Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Информационная безопасность зарабатывает все больше

Информационная безопасность зарабатывает все больше

Аналитическая компания IDC оценила рынок информационной безопасности в российских корпоративных ИТ-инфраструктурах. По их данным в прошлом году объем рынка составил 312 миллионов долларов США. Жаль, что цифра была получена впервые, таким образом, пока не представляется возможным оценить существующую динамику. Немного отстает от корпоративного рынка — рынок программных средств, доступных как физическим лицам, так и заказчикам из бизнеса. Его объем в прошлом году составил 229 миллионов долларов США, что соответствовало росту на 29,9% за последние 12 месяцев.

По мнению аналитиков, более 30% корпоративного рынка информационной безопасности на сегодняшний день контролируют крупные компании, обеспечивающие соответствие внутренних информационных систем закону о персональных данных, а также новым требованиям к безопасности платежных систем (в банковской сфере). Таким образом, на сам рынок информационной безопасности (взятый абстрагировано от других сфер) деятельность регулятора повлияла вполне положительно. Бизнес, конечно, с этим не согласен. Закон пока слишком туманен, несмотря на поправки, вышедшие во второй половине июля. Так что рост получается скорее искусственный, нежели естественный. Охотно инвестируют в развитие лишь финансовые компании, которые в целом быстрее оправились от кризиса и уже готовы двигаться дальше.

Помимо персональных и финансовых данных бизнес стремится защищать «внешний периметр» информационных систем. Аналитики отметили рост спроса в сегменте антивирусных решений, сетевых экранов и разнообразных средств для защиты корпоративных сервисов. Здесь, помимо финансовых и государственных организаций, повышенный интерес к новым решениям демонстрировали телекоммуникационные операторы. Рост наблюдался, несмотря на то, что ранее защита внешнего периметра воспринималась бизнесом как истинная и полная информационная безопасность (т.е. несмотря на достаточно высокое проникновение подобных решений в корпоративные ИТ-инфраструктуры).

В частном секторе, как и на корпоративном рынке «правят бал» крупные поставщики ПО. Около 60% рынка контролируется пятью крупнейшими поставщиками. Но здесь законодательство не оказало ровным счетом никакого влияния на ситуацию. Основным двигателем роста стали домашние пользователи, активно защищающие свои компьютеры. Покупку антивирусных решений стимулирует дальнейшее проникновение интернета в стране, а также распространение мобильных компьютеров, в том числе с предустановленными платными решениями.

По мнению IDC, у российского корпоративного рынка информационной безопасности есть огромный потенциал для роста, но в качестве основного стимула развития аналитики указывают новые требования законодательства и стандартизации. В среднем ему предсказывается ежегодный рост на 27,4 % в течение ближайших пяти лет. Программные решения будут развиваться немного медленнее, в среднем на 18,3% в год.

Пока наш рынок все еще занят оценкой ежегодного уровня доходности, западные аналитики уже обращаются к оценке других параметров решений в сфере ИТ-безопасности. К примеру, компания PwC сравнила эффективность средств защиты (по опросам топ-менеджеров из 138 стран, 14% из которых работают в ИТ-компаниях) с количеством инцидентов. Опубликованный отчет 2012 Global State of Information Security Survey показал, что топ-менеджеры могут без подготовки рассказать о повышении бюджетов на информационную безопасность и росте эффективности, но часто не могут рассказать о количестве или качестве зафиксированных инцидентов. Хотя их осведомленность со временем растет, а финансовые потери (по их же заявлениям) уменьшаются, одновременно растет и количество инцидентов. Аналитики связывают это с неизбежной долей завышенной самооценки, присутствующей в любых подобных опросах.

В России, к сожалению, невозможно на данный момент оценить эффективность разрастающихся корпоративных систем информационной безопасности даже подобными методами. Управлять этой метрикой должен сам бизнес, но на сегодняшний день до обнародования доходят лишь случаи обнаруженных нарушений, которые впрямую нельзя трактовать как «неэффективность» (скорее, это «несоответствие требованиям регулятора») или же акции злоумышленников, затронувшие тысячи людей. Часто бизнес и сам не склонен афишировать нарушение своих информационных периметров, пока у нас нет жестких требований по инцидентной отчетности. Куда на самом деле направлены усилия информационных преступников, с каждым годом повышающих свою квалификацию, не известно.

Дополнительные материалы

Комментарии (4)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 12 октября 2011, 23:46

    0
    152ФЗ зарабатывает. Серьезный проект по внедрению - вещь дорогая, а сертификация по ISO 27001 еще прибавляет. Количество сертифицированных компаний - едва ли больше 2-3 десятков по России.
    • Аватар

      Забелин Максим Анатольевич [stecker], 13 октября 2011, 21:19

      0
      А что есть такие компании которые полностью выполнили требования 152 ФЗ? Хотелось бы кстати найти где-то такую статистику, но имхо рано еще.
      • Аватар

        Яковлев Андрей Михайлович [swtws], 14 октября 2011, 05:35

        0
        Могу только одно сказать - банки, реализовавшие СТО БР  ИББС, считаются выполнившими  требования 152-ФЗ

        Сайт сообщества организаций в области стандарта СТО БР ИББС www.abiss.ru, еще есть ресурсец www.iso27000.ru если пропустить рекламную мишуру, то статистика по ИБ там лоскутами, но есть.
  • Аватар

    Алёхин Владимир [avv], 14 октября 2011, 15:08

    1
    Недавно мы столкнулись с такой интересной и щекотливой ситуацией. К нашему клиенту, которому мы за несколько дней до этого сдали эскизный проект на создание СЗПДн пришла внеплановая проверка Роскомнадзора по жалобе субъекта аж в прокуратуру.
    Естественно, весь комплекс бумажных работ мы до этого провели. И слава богу. Что могу сказать - адекватность регулятора Роскомнадзор не отметить нельзя - проверяли только в рамках жалобы, куда не надо носа не совали. В итоге резюме - предписание выдали только за пару нюансов, которые мы отметили в отчёте об аудите, но клиент просто не успел устранить.
    Так что, Максим Анатольевич, я Вам утверждаю, что формально требования законодательства выполнить не так сложно как это может показаться на первый взгляд. А вот будет ли такое выполнение требований обладать адекватной эффективностью - вот это уже вопрос другой - более сложный :)