SOX, по мнению многих аналитиков, серьезно повлиял на корпоративное управление в США в целом, и в частности на развитие ИС публичных компаний. Он в значительной степени ориентирован на своевременное выявление рисков и их предупреждение, а не на борьбу с последствиями. Этот документ требует, в частности, архивирования корпоративной информации, в том числе электронной почты, и хранения ее в течении семи лет, учета всех операций с «чувствительной» документацией, защиты информационных активов от нецелевого доступа и разглашения.
Принятие этого закона сказалось на рынке систем документооборота, систем хранения данных, ПО для управления ИС и средствами безопасности. Клиентам этот закон стоил немалых денег, и счет этот еще не закрыт. По данным AMR Research, общие затраты на соответствие требованиям SOX останутся в нынешнем году на уровне 2005 г., то есть составят примерно 6 млрд. долл. Причем расходы на персонал, занимающийся обеспечением соответствия, сократятся на 8% по сравнению с 2005 г., а инвестиции в технологии, благодаря которым достигается соответствие, возрастут на 13%. Консалтинговые услуги в этой сфере будут стоить столько же. Исследование Института управления рисками США установило, что затраты, связанные с SOX, составят 423 тыс. долл. для малых банков и 4,5 млн. долларов для крупных, при этом 10% суммы уходит на ИТ, а основную статью расходов составляет наем новых сотрудников или переквалификация существующих. По данным фирмы InfoWatch, дочерней компании «Лаборатории Касперского», стоимость приведения средней американской компании в соответствие с актом Сарбанеса-Оксли составляет от 2 до 10 млн. долл., из которых 20—30% затрат падает на ИТ.
Как и в любых статистических данных, здесь есть и доля лукавства. «Не можешь выбить нужный бюджет? Скажи, что это важно для обеспечения соответствия!» — такой простой совет успешно передают друг другу ИТ-директора, и не всегда можно в этих расходах отделить действительно необходимые средства от «удачно приписанных», тем более что ни в этом, ни в других нормативных документах не указаны прямо ПО, оборудование или технологии, которые надлежит использовать. Речь идет о «применении лучших практик», что оставляет большой простор для фантазеров и перестраховщиков. Тем не менее, по оценке AMR Research, общие затраты на обеспечение соответствия нормативным актам составят 27,3 млрд. долл., из них 32% — на поддерживающие технологии.
Число законодательных актов, подобных SOX, уже довольно велико и продолжает расти. Например, закон о преемственности страхования и отчетности в области здравоохранения (Health Insurance Portability and Accountability Act, HIPAA), принятый в США в 1996 г. и полностью вступивший в силу в 2005 г., подразумевает использование стандартов, общей кодовой классификации и уникальных медицинских идентификаторов и требует надежно защищать конфиденциальность данных о здоровье пациента. Под требования HIPAA подпадают не только медицинские учреждения, но и все бизнесы, имеющие отношение к здравоохранению: страховые компании, правительственные агентства, производители медпрепаратов и множество других. Этот стандарт не только породил спрос на решения по защите данных, но и заставил часть заказчиков изменить подход к ИТ-инфраструктуре в целом, в частности, перейти от распределенной архитектуры к централизованной, отказаться от клиент-серверных приложений и использовать терминальные. Целый ряд масштабных проектов компании Citrix, например, был инициирован требованиями HIPAA, и в некоторых из них использовались кроме ПО аппаратные «тонкие клиенты» с биометрическим контролем доступа.
Джон Гримм, директор Healthcare and Public Sector Solutions корпорации Symantec, относит к критически важным для реализации требований HIPAA сетевые средства хранения данных, аварийное восстановление и архивацию, управление политиками, сети VPN без установки клиентских программ, контроль идентификации и шифрование — ведь в медицинских учреждениях США все шире внедряется беспроводная связь и растет число мобильных пользователей. Но все это — вотчина Symantec. Не только этот вендор, но и множество других выиграли от принятия HIPAA и подобных актов, а вместе с ними — и их партнеры-интеграторы. Правда, как говорят сами реселлеры, кроме очевидных плюсов есть и сложности. Поскольку нет однозначных указаний закона о том, какой уровень защищенности сетей (или чего-либо еще) необходимо обеспечить, то на самом деле ни подрядчики, ни их клиенты не могут толком поставить задачу, а апробированных решений, доказавших свою адекватность поставленным требованиям, пока нет. Вендоры энергично работают над их созданием. Но это, по большому счету, дело времени и техники. Гораздо хуже, что число норм растет, как снежный ком.
К концу 2006 г. в 20 штатах США вступят в силу собственные законы, регламентирующие обращение с приватными данными. Эти законы имеют существенные отличия, а многие из них требуют информировать всех частных лиц — клиентов компании — в случаях, если сведения о них утеряны или стали предметом «утечки». Не отстает и Евросоюз. Его регламенты, в том числе касающиеся безопасности и защиты данных, оказываются в ряде случаев более жесткими, чем американские нормы. Отраслевые стандарты распространяются по всему миру и превращаются в государственные, как это было с HACCP. Этот набор требований к «системе управления пищевой безопасностью» был разработан Голландским национальным советом экспертов, состоящим из членов правительства, членов торговых ассоциаций, производителей, дистрибьюторов продуктов питания и участников потребительских союзов, и постепенно стал стандартом де-факто. В частности, были приняты федеральные акты США о необходимости следовать ему. HACCP, в частности, предполагает возможность детально отследить весь путь пищевых продуктов от производства их компонентов до упаковки и продажи, что включает в сферу действия стандарта огромное число фирм и организаций. Есть подобные правила и в фармацевтической промышленности — стандарт GMP.
А нам какое дело?
Два фактора заставляют все большее число российских компаний изучать и применять на практике международные стандарты и нормы: сотрудничество с иностранными партнерами и желание выходить на IPO. Если ставится цель работать на американских биржах, необходимо соответствовать SOX. Партнерство с зарубежными фирмами приводит к необходимости учитывать нормативные акты при организации бизнес-процессов, а значит, и при их автоматизации. Системные интеграторы вместе с клиентами вынуждены осваивать эти нормы.
Людмила Сокольская, руководитель отдела консалтинга компании GMCS, отмечает, что в последние несколько лет растет интерес российских предприятий к различным правилам организации производства и стандартам контроля качества, в том числе и GMP, и это следствие, с одной стороны, растущей конкуренции, с другой — желания самих предприятий выходить на зарубежные рынки. Например, иностранные производители продовольствия, открывающие в России производственные мощности, используют ERP-системы, способные работать с HACCP, хотя их внедрение требует дополнительных усилий.
Уже появляются программные продукты, призванные облегчить и автоматизировать разработку, внедрение и сертификацию системы HACCP на предприятии. Один из таких разработчиков — киевская компания «Система Плюс» — выпускает ПО «ИСОратник» — продукт, изначально ориентированный на помощь в прохождении сертификации по ISO, дополненный модулем для процедур HACCP. Среди партнеров компании немало российских фирм.
Для фирм, работающих в области информационной безопасности (ИБ), растущие требования открывают отличные возможности, подводя «официальный фундамент» под то, что раньше можно было считать лишь маркетинговыми ходами. Денис Зенкин, директор по маркетингу InfoWatch, говорит о растущем спросе на продукты для обеспечения комплексной ИБ, в первую очередь со стороны компаний, разместивших свои акции на зарубежных фондовых биржах. Среди них есть и клиенты InfoWatch, в том числе «ВымпелКом», «МТС», «Татнефть». Зенкин отмечает также устойчивый интерес к подобным решениям со стороны кредитно-финансовых организаций, ведущих активную международную деятельность. Для них основным регулирующим нормативным актом является Basel II (Базельское соглашение по капиталу в странах Организации экономического сотрудничества и развития (OECD, Organization for Economic Co-operation and Development). Basel II прямо нормы ИБ не определяет, но требует от финансовых институтов подсчитать кредитные, рыночные и производственные риски, чтобы убедиться, что имеющихся сбережений достаточно для их покрытия. Защита «чувствительной» информации и приватных данных клиентов от неавторизованного доступа приравнивается к управлению производственными рисками.
«Наша оценка российского спроса на решения в области ИБ для соответствия различным национальным и международным требованиям и стандартам — примерно 25—30 млн. долл. в 2005 г.», — говорит Денис Зенкин. В 2006 г., по его мнению, речь пойдет уже о 40—50 млн. долл., в 2007-м объем этого сегмента превысит 80 млн. долл., а в 2009-м InfoWatch ожидает значительный всплеск спроса в связи с присоединением России к Базельским соглашениям.
Создание собственных уставов
О военных уставах говорят, что они «писаны кровью». Принятие многочисленных актов, регулирующих защиту информации, работу с документами, финансовое управление, инициировано биржевыми скандалами, хищениями баз данных крупнейших компаний и другими преступлениями. Главная цель — сократить потери бизнеса. Число «утечек» данных и других криминальных преступлений растет и в нашей стране, но пока их количество не приводит к качественным изменениям в законодательстве.
В России выдвинуто довольно много законодательных инициатив, так или иначе касающихся ИТ-рынка. «Мониторинг развития законодательства в области информации, ИТ и интеллектуальной собственности», который раз в полгода проводит комитет по законодательству АПКИТ, включает 26 законопроектов. Наиболее популярный вывод, который в этом документе описывает текущий статус каждого из них, таков: «После первичного рассмотрения Советом Государственной Думы данный законопроект фактически находится без движения». Некоторое оживление вызвала недавняя ратификация конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и принятие в первом чтении законопроектов о персональных данных. Потенциально принятие норм защиты персональных данных — фактор, способный сильно повлиять на ИТ-рынок, но, зная темпы обсуждения подобных актов, трудно делать прогнозы о сроках превращения проекта в закон. Еще больше сомнений возникает по поводу эффективности его применения.
Даже уже существующие законы, как, например, закон «О связи», принятый более двух лет назад, до сих пор оспариваются в суде: 1 марта Конституционный суд признал неконституционными ряд положений этого закона. Закон «Об электронной подписи», тоже вызвавший в свое время много споров, до сих пор не заработал в полную силу. Многие крупные компании создали собственные удостоверяющие центры и эффективно используют ЭЦП во внутреннем документообороте, но государственной системы подобных центров до сих пор нет.
Отсутствие норм работы с электронными документами и самого понятия об этих документах по-прежнему тормозит развитие рынка систем документооборота. Так же обстоит дело и с архивами: нет регламентов работы с ними, требований к хранению, его срокам и форме. В мировой практике главным двигателем развития рынка систем хранения данных являются законодательные требования и отраслевые соглашения по стандартам архивного хранения. Они задают жесткие правила, в том числе оговаривающие исключение физической возможности удаления или модификации данных на носителе. В России работа многих организаций в этом направлении идет, корпорация «Электронный Архив» принимает в ней деятельное участие, но «воз и ныне там».
Электронные торговые площадки (ЭТП) — еще один пример «пробуксовки». Закон «Об электронной торговле» никак не может появиться на свет, а до тех пор все, в том числе государственные и муниципальные ЭТП и проводимые на них сделки, остаются на совести организаторов площадок. Юридической силой они не обладают, к электронной торговле отношение имеют косвенное (сделки ведь заключаются на бумаге, а не он-лайн), а при желании обиженная сторона всегда может обратиться в суд с требованием признать сделку недействительной. Те ИТ-компании, бизнес которых связан с созданием ЭТП, постоянно наталкиваются на эти препятствия. Разумеется, они находят обходные пути и даже умудряются убедить клиентов в их надежности, но появление устойчивой законодательной базы могло бы существенно упростить дело.
Порядок выделения радиочастот создает «головную боль» не только операторам связи, но и системным интеграторам. Решения, основанные на технологиях Wi-Fi, RFID и в близком будущем WiMax, подразумевают использование спектра частот, на которые требуется получать разрешение государственных организаций, что тормозит и удорожает их внедрение.
Однако есть и примеры, когда в результате планомерно и четко реализованных государственных инициатив рождается новый бизнес. Требование Министерства по налогам и сборам сдавать налоговую отчетность в электронной форме привело к появлению операторов налоговой отчетности. Этим занялись и региональные системные операторы. Доход, получаемый таким образом, пока невелик — несколько процентов оборота, но это постоянно востребованный вид услуг, и клиентскую базу можно существенно расширять.
Отраслевые стандарты, вернее их отсутствие, составляют отдельный пласт проблем. На отсутствие единых норм и правил работы с информацией сетуют представители многих отраслей, включая энергетиков и машиностроителей, в последнее время потребляющих все больше ИТ-услуг и продуктов. Исключение пока составляет банковский сектор.
В конце января Центробанк утвердил вторую редакцию стандарта «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Стандарт устанавливает основные принципы построения структуры управления ИБ. Этот нормативный акт основан на требованиях международных стандартов ISO и CobiT. Под действие акта попадают российские коммерческие банки и сам Центробанк, но так же, как и первая версия, принятая более года назад, эта норма не является обязательной для всех, а только рекомендованной. В течение 2005 г. первая версия стандарта была внедрена в некоторых территориальных учреждениях Банка России и в отдельных коммерческих банках. Банками дело не ограничится: при участии Банка России и АРБ (Ассоциации российских банков) разрабатываются стандарты обеспечения качества деятельности кредитных организаций. Но даже если стандарт будет признан обязательным, на прохождение сертификации по нему потребуются годы. Как видно из практики США, это может занять до 10 лет.
Те, кто уже имел дело с применением реальных жестких стандартов, полагают, что их появление и распространение принесло бы ощутимую пользу не только самим клиентам, но и ИТ-рынку. Людмила Сокольская считает, что при этом, во-первых, появятся предприятия, которым необходимо внедрять автоматизированные системы, позволяющие контролировать выполнение этих стандартов, а это новые клиенты для ИТ-компаний. Во-вторых, благодаря принятым отраслевым стандартам ИТ-компании получат от заказчиков более четкие требования к системам управления, следовательно, смогут предлагать более адекватные ИТ-решения. Денис Зенкин уверен, что так как важнейшей частью подобных законов и стандартов являются жесткие требования, предъявляемые к ИТ в целом и к ИБ в частности, их распространение повлечет за собой серьезный всплеск в развитии отечественной ИТ-индустрии.