Узкая ниша огромных возможностей

В этом году одной из самых популярных и обсуждаемых тем, разумеется, не считая кризиса, стал закон о персональных данных (№ 152-ФЗ). Повышенное внимание к нему со стороны игроков рынка, а в ряде случаев и настороженное отношение понятны. Во-первых, этот закон затрагивает в той или иной степени все компании, учреждения и предприятия, как коммерческие, так и государственные, поскольку они являются операторами персональных данных (ПДн). Во-вторых, для приведения своих информационных систем в соответствие с требованиями закона большинству операторов ПДн придется потратить силы, время и деньги, подчас весьма значительные. И наконец, в-третьих, для реализации необходимых для этого мероприятий осталось совсем мало времени — до 1 января 2010 г.

Операторов ПДн беспокоит также, что 152-ФЗ можно использовать в качестве инструмента недобросовестной конкуренции. Ведь формально, если от группы граждан поступит заявление в прокуратуру или Роскомнадзор о том, что оператор ПДн нарушил их права, например передал данные в другую компанию без согласия субъекта ПДн или допустил их утечку, органы должны принять соответствующие меры — например, провести проверку подозреваемой фирмы. Во что это может вылиться в наших условиях, все прекрасно знают.

Впрочем, есть надежда, что контролирующие органы учтут негативный опыт и 152-ФЗ не превратится в средство, с помощью которого будут «кошмарить» бизнес.

«Что касается проверок, то такие опасения абсолютно напрасны, — утверждает Геннадий Емельянов, председатель совета „Ассоциации защиты информации“. — Не так давно по инициативе Президента РФ были приняты решения по ограничению проверок компаний в течение года. На всех форумах, проводившихся по тематике ПДн, участвовавшие в них представители регуляторов (Роскомнадзор, ФСТЭК и ФСБ) давали весьма толковые разъяснения по содержанию проверок, из которых следует, что никто никого „душить“ не собирается. Более того, было обещано, что перечень вопросов, подлежащих проверке, опубликуют. Так что если организация действительно что-то делает для реализации закона, проверка не станет проблемой, хотя это не означает, что в ходе нее не будут сделаны рекомендации, которые придется выполнить. Другое дело — жалобы субъектов ПДн на те или иные нарушения операторов и конкретно жалобы, заведомо необъективные, инспирированные конкурентами и т. п. Не берусь дать рецепты на все случаи жизни, но здесь, по крайней мере, можно было бы пойти по пути наказания таких лиц, если будет доказано, что их действия инспирированы. Это же можно отнести и к инспирированным проверкам. Но по мере приведения информационных систем в соответствие с требованиями закона оснований для такого рода инцидентов будет все меньше и меньше».

По мнению ряда специалистов, 152-ФЗ еще будет дорабатываться. «Закон получился довольно жестким. Понятно, что он не сможет в полной мере отвечать реалиям жизни. Поэтому шероховатости надо сглаживать, — считает Андрей Курило, заместитель начальника главного управления безопасности и защиты информации Банка России. — Это называется настройкой, и такой настройкой придется заниматься». По его словам, при разработке закона невозможно было предусмотреть все нюансы. Например, там есть требование уничтожать ПДн в трехдневный срок по минованию надобности. Обычный документ, если он небольшой, можно уничтожить в шредере. Но кредитные организации сталкиваются с ситуацией, когда надо уничтожить 30–50 тыс. листов. Таких технологий нет.

О возможном внесении коррективов в закон говорит и Александр Соколов, вице-президент по стратегическому развитию компании «Элвис-Плюс» и руководитель комитета АП КИТ по информационной безопасности. «Ничего абсолютно совершенного в мире нет, а такой массовый по воздействию закон, пожалуй, принят впервые, — утверждает он. — Уже сейчас в разных кругах готовятся предложения о внесении дополнений и изменений. Но не думаю, что потребуются значительные доработки в части технической защиты, поскольку требования ФСБ и ФСТЭК выработаны на основе многолетнего опыта по защите информации».

Вполне вероятно, что в недалеком будущем появятся и другие законы, регулирующие различные аспекты защиты ПДн. По мнению Дмитрия Курашова, главного управляющего компании Entensys, Россия отстает от западных стран в плане законодательной базы, регламентирующей системы внутреннего контроля организаций. «Необходимо принятие ряда новых законов, ориентированных на различные аспекты данной проблемы, — говорит Курашов. — Вопросы защиты ПДн нельзя решать одинаково для всех федеральных органов власти и юридических лиц. Имеется много особенностей для публичных компаний, медицинских учреждений и т. д. Так, в США еще в 2002 г. был принят известный акт Сарбейнса — Оксли, регламентирующий в том числе правила обращения с конфиденциальной информацией в публичных компаниях. Еще раньше, в 1996 г., в США вступил в силу акт, обеспечивающий защиту медицинских персональных данных».

ПДн под защитой закона

В 2001 г. Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке ПДн, взяв на себя обязательства привести в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Одним из шагов стало принятие Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Цель данного закона — обеспечить защиту прав и свобод человека и гражданина при обработке его ПДн, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайны. 152-ФЗ определяет, что такое ПДн, кто является оператором и что подразумевается под обработкой ПДн.

• ПДн — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
• Оператор ПДн — государственный либо муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку ПДн, а также определяющее цели и содержание обработки ПДн.
• Обработка ПДн — действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Нарушение 152-ФЗ влечет за собой гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

152-ФЗ вступил в силу в январе 2007 г. Информационные системы ПДн, созданные до дня вступления в силу 152-ФЗ, должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 г.

Осторожно, двери закрываются...

Итак, под действие 152-ФЗ подпадают все компании. Даже в небольшой фирме из нескольких человек есть бухгалтерия и кадровый учет. А значит, есть, как минимум, персональные данные сотрудников, и они должны обрабатываться в соответствии с требованиями закона.

Что же нужно делать операторам ПДн? Последовательность шагов регламентирована. Компании необходимо направить уведомление в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку этих данных, провести предпроектное обследование информационных систем, классифицировать ИС, построить модель угроз с целью определения их актуальности для ИС, разработать техническое задание на систему защиты ПДн, спроектировать ее, внедрить, выполнить другие требования по инженерной защите помещений (пожарная безопасность, охрана, электропитание, заземление и др.). Итогом всех указанных шагов будет аттестация информационной системы на соответствие требованиям безопасности персональных данных. Аттестация обязательна для ИСПДн 1 и 2 классов. Для 3 класса процедура аттестации может быть заменена процедурой декларирования соответствия. А для ИСПДн 4 класса аттестация не требуется. И вот здесь перед компаниями открывается свобода маневра. Понятно, что чем ниже класс ИСПДн, тем проще оператору обеспечить ее соответствие требованиям закона и тем ниже будут его затраты.

Под действие 152-ФЗ подпадают все компании. Даже в небольшой фирме есть бухгалтерия и кадровый учет. А значит, есть, как минимум, персональные данные сотрудников, и они должны обрабатываться в соответствии с требованиями закона.

Но смогут ли фирмы, далекие от ИТ, самостоятельно осуществить указанные выше действия? Специалисты по информационной безопасности считают, что большинство операторов ПДн своими силами такую работу не сделают. Слишком много здесь юридических и технологических нюансов. Исключение составят крупные компании, имеющие в своем составе мощные ИТ-подразделения и сотрудников соответствующей квалификации.

Решить задачу, не обращаясь за помощью в специализированные фирмы, смогут и некоторые мелкие предприятия, где обработка ПДн осуществляется на системах 4 класса. Как отмечает Александр Соколов, следует организовать ПДн таким образом, чтобы снизить их категорию. Один из способов — обезличить данные, разделить их на части. Многие мелкие компании вполне смогут обойтись одними только организационными мерами: грамотно подготовить договоры с сотрудниками, получить разрешения на использование ПДн для вполне конкретных целей, например для начисления зарплаты.

Казалось бы, все просто. Если можешь — делай сам, если нет — обратись к специалистам. До 1 января остается всего три месяца, и теоретически мероприятия по приведению ИСПДн в соответствие требованиям 152-ФЗ должны подходить к концу. Однако на практике дела обстоят иначе. Это может показаться странным, но есть компании, и их довольно много, которые еще не начинали эту работу.

Как отмечает Антон Даниленко, начальник Центра решений компании «Стинс Коман», три года назад, когда закон появился на свет, участники рынка не проявили к нему должного внимания — срок был дан до 2010 г., четкого понимания плана реализации требований закона ни у кого не было. В итоге закон пообсуждали, но все мероприятия по его реализации отложили до лучших времен, хотя представители Роскомнадзора постоянно напоминали, что отсрочек и послаблений не будет. «В настоящее время отношение к закону поставщиков решений и заказчиков существенно отличается, — говорит Даниленко. — Многие операторы ПДн активизировали деятельность в данном направлении, наиболее расторопные прошли стадию аудита информационных ресурсов на предмет уязвимостей и угроз и приступили к стадии приведения ИСПДн в соответствие с требованиями законодательства. Но преобладающее большинство игроков рынка по-прежнему не решают данную проблему и надеются на то, что, возможно, что-нибудь изменится».

Похожей точки зрения придерживаются и другие специалисты. Константин Савченко, руководитель отдела поддержки и развития продаж корпоративного ПО компании «Аксофт», характеризует ситуацию как выжидательно-заинтересованную. «Рынок ждет, насколько строго регуляторы будут следить за выполнением требований 152-ФЗ, — полагает он. — Заказчиков можно условно разделить на две группы: одни надеются, что контроль за исполнением закона будет отложен в связи со сложной экономической ситуацией и решение вопросов, связанных с необходимостью защиты ПДн, можно автоматически перенести на неопределенный срок. Другие, преимущественно из числа крупных компаний, уже приняли меры или занимаются поиском решений, позволяющих с минимальными издержками, зачастую используя потенциал уже существующей ИТ-инфраструктуры, решить вопросы с безопасностью. Многие заказчики понимают, что соблюдение закона является не только необходимостью, но и важным конкурентным преимуществом и укладывается в общую стратегию безопасности компании».

По мнению Вячеслава Медведева, специалиста отдела развития компании «Доктор Веб», ситуация характеризуется большой неопределенностью. «Необходимость приведения ИСПДн к требованиям закона не отрицает ни один участник рынка, — считает он. — Однако если большинство вендоров не только готовы, но и активно продвигают свои услуги в области защиты ПДн, то многие клиенты в условиях кризиса не в состоянии пойти на крупные расходы ради модернизации информационных систем».

Как считает Андрей Решетов, руководитель Департамента комплексных решений компании «Аквариус», большинство организаций не знакомы в полной мере с нормативной базой и методическими рекомендациями ФСТЭК и не представляют себе даже алгоритма защиты ПДн. Другой сдерживающий фактор — финансовый. «По нашей оценке, весь комплекс работ по деньгам (особенно на малых ИС) в полтора раза превосходит стоимость создания самой информационной системы, — продолжает Решетов. — Что, естественно, не по силам для регионов России. Даже если бы такие деньги и нашлись, то, к сожалению, пока нет специалистов, которые в состоянии потом ИСПДн обслуживать. В штатном расписании тех же районных больниц и поликлиник соответствующих ставок нет».

По разным данным, в стране насчитывается от 4 до 8 млн. операторов ПДн, наиболее реалистичная оценка 6,5–7 млн. В обозримом будущем их число будет только расти, поскольку существует много востребованных услуг, при оказании которых необходимо оперировать ПДн клиентов.

Светлана Хапанкова, руководитель отдела маркетинговых проектов и рекламы компании Softline, отмечает, что все больше компаний предлагают свои услуги по защите ПДн. Однако сами операторы не спешат принимать предложения, рынок находится скорее в состоянии ожидания: «Проводятся отдельные небольшие тендеры в компаниях госсектора, бизнес-сегмент пытается оценить ситуацию и понять, каким образом можно избежать ответственности, банковская сфера пытается найти компромисс с государственными регуляторами».

Даже в банковском секторе, который всегда одним из первых внедрял новые ИТ-решения, ситуация далека от идеальной. «Многие мелкие банки, десятки процентов, не успеют до 1 января привести ИСПДн в соответствие с требованиями 152-ФЗ, — говорит Андрей Курило. — Положение дел в средних и крупных банках лучше, там есть свои специалисты, и вопросам информационной безопасности там и раньше уделялось большое внимание. По нашим расчетам, для приведения ИСПДн в соответствие с законом требуется примерно полтора года. Это значит, что начинать надо было в 2007 г.».

Причину неразберихи и отставания от графика объясняет Андрей Решетов: «Большинство операторов ПДн начали активную подготовительную работу только в прошлом или даже в этом году, когда стала доступна нормативная база и появилось более ясное понимание необходимых для соблюдения требований закона мер».

Если строго следовать закону, в специализированном прикладном программном обеспечении, предусматривающем обработку ПДн, меры по безопасности обработки данных должны быть реализованы уже на этапе написания соответствующих программ.

О том, что понимание ситуации пришло только сейчас, говорит и Олег Варламов, руководитель проектов по ИБ корпорации «Электронный архив». «Операторы ПДн прочитали закон и осознали всю ответственность, — подчеркивает он. — В последнее время к нам все чаще обращаются с уже типовой просьбой: „Сделайте нам защищенную систему ПДн, чтобы после 1 января нашего гендиректора не посадили“. Или: „чтобы у нас не отобрали бизнес...“»

Впрочем, говорить о том, что операторы ПДн наконец-то осознали всю серьезность ситуации, по всей видимости, нельзя. Как рассказал Сергей Земков, управляющий директор «Лаборатории Касперского» в России и странах Закавказья, в соответствии с законом, операторы ПДн должны регистрироваться на сайте Роскомнадзора. В конце лета зарегистрировалось не более 70 тыс. фирм, что, по его словам, составляет примерно 1% общего числа операторов ПДн. «Многие операторы ПДн — турфирмы, медицинские учреждения, муниципальные организации — не понимают, что надо делать, и даже еще не приступали к решению проблемы. Они не представляют, что их ждет после 1 января 2010 г.», — заявляет он.

Нельзя забывать и о таком банальном факторе, как нехватка денег. Зачастую нечем платить зарплату сотрудникам, какая уж защита ПДн...

Необъятный рынок

Без преувеличения можно сказать, что для компаний, специализирующихся в области информационной безопасности, настал звездный час. Никогда прежде этот рынок не получал такой огромной клиентской базы.

По разным данным, в стране насчитывается от 4 до 8 млн. операторов ПДн, наиболее реалистичная оценка 6,5–7 млн. И нет сомнений, что в обозримом будущем их число будет только расти, поскольку существует много востребованных услуг, при оказании которых необходимо оперировать ПДн клиентов.

«152-ФЗ охватывает огромный сегмент рынка информационных технологий, от систем коммунальных платежей, банковских платежных систем до столь же разветвленных систем хранения и обработки медицинских данных, — говорит Юлия Грекова, глава российского представительства компании Check Point. — Именно внедрение систем хранения и обработки историй болезней потребует, как нам представляется, существенного прогресса отрасли. Такая информация не может храниться на любом компьютере в сельской поликлинике, а обеспечением ИБ и безопасности ПДн должны заниматься специализированные подразделения, которые не могут быть организованы на уровне поликлиник и городских больниц. Это потребует внедрения систем, предоставляющих услуги хостинга не только аппаратных ресурсов, но и мощных специализированных приложений».

Михаил Емельянников, директор по развитию бизнеса компании «Информзащита», отмечает, что принятие 152-ФЗ создало ту редкую ситуацию, когда состояние рынка на определенный период определяется не бизнес-задачами, не реальными угрозами, а государственными требованиями. «Это очень мощный фактор, но только при условии, что государство будет контролировать выполнение собственных нормативных актов»,— пояснил он.

По словам Емельянникова, потенциал рынка огромен, но его развитие не будет определяется рыночными законами. «Без государственного давления рынок, связанный с ПДн, развиваться не будет вообще, — считает он. — Есть еще один фактор: очевидно, что требования по безопасности обработки ПДн многие операторы самостоятельно не смогут выполнить никогда. Я говорю о школах, поликлиниках, детских дошкольных заведениях и других подобных организациях. Стоимость работ по защите очень высока, для обслуживания систем безопасности нужны квалифицированные специалисты, а в упомянутых организациях нет ни необходимых штатов, ни бюджетов. Как решить проблему, должны думать соответствующие государственные органы».

Закон 152-ФЗ может несколько изменить и рынок ИТ, считает Емельянников. Потому что, если строго следовать закону, в специализированном прикладном программном обеспечении, предусматривающем обработку ПДн (биллинговые системы, автоматизированные банковские системы, HR-модули ERP систем, электронные истории болезней и т. п.), меры по безопасности обработки данных должны быть реализованы уже на этапе написания соответствующих программ. Но технический контроль и надзор за выполнением требований безопасности в полном объеме начнется после 1 января 2010 г. Тогда и будет ясно, насколько серьезно настроены госрегуляторы. «Если они будут предъявлять санкции к операторам ПДн, нарушившим закон, тогда рынки ИБ и ИТ изменятся. Если санкций к нарушителям применяться не будет, интерес к теме спадет очень быстро», — сказал он.

Похожей точки зрения придерживаются и в компании «Аксофт». Если государство будет строго следить за выполнением закона, то закупка программных продуктов и аппаратных средств для защиты ПДн станет такой же неотъемлемой статьей бюджетов организаций, как и затраты на ОС. «Можно отметить довольно большие ожидания и уверенность со стороны производителей ПО, как западных, так и ведущих российских (Oracle, Microsoft, „Лаборатория Касперского“, „Информзащита“), в потенциале данного рынка. Они заблаговременно сертифицировали свои решения»,— говорит Константин Савченко.

На развитие ситуации, по его мнению, будут существенно влиять серьезные санкции, обещанные по отношению к нарушителям, — вплоть до снятия с руководящих должностей ответственных лиц, приостановки работы предприятия и даже уголовной ответственности. В этой связи уже осенью этого года рынок ПО начнет активизироваться именно в части поставок средств безопасности. Хотя «самое интересное» начнется в следующем году — массовые проверки и санкции против нарушителей. Кроме того, одним из следствий исполнения 152-ФЗ станет более активное использование модели SaaS — комплексная защита на стороне провайдера позволит существенно сократить издержки.

Если строго следовать закону, в специализированном прикладном программном обеспечении, предусматривающем обработку ПДн, меры по безопасности обработки данных должны быть реализованы уже на этапе написания соответствующих программ.

Об осенней активизации говорит и Сергей Петренко, эксперт группы компаний «АйТи» в области защиты информации и непрерывности бизнеса. «Летом рынок замер, а осенью, похоже, начинается самый настоящий ажиотаж. Мы получаем порядка 10 запросов ежедневно с просьбой начать работы по защите ПДн. Прогнозируем, что почти 90% всех работ до конца года будут посвящены именно этой теме», — сообщил он.

«Отмечается лавинообразный рост обращений, но, к сожалению, такие проекты довольно дороги, и не у всех есть финансы для их полноценного выполнения, — говорит Олег Варламов. — Кроме того, сроки создания системы защиты информации и ее аттестации (она необходима для систем ПДн 1 и 2 классов, это масштаб крупного и среднего бизнеса) также значительны — от полугода до двух-трех лет». Он добавил, что следует ожидать две волны роста рынка: первая волна — крупнейшие промышленные предприятия, вторая — госучреждения и крупные предприятия, не попавшие в первую волну.

Если с количеством операторов ПДн все более-менее ясно, то по поводу объема этого рынка в денежном выражении у специалистов нет сложившегося мнения. «Эксперты предрекают бурное развитие и подъем на начальном этапе, что вполне логично и связано с формированием по сути дела нового сегмента рынка информационной безопасности, с последующим спокойным и не столь значительным ростом продаж стандартизованных решений и услуг», — считает Алексей Чередниченко, ведущий специалист компании McAfee.

Категории ПДн и классы ИСПДн

Работа операторов ПДн регламентируется нормативными документами Правительства РФ, Федеральной службы по таможенному и экспортному контролю (ФСТЭК) и ФСБ.

В частности, установлены определения категорий обрабатываемых ПДн и классов информационных систем.

Категории ПДн:

• Категория 4 — обезличенные или общедоступные ПДн.
• Категория 3 — данные, позволяющие идентифицировать субъекта ПДн.
• Категория 2 — данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1.
• Категория 1 — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  При определении класса ИСПДн учитываются количество ПДн (менее 1 тыс. субъектов; от 1 тыс. до 100 тыс. субъектов; более 100 тыс. субъектов) и их категория. В зависимости от этого присваивается один из следующих классов:
• ИС, для которых нарушение заданной характеристики безопасности обрабатываемых ПДн не приводит к негативным последствиям для субъектов ПДн, — класс 4;
• ИС, для которых нарушение заданной характеристики безопасности обрабатываемых ПДн может привести к незначительным негативным/негативным/значительным негативным последствиям для субъектов ПДн, соответственно — класс 3/класс 2/класс 1. Наибольшая ответственность предусмотрена для операторов ПДн, информационные системы которых отнесены к классам 1 и 2.

«Все направление ИБ можно подразделить на рынок поставок программно-аппаратного обеспечения и рынок услуг (консалтинг, разработка организационных документов, приведение информационных систем в соответствие с нормативными документами), — говорит Михаил Башлыков, руководитель направления ИБ компании „Крок“. — В части поставок рынок ИБ сильно коррелирует с ИТ-рынком в целом, поэтому по итогам первого полугодия здесь наблюдается спад относительно прошлого года. Эта тенденция, скорее всего, сохранится и во втором полугодии. В сегменте оказания услуг наблюдается диаметрально противоположная тенденция — он растет, увеличивается количество проектов и их рентабельность. Основным локомотивом, конечно же, выступает 152-ФЗ».

По словам Олега Варламова, невозможно заранее определить стоимость системы защиты, поскольку необходимо провести предварительное обследование, а это требует времени и финансовых ресурсов. «В ближайшие годы я жду стремительного роста рынка систем защиты ПДн, однако далеко не все успеют сесть в „уходящий поезд“», — заметил он.

Геннадий Емельянов отмечает, что объем средств, необходимых для реализации закона о ПДн, сильно зависит от параметров системы обработки данных (распределенность, количество пользователей, применяемые технические средства и т. п.).

Можно попытаться оценить емкость рынка защиты ПДн исходя из стоимости отдельных конкретных проектов. Например, по словам специалистов компании Paragon, минимальная стоимость работ и оборудования по приведению одного рабочего места в соответствие с требованиями закона составляет 15 тыс. руб. в самом простом случае. Кроме того, придется лицензировать все программное обеспечение. Тогда общая оценка рынка, если предположить, что юридическое лицо имеет только одно рабочее место для обработки ПДн, — 61,5 млрд. руб., или почти 2 млрд. долл. Для сравнения, объем российского рынка ИБ в 2007 г. оценивался в 10 млрд. руб.

Говорить о типовых проектах можно, считает директор компании «Лаборатория СКАТ» Андрей Сухин. Например, для турагентств (а возможно, и туроператоров) может появиться типовой комплект документов. «Тем не менее у каждого конкретного оператора своя ИСПДн, — подчеркнул он. — Кто-то уделял внимание безопасности, другие о ней не заботились. Поэтому состав и соответственно стоимость проекта зависят от профиля клиента, численности персонала, категории обрабатываемых ПДн, порядка в документах, структуры ИС, используемых программных продуктов и т. д. Срок работы зависит от объема и сложности ИСПДн, и для среднего оператора ПДн может составлять от недели до трех месяцев».

Ник Росситер, глава российского представительства Symantec, ссылаясь на исследования IDC, сообщает, что сегодня объем рынка систем DLP (Data Loss Prevention, предотвращение утечек данных) в России составляет 10 млн. долл. А с учетом требований 152-ФЗ ожидаются более высокие темпы роста этого сегмента по сравнению ростом рынка ИБ в целом.

Как рассказал Александр Соколов, Московский городской фонд обязательного медицинского страхования (ФОМС) проводил среди компаний-интеграторов конкурс. Задача — обеспечение защиты ПДн, цена вопроса — 98 млн. руб. Бюджеты территориальных фондов по данной теме скромнее, они не превышают нескольких сотен тысяч рублей.

«Если средней организации нужна „доводка“ системы под требования закона, стоимость проекта может составлять от 200 до 500 тыс. руб., — говорит он. — Таких операторов ПДн больше половины. Но универсального решения нет. Всегда будут присутствовать, как минимум, этапы сбора информации, или первичного обследования, экспресс-анализа, выработки рекомендаций, разработки нормативной документации».

Объем рынка огромен, если досконально выполнять требования 152-ФЗ и всех подзаконных актов. Предварительные расчеты показывают, говорит главный аналитик компании InfoWatch Николай Федотов, что стоимость приведения ПДн в соответствие с требованиями колеблется от 80 до 850 долл. за одно рабочее место. Основные затраты должны быть сделаны в течение года, в процессе создания ИС или приведения ее в соответствие требованиям закона. Последующие расходы на поддержание ИСПДн могут быть весьма умеренными.

Недешево обходится исполнение 152-ФЗ в банковской сфере. По словам Андрея Курило, для среднего банка (100–150 рабочих мест в центральном офисе, 3–5 филиалов и десятки тысяч клиентов в случае их дистанционного обслуживания) аттестация ИСПДн по существующим требованиям примерно в пять раз увеличивает стоимость работ по защите данных. Если раньше средний банк по всем направлениям безопасности тратил 10–12 млн. руб. в год, то сейчас — порядка 50 млн. руб. Понятно, что это уменьшает прибыль, ухудшает бизнес. Ведь можно было бы эти 50 млн. направить на выдачу кредитов. «В банковской системе аппаратные и программные средства обновляются примерно на 30% в год. Это приводит к необходимости переаттестации ИС. И такая процедура становится непрерывной: головная боль на многие годы и большие расходы», — добавил Курило.

По словам Геннадия Емельянова, часть операторов ПДн еще до вступления в силу 152-ФЗ приводили свои ИС в порядок с точки зрения информационной безопасности. Поэтому для них расходы, инициированные законом о ПДн, не будут слишком большими. Но можно сказать с уверенностью: затраты на соблюдение закона будут расти, по крайней мере в ближайшие 2–3 года.

А что подсказывает зарубежный опыт? Как сообщил Дмитрий Курашов, в США на соответствие требованиям федеральных законов тратится от 0,05 до 2,5% бюджетов компаний. У нас же львиная доля бюджетов ИБ пока направляется на покупку аппаратных и программных средств, а также антивирусов.

Туман в законе

В рамках VIII Всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» ГК «Стинс Коман» и информационный портал SecurityLab.ru презентовали аналитический обзор, посвященный отношению операторов персональных данных (ПДн) к ФЗ № 152 «О персональных данных».

Исследование проводилось в период с 1 июля по 31 августа среди компаний — операторов ПДн с целью выяснить, как относятся респонденты к действиям государства в сфере защиты персональных данных, а также оценить уровень готовности компаний к вступлению с 1 января 2010 г. в силу санкций, предусмотренных ФЗ № 152 «О персональных данных». В опросе приняло участие 406 человек, среди которых 24% — представители телекоммуникационного рынка, 14% — банковского, 2% — страхового. 60% опрошенных отнесли себя к категории «Другие».

Основной трудностью в реализации положений ФЗ № 152 и подзаконных актов в части защиты персональных данных большинство респондентов считают непрозрачность и неясность законодательства (37%). Финансовый кризис операторы ставят на второе место (24%). 18% считают ключевой проблемой недостаток квалифицированных кадров.

Оценивая требования законодательства в сфере защиты ПДн с точки зрения его понятности и прозрачности, подавляющее большинство — 62% — не считают его таковым. Лишь для 23% они являются понятными и прозрачными. На этом фоне несколько выделяется телекоммуникационный рынок, где доля тех, кто вообще не может разобраться в требованиях законодательства, составляет 4%, а 31% не видят сложностей в данной проблеме.

Отвечая на вопрос об уровне готовности компаний к выполнению требований ФЗ № 152 и подзаконных актов в части защиты персональных данных, большая часть опрошенных — 73% — отметили, что уже начали проводить определенные мероприятия в данном направлении либо займутся этим в ближайшее время.

Большинство респондентов при построении систем обеспечения информационной безопасности используют собственные ресурсы (53%). 39% рассматривают смешанный вариант, предусматривающий объединение усилий внешних консультантов и собственных сотрудников для решения задач, связанных с приведением систем защиты ПДн в соответствие с законодательством. Если говорить об особенностях отдельных рынков, то можно отметить, что представители банковского сектора предпочитают больше использовать совместную работу с консультантами (49%, для рынка телеком эта позиция составляет 42%). Самостоятельно готовы провести весь комплекс работ 41% (в сегменте телеком — 50%).

Отвечая на вопрос, готов ли бизнес вести диалог с государством о переносе сроков вступления в силу санкций в соответствии с ФЗ № 152 с 1 января 2010 г. на более поздний период, подавляющее большинство респондентов считают это бесполезным занятием, и лишь 31% готов отстаивать свои позиции.

«Результаты опроса подтвердили озабоченность бизнеса по поводу непрозрачности законодательства в сфере защиты персональных данных, — отметил Антон Даниленко, руководитель Центра решений ЗАО „Стинс Коман“. — При этом на конференции „Обеспечение информационной безопасности“ представитель Роскомнадзора озвучил официальную позицию, что регулятор готов принимать от операторов предложения по совершенствованию законодательства о защите персональных данных. Это единственная возможность для бизнеса повлиять на нормативно-правовую базу, поскольку сроки вступления в силу санкций, предусмотренных ФЗ № 152, с 1 января 2010 г. переноситься не будут».

На чьей улице праздник?

Принятие 152-ФЗ стало актом рождения новой рыночной ниши, живущей по правилам, установленным государством. Одно из этих правил гласит, что услуги по приведению ИСПДн в соответствие с требованиями закона могут оказывать только компании, имеющие соответствующие лицензии ФСТЭК или ФСБ. А это резко ограничивает число игроков.

Другие правила оговаривают случаи, когда в обязательном порядке должны использоваться только сертифицированные аппаратные и программные продукты. Понятно, что предложить такие решения могут далеко не все вендоры.

Насколько широк круг компаний, к которым могут обращаться операторы ПДн? Как утверждает Александр Соколов, на сегодня насчитывается порядка 2 тыс. лицензиатов ФСТЭК и немногим более 200 лицензиатов ФСБ. Практически все лицензиаты ФСБ также имеют лицензию ФСТЭК. В итоге получаем примерно 2 тыс. сертифицированных поставщиков услуг. На фоне нескольких миллионов операторов ПДн совсем немного. К тому же далеко не все лицензиаты готовы оказывать услуги в области ПДн и не все фокусируют свои усилия исключительно на этой нише. Например, в обороте компании «Элвис-Плюс» работы в области ПДн составляют менее 20%.

Лицензии ФСТЭК и ФСБ имеют практически все ведущие системные интеграторы, но они обслуживают, как правило, крупных клиентов. Проекты в небольших фирмах им невыгодны. Правда, число компаний, решивших заняться бизнесом в сфере защиты ПДн, быстро растет. Их привлекает огромная, практически необъятная клиентская база.

Как отметил Александр Соколов, получить лицензию ФСТЭК, дающую право оказывать услуги операторам ПДн, можно, если компания готова (есть специалисты, аттестованы рабочие места и т. д.). Получение лицензии ФСТЭК занимает около трех месяцев, чаще меньше, лицензии ФСБ — до 5 месяцев. Материальные затраты — не более 100 тыс. руб. с учетом экспертиз, госпошлины за оформление бланков и других расходов. «Если новый игрок начинает с нуля и хочет получить минимальную лицензию, то это обойдется ему примерно в 300 тыс. руб., а по срокам займет полтора-два месяца. Надо обучить специалистов, аттестовать помещение, подготовить комплект документов. Но тут можно облегчить себе жизнь и обратиться за помощью к компании-лицензиату», — пояснил Соколов.

Некоторые игроки рынка, как операторы персональных данных, так и системные интеграторы, опасаются, что появление новых компаний, желающих заработать на высоком спросе, может привести к снижению качества услуг.

Некоторые игроки рынка, как операторы ПДн, так и системные интеграторы, опасаются, что появление новых компаний, желающих заработать на высоком спросе, приведет к снижению качества услуг. Но Андрей Сухин убежден: несмотря на большое количество желающих, неразберихи и непрофессиональных игроков здесь быть не должно, поскольку ФСТЭК и ФСБ свои лицензии кому попало не дают, кроме того, их надо регулярно продлевать, т. е. фактически заново доказывать свое соответствие требованиям.

Иной точки зрения придерживается Валерий Андреев, заместитель директора по науке и развитию компании ИВК. «В связи с тем что это регулируемый рынок, игроков вряд ли станет значительно больше. Другое дело, что этот „локомотив“ сможет сдвинуть весь ИТ-рынок, изменить отношение к регулированию в сфере информационной безопасности», — сказал он.

Как сообщил Юрий Малинин, ректор Академии информационных систем (АИС), среди игроков этого рынка есть молодые амбициозные фирмы, которые появились в последние два-три года. Важнейшей составляющей бизнеса здесь является консалтинг, поскольку именно с него начинается вся работа. «Консалтинг — это точка входа к заказчику», — подчеркивает он, добавляя, что заказчикам нужно делать основную ставку на российских игроков, поскольку они имеют большой практический опыт работы с госорганизациями, где требования по защите информации традиционно высоки.

С этим мнением согласен Максим Акимов, глава представительства Kerio Technologies в России и СНГ. Он также считает, что в ближайшее время следует ожидать всплеска спроса и предложения в сфере консалтинга по вопросам защиты ПДн. «Ведь самый легкий и надежный способ разобраться в непростой ситуации — нанять компанию (лучше всего аффилированную с той же ФСТЭК), которая и анализ текущей системы проведет, и необходимые изменения опишет, и сертификат выдаст», — говорит Акимов.

О бурном развитии рынка защиты ПДн можно судить и по растущей популярности учебных курсов. «Судя по числу обращений и по количеству слушателей курсов, проводимых нашей Академией, операторы ПДн активно работают над тем, чтобы привести свои системы в соответствие с законом, — говорит Юрий Малинин. — Также нужно отметить увеличение количества обучающихся — представителей региональных органов исполнительной власти». В 2007 г., по его словам, спроса на учебные курсы по тематике ПДн практически не было. Поток слушателей сформировался во II полугодии 2008 г. А в этом году даже летом наблюдалась высокая активность. Осенью, как ожидается, появятся бюджеты на информационную безопасность у многих компаний. В основном обучаются руководители и специалисты организаций, находящихся на бюджетном финансировании. И это несмотря на то, что у большинства организаций средства на обучение сокращены на 30–80%. В следующем году ситуация с финансированием учебы несильно изменится, комментирует ситуацию Малинин.

На рынке аппаратных и программных средств заметных изменений пока не произошло. «Нельзя сказать, что 152-ФЗ кардинально повлиял на продажи и увеличил их, — говорит Сергей Земков. — Но партнеры и заказчики стали лучше разбираться в сути вопроса и требовать сертифицированную продукцию. Мы получаем много обращений на получение документов, подтверждающих, что ПО сертифицировано. Раньше для 90% клиентов это не имело значения, хотя мы всегда обращали внимание на то, что в органах государственной власти надо использовать сертифицированные продукты». Сейчас каждый пятый или десятый заказ — на такие программы.

«Думаю, что здесь пока больше маркетинга, чем реальной потребности в защите ПДн. Но как только начнутся серьезные проверки и кого-то привлекут к ответственности за неисполнение закона, сертифицированные продукты понадобятся всем. Так уже было с лицензионным программным обеспечением. Как только за это взялись серьезно, мы получили 3–4-кратный рост продаж по всем видам ПО», — комментирует Земков.