации, в кризис особенно существенны), расходы на безопасность в 2009 г. снизились, отмечает Олег Летаев. С другой стороны, в России всех подстегивает закон о персональных данных. В этом году, как только ИТ-бюджеты возросли, безопасность для заказчиков вновь стала приоритетным вопросом.
Александр Белов разделяет точку зрения экспертов, считающих, что на ИБ экономят в последнюю очередь. Этим и объясняется превышение динамики роста данного сегмента в сравнении с ИТ-рынком. Но такая схема срабатывает не всегда. Новые технологии ИБ довольно часто принимаются с трудом, их считают преждевременными или даже излишними. Гораздо реже, по словам Белова, экономят на классических ИБ-решениях. Рынок безопасности во многом растет за счет внедрений систем защиты от спама и вирусов, URL-фильтрации и некоторых других, а также за счет консалтинговых услуг.
Количество, сложность и изощренность угроз растут быстрее, чем развитие ИТ-инфраструктуры. Поэтому рынок ИБ должен быть динамичным и развиваться быстрее ИТ-рынка. Новые угрозы требуют постоянного совершенствования систем. Если заказчик это понимает, то на решение вопросов ИБ находится бюджет. И пока динамика рыночных показателей говорит в пользу ИБ.
Однако Олег Летаев не согласен с утверждением, что для всех компаний вопросы обеспечения ИБ имеют первостепенное значение. Для крупных предприятий это действительно так, что же касается средних и малых фирм — для них проблемы ИБ могут быть не первоочередными, но и на последнее место их точно не ставят.
Константин Соколов, директор департамента ИБ компании «АМТ-Груп», считает, что кризис помог многим компаниям пересмотреть отношение к обеспечению ИБ. Клиенты научились использовать данные, полученные с помощью средств защиты и контроля, для оптимизации бизнес-процессов, повышения производительности труда сотрудников и разрешения кадровых конфликтов.
«Так совпало, что вместе с кризисом вступил в силу закон „О защите персональных данных“, который стал значительным стимулом для внедрения ИБ-решений, — отметил Павел Коростелев. — Поэтому даже на фоне сокращения ИТ-отрасли в целом направление ИБ пострадало в меньшей степени. Можно считать, что кризис не ослабил сферу ИБ, а просто чуть притормозил ее развитие, и вместо ожидаемого роста на 40–50% мы увидели рост на 10–20%».
По словам Ивана Бурдело, доля ИБ-составляющей в комплексных ИТ-проектах в 2009 г. осталась, как минимум, на том же уровне, что и в 2008 г. Однако на фоне секвестирования других статей ИТ-бюджетов можно говорить о том, что относительная доля ИБ выросла до 10%. Ежегодные объемы проектов в области ИБ на протяжении последних трех лет увеличивались, в том числе и за счет развития аутсорсинга ИБ. В 2009 г. рост составил 15%. Портфель заказов на 2010 г. позволяет компании рассчитывать на увеличение выручки по направлению ИБ по сравнению с 2009 г.
Примерно так же оценивает ситуацию и Виктор Сердюк. Он считает, что за прошедший год доля составляющей ИБ значительно увеличилась. Более того, в ряде случаев объем финансирования, выделяемого на решение задач в области ИБ, стал сопоставим с ИТ-бюджетами компаний. Это объясняется тем, что в 2009 г. большое количество участников рынка реализовало проекты по приведению своих ИС в соответствие с требованиями закона о персональных данных. «По нашей экспертной оценке, средняя доля ИБ в общем ИТ-бюджете российских компаний составляет около 20%, — сказал Сердюк. — При этом необходимо отметить, что данный показатель сильно зависит от размера компании, а также от отрасли, к которой она относится».
«Внимание к ИБ растет, пусть и относительно невысокими темпами, — утверждает Михаил Башлыков. — Могу отметить, что доля ИБ в проектах „Крок“ в 2009 г. примерно на 20% превысила аналогичный показатель 2008 г. Прогноз на 2010 г. выглядит оптимистично, так как по итогам I квартала доля ИБ в проектах достигла 77% от показателя за весь прошлый год».
Оптимистично настроен и Константин Соколов. Наряду с руководителями других компаний он заявил, что доля составляющей ИБ в кризисные годы выросла, причем за счет перераспределения очередности финансирования в комплексных проектах: ИБ получила высший приоритет. Кроме того, заказчики проявляли интерес к решениям, нацеленным на оценку лояльности и эффективности персонала.
«Наша практика показывает, что доля составляющей ИБ в комплексных ИТ-проектах выросла, — сказал Павел Коростелев. — Одной из основных причин этого можно назвать вступивший в силу закон „О защите персональных данных“ и поправки к нему, которые в законодательном порядке предписывают компаниям иметь развитую систему ИБ».
По мнению Алексея Сахарова, главного специалиста компании «Нетком», несмотря на кризис и некоторые затруднения в финансировании, объем продаж в области ИБ за последнее время не только не упал, но и даже несколько вырос. Есть тенденция к увеличению числа компаний, обращающихся к вендорам за системами защиты данных в той или иной сфере.
Для компаний, работающих на высококонкурентных рынках, например банковская сфера, страхование, телекоммуникации, существенным фактором повышенного внимания к ИБ стала необходимость учитывать репутационные риски, связанные с ответственностью по обеспечению конфиденциальности данных клиентов и партнеров.
По мнению Александра Фоминенкова, в течение последних лет рынок ИБ неуклонно растет, проекты стали более масштабными и комплексными, заказчиков все меньше интересуют отдельные решения, такие как система межсетевого экранирования, обнаружения вторжений и др. Все больше фирм хотят иметь комплексную систему ИБ, состоящую из ряда подсистем, полностью интегрированных между собой и существующей инфраструктурой компании. «Если сравнивать прибыль за 2010, 2009 и предыдущие годы, то можно констатировать, что с каждым годом она стабильно растет, — говорит Фоминенков. — В прошлом году довольно сильный импульс придал закон о защите персональных данных, обязывающий все без исключения компании разработать и внедрить систему защиты».
Иной взгляд на ситуацию у специалистов компании «Информзащита». Андрей Голов считает, что кризис почти не изменил долю ИБ-составляющей в ИТ-проектах. Но количество специализированных проектов по ИБ выросло. Что касается экономии, то, по словам Голова, как и прежде, меньше экономят на существующих ИТ-системах, поскольку именно они обеспечивают поддержку бизнес-процессов и деятельности организации в целом. «На мой взгляд, показателем „здоровья“ ИБ является продление договоров технической поддержки. Если организация не сокращает эту статью, то значит, с ИБ все в порядке. В прошлом году у нас от поддержки не отказалась ни одна организация, хотя количество специалистов по ИБ у заказчиков сократилось», — сказал Голов.
Больше проектов в меньшие сроки
Игроки рынка отмечают, что после острой фазы кризиса объемы и сроки реализации ИБ-проектов сократились при некотором увеличении их количества. Последнее обстоятельство продиктовано принятием новых законов. А непростая экономическая ситуация требует быстрой окупаемости вложений. Но, как подчеркивает Михаил Башлыков, законодательство в этой сфере еще далеко от совершенства, и главной причиной, препятствующей быстрому росту рынка ИБ, являются частые изменения и поправки. Действительно, зачем внедрять сложные системы, если через полгода требования могут измениться?
Говоря о сроках реализации проектов, Александр Фоминенков отметил, что тот комплекс работ, который раньше выполнялся в течение года, сейчас заказчики хотели бы реализовать за 6 месяцев. Это связано с краткосрочным планированием финансирования проектов, а также непостоянством в выделении средств на те или иные нужды в условиях их дефицита. При этом сами проекты становятся более комплексными.
Иван Бурдело считает, что выделить общий тренд сейчас достаточно сложно. Все зависит от целей и задач проекта, масштабов организации, сложности бизнес-процессов и состояния системы ИБ на момент запуска проекта. Сроки реализации проектов по ИБ могут варьироваться от 3-х месяцев до 2–3 лет.
«Объемы продаж в этом году выросли, — подтверждает Олег Летаев. — А в сроках реализации мало что изменилось как в отношении внедрения, так и разработки документов, инструкций, внутренних регламентов и т. д. Сроки остались примерно теми же. Проблемы, с которыми мы сталкиваемся, связаны с процедурами ввоза устройств, которые содержат криптографию, с неясностью и недостаточной проработанностью подзаконных актов, тех же требований ФСТЭК. С одной стороны, существуют требования по сертификации, с другой стороны, единого технического регламента этой сертификации не существует. Но постепенно ситуация улучшается. В феврале этого года ФСТЭК, например, выпустила новые документы, которые сделали требования к обеспечению безопасности ИСПДн (информационной системы персональных данных) более прозрачными».
По словам Константина Соколова, средний объем проектов не изменился, незначительное же увеличение сроков их реализации в 2010 г. связано в первую очередь с определенными сложностями ввоза оборудования на территорию России. В некоторых сегментах рынка ИБ в 2009 г. и начале 2010 г. наблюдался откровенный демпинг со стороны некоторых игроков, что, возможно, в краткосрочной перспективе приведет к снижению расходов заказчиков при соответствующем снижении качества работ.
От антивирусов к эшелонированной обороне
По мере развития и усложнения ИТ-инфраструктур меняются требования заказчиков к средствам защиты информации. На вооружение принимаются все более совершенные системы обеспечения ИБ. Вместе с тем старые, надежные и проверенные решения не сдают свои позиции.
Как утверждает Максим Скида, менеджер по маркетингу продуктов ИБ представительства Microsoft в России, по-прежнему самыми востребованными остаются решения по защите от вредоносных программ. Однако следует отметить, что спектр таких решений расширился: теперь заказчикам нужны не просто антивирусы, но проактивные решения — поведенческие блокираторы, анализаторы сетевой активности и отклонений в работе пользователей от типового поведения, средства контроля используемых приложений и т. п. При этом решения по защите от проникновения и деятельности вредоносных, потенциально опасных и нежелательных приложений разворачиваются на разных уровнях ИТ-системы — настольных ПК, серверах приложений, порталах, системах защиты периметра сети и заканчивая «облачными» сервисами.
Также растет потребность в решениях ИБ в таких областях, как системы контроля использования конфиденциальной информации (DLP-решения, решения по защите от НСД); решения по централизованному управлению и контролю над учетными записями и правами доступа сотрудников, партнеров и заказчиков ко всем используемым (зачастую очень разнородным) информационным системам, сервисам и приложениям; обеспечение безопасной и удобной работы удаленных пользователей, использующих различные типы устройств для удаленной работы с информационными ресурсами (и друг с другом) через Интернет.
Растет необходимость соответствия принятым в организации политикам ИБ — как на внутрикорпоративном уровне, так и на уровне международных, российских и отраслевых стандартов и нормативных документов. Все большее количество организаций и компаний разрабатывают и внедряют политики ИБ, в связи с чем растет потребность в решениях, удовлетворяющих требованиям таких политик.
По мнению Ирины Мартыновой, сегодня основной спрос приходится на средства криптографической защиты данных и средства защиты от несанкционированного доступа. Именно эти технологии позволяют обеспечивать конфиденциальность и целостность информации. Традиционно популярностью пользуются антивирусные решения и системы контроля электронной почты и доступа в Интернет. Для компаний, имеющих развитые инфраструктуры, актуальны решения по централизованному управлению идентификационными данными и доступом, обнаружению вторжений и защите от утечек.
«За последний год массовый рынок стал больше внимания уделять специфичным решениям, таким как системы предотвращения вторжений, системы защиты от утечек данных, — говорит Олег Летаев. — Вторая тенденция связана с более глубоким проникновением виртуализации: возник повышенный интерес к защите виртуальной инфраструктуры. Прежней популярностью пользуются сетевые системы предотвращения вторжений в виде физических и виртуальных устройств». Иван Бурдело заметил, что разнообразие решений ИБ и сложность управлениями ими привели к увеличению спроса на интегрированные унифицированные решения. Эти инструменты сочетают в себе одновременно несколько механизмов и технологий ИБ (межсетевой экран, антивирус, VPN, IPS, Web-фильтрация и т. д.), позволяют существенно снизить расходы на сопровождение и добиться удобства в их использовании.
Но, как подчеркивает Андрей Голов, кардинально новых технологий для работы с инфраструктурой ИБ в последнее время не появилось. У вендоров идет запланированная унификация продуктов и поиск незанятых ниш. Популярная группа решений годичной давности — это DLP, потребность в которых, вероятно, была вызвана необходимостью в инвентаризации и классификации информации. Если говорить о ближайших потребностях и популярных темах, то это защита виртуальных сред, портальных решений и мобильных рабочих мест.
Самые активные — нефтяники, банкиры и связисты
Сегодня основу российского рынка ИБ составляют крупные корпоративные клиенты в различных вертикальных сегментах: государственные организации, банки, страховые компании, предприятия нефтегазового сектора, телекоммуникационные компании и др. Предприятия малого и среднего бизнеса по-прежнему занимают небольшую часть сегмента рынка ИБ, считает Виктор Сердюк. При этом в период кризиса данный сегмент рынка пострадал больше всего.
По оценке Эльмана Бейбутова, традиционно лидерами по числу контрактов являются банки, страховые компании, ретейлеры. Затем идут предприятия государственной и нефтегазовой отрасли. А телекоммуникационный сектор, ввиду меньшего числа компаний, входящих в него, менее других представлен в общем объеме договорных отношений.
Но совершенно иная картина складывается, если анализировать не общее количество договоров, а глубину работ и объемы поставок средств защиты информации в каждом из сегментов рынка. В этом случае в лидеры выходят такие сегменты, как нефтегазовый, телекоммуникационный, государственный и банковский, отмечает Бейбутов.
«Наиболее активными заказчиками в части внедрения решений ИБ традиционно являются крупные корпоративные клиенты, среди которых первенство принадлежит телекоммуникационным компаниям, финансовым структурам и банкам, — вторит ему Иван Бурдело. — Именно они обычно находятся на острие инноваций в области ИБ, первыми внедряют и апробируют новейшие технологии. Что касается госсектора, то в 2009 г. наблюдалось существенное секвестирование ИТ-бюджетов в этом сегменте — порядка 20–30%. Сейчас госструктуры начинают активизироваться».
«Крупные корпоративные клиенты отстают от госсектора в части больших комплексных проектов, — комментирует Михаил Башлыков. — Об этом можно судить по ряду проектов „Крок“ для крупных госструктур — как по защите персональных данных, так и по внедрению комплексных систем ИБ на базе телекоммуникационной инфраструктуры. Сохранится ли эта тенденция последних двух лет и в этом году, предсказать сложно, но пока все на это указывает».
В финансовом секторе системы ИБ внедряются довольно активно. Большинство компаний чувствуют себя относительно свободно после кризиса и могут финансировать ИБ-проекты, например внедрение системы обеспечения непрерывности бизнеса, которая с недавнего времени стала обязательной для банков. Так, в 2009 г. «Крок» выполнила ряд проектов в Альфа-Банке, «Ингосстрахе», Райффайзенбанке.
Телекоммуникационный сектор, по словам Башлыкова, идет следом за финансовым, хотя испытал довольно сильное давление в кризис. Для телекоммуникационных компаний наиболее актуальной задачей является обеспечение безопасности абонентов. Клиенты телеком-провайдеров заинтересованы в родительском контроле в сетях широкополосного доступа, в обеспечении защиты от атак. И для операторов безопасность клиентов выходит на первый план: наиболее дальновидные из них укрепляют свои ИБ-системы.
Самое сложное положение сейчас у секторов СМБ и торговли. Возникший ранее интерес к ИБ со стороны этих заказчиков заморозил кризис.
Похожей точки зрения придерживается Константин Соколов. Он заметил, что традиционно активными секторами являются государственный, финансовый и энергетический. Рынок СМБ динамично растет, однако он сложен для системных интеграторов в связи с небольшим размером проектов.
«Стоит отметить, что коммерческий сектор более широко внедряет у себя системы ИБ, чем госсектор, который вел себя довольно активно в прошлые годы, — рассказывает Александр Фоминенков. — Если сравнивать, в каком сегменте активность выше, а в каком ниже, то можно сказать, что ситуация схожа во всех сегментах. Все заказчики взвешенно и продуманно подходят к созданию систем ИБ и все больше придерживаются рискориентированного подхода».
По мнению Олега Летаева, ситуация на рынке ИБ радикально не изменилась. Основные заказчики — крупные корпоративные клиенты — телекоммуникационные компании, игроки нефтегазовой отрасли, банки, финансовые институты. Почти такую же активность демонстрируют государственные предприятия. В этом году наибольший интерес к решениям в области ИБ проявила нефтегазовая отрасль, в первом полугодии она обошла заказчиков из банковской сферы.
Как отметил Алексей Сахаров, безусловным лидером в области использования систем ИБ в различных направлениях является банковский сектор. С ростом финансовой активности в Интернете интерес банков к ИБ только вырос. Торговля тоже увеличивает свою долю в потреблении средств ИБ.
Оснований для пессимизма нет
Эксперты не сомневаются, что в ближайшее время рынок ИБ продолжит свое развитие. Виктор Сердюк называет два основных фактора, которые будут способствовать дальнейшему росту: необходимость соблюдения требований законодательства и необходимость более эффективной защиты организации от внешних и внутренних угроз. При этом российский рынок ИБ достаточно консервативен, поэтому вряд ли можно ожидать существенных изменений в среднесрочной перспективе, считает он.
Если говорить о сегменте «зрелых» заказчиков, компаний с развитой ИТ-системой, составляющей основу бизнес-процессов, то, по мнению Максима Скиды, будет наблюдаться рост требований к системам ИБ по защите от все увеличивающегося количества угроз. С другой стороны, видна потребность в повышении эффективности решений в таких вопросах, как соответствие принятой политике ИБ, нормативам и регламентам; интегрируемости с существующими ИС, снижении стоимости внедрения и сопровождения; надежности.
Поэтому следует ожидать роста спроса именно на комплексные решения, которые интегрируются в единой системе средства защиты от всех видов угроз с общей системой управления и мониторинга. Кроме того, возможен рост консалтинговых услуг со стороны специализированных интеграторов и компаний в области оценки рисков, развития политики ИБ, повышения эффективности системы ИБ и снижения расходов на сопровождение такой системы (а также для распределения рисков).
Если же говорить о сегменте менее зрелых заказчиков, которым решения в области ИБ нужны для устранения простейших проблем, то здесь можно отметить увеличение потребности в недорогих типовых решениях. Для их внедрения и сопровождения не требуется вносить изменения в сложившуюся архитектуру ИТ-инфраструктуры и проводить дополнительное обучение пользователей и ИТ-специалистов. Здесь, как считает Максим Скида, можно прогнозировать увеличение спроса на аутсорсинговые услуги по сопровождению системы ИБ, а также рост интереса к «облачным» сервисам в области ИБ (например, фильтрация электронной почты от вирусов и спама на стороне провайдера).
По мнению Олега Летаева, явной тенденцией этого года можно считать готовность заказчиков тратить больше, чем в 2009 г. Основной стимул, по крайней мере для СМБ-рынка, — закон о персональных данных. В меньшей степени этот закон влияет на крупные корпорации, так как у них свои проекты и стандарты. Например, в банковской отрасли приняты стандарты безопасности ЦБ России.
Иван Бурдело уверен, что в текущем году увеличится спрос на консалтинговые услуги по созданию эффективных систем менеджмента ИБ. И это уже не просто стремление создать надежные системы обеспечения ИБ. Заказчикам важно понимать, как добиться экономически эффективного использования и контроля систем ИБ, чтобы получить максимальную отдачу от инвестиций. Если в 2009 г. рынок консалтинговых услуг в сфере ИБ сильно сократился, то уже сейчас можно говорить о достижении определенного уровня зрелости в понимании этих процессов, особенно среди крупных корпоративных заказчиков.
«Я бы отметил появление на рынке различных сервисов „ИБ как услуги“, — говорит Константин Соколов. — Развитие данного направления сдерживается российским консерватизмом в области обеспечения безопасности, а также существенным преобладанием расчета CAPEX над OPEX в бюджетах большинства организаций. Однако уже сегодня узкоспециализированные услуги по обеспечению ИБ (например, защите от DDoS-атак, URL-фильтрации) экономически оправданны не только для мелких и средних компаний. Полагаю, что в двух-трехлетней перспективе спектр подобных услуг расширится, а число предоставляющих их компаний увеличится за счет операторов связи и крупных системных интеграторов».
