Обзор услуг на рынке ИБ

Обзор услуг на рынке ИБ

Максим Эмм, директор департамента аудита компании "Информзащита"

Анна Гольдштейн, начальник отдела аудита платежных систем компании "Информзащита"

Достаточно долго с момента возникновения рынка ИБ в 1992 г. и до 2003 г. отдельного рынка услуг, по сути, не было, как уже отмечали ранее эксперты компании "Элвис-Плюс" в своих аналитических обзорах рынка ИБ¹. Основную часть услуг, связанных с ИБ, осуществляли крупные системные интеграторы в составе своих больших ИТ-проектов. За последние несколько лет явно наметилась тенденция к выделению услуг ИБ в отдельное направление: специализированных ИБ-компаний становится все больше и больше, на сайтах интеграторов появились отдельные разделы, связанные с услугами ИБ. Сегодня клиенты и поставщики услуг обеспечение информационной безопасности часто рассматривают как отдельную от внедрения ИТ-систем задачу.

Чем вызван рост?

За последние 10 лет было внедрено большое количество ИТ-систем, вопросы ИБ в которых решались по остаточному принципу, и только теперь у всех "дошли руки" до их защиты, адекватной современным угрозам. Но настоящим "локомотивом" расширения рынка ИБ в целом и предоставления услуг ИБ в частности, как и во всем мире, стали требования различных стандартов. За последние годы были разработаны и приняты: стандарт ИБ для банковской отрасли СТО БР ИББС, международный стандарт ISO 27001:2005, стандарт индустрии платежных карт PCI DSS, ФЗ "О персональных данных" и т.п. Государство направило большие потоки бюджетных денег на автоматизацию и безопасность, что существенно поменяло как требования клиентов, так и предложения компаний на рынке.

Параллельно с ростом объема рынка существенным образом меняются требования к содержанию и уровню качества услуг. Крупные клиенты уже поставили себе и межсетевые экраны, и антивирусные средства, и обучили собственных специалистов по ИБ. Если раньше при установке системы обнаружения вторжений в сеть достаточно было разработки спецификации, проектной документации и, возможно, подключения к корпоративной сети, то сейчас требуется не только установка системы, но и оптимизация ее настроек под сеть клиента, обучение персонала и выявление подозрительной деятельности в сети. Более того, если раньше компании в 99% случаев сами разрабатывали себе техническое задание на свои же работы, то есть формулировали содержательные требования к ним, то сейчас все больше клиентов может самостоятельно сформулировать детальную постановку задачи в виде технического задания или конкурсной документации.

Спрос и предложение

У клиента возникает необходимость заказать услугу в области информационной безопасности в том в случае, когда:

• компетенций собственной службы информационной безопасности не хватает, а обучать или нанимать собственный персонал дороже или дольше, чем заказать работу на стороне;
• когда нужно проверить работу собственной службы ИБ и получить внешнюю оценку;
• когда этого требует отраслевой регулятор или государство.

Вот что могут предложить сегодня компании, специализирующиеся на предоставлении услуг в области защиты информации.

1. Проектирование подсистем ИБ и внедрение технических решений в области:
   • защиты периметра сети/обеспечения безопасности межсетевых взаимодействий;
   • мониторинга и аудита безопасности;
   • обнаружения и предотвращения атак;
   • резервного копирования и восстановления данных;
   • анализа защищенности и управления политикой безопасности;
   • контроля целостности данных;
   • инфраструктуры открытых ключей;
   • защиты от вредоносного ПО;
   • фильтрации контента и предотвращения утечки конфиденциальной информации;
   • установки обновлений ПО;
   • администрирования безопасности;
   • управления учетными записями и правами пользователей.
2. Разработка документов:
• концепций и политик ИБ;
• регламентов и внутренних стандартов;
• инструкций и процедур.
3. Создание систем управления ИБ, в том числе в соответствии с международными стандартами.
4. Построение систем мониторинга защищенности и реагирования на инциденты.
5. Обследование и оценка ИБ, анализ рисков.
6. Аудит (penetration tests, compliance и т.п.).
7. Подготовка и аттестация систем.
8. Аутсорсинг процессов ИБ (awareness, сканирование, мониторинг событий ИБ и т.п.).
9. Обучение.
10. Поддержка систем защиты.

Большинство игроков рынка ИБ в том или ином виде предлагают вышеперечисленные услуги, но, к сожалению, данных об их доле в доходах компании не публикуют.

Внутренняя организация работ по оказанию услуг

Развитие рынка ИБ отразилось и на внутренней организации работ по оказанию услуг, которые еще 2 года назад выполнялись под девизом "каждый раз в первый класс". Работы определялись спросом, то есть компании, имеющие несколько сильных специалистов, озвучивали свою готовность работать на этом рынке и брались практически за любые работы. При этом каждый проект велся как с чистого листа, даже если задачи незначительно отличались от задач, уже решенных ранее. Через какое-то время стали очевидны проблемы, возникающие при таком подходе. Во-первых, выяснилось, что не все задачи, на которые есть спрос, "по зубам" компании (с учетом имеющихся компетенций), и что от каких-то видов услуг придется отказываться, несмотря на притягательность возможного бюджета проекта. Самыми показательными с этой точки зрения стали оценка рисков и разработка СУИБ. Многие компании пытались оказывать услуги в этой области, и проекты завязли в непроходимом болоте. Во-вторых, принцип оказания услуг, где каждый проект уникален, не позволяет масштабировать сам процесс оказания услуг. Столкнувшись с описанными проблемами, практически все компании-лидеры отрасли пошли по пути стандартизации предоставляемых ими услуг.

Стандартизация услуг

Под стандартизацией мы понимаем: определение перечня услуг, оказываемых компанией, и методологическую проработку каждой из услуг перечня. Какие же преимущества дает такой подход?

Во-первых, при таком подходе можно из работ, выполняемых заказчиком, выделить те, которые однозначно некому делать, и подписываться на них, - значит, брать на себя большие риски невыполнения контрактных обязательств.

Во-вторых, все остальные работы можно привести к каноническому виду, то есть разбить на известные детерминированные работы, которые компания умеет выполнять с контролируемым уровнем качества.

В-третьих, это возможность привлечения к работам специалистов более низкой квалификации, которым не нужно каждый раз изобретать велосипед, а можно пользоваться уже накопленным опытом. На сайтах компаний такие услуги можно найти под терминами "типовые решения", "стандартизованная услуга" и др.; обычно они хорошо освещены, зачастую с подробным описанием этапов и всего процесса оказания услуги.

К сожалению, несмотря на то что внутри компаний идет типизация процесса работ, в целом на рынке ИБ не сформировалось единого представления об услугах. Как и 2 года назад, каждая компания под одним и тем же названием понимает свой перечень работ и свои методы. Причем отличаться они могут кардинально: например, под одним и тем же названием "аудит/оценка ИБ" услуги могут варьироваться от самостоятельного заполнения опросника клиентом до комплексной проверки реализации защитных мер путем анализа настроек систем и журналов регистрации событий на территории клиента. Для того чтобы понять разницу в результатах, службе И Б клиента необходимо как минимум иметь в штате высококлассных специалистов, способных компетентно оценить представленные предложения компаний. Отсутствие типизации ставит под сомнение возможность открытой конкурентной борьбы компаний отрасли и, как следствие, тормозит процессы повышения качества оказываемых ими услуг.

Таким образом, можно констатировать факт, что хотя рынок услуг ИБ в России развивается опережающими темпами, отечественным компаниям необходимо еще много работать как над стандартизацией процессов оказания услуг и повышением эффективности своей деятельности, так и над общими задачами типизации услуг с целью достижения предлагаемого западными компаниями уровня сервиса.

¹ http://www.elvis.ru/informatorium.shtml