Обзор подготовлен	При поддержке

Борис Коновалов: Аутсорсинг — та область, где не хватает «критической массы» спроса и предложения

О состоянии и развитии российского рынка услуг в области информационной безопасности рассказал Борис Коновалов, вице-президент компании «TopS Business Integrator».

CNews: Какие тенденции, на ваш взгляд, определяют сегодня развитие российского рынка ИТ-услуг?

Борис Коновалов: Главным фактором, определяющим спрос на ИТ-услуги, является рост бизнеса российских предприятий. Укрупнение компаний, усложнение бизнес-процессов приводят к необходимости их формализации, а также поддержки управляемости в условиях очень быстрого развития. В конкурентных отраслях возникает необходимость в оптимизации расходов, снижении издержек. В итоге компании начинают все чаще оперировать такими понятиями, как корпоративная архитектура, ИТ-стратегия, управление портфелем проектов ИТ.

Сегодня информационная поддержка бизнес-процессов, принятия управленческих решений, управления активами компании, ее ресурсами, формирования консолидированной отчетности становится необходимой для российских предприятий. Естественно, что сами они не в состоянии справиться с возникающими проблемами, что рождает спрос на профессиональные ИТ-услуги.

Можно долго перечислять факторы, влияющие на спрос, но все они, так или иначе, связаны с ростом и взрослением бизнеса. Показательным примером является привлечение иностранных инвестиций или выход на фондовый рынок, которые невозможны без соответствия международным стандартам, предъявляющим жесткие требования к организации бизнес-процессов в компании. В результате этого можно говорить, что в России появился совершенно новый класс не востребованных ранее ИТ-услуг.

Изменение отношения бизнеса к ИТ можно проиллюстрировать на примере сегмента информационной безопасности — одного из активно развивающихся направлений ИТ-рынка. Если раньше термин «информационная безопасность» ассоциировался у заказчиков, в основном, с установкой технологических продуктов (межсетевых экранов, систем защиты сетевых ресурсов и пр.), то сегодня эта область понимается значительно шире.. Это и анализ рисков, и выстраивание модели угроз, формирование политики ИБ, которая включает, прежде всего, организационные мероприятия, и обеспечение непрерывности бизнеса, сохранности информации, безопасного доступа к информации. Таким образом, востребованными становятся, в первую очередь, именно услуги ИБ.

CNews: Какие услуги, из вашей практики, наиболее востребованы на рынке ИБ? Как, в частности, вы оценили бы уровень спроса на аудит информационных систем со стороны отечественного бизнеса?

Борис Коновалов: Наиболее востребованный сегодня услугой является аудит систем ИБ. Однако надо сразу отметить, что аудит — это только начальная стадия комплексного цикла построения системы ИБ, который включает в себя еще проектирование, внедрение и поддержку. Дело в том, что построение систем управления ИБ в соответствии существующим стандартам начало в России с 2000 г., и сейчас только набирает обороты. Поэтому именно аудит получил в данный момент наибольшее распространение.

Полномасштабный аудит ИБ, которым мы предпочитаем называть «диагностическим обследованием», традиционно состоит из трех частей: описательной, аналитической и рекомендательной. Он позволяет систематизировать информацию о системе ИБ, проанализировать ее с точки зрения внешнего независимого эксперта и предложить решение существующих проблем.

Часто знания о технических параметрах системы ИБ распылены между администраторами, проектировщиками системы.. Очень важно собрать их воедино, систематизировать и задокументировать. Это позволяет трезво взглянуть на реальное положение вещей, сопоставить требования заказчика к системе ИБ и ее реальные возможности.. Очень важно определить какая информация является критичной для организации, как она хранится, обрабатывается и передается в информационной системе компании. Только после это можно идентифицировать потенциальные уязвимости, провести анализ рисков и рекомендовать решения по их минимизации.

При аудите и построении систем ИБ наша компания использует передовой западный и отечественный опыт, например, методики аудита агентства национальной безопасности США «NSA IAM», стандарт NIST SP800-26, рекомендации Британского института стандартов PD 300x, стандарт по техническому аудиту OSSTMM и др. По желанию заказчика, мы проводим «тесты на проникновение», которые позволяют проверить надежность системы ИБ и процесса реагирования на инциденты.

Еще раз отмечу, что аудит является только начальной стадией комплексного цикла услуг, за которой следует стадия проектирования и поддержки. Среди других ИТ-услуг в сфере ИБ, набирающих сегодня популярность, можно выделить построение планов непрерывности ведения бизнеса (DRP/BCP) и расследование компьютерных инцидентов.

CNews: По вашим оценкам, какая доля бюджета ИБ сегодня в среднем приходится на услуги в российских компаниях? Как изменялся этот показатель за последние годы, по вашим наблюдениям?

Борис Коновалов: Спрос на услуги в области ИБ в последние годы плавно растет. В целом, доля услуг в бюджете ИБ зависит от зрелости процессов управления компанией. В более «зрелых компаниях» затраты, приходящиеся на услуги, могут составлять до 20% от стоимости оборудования ИБ. Это значительные расходы, связанные с тем, что в настоящее время в российских компаниях идет активное создание/модификация систем ИБ, в том числе приведение их в соответствие стандартам ИБ, что требует большого объема работ. Вместе с тем, и технологические продукты обеспечения ИБ становятся более сложными, возрастает необходимый уровень квалификации специалистов, осуществляющих поддержку и обслуживание систем ИБ.. Ужесточаются требования к этим системам ввиду возрастания ценности обрабатываемой корпоративной информации, зависимости бизнес-процессов от ИТ. Все это определяет высокие расходы на ИТ-услуги.. У развитых западных компаний объем затрат на услуги ИБ достигает 50% стоимости оборудования.

CNews: Какие решения в сфере ИБ становятся, из вашей практики, обязательным стандартом в российском бизнесе?

Борис Коновалов: Нельзя говорить о решениях, которые могут выступать в качестве обязательного стандарта. Конечно, существует перечень рекомендуемых средств для различных задач, но не существует стандартизованных решений.. Единственным «правильным решением»  является комплексный подход к построению систем ИБ и систем управления ИБ, и российскими компаниями сегодня все чаще востребованы именно такие решения.

Отсюда возникает потребность в проведении работ по анализу информационных рисков и по созданию/модификации политики и процедур ИБ. Системы управления ИБ строятся в соответствии с современными стандартами. Используются и новая версия стандарта ISO 17799:2005, и появившийся стандарт ISO 27001, и, естественно, стандарт ЦБ РФ. Стандарт дает необходимый «скелет» решения, возможность «ничего не забыть».

В целом основное требование наших заказчиков — построить экономически эффективную комплексную систему ИБ, в которой все подсистемы были бы связаны между собой, и, как следствие — повысить  управляемость системы ИБ и обеспечить ее интеграцию в информационную систему компании.

Стоит также отметить, что сегодня выдвигаются очень серьезные требования и к консультантам.. Заказчикам необходимо наличие у консультанта опыта в аналогичных проектах, «испытательной базы», на которой можно было бы продемонстрировать и отладить предлагаемые решения. Консультант должен также иметь «крепкие» связи с производителями продуктов ИБ и обеспечивать гарантийную и пост-гарантийную поддержку предложенных систем.

Наша компания, например, является единственным в России золотым партнером компании Check Point — лидера на мировом рынке ИБ, имеет центр компетенции Check Point и является сертифицированным центром поддержки продуктов этой компании. TopS BI, в числе немногих, предоставляет также услуги по аутсорсингу подсистем ИБ. В России это пока относительно новый сервис.

CNews: Какие меры, по вашим оценкам, необходимы, чтобы свести к минимуму вероятность утечки информации в организации?

Борис Коновалов: В первую очередь, необходимо создать эффективную систему управления ИБ. Это значит, что нужно провести анализ рисков, четко выстроить процедуры ИБ, определить ответственность сотрудников в выполнении этих процедур, проводить тренинги персонала, соответствующую кадровую политику, создать процесс реагирования на инцидент ИБ. Административные меры являются первоочередным и самым действенным способом минимизации вероятности утечки информации.

Следующим этапом идет внедрение соответствующих технических средств для разделения доступа, шифрования информации, мониторинга и аудита системы ИБ. Следует понимать, что для предотвращения инцидента необходимо все эти мероприятия проводить в комплексе.

CNews: Востребованы ли услуги аутсорсинга ИБ российскими компаниями?

Борис Коновалов: Аутсорсинг — одна из наиболее обсуждаемых тем. Однако пока нет единого мнения о том, является ли эта услуга панацеей для ИТ-подразделений или, напротив, только усложняет их работу. Это та область, где не хватает «критической массы» спроса и предложения, чтобы сделать услугу качественной и доступной.

Большую проблему составляет вопрос доверия и разграничения ответственности между заказчиком и поставщиком ИТ-услуг, особенно когда речь идет об аутсорсинге систем ИБ. Среди заказчиков распространен следующий подход» «вы мне построили систему ИБ — вы за нее и отвечайте», но ни одна система не может гарантировать 100% уровня защиты.

С одной стороны, чтобы мы были уверены в том, что система находится в том состоянии, в каком мы ее передали заказчику, мы должны иметь все права на нее. Но с другой стороны, ни один заказчик никогда не пойдет на это. Если же заказчик сам занимается поддержкой системы, то не может идти речь о сохранности ее в первоначальном состоянии. Это лишь одна из немногих проблем, препятствующих развитию данной услуги в сфере ИБ.  

Исключения встречаются в тех случаях, когда системы требовательны к ресурсам, финансам, железу, чего не может обеспечить заказчик, но может крупный интегратор.. Однако и здесь речь идет об аутсорсинге не всей системы, а отдельных ее частей. Чаще всего это сетевая безопасность и защита периметра.

CNews: Каков ваш опыт в области проведения консалтинговых проектов в сфере ИБ? Каковы ваши дальнейшие планы по развитию этого направления в своем бизнесе?

Борис Коновалов: Наша компания работает с продуктами обеспечения ИБ и предоставляет услуги в этой области с 1996 года, на счету TopS BI — несколько десятков успешно реализованных проектов. Нашими клиентами в области ИБ являются крупнейшие российские компании из различных отраслей и сфер деятельности: банковской, страховой, телекоммуникационной, фармацевтической,  производственной, и др..

Это направление деятельности является одним из профильных в нашей компании и активно развивается. Мы планируем и в дальнейшем расширять спектр предоставляемых услуг, в том числе услуг, связанных с построением систем управления ИБ, подготовкой компаний к сертификации на соответствие стандартам ИБ, услуг аутсорсинга и др.

CNews: Как можно в целом охарактеризовать структуру ваших консалтинговых проектов за последний год?

Борис Коновалов: По-прежнему основу консалтинговых услуг составляют проекты по внедрению ERP на базе решений Oracle, SAP, BAAN, Microsoft-Axapta. Значимую часть доходов приносят услуги по внедрению систем управления ИТ-инфраструктурой и уровнем сервиса, в том числе проектирование и внедрение ИТ-процессов в соответствии с ITIL. Выполняется целый ряд проектов в области внедрения корпоративных порталов, интеграции приложений, построения консолидированной отчетности. Растет число проектов в области логистики, управления складами.

CNews: Как, по вашим прогнозам, будет развиваться российский рынок ИТ-услуг в ближайшие годы? Как скоро вы ожидаете его насыщения и в каких секторах в первую очередь?

Борис Коновалов: Рынок ИТ-услуг развивается очень бурно, но насыщения в ближайшее время вряд ли приходится ожидать. Можно говорить о появлении опыта, отработанных технологий для решения бизнес-задач клиентов. Например, можно говорить, что накопилась «критическая масса» решений для управления финансами, производством, людскими ресурсами. При этом спрос превышает предложение в областях управления цепочкой поставок (SCM), закупками (SRM), активами (EAM) и многих других. Аналогичная ситуация и с индустриальными решениями.. Возьмем, к примеру, телекоммуникационные компании. У всех есть биллинговая система, и можно сказать, что в определенной степени рынок насыщен, но полного решения для управления операционной деятельностью компании (OSS/BSS) практически ни у кого нет.

Много усилий вендоров, интеграторов в настоящее время направлено именно на создание индустриальных решений. Прогнозируется также рост потребности в решениях по интеграции приложений, что связано с увеличением количества использующихся на предприятиях приложений и их усложнении при сохранении унаследованных систем.

Растет интерес к портальным решениям. Все более востребованными становятся информационно-аналитические хранилища данных, системы поддержки принятия управленческих решений. Устойчиво растет спрос на услуги управления уровнем ИТ-сервисов.

CNews: Спасибо.