Обзор "Рынок ИТ: Итоги 2005" подготовлен	При поддержке

Евгений Шаблыгин: «Умный сервис» все более востребован рынком

На вопросы CNews отвечают Евгений Шаблыгин, президент компании «Инфосистемы Джет», и Борис Симис, начальник отдела средств и методов защиты информации компании «Инфосистемы Джет».

CNews: Какие ключевые тенденции, на ваш взгляд, определяли развитие российского рынка системной интеграции в 2005 году?

Евгений Шаблыгин: Интересно, что основные тенденции не меняются уже на протяжении нескольких лет. Сегодня я готов подписаться под всеми словами, которые говорил ровно три года назад. Причем с тех пор цена сырой нефти выросла c 29-ти (1 января 2003 года) до 60 долларов за бочку сегодня, что позволяет как государству, так и коммерческим структурам больше средств инвестировать в решение не только тактических, но и стратегических задач. Платежеспособный спрос порождает расширение предложения, и наша отрасль развивается опережающими темпами. Это не просто приятно, но теоретически дает шанс на то, что российская информационная индустрия сможет стать "энергонезависимой", то есть перейти на самоокупаемость не только при избытке свободных денег, но и в более жестких условиях конкуренции за статьи расходов клиентов, которые возникнут, когда цены на энергоносители пройдут цикл и вернутся на относительно низкий уровень. Чрезвычайно приятной тенденцией является превышение спроса над предложением в "верхнем" срезе системных задач — в секторе создания систем национального масштаба. Происходит то, о чем мы мечтали последние 15 лет — заказчики, наконец, сами приходят к пониманию необходимости внедрения глобальных информационных систем. А специалистов по их созданию в стране катастрофически не хватает. И уже не емкость рынка, а способность компаний создавать и внедрять такие решения становится лимитирующим фактором. Ценовая конкуренция отходит на второй план, главным критерием при выборе интегратора становится его способность создать и поддержать решение нужного уровня сложности и надежности. А это и есть НАШЕ поле, на котором конкурентов у компании практически нет.

CNews: Какие направления деятельности системного интегратора, по вашему мнению, развиваются в настоящий момент наиболее активно?

Евгений Шаблыгин: Создание собственной "прибавочной стоимости". Если на заре рынка информационных технологий (в конце 80-х — начале 90-х) мы с гордостью носили титул "value added reseller", при этом "value add", как правило, заключался в умении заставить работать вместе различные аппаратные и программные компоненты, закупленные за рубежом, в то время мало кто был способен выйти за рамки умения вставить вилку в розетку, то сейчас мы добавляем «чужую стоимость» (приобретаемые, как и раньше, за рубежом — отечественных продуктов в этом секторе не существует и не предвидится — вычислительные машины, периферийные устройства и системное программное обеспечение) к собственным решениям, которые включают полный цикл жизни системы обработки информации. Здесь и разработка проекта, и "сборка" решения из своих и заимствованных компонентов, и все виды работ по внедрению и сопровождению. И если в части оборота « чужая стоимость» пока вне конкуренции, то прибыль от реализации собственной продукции уже догнала прибыль от поставки чужой и имеет явную тенденцию к возрастанию.

Доля "умного" сервиса, связанного с использованием собственного know how, а не работ по штатному ремонту и эксплуатации оборудования, растет особенно быстро. Что для нас всегда было внутренним приоритетом (как-никак создатели компании — физики), но в последнее время все более востребовано и рынком.

CNews: Сохраняется ли перевес ИТ-инвестиций отечественных заказчиков в пользу аппаратных средств? Как можно оценить увеличение доли сервисов в структуре ИТ-бюджетов?

Евгений Шаблыгин: Перевес, конечно, сохраняется, но относительное увеличение доли сервиса очевидно. Чем разумнее заказчик, чем важнее для него реальная работоспособность системы, а не формальные показатели, тем, как правило, выше составляющая сервисного бюджета.

CNews: Как вы оцениваете перспективы развития аутсорсинга ИТ-инфраструктуры на отечественном рынке в ближайшие годы? Предприятия каких отраслей в первую очередь может заинтересовать подобная услуга?

Евгений Шаблыгин: Среди наших клиентов, по-видимому, в ближайшие годы данная тенденция не будет заметной. Связано это, в первую очередь, с ответственностью за собственную информацию и относительно уникальными потребностями каждого отдельного клиента. Наши заказчики предпочитают платить больше за возможность полного контроля над своими информационными ресурсами. Вопросы безопасности и защиты информации играют здесь первостепенную роль. И, разумеется, российский менталитет, при котором "свое" должно быть "своим", имеет не последнее значение.

Замечу, кстати, что и за рубежом компании того же калибра, что и наши клиенты, практически никогда не отдают инфраструктуру на сторону (Walmart имеет собственные спутники, обеспечивающие практически мгновенный клиринг транзакций и обработку информации по складским запасам; Федеральная Резервная Система США не собирается никому отдавать Fedwire, не говоря уже о спецслужбах). Возможно, по мере расширения предложения стандартных решений (типа корпоративной электронной почты) некоторые клиенты станут отдавать на аутсорсинг второстепенные элементы инфраструктуры, но в ближайшие годы это, скорее всего, системой не станет.

CNews: Какие качественные изменения произошли на российском рынке защиты информации в 2005 г., по вашим наблюдениям?

Борис Симис: Мы отмечаем всплеск интереса к построению систем управления информационной безопасностью (СУИБ) компаний. Согласно известной модели Gartner Group, отношение к ИБ меняется в зависимости от степени зрелости компании: на каком-то этапе становится очевидно, что установки отдельных средств защиты, фрагментарного документирования мероприятий по ИБ недостаточно.

Действительно, до недавнего времени большинство компаний стремились обеспечить только некий базовый уровень ИБ: применить межсетевые экраны, антивирусные системы и другие очевидно необходимые средства. Решения о закупке таких средств принимались, как правило, на основании мнений экспертов — сотрудников компании или специализированных фирм. При этом не было четкого понимания, почему принимаются во внимание именно эти угрозы ИБ, а не другие, и защита требует именно таких затрат, а не больше или меньше.

Сегодня все больше компаний понимает, что им нужна именно система управления ИБ, которая являлась бы частью общей системы управления компанией. Ее построение — это более трудоемкий и сложный, но, с другой стороны, более обоснованный и, в конечном счете, более эффективный подход к обеспечению ИБ. Он требует определения области деятельности, которую необходимо защищать, анализа бизнес-процессов, выявления активов компании (влияющих на бизнес-процессы) и определения их ценности. На основании этого проводится анализ рисков и формируется план снижения (нейтрализации) рисков. Таким образом, руководство принимает обоснованные решения по обращению с рисками и может планировать и финансировать мероприятия по снижению определенных рисков.

Мы отмечаем среди своих заказчиков рост интереса к построению СУИБ и, соответственно, рост спроса на определенные услуги: проведение количественного анализа рисков, с помощью которого можно было бы обоснованно принимать решения о финансировании мероприятий по ИБ, построению СУИБ и ее подготовке к сертификации по недавно принятому стандарту ISO/IEC 17799/27001, выход которого также повлиял на наш рынок.

CNews: В последние годы наблюдается рост спроса на услуги в области информационной безопасности. По вашим оценкам, какая доля всего рынка ИБ в России приходится сегодня услуги?

Борис Симис: Рост спроса на услуги — естественный процесс, поскольку, во-первых, многие компании «зреют» и уходят от простых закупок и установок средств защиты к построению СУИБ, а во-вторых, установленные системы защиты нуждаются в поддержке, развитии, модернизации.

В нашей компании доля услуг составляет не менее трети общего объема продаж в области ИБ. Это говорит о нашей специализации. «Инфосистемы Джет» — интегратор в области ИБ, т.е. ориентируется на выполнение полного комплекса работ на предприятии — от постановки процессов обеспечения безопасности компании до поставок средств ИБ и их сервисного обслуживания. Более того, даже когда система ИБ внедрена и работает, есть необходимость в проведении периодических работ по контролю защищенности и других услугах. Поэтому в нашем Центре информационной безопасности работают две специализированные группы — консалтинга и сервиса, — которые ориентированы только на предоставление услуг.

Однако в среднем по рынку доля услуг меньше — не более 15-20%, поскольку многие фирмы в большей степени ориентированы на продажу оборудования и ПО. На наш взгляд, будущее, определенно, за компаниями, ориентированными на продажу услуг.

CNews: По различным оценкам, до 80% ущерба наносится в результате реализации внутренних угроз. Тем не менее, именно защита от них получила пока наименьшее распространение. С чем, по вашему мнению, это связано?

Борис Симис: На наш взгляд, и для заказчиков, и для интеграторов уже достаточно давно очевидно, что надо защищаться и изнутри. По крайней мере, среди выполненных у наших клиентов проектов защите от внутренних угроз обязательно уделяется внимание. И средства для этого на рынке есть — многие производители в последнее время выпустили большое количество средств защиты от внутренних угроз.

Но основная сложность внутренней защиты (в отличие от защиты от внешних угроз) — это невозможность обойтись только установкой и настройкой систем защиты. Много внимания нужно уделять работе с персоналом, наведению внутреннего порядка в компании, построению эффективной системы управления бизнесом (и, в частности, системы управления безопасностью). А эта задача гораздо более сложная, чем внедрение технических средств и систем.

Можно, например, применить множество средств, ограничивающих доступ к конфиденциальной информации компании, но ее способен запомнить и пересказать внутренний сотрудник. И никакими техническими средствами мы эту проблему не решим.

CNews: Организационные меры по обеспечению безопасности являются основой всей системы ИБ в целом. Какое внимание уделяется им в российских компаниях?

Борис Симис: Действительно, организационные меры очень важны. Но в российских компаниях сложность состоит в том, что для того чтобы построить эффективную систему ИБ, нужно четко понимать требования бизнеса к информационным системам и их защите. Очень часто этого нет. Типичный пример — когда нас просят написать политику или концепцию безопасности предприятия, но при этом стратегии развития ИТ нет, а стратегия развития бизнеса меняется достаточно сильно в течение одного года. Поэтому часто приходится видеть наличие формально прописанных документов, которые сильно устарели и не отражают реально необходимые процессы по защите информации. Выход может быть только один — строить систему управления ИБ как общую систему управления предприятием.

CNews: Как Вы оцениваете роль государства в регулировании отрасли ИБ? В достаточной ли мере оно участвует в этом процессе? Какие шаги необходимо предпринять?

Борис Симис: Этот вопрос комплексный и включает несколько аспектов. Законодательное регулирование значительно отстает от потребностей общества, развития ИТ и часто грешит тем, что отражает ведомственные интересы. В результате законы оказываются декларативными и недейственными, слишком многое отдается на откуп подзаконных актов. Законотворчество — достаточно длительный процесс, но когда в результате долгого обсуждения и согласования появляются статьи, о которых никто не знает, как и каким образом их реализовать, эффективность законодательного регулирования сводится к нулю. Необходимо реально наполнить и разделить функции нормативного творчества и контроля за их соблюдением.

О нормативах в области ИБ: с одной стороны, есть закон о техническом регулировании, с другой — руководящие документы ведомств. Если процессы, которые идут в ФСТЭК, являются более или менее открытыми и отражающими современные тенденции ИТ, к подготовке и обсуждению документов привлекаются внешние организации, то в других ведомствах документы готовятся более закрытым образом. Это, возможно, оправдано в части защиты государственной тайны, но приводит к определенным сложностям при принятии документов, определяющих защиту конфиденциальной информации, к отставанию нормативов от реальных технологических процессов в ИТ. Нужно обеспечить большую открытость при принятии нормативных документов, обеспечить их соответствие современному уровню ИТ, мировой практике, реально существующим угрозам и рискам.

Сертификация СЗИ и аттестация АС для обработки информации ограниченного доступа для государственных организаций обязательна. В то же время, сами процессы сертификации и аттестации (будучи достаточно затратными и длительными) требуют совершенствования. В настоящее время невозможно представить себе программный продукт, в котором нет ошибок и для которого не надо выпускать обновлений (в том числе в связи с появлением новых угроз и рисков, что требует оперативного реагирования на них производителя ). Трудно представить АС, которая не развивается и не модернизируется. И процессы сертификации и аттестации должны это учитывать, в противном случае появление нового технологического процесса, нового сервера или рабочей станции, закрытие той или иной уязвимости приведет к формальной незаконности применения используемых средств защиты и АС в целом.

Можно по-разному относиться к имеющемуся портфелю нормативов, но без реальной ответственности конкретных лиц за нарушение ИБ, без организации эффективного контроля за соблюдением норм все это будет работать только в случае понимания проблем ИБ руководителями конкретных предприятий и ведомств. Необходимо определить степень ответственности руководителей различного ранга и конкретных лиц за ИБ (вернее за ее нарушение).

В то же время, уровень контроля государства за соблюдением режима ИБ недостаточен. Ясно, что на организацию текущего контроля не хватит никаких ресурсов даже очень богатого государства, но само государство должно жестко реагировать на случаи выявленных нарушений ИБ и обеспечить гармонизацию требований (не всегда отвечающих реальным потребностям) и финансовых ресурсов, выделяемых на данные работы.

Нужно сформировать с участием заинтересованных организаций пакет стандартов в области ИБ, направленных в первую очередь на управление и контроль ИБ. И, конечно, необходимо обеспечить реальное финансирование данных процессов.

CNews: Часто говорят про нехватку квалифицированных ИТ-кадров. Наблюдается она в сфере ИБ? Как такие компании, как ваша, решают эту проблему?

Борис Симис: Кадры действительно решают все, в нашем бизнесе — особенно. Кадровые вопросы в своей компании мы решаем разными способами. В первую очередь, это привлечение квалифицированных специалистов в области ИБ, имеющих опыт работы. В то же время мы уделяем большое внимание профессиональному росту людей, финансируем обучение специалистов, чтобы они могли повышать свой уровень, причем проводим не только техническое обучение. У нас также применяется практика сотрудничества со студентами известных вузов, когда после обучения они переходят к нам на работу и через несколько лет вырастают в высококвалифицированных специалистов.

Что касается нехватки кадров у заказчиков — это, действительно, распространенная проблема. Мы помогаем своим клиентам решать кадровые проблемы путем предоставления различных разовых и периодических (непрерывных) услуг — от помощи в разрешении сложных технических проблем до аутсорсинга целых ролей, которые заказчику невозможно (или невыгодно) выполнять силами собственных сотрудников. Полезной для многих наших клиентов стала услуга Центра компетенции по вопросам ИБ, куда можно обратиться за консультацией, помощью в расследовании инцидентов безопасности и по другим вопросам.

CNews: Какие интересные проекты были реализованы вами в сфере ИБ в прошедшем году?

Борис Симис: Мы начали работы по подготовке к международной сертификации по стандарту ISO 27001 нескольких крупных российских компаний в сфере телекоммуникаций, промышленности и в страховом бизнесе. Интересными для нас также стали проекты по созданию интегрированных систем управления ИБ в промышленных и государственных компаниях с распределенной ИТ-инфраструктурой и множеством разнообразных средств ИБ. Нами выполнены работы по построению систем централизованного управления пользователями и их полномочиями в разнородных прикладных системах банков. Это сложные и интересные проекты, поскольку для их выполнения нужно иметь высокую квалификацию как в области ИБ, так и в прикладных системах, и при этом понимать бизнес-задачи, которые эти прикладные системы решают. Интересными для нас и полезными для заказчиков были услуги по контролю защищенности ресурсов ИТ-систем и работе центров компетенции для телекоммуникационных компаний и банков.

CNews: Какие факторы будут определять развитие российского рынка ИБ в ближайшем будущем?

Борис Симис: Первый фактор — технологический — связан с выходом информационных систем на региональный и федеральный уровень, использованием Интернета для организации коммуникаций, глобальным изменением масштаба информационных систем и их сложности. В связи с этим будут ужесточены требования не только по функциям, реализуемым СЗИ, но по их производительности и управляемости, по возможности надежной и бесперебойной работы, обеспечению работы в гетерогенной среде и централизованному управлению. Широкое распространение получат работы по комплексной защите приложений (в широком смысле — защите автоматизируемых процессов, включая защиту непосредственно на прикладном уровне с созданием необходимой защищенной инфраструктуры, безопасной интеграции приложений и организационно-методического обеспечения ИБ).

Второй фактор — нормативный — связан с планируемыми изменениями в законах «Об информации, информатизации и защите информации » и «Об электронной цифровой подписи», принятием закона «О техническом регулировании» и подготовкой технических регламентов в области ИБ. Кроме этого, на развитие рынка будет широко влиять интерес российских компаний к сертификации по международным стандартам.

В связи с этим нас ждет сертификация СЗИ на основе профилей безопасности и ГОСТ 15408, что потребует значительных усилий от разработчиков СЗИ и проведения просветительской работы среди пользователей СЗИ, увязывание терминологии стандартов и реальных требований пользователей к ИБ.

Кроме того, интеграция России в мировое бизнес-сообщество вызывает необходимость следовать требованиям международных стандартов. А это ведет к совершенствованию всей системы и процедур управления ИБ и ее привязке к бизнес-процессам, к широкому внедрению инструментов анализа угроз и рисков и систем централизованного управления ИБ (на всех функциональных уровнях — от управления учетными данными пользователей и анализа их активности в гетерогенной среде до создания центров оперативного реагирования на события безопасности).

И, наконец, бизнес-факторы: начинает усиливаться понимание того, что информационная безопасность является неотъемлемой частью бизнес-процессов, частью деловой репутации компании, ее капитализации и, что самое главное, залогом непрерывности бизнеса. Соответственно, меняется подход к ИБ, усиливается внимание топ-менеджеров российских компаний к этой проблеме. Решения по ИБ появляются на ноутбуках высшего руководства (что требует особой деликатности от разработчиков таких средств), защищаются ERP-системы и АСУТП, строятся резервные центры, внедряются технологии и решения, обеспечивающие непрерывность бизнеса, повышается интерес к решениям, снижающим риск утечки конфиденциальной информации. Появляется необходимость того, чтобы СЗИ и вся система управления ИБ «говорили» на языке денег — на языке бизнеса.

CNews: Спасибо.