Поделиться
Три проблемы рынка защиты информации в России
В данной статье CNews представляет личный взгляд руководителя крупной отечественной ИБ-компании на нерешенные проблемы отрасли. Имя им разобщенность, зарегулированность рынка, отсутствие достоверных показателей его объема и однозначной идентификации игроков.В результате сложилась парадоксальная ситуация. В рейтингах ИБ мы видим знакомые названия компаний и цифры в рублях. Но над этими цифрами нельзя производить арифметические операции, потому как эти цифры, хоть и написаны одними и теми же символами, но реально имеют совершенно разную природу.
Безусловно, создание качественной аналитики рынка – долгая и затратная вещь. Можно понять составителей рейтингов, которые минимизируют издержки на содержание штата маркетологов-аналитиков. Но в результате мы получаем замену аналитики на PR со всеми вытекающими последствиями. При таком подходе дальше констатации фактов продвинуться невозможно.
Проблема появления качественных аналитических данных по рынку ИБ лежит в экономической плоскости. Качественная аналитика - это коммерческий проект со своими заказчиками, затратами и источниками дохода. Соответственно, сегментация рынка ИБ, разработка процедуры и критериев оценки данных, предоставленных компанией, их интерпретация и, собственно, качество выводов – решение этих вопросов требует интеллектуальных и временных затрат специалистов и простым опросом мнения на сей счет поставщиков продуктов и услуг владельцу рейтинга не обойтись.
Для начала можно было бы сделать очевидные вещи. Чтобы не считать рынок трижды, необходимо отдельно учитывать выручку производителей софта, железа и поставщиков услуг.
Проблема №3. Рынок ИБ чрезмерно зарегулирован, а его участники запутаны окончательно
Сейчас на российском рынке ИБ мы видим две разнонаправленные тенденции: с одной стороны, усиливаются требования различных органов власти к безопасности государства, с другой, информационные технологии все больше и больше проникают в повседневную жизнь граждан, которым требуется защита от различных “плохих парней”.
И как показывает практика, перенос методов и способов защиты интересов государства на защиту частных интересов граждан ни к чему хорошему не приводит. Реализация закона о персональных данных наглядно продемонстрировала сказанное и выявила, на мой взгляд, одну большую проблему в деятельности регуляторов, которая затронула не только игроков рынка ИБ, но и всех потребителей.
Проблема эта заключается в том, что предлагаемые регуляторами требования по защите персональных данных малоприменимы к современным системам обработки информации. Именно поэтому операторам персональных данных приходится выбирать: либо работать, либо формально соблюдать требования, оторванные от реальной жизни.
Одной из проблем рынка ИБ является разобщенность участников
Основная причина обозначенной проблемы в том, что устарела сама система регулирования рынка ИБ. Существующая модель регулирования строилась исходя из того, что потребителей ИБ-услуг немного, и в основном все они обслуживают государственные интересы. Именно эта установка определила функции регуляторов, их права и обязанности, а также штатную численность.
Выбранная парадигма регулирования сложилась в прошлом веке и в социалистическом государстве. В те времена информационные технологии изменялись медленно, крупные системы строились исключительно в интересах государства, а число контролируемых организаций измерялось десятками или сотнями в масштабах страны.
Именно для такой ситуации и были разработаны универсальные требования по ИБ, которые не зависели от отрасли, а контроль исполнения требований проводился непосредственно самими регуляторами.
Естественно, что увеличение участников рынка и усложнение технологий сделало такую модель в текущих условиях почти неработоспособной.
С другой стороны, понятно, что органы власти не может оставить коммерческий рынок без внимания, поскольку призвано защищать как собственно государственные интересы, так и интересы своих граждан. Возникает противоречие.
Что делать?
Нужны глубокие системные изменения, соответствующие изменившейся сущности и структуре устройства страны.
Объективная картина рынка ИБ появится, если будет спрос у критической массы участников рынка на качественные аналитические исследования как инструмент самооценки и развития. Для создания отраслевой ассоциации (не путать с объединением нескольких компаний для участия в коммерческом разделе проектов) необходима группа авторитетных и активных профессионалов, которые разбираются не только в механизмах защиты и хитросплетениях политических интриг, но и в экономических механизмах рынка. Вопрос, кто эти люди и захотят ли они работать на благо отрасли, остается открытым. Но если такие люди появятся, и удастся преодолеть феодальную раздробленность, существующую сейчас на рынке ИБ, то от этого выиграют как участники рынка, так и потребители.
Самое сложное – это создание новой схемы регулирования рынка ИБ, поскольку решение этой задачи затрагивает не столько ИБ-компании, сколько требует политической воли, системного подхода и нешуточного напряжения сил большого числа министерств, ведомств, политических, и коммерческих структур.
Если говорить о сути регулирования, то, на мой взгляд, подходы к регулированию государственного и негосударственного сегментов рынка должны различаться.
В государственном сегменте целесообразно сохранить ранее созданный порядок регулирования и контроля за его соблюдением. В негосударственном же сегменте, на мой взгляд, роль регуляторов необходимо менять. Коммерческому сегменту нужны "метарегуляторы", которые определят, прежде всего, ответственность (административную, финансовую и др.) за нарушение прав тех лиц, информация которых или о которых обрабатывается в информационных системах, а также самые общие функциональные требования к системам безопасности. Когда ответственность и функциональные требования обозначены, контроль за их исполнением можно осуществлять по формальным признакам. Не хочешь обеспечивать безопасность – не надо. Считаешь излишним или слишком дорогим – значит, так тому и быть, ведь фирмы–то частные, и приказать им сложно. Но если безопасность данных нарушена, то ответственность менеджмента определена и исчисляется во вполне ощутимых и понятных показателях, влекущих за собою финансовые, репутационные, административно-правовые последствия. Таким образом, коммерческим компаниям нужно просто дать возможность выбора и понимание цены последствий.
Информация об авторе
Автор статьи - Владимир Гайкович, генеральный директор группы компаний "Информзащита". В 1989 году закончил военное училище КВИРТУ ПВО (г. Киев) по специализации "Программное обеспечение АСУ". В 1995 году выступил в числе основателей компании НИП "Информзащита", с 2000 года является ее генеральным директором.
При таком положении дел логичным способом минимизации рисков является следование стандартам. Эти стандарты вместе с правилами их контроля разрабатываются внутри каждой отрасли и регистрируются у метарегулятора. Они отражают специфику той или иной отрасли в части рисков и технологий обработки информации и детализируют функциональные требования метарегулятора.
Контроль исполнения этих требований внутри отрасли производится уполномоченными аудиторами, прошедшими аккредитацию как у метарегулятора, так и в отрасли.
Метарегулятор производит выборочный контроль качества сделанных проверок, что держит в тонусе аудиторов.
Такой подход позволит, с одной стороны, уделить должное внимание именно безопасности, а не хитрым способам составления формальных документов во избежание замечаний по проверкам, а с другой стороны, позволит государству выполнить свои функции в части защиты интересов граждан.
Предложенный комплекс мер, на мой взгляд, позволит защитить интересы потребителей, поднять уровень профессионализма участников рынка и вместе с этим дать мощный импульс развитию всего рынка ИБ.
Поделиться
Короткая ссылка
