Новый год за номером 152-ФЗ : до часа «Х» осталось два с половиной месяца

Так как 1 января уже не за горами, спрос на проекты построения систем защиты персональных данных заметно вырос. В ответ увеличивается и предложение. По словам генерального директора LETA IT-company Андрея Конусова, сейчас на российском рынке выполнением таких проектов занимается порядка десяти компаний, серьезно владеющих этой проблематикой. Среди них четверка лидеров: «Информзащита», КРОК, Jet Infosystems и LETA IT-company.

Согласно приблизительному подсчету, который был проведен Андреем Конусовым в присутствии журналистов, сейчас в России выполняется примерно 600 проектов данного направления. При средней стоимости проекта 10 млн. руб., емкость этого сектора рынка в 2009 году составляет 600 млн. руб. Доля компании LETA составляет около 10%.

Генеральный директор LETA IT-company Андрей Конусов

По предварительным оценкам, оборот компании LETA за первые три квартала 2009 года составил 786 млн. рублей, что на 16-17% превысило соответствующий показатель прошлого года. Подобное превышение компания намерена сохранить и в четвертом квартале, что обеспечит оборот за 2009 год на уровне 1,2 млрд. рублей. В текущем году большую часть оборота LETA IT-company составили проекты, выполненные новым направлением по защите персональных данных.

С начала 2009 года в бизнес-портфель LETA IT-company вошло 60 крупных проектов по созданию систем защиты персональных данных. По оценкам компании, к концу года их число приблизится к ста. Это примерно 50% всех проектов, выполняемых сегодня LETA IT-company. Примечательно, что из всех проектов по защите персональных данных, на сегодняшний день только три были инициированы государственными структурами.

Что касается ситуации на рынке, то за последние полгода, по словам Андрея Конусова, появилось некоторое количество компаний, предлагающих низкокачественные решения по обеспечению защиты персональных данных. В лучшем случае они пытаются многократно и практически без изменений использовать пакет документов, не учитывающий в достаточной степени особенности конкретного заказчика. Подобные проекты предлагают реализовать за один месяц. Опасность в том, что клиент не может самостоятельно выявить дефекты решения, полагая, что проблема защиты персональных данных у него решена. Но первая же проверка неизбежно выявит неадекватность решения, что потребует его замены. Подобное положение вещей, по мнению компании LETA, является главной угрозой для операторов персональных данных и способно подорвать развитие всего рынка профессиональных услуг в этой области.

Анализируя собственные проекты, LETA IT-company утверждает, что только обследование где и как компания-заказчик хранит персональные данные, требует порядка двух месяцев работы. Типичный проект компании LETA занимает 6-9 месяцев. Создание системы в пилотной зоне крупной компании  обходится в 10 млн. руб., а стоимость полного проекта для крупного заказчика составляет порядка 20-30 млн. руб.

Вполне очевидно, что для средних и малых предприятий изыскать подобную сумму на создание системы почти нереально. Поэтому компания LETA приступила к ускоренной разработке детальной инструкции по самостоятельному созданию системы защиты персональных данных на предприятиях рынка SMB. Инструкция поможет правильно интерпретировать все изложенные положения сотрудниками отдела ИБ типичного российского предприятия. Ее смогут бесплатно использовать все желающие. По словам Андрея Конусова, такой документ будет еще полезен для отсева предложений неквалифицированных и недобросовестных поставщиков услуг.

Опираясь на отработанную технологию типизации, компания LETA прорабатывает возможность создания для сегмента SMB специализированного пакета услуг, в котором снижение себестоимости опирается и на их массовый характер, и иное, чем в крупных проектах, распределение работ и ответственности между заказчиком и исполнителем.

В середине третьего квартала 2009 года стала меняться ситуация и в других сегментах рынка. В частности, были «разморожены» некоторые старые и появились новые проекты в сегменте DLP. Эта часть рынка в 2008 году была одной из самой динамичных, но в связи с кризисом проекты были свернуты или отложены, а заказчики перешли на короткие малобюджетные решения с быстрой и прозрачной окупаемостью.

Эксперты LETA отмечают, что российский рынок ИБ в начале четвертого квартала характеризуется целым рядом изменений, но уже в первом полугодии 2010 года ситуация будет существенно отличаться от сложившейся в 2008 и 2009 гг.

Главные изменения следующие. Наиболее значительные потоки заказов по защите персональных данных могут идти от государственных организаций, которые не имели бюджетов на соответствующие проекты в текущем году,  а также от крупных коммерческих предприятий. Последние будут переходить к полномасштабной реализации подобных проектов. При этом достаточно высокого уровня профессионализма достигнут многие интеграторы, начавшие заниматься защитой персональных данных лишь во второй половине  2009 года. Соответственно, рынок станет более объемным и более выровненным.  Со второго полугодия 2010 года появится новый сегмент, связанный с юридическим и аналитическим сопровождением уже внедренных систем защиты персональных данных. Объем этого сегмента, по оценкам компании LETA, составит до 20% общего объема рынка новых проектов.

Ожидается практически полное восстановление рынка DLP (до объема, прогнозировавшегося на 2009 в докризисный период), а также рост нескольких относительно новых сегментов. Наилучшие перспективы здесь имеют: сканеры уязвимости сети и системы раннего выявления атак на территориально-распределенные предприятия. Будет развиваться рынок систем Web-фильтрации, позволяющих отслеживать активность сотрудников в Интернет. Получат более широкое распространение персональные аппаратные средства аутентификации, которые будут работать и с информационными системами, и с системами физической защиты помещений.

В первом полугодии 2010 года можно ожидать также изменений в сегменте ИБ для банковского сектора. Это связано с вероятной выработкой и внедрение интегрированного стандарта безопасности, учитывающего действующую нормативную базу в сфере защиты персональных данных, разработанное ЦБ РФ семейство документов, образующих обновленный стандарт СТО БР ИББС, а также стандарт безопасности PCI DSS для работы с пластиковыми карточками.

Андрей Конусов отметил, что для всего рынка нехватка квалифицированных кадров, системно владеющих всем комплексом знаний по проблеме защиты персональных данных, является основным фактором, сдерживающим число проектов, которые могут выполнять компании, серьезно занимающиеся этой проблематикой. В связи с этим LETA IT-company создала и ввела ускоренные программы обучения в МУИБ по специальности «Стандарты и госрегулирование в области ИБ». К настоящему времени завершено обучение первых двух групп специалистов. Обучение остальным трем специальностям - «Основы сетевой безопасности», «Риск-менеджмент в ИБ», и «Менеджмент в ИБ» начнутся по намеченному графику – с января 2010 года.