Контакты
Подписка
МЕНЮ
Контакты
Подписка

Российский рынок услуг информационной безопасности: год спустя

Российский рынок услуг информационной безопасности: год спустя

В рубрику "Исследование" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Российский рынок услуг информационной безопасности: год спустя

Анна Соколова, ОАО "ЭЛВИС-ПЛЮС"

Ирина Филиппова, ОАО "ЭЛВИС-ПЛЮС"

В 2007 г. в каталоге "IT-Security. Системы и средства защиты информации" было опубликовано комплексное исследование рынка услуг информационной безопасности (ИБ). За это время тема не потеряла своей актуальности - она активно обсуждалась в СМИ, на круглых столах и форумах.

Еще в прошлый раз отмечалось, что рынок услуг ИБ находится на стадии активного формирования и роста. В таких условиях происходящие на рынке изменения становятся весьма заметными даже в течение относительно непродолжительного периода (например, года).

В рамках данного исследования рассматриваются качественные изменения рынка услуг И Б за 2007 г., но пока только со стороны спроса (предпочтений потенциальных заказчиков), однако в ближайшее время мы планируем оценить изменения на рынке и со стороны предложения.

Необходимо отметить, что оценка спроса осуществлялась на основе практически той же методики, что и в прошлом году. Таким образом, результаты данного исследования можно сопоставить с результатами предыдущего, которое проводилось примерно 1,5 года назад.

Анализ спроса проводился путем анкетирования аудитории на специализированных выставках ("Инфофорум" и "Технологии безопасности"), а также через интернет-анкету, ссылка на которую была размещена на сайте www.itsec.ru. Количество полученных анкет практически совпало - около 120 для исследования, опубликованного в прошлом году, и около 110 - для этого. Специализированная направленность выставок и сайта позволила считать полученную выборку репрезентативной и провести статистический анализ.

Отрасли и регионы

Первое, на чем хотелось бы остановить внимание, это отраслевая и территориальная принадлежность респондентов. Если картина распределения по отраслям изменилась несущественно, то региональная составляющая респондентов значительно увеличилась и составила около 30%.

На рис. 1 представлено распределение респондентов по федеральным округам. Рост региональной составляющей свидетельствует как о значительном повышении интереса к вопросам ИБ в регионах, так и об отсутствии у представителей регионов возможности получить необходимую информацию и решить все вопросы, связанные с ИБ, "на месте".

Результаты исследования еще раз подтвердили наблюдения относительно роста актуальности вопросов, связанных с И Б, особенно в Северо-Западном ФО. Тут стоить отметить, что среди респондентов Северо-Западного ФО значимую часть составляют респонденты из Санкт-Петербурга и Ленинградской области (около 40%). Таким образом, налицо сценарий, аналогичный развитию сферы ИБ в Москве и Центральном ФО, - "все начинается с центра". Хотя стоит отметить, что в случае с Москвой первенство принадлежит все-таки Москве, а интерес в Центральном ФО сопоставим с интересом в Северо-Западном.

Такая заинтересованность в вопросах И Б в Москве и области частично объясняется присутствием в столице практически всех представительств крупных организаций и холдингов России. Что еще раз свидетельствует о достаточно жесткой централизованной структуре управления и соответственно о централизованном принятии решения.

Интерес к вопросам ИБ со стороны представителей Сибирского ФО в этом году существенно увеличился, хотя раньше этот показатель был выше для Уральского ФО, который считается одним из наиболее развитых с точки зрения ИБ регионов. В остальных ФО заинтересованность примерно одинакова. Исключение составляет Южный ФО, респонденты которого практически не приняли участие в исследовании.

В отличие от предыдущего исследования среди респондентов появились представители стран бывшего СНГ (Украины, Белоруссии и Прибалтики).

Что касается отраслевой структуры, то, как отмечалось ранее, она изменилась несущественно. Тем не менее стоит остановиться на некоторых моментах. По-прежнему вопросы ИБ в целом и услуги в сфере И Б в частности в большей степени интересуют ИТ-компании, государственные структуры, научные и образовательные учреждения, а интерес представителей других отраслей экономики - ниже. Однако, по сравнению с предыдущим исследованием, этот интерес вырос более чем в 1,5 раза - с 30 до 47% среди всех респондентов. При этом компании кредитно-финансовой сферы и металлургии сохранили свои позиции. Значительно увеличился интерес к вопросам ИБ у респондентов нефтегазовой промышленности, телекоммуникационного сектора, армии и правоохранительных органов.

Кроме того, появилась часть респондентов, принадлежащих к отраслевым группам, ранее мало интересовавшимся вопросами ИБ: строительству, транспорту, СМИ, сфере обслуживания.

Интересная ситуация сложилась для сегмента "Образование и наука". Там также произошли достаточно заметные изменения - качественный переход от организаций с образовательной направленностью (институты и университеты) к организациям с научной ориентацией (НИИ с различной отраслевой принадлежностью). При этом доля респондентов этого сегмента практически не изменилась (осталась на уровне 13-15%). Таким образом, в настоящее время данный сегмент потерял свои четкие "границы", и его представителей можно рассматривать как принадлежащих к двум отраслевым группам -науке и отрасли, которую она изучает.

Стоит также отметить, что 13% респондентов относятся к территориально распределенным компаниям, которые имеют достаточно широкую филиальную сеть, что показывает высокую актуальность вопросов ИБ для таких компаний.

Подход к обеспечению ИБ - общие тенденции

Теперь хотелось бы рассмотреть общие тенденции в обеспечении ИБ у респондентов.

Значительно выросла доля компаний, в которых присутствует специально выделенный персонал, решающий вопросы ИБ: в 59% случаев - это специальное подразделение, еще в 32% - ИТ-персонал, в обязанности которого входит решение вопросов И Б. Ранее специальное подразделение было сформировано в основном лишь у крупных компаний (с численностью персонала более 300 человек), сейчас данная тенденция распространилась и на компании среднего размера (от 50 до 300 человек).

Вопросы ИБ по-прежнему находятся в области пристального внимания высшего и среднего руководства компаний - на их долю пришлось около 57% респондентов, еще 32% составили технические специалисты, что еще раз подтверждает понимание важности решения вопросов ИБ. В то же время обеспечение И Б пока все же относится к разряду специфических вопросов для большинства организаций, не связанных со сферой ИТ и ИБ, поэтому руководство еще не может полностью делегировать их решение своим сотрудникам.

Значительно выросло число респондентов (до 39%), рассматривающих возможность предоставления услуг в области ИБ как самостоятельное предложение, а не в качестве дополнения к поставкам оборудования и ПО. Также уменьшилось число респондентов (до 14%), считающих возможным не привлекать сторонние организации к оказанию услуг в сфере ИБ, а обходиться своими силами.

В большинстве организаций (43,5%) бюджет, выделяемый на ИБ, весьма невелик (0-5% от ИТ-бюджета), что в среднем значительно ниже мирового уровня (например, около 6% в 2007 г. для Западной Европы). Однако среди респондентов присутствуют и компании (8,7%), у которых бюджет на И Б составляет более четверти ИТ-бюджета, что может быть объяснено приоритетностью решения проблем, связанных с ИБ.

Средний бюджет, выделяемый на услуги из общего бюджета на ИБ, составляет около 16%, и это также не очень много. При этом разброс данных, полученных от респондентов, достаточно велик. В то же время, по нашим наблюдениям, для реализации среднестатистического полноценного решения доля услуг должна составлять не менее 30-50% от стоимости решения.

Положительной тенденцией является все большее понимание необходимости применения методов экономической оценки при реализации проектов в сфере ИБ - около 83% респондентов считают, что расчет финансово-экономических показателей проекта в сфере ИБ является одним из важных критериев выбора. Это свидетельствует о переходе экономического анализа проекта из категории "экзотических" в категорию обязательных услуг. Скорее всего, через достаточно непродолжительное время с ростом конкуренции между потенциальными исполнителями данная услуга перейдет в разряд обязательных предпроектных работ и будет оказываться потенциальному заказчику бесплатно на этапе подготовки проекта. Таким образом, уже на этапе технико-коммерческого предложения в нем появится раздел, посвященный анализу экономической эффективности проекта, или просто расчет экономических характеристик проекта.

От общего к частному

По результатам комплексного исследования рынка услуг ИБ, проведенного в прошлом году, и на основе анализа предложения и выявления наиболее распространенных и часто употребляемых названий услуг сформировалась следующая классификация (см. схему).

Следует отметить, что такой подход к классификации услуг был положительно воспринят специалистами и подтвердил свою адекватность текущей ситуации на рынке. Поэтому при проведении данного исследования все услуги рассматриваются в соответствии с указанной классификацией.

Таким образом, все услуги были разделены на три группы: технико-аналитические, экс-пертно-аналитические и дополнительные (состав групп услуг указан на схеме).
Технико-аналитические услуги наиболее широко представлены на рынке, в основном они относятся к технической стороне обеспечения информационной безопасности. Исторически, за счет восприятия обеспечения ИБ в первую очередь как технической проблемы, именно эти услуги получили наибольшее развитие и сформировали таким образом "базовое ядро" услуг, предлагаемое практически всеми компаниями, полноценно присутствующими на рынке.

Большинство экспертно-ана-литических услуг относятся к развивающимся направлениям, их оказание требует от исполнителя наличия квалифицированных специалистов, причем часто с "непрофильным" для сферы И Б образованием (например, экономическим, юридическим), специальных лицензий, а также проверенных методик и определенного опыта выполнения подобных работ.

Дополнительные услуги охватывают такие специфические направления, как образование в сфере ИБ и консалтинг, а также аутсорсинг эксплуатации системы обеспечения безопасности информации (СОБИ).

Сразу отметим, что в этом году рост реального и прогнозируемого спроса зафиксирован для большинства видов услуг.

Основной тенденцией, подтверждаемой результатами проведенного исследования, является дальнейшее развитие заинтересованности в услугах и, как следствие, рост рынка услуг. На рис. 4 представлен профиль спроса среднестатистического заказчика (усредненный спрос на услуги каждой группы, приходящийся на одну компанию). График наглядно демонстрирует, что для всех групп услуг наблюдается рост как реального, так и прогнозируемого спроса. Однако темпы роста спроса различны для разных групп. Так, наибольшие темпы роста наблюдаются у группы экспертно-ана-литических услуг. Частично это может объясняться их специфичностью - необходимостью привлечения специалистов с "непрофильным образованием" и высокой квалификацией. Очевидно, что содержание такого специалиста в собственном штате - весьма затратно, а необходимость применения его возможностей постепенно растет вместе с рынком ИБ.

Тем не менее, как и год назад, наибольшей популярностью пользуются технико-аналитические услуги. Стабильно высокий спрос для этой группы на фоне остальных услуг объясняется постоянным развитием и модернизацией корпоративных информационных систем. Так, почти половина респондентов проводили установку и настройку программно-технических средств защиты (ТА4), а треть -еще планируют воспользоваться этой услугой.

В прошлом исследовании уже отмечалось, что для большинства технико-аналитических услуг характерен возвратный периодичный спрос: как в рамках отдельно взятой компании (в результате полной или частичной замены аппаратного и программного обеспечения в силу физического и морального износа), так и для рынка в целом (в связи с развитием технологий и появлением новых технических решений). Причем период колебаний спроса примерно соответствует сроку амортизации аппаратного и программного обеспечения, для данной сферы - 2-3 года.

Высокий прогнозируемый спрос на услуги аудита (ТА1) свидетельствует о более осознанном подходе к обеспечению ИБ и стремлении организовать все правильно изначально или же оптимизировать существующую СОБИ. В последнем случае можно предположить, что, скорее всего, не все в созданной СОБИ полностью устраивает заказчика, причем проблема не тривиальна и требует основательного подхода.

Снижение реального спроса на услуги аудита в 2007 г. может объясняться тем, что обычно срок реализации проекта в сфере ИБ составляет 1,5-2 года, что несколько превышает периодичность проведения этого исследования. Поэтому, возможно, в данный период компании проводили внедрение СОБИ, разработанных с учетом результатов проведенных ранее аудитов. Тем более что, как уже отмечалось, проведение аудита -это регулярное мероприятие, поэтому некоторое колебание спроса вполне логично.

Особый интерес представляет рост реального и прогнозируемого спроса для такого вида услуг, как разработка организационно-распорядительной и нормативной документации (ТА2), которая традиционно осуществляется с привлечением специалистов сторонних организаций, имеющих соответствующую компетенцию. Это показывает постепенный переход от восприятия И Б как чисто технической проблемы к пониманию того, что от правильности формирования корпоративных правил и процедур обеспечения безопасности информации в определяющей степени зависит уровень всех дальнейших проектных решений и в конечном счете - уровень безопасности. Причем очевидно, что желание воспользоваться данной услугой может возникнуть лишь после накопления определенного уровня компетенции в вопросах ИБ.

Спрос на установку и настройку средств защиты, в свою очередь, привел к росту спроса на услуги техподдержки и сопровождения (ТА5), а также на консультационные услуги по техническим вопросам (Д2). Низкий спрос на услуги аутсорсинга эксплуатации СОБИ (Д4) подтверждает, что компании пока больше доверяют своим штатным сотрудникам и готовы вкладывать средства в их обучение (спрос на образовательные услуги (Д3) явно выделяется на общем фоне) и консалтинг со стороны профессионалов, но не на привлечение сторонних организаций на условиях аутсорсинга и не на наделение их какими-либо полномочиями. В то же время вопросы аутсорсинга сейчас являются весьма модной темой и обсуждаются достаточно часто и в прессе, и на различных специализированных мероприятиях.

Осторожное отношение к использованию аутсорсинга, в первую очередь, связано с критичностью функций безопасности для любой компании. Дополнительные сложности создает слабое развитие методик контроля качества предоставления таких услуг и, как следствие, размытые условия заключаемых договоров на оказание услуг аутсорсинга.

Тем не менее группа дополнительных услуг (куда входят и услуги по аутсорсингу) находится на втором по популярности месте. По сравнению с упомянутыми ранее консультационными услугами по техническим вопросам (Д2) и с обучением в сфере ИБ (Д3), для которых характерен рост как реального, так и прогнозируемого спроса (причем эти показатели - наиболее высокие среди всех видов услуг), для консалтинга по правовым и нормативным вопросам (Д1) зафиксирован общий спад спроса (единственный вид услуг из всего анализируемого спектра, для которого снизились показатели и реального, и прогнозируемого спроса).

Экспертно-аналитические услуги, пока находящиеся на третьем месте по популярности, расцениваются как наиболее перспективное направление, обладающее наибольшим потенциалом роста, что подтверждается самым высоким прогнозируемым спросом по сравнению с другими группами услуг. По мере развития рынка и перехода обеспечения ИБ в ряд стандартных бизнес-задач следует прогнозировать наиболее интенсивное развитие именно этой группы. В настоящее время можно говорить о неподготовленности как спроса, так и предложения для большей части экспертно-аналитических услуг.

Наравне с аутсорсингом эксплуатации СОБИ в разряд развивающихся услуг входят расчет финансово-экономических показателей (ЭА3) и сертификация на соответствие требованиям международных стандартов (ЭА5). По сравнению с другими видами услуг спрос на них в настоящее время по-прежнему существенно ниже. Но если к услугам аутсорсинга респонденты будут проявлять недоверие и в перспективе (прогнозируемый спрос - всего 9%), то проведение экономической оценки проектов в сфере ИБ и использование практики международных стандартов имеют шанс стать более популярными. Проблемой развития этих направлений услуг может стать ограниченность предложения или качество реализации (как следствие неготовности системных интеграторов предлагать эти виды услуг "в полном объеме" и отсутствия у них соответствующих навыков, опыта и компетенции).

По сравнению с предыдущим исследованием в 2007 г. более явно прослеживалась тенденция увеличения популярности международных стандартов: свыше 90% респондентов считают, что рекомендации этих стандартов важно (46,7%) или желательно (45,8%) учитывать при построении СОБИ. При этом преимущественно респонденты называли такие стандарты, как ISO/IEC 27001 и ISO/IEC 27002 (ISO/IEC 17799), регламентирующие вопросы управления информационной безопасностью. Помимо этого упоминались стандарты, относящиеся к вопросам управления качеством (серия ISO 9000), непрерывности бизнеса (BS 25999), управления ИТ-сервисами (ISO/IEC 20000), а также активно обсуждавшиеся пару лет назад ГОСТ Р ИСО/МЭК 15408, COBIT и библиотека ITIL. Пожалуй, единственное направление, представители которого наименее заинтересованы в использовании данных стандартов, - это госструктуры, органы власти, правоохранительные органы и прочие организации, ориентированные на выполнение в первую очередь требований российского законодательства.

В отношении анализа информационных рисков (ЭА1) сложилась двоякая ситуация: с одной стороны, эта услуга востребована, причем интерес к ней подогревается и за счет растущей популярности международных стандартов (ведь в соответствии с идеологией ISO/IEC 27001 и ISO/IEC 27002 (ISO/IEC 17799) управление ИБ должно осуществляться на основе анализа и оценки рисков), а с другой - у заказчиков пока еще отсутствует четкое понимание, что именно должно являться результатом оказания данной услуги. При этом у российских системных интеграторов еще мало опыта в этой сфере и не отработаны методики, для того чтобы предложить проведение полноценного анализа рисков.

Сложившаяся ситуация позволяет исполнителям сократить анализ информационных рисков до технических методов выявления уязвимостей системы, сканирования и т.п. Поэтому сейчас эта услуга чаще входит в состав аудита ИБ, а не предлагается как самостоятельная. В то же время стремительно приближается момент включения данной услуги в "базовое ядро" - в той или иной форме она предлагается уже практически всеми системными интеграторами, полноценно представленными на рынке услуг ИБ. С точки зрения групп услуг включение анализа информационных рисков в "базовое ядро" станет первым прецедентом включения в логическую цепочку реализации проекта услуг экспертной направленности.

Скорее всего, рост востребованности услуг экспертно-ана-литической группы происходит "не благодаря, а вопреки...". Так, респонденты весьма осторожно планировали воспользоваться услугами из этой группы, а по результатам исследования реальный спрос значительно превысил прогнозируемый. То есть можно предположить, что часть респондентов столкнулись с ситуацией, когда при дальнейшей реализация проекта по обеспечению ИБ без использования той или иной экс-пертно-аналитической услуги возникли бы какие-либо трудности, даже если ранее привлечение этих, относительно дорогих и специфичных (на первый взгляд) услуг не планировалось. Сложившаяся ситуация еще раз подтверждает, что у потребителей повышается компетенция и осознание важности проблем в сфере ИБ, формируется все более грамотный подход к решению подобных задач.


1 ТА — технико-аналитические услуги, ЭА — экспертно-аналитические, Д — дополнительные.

Комментарий эксперта

Владислав Ершов,
ведущий системный аналитик компании "Открытые Технологии"

ОСНОВНЫМИ факторами, влияющими на развитие рынка ^Ь ИБ, как и прежде, являются усиление влияния регуляторов и возникновение инцидентов, нарушающих функционирование бизнес-процессов. В свете этого вполне понятен рост интереса к таким услугам, как построение систем ИБ в соответствии с требованиями стандартов, а также создание систем управления инцидентами и непрерывностью бизнеса. Интерес к последним двум направлениям вызывает потребность во внедрении соответствующих технических средств для обеспечения информационной поддержки процессов реагирования на инциденты (в том числе и связанных с прерыванием бизнес-процессов).

В области соответствия требованиям регуляторов интерес проявляется в нескольких направлениях. Во-первых, это необходимость соответствия отечественным законодательным требованиям (что влечет за собой аттестацию автоматизированных систем и сертификацию оборудования), во-вторых - отраслевым и другим требованиям, которые необходимы с точки зрения бизнеса. Например, соответствие закону Sarban-es-Oxley (что требуется для размещения акций на Нью-Йоркской фондовой бирже) или стандарту PCI DSS (соответствовать которому должны организации, взаимодействующие с системами VISA, Mastercard и др.).

Что касается реализации проектов в области ИБ, то обычно компании прибегают к услугам системных интеграторов. В связи со сложностью большинства проектов, разнообразием продуктов и методологических подходов достаточные кадровые ресурсы, как правило, есть только в специализирующихся на услугах ИТ и ИБ компаниях. Обычно привлечение специализированных компаний осуществляется на всех стадиях создания системы ИБ (предпроектное обследование и оценка рисков, разработка проектной и эксплуатационной документации, внедрение технических средств и процессов) и ее последующей поддержки (поддержка оборудования и ПО, консультации по вопросам эксплуатации и развития системы ИБ). Исключением является аутсорсинг эксплуатации системы ИБ. Пока компании не готовы принять на себя риски, связанные с привлечением сторонней организации для эксплуатации системы ИБ.

Алексей Доля,
директор по развитию бизнеса компании Perimetrix

МНОГОЛЕТНИЙ опыт работы на рынке информационной безопасности в России показывает, что наши организации, к сожалению, очень мало денег выделяют на обеспечение ИБ (по сравнению с ИТ) и еще меньше средств приходится на услуги в области И Б. Создается такое впечатление, что для российских компаний и государственных структур ИТ - это в первую очередь аппаратное обеспечение, а в связи с тенденцией легализации софта еще и ПО. Более того, когда речь заходит об информационной безопасности, ситуация нисколько не меняется. ИБ глазами организации-заказчика - это все то же "железо" и в меньшей степени ПО. В результате компании готовы закупать самые разные средства ИБ - лишь бы они были выполнены в аппаратном форм-факторе. При этом бизнес и государственные структуры порой забывают, что чем сложнее средства ИБ, тем более квалифицированный персонал требуется для их обслуживания, тем большая потребность возникает в дополнительных услугах: настройке и обслуживании этих средств. В то же самое время бюджет на услуги ИБ в процентах от общего бюджета ИТ сегодня просто микроскопический. Поэтому организации оказываются в тупике: дорогое и мощное "железо" есть, а использовать его никто не умеет.

В процессе обеспечения информационной безопасности есть еще одна важная деталь. В идеале руководители мечтают о таком средстве ИБ, которое можно вставить в ИТ-инфраструктуру, а потом о нем забыть. Однако в реальной жизни лишь некоторые средства ИБ немного приближаются к идеалу. Например, антивирусы. Легко устанавливаются, быстро администрируются, автоматически обновляются. Другими словами, через некоторое время о них можно просто забыть. Но это лишь исключение из правила, так как все остальные средства ИБ нуждаются в обслуживании, перенастройке, модификации, а также в целом ряде сопроводительных услуг. Кроме того, нельзя забывать об обучении персонала: как сотрудников отделов информационной безопасности, так и обычных пользователей. Таким образом, как ни крути, сегодня ни у кого не получится обеспечить ИБ, не вкладывая деньги в услуги.

В заключение хотелось бы отметить положительную тенденцию. Дело в том, что рынок ИБ растет в России быстрее рынка ИТ. Отсюда можно сделать вывод о том, что доля средств, выделяемых на ИБ, постоянно растет в бюджете ИТ. Вдобавок постоянно повышается квалификация руководителей отделов и служб информационной безопасности, чему способствует профессиональная пресса, форумы и конференции, обмен опытом и международные стандарты. Все это приводит к тому, что специалисты по ИБ начинают обращать все больше и больше внимания на услуги, так как одним "железом" или ПО задачу решить не удается. Так что впереди у нас хорошие перспективы. Опыт подсказывает, что через несколько лет отечественные компании будут тратить на услуги ИБ примерно столько же, сколько их иностранные коллеги.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2008
Посещений: 11131

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Анна Соколова

Анна Соколова

ОАО "ЭЛВИС-ПЛЮС", эксперт

Всего статей:  7

  Автор

Ирина Филиппова

Ирина Филиппова

ОАО "ЭЛВИС-ПЛЮС", эксперт

Всего статей:  5

  Автор

Владислав Ершов

Владислав Ершов

Ведущий системный аналитик компании "Открытые Технологии"

Всего статей:  3

  Автор

Алексей

Алексей  Доля

руководитель аналитического центра InfoWatch

Всего статей:  3

В рубрику "Исследование" | К списку рубрик  |  К списку авторов  |  К списку публикаций