Средства защиты ИБ должны приносить заказчикам определенный экономический эффект

Интервью с Михаилом Башлыковым, руководителем направления информационной безопасности компании КРОК

- Михаил, скажите, пожалуйста, как Вы считаете, повлиял ли кризис на рынок ИБ в России?

- Конечно, общая ситуация отразилась и на рынке информационной безопасности. Тем не менее сжатие направления было не столь существенным, как ИТ-рынка в целом. Прежде всего, это связано с тем, что для реализации проектов по информационной безопасности требуется не более полугода, да и их стоимость невелика. Поэтому не было смысла секвестировать их в первую очередь. Сокращались, как правило, более многочисленные и затратные статьи расходов - в основном, на "железо".

- По Вашему мнению, какие тенденции являются основными в отечественном секторе ИБ в настоящий момент?

- Российский рынок ИБ почти полностью повторяет общемировые тенденции. Причем уровень его зрелости ежегодно повышается: к настоящему времени в большинстве крупных компаний средства безопасности уже внедрены. Вслед за крупным бизнесом массовый интерес к ИБ начинает проявлять рынок среднего и малого бизнеса: здесь наблюдается значительный рост спроса на ИБ-средства. Но этот рост в последний год, к сожалению, был серьезно ограничен экономической ситуацией.

Кризис подтолкнул компании к переоценке взглядов на ИБ. Сегодня заказчикам уже недостаточно внедрения тех или иных технических средств защиты: данные средства должны приносить определенный экономический эффект, и компания хочет понимать, какие новые возможности у нее появятся благодаря их внедрению. Это, пожалуй, основная свежая тенденция на отечественном ИБ-рынке. Пока еще очень странным для российского заказчика является сочетание понятий "безопасность" и "экономический эффект". Раньше более привычной для бизнеса была идея о том, что затраты на безопасность ухудшают финансовое положение компании, ведут к растратам. Но при правильном построении систем ИБ это восприятие постепенно отходит в прошлое. На рынке безопасности сейчас выживают только те решения, которые приносят заказчику видимый экономический эффект.

Вторая важная тенденция - повышение значимости ИБ-средств, которые помогают компаниям соответствовать требованиям регуляторов, общерыночным и отраслевым требованиям. Остаются популярными и системы мониторинга различных событий. В связи с кризисом заказчики стремятся к большей экономии на внедрении решений по ИБ, но при внедрении сложных решений они предпочитают не экономить.

- Влияют ли на рынок информационной безопасности новые требования различных регулирующих органов?

- У нашей компании направление ИБ в кризис продемонстрировало рост. Прежде всего, в связи с возросшим в этом году количеством требований регулирующих органов. Соблюдение требований нормативных документов, на мой взгляд, является основным драйвером рынка ИБ и заставляет заказчиков не забывать о вопросах информационной безопасности. Сейчас мы наблюдаем бум проектов, имеющих отношение к выполнению требований 152-ФЗ "О защите персональных данных". Это обусловлено тем, что с 1 января 2010 г. эти требования становятся жесткими и обязательными для всех участников рынка, работающих с персональными данными.

Помимо закона 152-ФЗ регуляторы диктуют определенные требования и к обеспечению непрерывности бизнеса. Например, не так давно ЦБ с подобным требованием обратился к банкам. Наша компания, работая в соответствии со стандартами 25999, активно продвигает подобные услуги в рамках проектов по дата центрам. Еще один момент, который сейчас очень волнует бизнес, - это обеспечение требований ряда платежных систем. Можно также отметить, что телеком-операторам регуляторы диктуют определенные требования и по безопасности трафика.

Конечно, подготовкой бизнес-процессов к началу действия Закона "О персональных данных" заняты не все: кто-то ждет результатов широкого обсуждения этого закона бизнес-сообществом, возможно, принятия поправок к закону; часть компаний надеется, что начало его действия отодвинется на более поздние сроки.

Спрос на услуги аудита на соответствие требованиям 152-ФЗ в ближайший год будет зависеть еще от такого фактора, как правоприменительная практика. Если на рынке появятся прецеденты, это обязательно будет способствовать тому, что большинство организаций захочет поскорее привести свой бизнес в соответствие с требованиями данного закона. Крупные компании - а это именно та аудитория, на которую ориентируется КРОК, - не могут позволить себе допустить репутационные риски и подвергнуть себя возможным ограничениям.

- Михаил, расскажите, поменялись ли запросы по ИБ государственных и коммерческих заказчиков?

- Я думаю, что эти запросы зависят как от общей зрелости компании, так и от значимости информационной безопасности для ее бизнеса. В целом можно отметить стремление заказчиков к тому, чтобы проекты, с одной стороны, были комплексными, с другой - короткими и имеющими четкий и понятный экономический эффект. Соответственно сужаются рамки проектов, в них решаются не глобальные, а локальные задачи.

Что касается технической стороны, растет внимание компаний к вопросам построения систем защиты от внутренних нарушителей. Усилился спрос на технологии мониторинга действий пользователей в сети, на решения для защиты от инсайдеров. Сегодня, в условиях кризиса, с учетом непопулярных мер, принимаемых работодателями, это становится очень важным.

Кроме того, появился еще один тренд, необычный для ИБ-рынка: в настоящее время целый ряд передовых компаний использует кризис как возможность ускорить темпы своего развития. Эти игроки сейчас занимаются разработкой концепции информационной безопасности на среднесрочную перспективу.

- Можете ли Вы отметить сегменты рынка ИБ, которые продолжают активно развиваться в сложившейся экономической ситуации?

- В крупных компаниях наибольшее развитие получают сертифицированные средства, которые позволяют соответствовать требованиям 152-ФЗ. Услуги консалтинга и аудита в этой области также пользуются большим спросом.

Кроме того, весьма востребованы сейчас средства защиты от несанкционированного доступа, особенно этот интерес заметен в банках. Рост сегмента средств защиты от инсайдеров наблюдается достаточно давно, но в кризис он получил дополнительные стимулы для развития. Система сбора и мониторинга событий ИБ и система контроля действий пользователей необходимы заказчикам как на уровне HR-подразделений, так и на уровне руководства.

Что касается небольших компаний, то они сейчас находятся на более ранней стадии процесса оснащения средствами ИБ, но в этом сегменте все вышеперечисленные решения пользуются спросом, особенно в случаях, когда небольшая компания демонстрирует высокий уровень ИБ-зрелости. Кстати, для малого бизнеса защита от фрода, как ни странно это звучит, является даже большей необходимостью, чем для крупного игрока, ведь инсайдеры могут нанести таким компаниям больший урон. Владельцы малого бизнеса прекрасно понимают, что увод клиентской базы может быть равносилен краху. Для крупной компании это не столь критично. Поэтому сегодня многие небольшие компании уделяют более пристальное внимание вопросам ИБ, гораздо качественнее их прорабатывают.

- Какие проекты вам удалось реализовать в 2009 г.?

- В 2009 г. наша компания реализовала ряд проектов в таких крупных финансовых структурах, как "Альфа Банк", "Ингосстрах", "Райффайзенбанк". Мы выполнили проекты для крупных государственных структур как по защите персональных данных, так и по внедрению комплексных систем информационной безопасности на базе телекоммуникационной инфраструктуры. В крупном независимом энергетическом холдинге мы реализовали проект по построению концепции развития комплексной ИБ.

Мы разработали готовые технологичные вертикальные решения, соответствующие требованиям 152-ФЗ для таких сегментов, как энергосбыт и страховые компании. Сейчас подобные решения мы разрабатываем и внедряем в банковских структурах.

Еще одна важная для нас область деятельности - защита АСУТП. Это новое направление, которое наверняка будет в ближайшее время актуально для энергетических комплексов. Мы предполагаем, что произойдет всплеск спроса на подобные проекты.

- Каким Вы видите российский рынок ИБ в ближайшие несколько лет? Какие направления, по Вашему мнению, будут развиваться?

- Развитие направлений в сфере информационной безопасности будет в значительной степени зависеть от основных акцентов развития российского законодательства (в ближайшие 2-3 года это станет определяющим фактором), а также от конкретных потребностей вертикальных рынков. Скажем, банковский сектор будет, по всей видимости, заинтересован в создании комплексных систем доступа в Интернет, систем контроля действий пользователя в сети, систем защиты от мошенничества. Большое значение здесь будет иметь обеспечение информационной безопасности в рамках имеющихся бизнес-систем. Востребованной в банках становится и возможность предоставления услуг аутоиденти-фикации с использованием различных технологий доступа (карты, Интернет, телефония). В следующем году мы планируем завершить один из крупнейших проектов в этой области.

Не менее плотно идет работа с телекоммуникационными компаниями. Главный тренд этой отрасли (и в этом Россия берет пример с Запада) - обеспечение безопасности абонентов. Клиенты телеком-провайдеров демонстрируют большой интерес к возможностям родительского контроля в сетях широкополосного доступа, к обеспечению защиты от атак. И для операторов защита безопасности своих клиентов выходит на первый план: наиболее дальновидные из них используют возможность укрепить свои ИБ-системы как внутри, так и снаружи.

По моим прогнозам, российский рынок услуг информационной безопасности в 2010 г. вырастет минимум на 30%. А вот рынок поставок средств ИБ останется на прежнем уровне, а может, и сократится на 5-10% в зависимости от конкретного сегмента программно-аппаратных ИБ-средств. Все проекты будут рассчитаны либо на экономический результат, либо на получение определенного конкурентного преимущества (как для клиентов, так и для собственных сотрудников). Многие компании уже сейчас строят свои ИБ-проекты в соответствии с этими тенденциями.