Рынок услуг информационной безопасности

Формирование рынка услуг ИБ

На российском рынке услуг ИБ наблюдается интенсивный рост спроса и предложения. Даже ИТ-компании, которые не специализируются на ИБ, начинают активно включать те или иные услуги ИБ в перечень предлагаемых работ. Однако на рынке нет ни одной компании, предлагающей «эксклюзивный» комплекс услуг. История развития российского рынка ИБ показывает, что большинству компаний для формирования предложения в сфере услуг потребовалось значительное время. Период массового появления ИБ-компаний пришелся на 1992 год, а активное продвижение услуг ИБ на рынке началось лишь в 2003-2005 гг.

Сегодня на рынке ИБ условно можно выделить три большие группы компаний, в зависимости от профиля их деятельности: системные интеграторы широкого профиля, специализированные системные интеграторы и другие компании.

Для системных интеграторов, работающих в сфере информационных технологий, обеспечение информационной безопасности является одним из направлений деятельности, но не основным.

Однако если раньше при реализации проектов, включающих тематику по информационной безопасности, они предпочитали привлекать специализированную стороннюю организацию, то сейчас уже практически во всех из них созданы соответствующие подразделения. Появление направления ИБ и у этой группы компаний стало следствием расширения деятельности, поэтому не было представлено в полную силу с самого начала. Сравнительно быстрый выход системных интеграторов на рынок услуг ИБ обеспечивался за счет уже сложившегося имиджа в ИТ-сфере.

Приоритетным направлением специализированных системных интеграторов является деятельность именно в сфере информационной безопасности. Третья группа состоит из компаний, имеющих отношение к сфере информационной безопасности, но оказывающих узкий спектр услуг или сфокусированных на предложении средств защиты (как компании-производители, так и компании-дистрибьюторы).

Хотя рынок услуг ИБ активно растет, анализ предложения по услугам ИБ показал, что сейчас идет лишь этап формирования. Все компании оказывают «базовый» набор услуг (технико-аналитический блок), однако заметно отличаются спектром дополнительных услуг. На рынке нет ни одной компании, предлагающей «эксклюзивный» (или уникальный) комплекс услуг. Далеко не все компании публикуют систематизированную и обновленную информацию на своих сайтах, до сих пор даже не на всех сайтах присутствует специальный раздел «Услуги», часто он объединяется с разделом «Решения». Очевидно, что в таком случае направление услуг не только не считается приоритетным, но и воспринимается компаниями как дополнение к техническим решениям, формируя тем самым такое же восприятие и у заказчиков.

Кроме того, на рынке до сих пор не сформированы общепринятые наименования видов услуг и тем более - их классификация. Так, в одних компаниях под одной услугой подразумевается целый комплекс работ, а в других аналогичные работы представлены как самостоятельные услуги, даже одно и то же название не всегда гарантирует одинаковую интерпретацию состава услуги.

Сейчас для рынка услуг ИБ характерно и практически полное отсутствие в открытом доступе прайс-листов на предоставляемые услуги (за редким исключением компаний, оказывающих узкий спектр услуг).

В целом можно выделить два вида «поведения» компаний на рынке. К первому виду относятся компании, ориентированные на традиционный подход к информационной безопасности, они предлагают в основном услуги технического плана. Кроме того, у них относительно развито предложение в сфере образовательных услуг. Как конкурентное преимущество компаний этой категории можно отметить предложение по проведению сертификационных испытаний (наличие собственных лабораторий). Перспективные направления услуг данными компаниями практически не поддерживаются. При отсутствии достаточного внимания к развитию перспективных направлений услуг такие компании скоро могут потерять свои позиции на рынке ИБ, не выдержав конкуренции, либо сузить предложение до тех услуг, оказание которых требует наличия специальных лабораторий.

Компании второй категории, помимо «традиционных», развивают и сравнительно новые и перспективные виды услуг, например, расчет финансово-экономических показателей, анализ информационных рисков и т.п. Сертификационные испытания своими силами эти компании не проводят. Однако они имеют больше шансов закрепиться на рынке услуг ИБ и перейти от схем работы по поставкам к экспертным и консультационным услугам. Что касается самого спектра услуг то, как уже отмечалось, единые формулировки для названия услуг до сих пор отсутствуют. В дальнейшем анализе будут использоваться формулировки, наиболее часто употребляемые в предложениях компаний.

Виды услуг в сфере информационной безопасности.

Технико-аналитические:

• Комплексное обследование защищенности ИС;

• Разработка организационно-распорядительной и нормативной документации в области ИБ;

• Разработка, апробация и внедрение технических решений по защите информации;

• Техподдержка и сопровождение СОБИ;

• Установка и настройка программно-технических средств защиты информации.

Экспертно-аналитические:

• Анализ информационных рисков;

• Аттестация объектов информатизации;

• Расчет финансово-экономических показателей СОБИ;

• Сертификационные испытания оборудования и ПО;

• Сертификация на соответствие международным стандартам;

• Экспертиза проектов и решений.

Дополнительные:

• Обучение в сфере информационной безопасности;

• Консультационные услуги по техническим вопросам;

• Консультационные услуги по нормативным вопросам;

• Консультационные услуги по правовым вопросам;

• Аутсорсинг эксплуатации СОБИ.

В настоящее время сформировалось некое «базовое ядро» услуг, предлагаемых практически всеми компаниями, полноценно присутствующими на рынке. Все эти услуги в большей части относятся к технической стороне обеспечения информационной безопасности. Это - разработка и внедрение технических решений, установка и настройка программно-технических средств и, наконец, техподдержка и сопровождение СОБИ. Кроме того, сравнительно недавно наметилась тенденция в значительном увеличении популярности и росте спроса на услуги комплексного обследования защищенности ИС (аудита информационной безопасности) и разработки организационно-распорядительной и нормативной документации в области ИБ, поэтому эту услугу также уже можно присоединить к базовому набору.

В выделившемся «ядре» услуг прослеживается логическая последовательность их «правильного» использования: «Аудит - проектирование - внедрение - сопровождение», что говорит о достижении рынком услуг ИБ того уровня развития, при котором уже сформированы определенные принципы потребления, т.е. потребление услуг перестало носить хаотичный характер. Здесь явно прослеживается тенденция к комплексному подходу потребления услуг.

В общем спектре предлагаемых услуг сейчас можно выделить три большие группы (технико-аналитические, экспертно-аналитические и дополнительные).

Технико-аналитические услуги.

Сейчас сравнительно широкое предложение услуг по анализу информационных рисков вызвано, как ни странно, неразвитостью этой услуги и отсутствием у заказчиков четкого понимания, что они должны получать в результате ее использования. Поэтому у исполнителей есть возможность сократить полноценный анализ информационных рисков до технических методов выявления уязвимостей системы, сканирования и т.п. Это подтверждается практически полным отсутствием предложения услуги по расчету финансово-экономических показателей СОБИ. Именно эта услуга необходима для проведения адекватного анализа рисков не только с технической, но и с экономической точки зрения. Кроме того, как самостоятельная услуга анализ рисков указывается лишь у некоторых компаний, чаще анализ рисков входит в состав аудита ИБ.

В настоящее время данная группа услуг является наиболее привлекательной практически для всех компаний независимо от размера и отрасли, хотя интерес крупных компаний выше.

Прогнозируемый спрос на эти услуги также достаточно велик по сравнению с другими группами услуг.

По данным проведенного опроса, в этой группе услуги имеют следующую приоритетность и для крупных, и для средних компаний:

1. Установка и настройка программно-технических средств защиты информации

2. Разработка, апробация и внедрение технических решений по защите информации. По

данной услуге прогнозируется наибольший рост.

3. Комплексное обследование защищенности ИС

4. Разработка организационно-распорядительной и нормативной документации в области ИБ

5. Техподдержка и сопровождение СОБИ

Стоит отметить, что респондентов, планирующих приобрести эти услуги меньше, чем респондентов, которые уже их приобретали. Видимо, определенный уровень технического оснащения уже достигнут, а проводить модернизацию компании пока не собираются.

Если рассматривать ту же группу услуг с точки зрения отраслей экономики, то картина несколько меняется: приоритетность услуг разнится для каждого сегмента. Наиболее специфичным в вопросе потребления услуг данной группы является сегмент «Госструктуры», что частично может объясняться целенаправленным бюджетным финансированием отрасли.

Экспертно-аналитические услуги.

В группу экспертно-аналитических услуг входят расчет финансово-экономических показателей СОБИ, экспертиза проектов и решений, анализ информационных рисков, аттестация объектов информатизации, сертификационные испытания оборудования и ПО и сертификация на соответствие международным стандартам.

Услуги данной группы пока наименее востребованы. Их (за исключением услуги по анализу информационных рисков, о которой говорилось выше) предлагают ограниченное число компаний, что говорит как о «пробелах» в стратегии развития услуг ИБ, так и об отсутствии массового спроса на эти услуги. Однако можно прогнозировать увеличение доли именно этих услуг по мере развития рынка и перехода обеспечения ИБ в ряд стандартных бизнес-задач, причем темпы развития у этой группы будут значительно выше, чем для других. Для оказания первых трех из перечисленных услуг необходимо наличие квалифицированных специалистов, часто с «непрофильным» для ИБ образованием (экономическим, юридическим), а также разработанных методик и определенного опыта выполнения подобных работ.

С точки зрения отраслевой принадлежности, основной рост услуг этой группы прогнозируется у коммерческих предприятий, не относящихся к ИТ-сфере, за счет услуг по анализу рисков, аттестации и сертификационных испытаний оборудования.