Отечественный рынок услуг в области защиты персональных данных

05.11.2010

Ратификация Россией Конвенции о защите физических лиц при автоматизированной обработке персональных данных в 2005 г. и последующий выход в свет Федерального Закона «О персональных данных» № 152-ФЗ и подзаконных актов, сосредоточивших в себе базовые положения, касающиеся обработки (использования) и защиты персональных данных граждан, создали мощную основу для формирования на общем пространстве услуг в сфере информационных технологий и информационной безопасности нового направления — рынка услуг в области защиты персональных данных.

Предпосылки создания рынка

Стремительное развитие нового сегмента рынка в последние три го- да было обусловлено тем, что почти все российские организации, согласно новому закону, обрабатывают персональные данные и являются «операторами персональных данных». Данный статус подразумевает ряд обязанностей по отношению к государству и частным лицам. Рост экономики начала ХХI в. вынуждал многие российские компании переосмысливать подходы к ведению бизнеса, а технический прогресс сопровождался внедрением сложных и дорогостоящих решений для автоматизации бизнес-процессов. После принятия закона многие компании, уделявшие внимание вопросам развития внутренней ИТ инфраструктуры и обеспечению информационной безопасности, вдруг осознали, что достаточно эффективные методы и средства, используемые ими ранее, не подходят под требования, предъявляемые государственными регуляторами к защите персональных данных, и необходимо отыскивать средства на комплексную перестройку не только инфраструктурных решений, но и бизнес-процессов, связанных с обработкой персональных данных. Причиной тому стали нормативные документы, выпущенные одним из регуляторов в области технической защиты персональных данных — Федеральной службой по техническому и экспортному контролю (ФСТЭК). Всю историю своего существования ФСТЭК стояла на страже государственной тайны, разрабатывала солидные и масштабные методические документы и проводила серьезные технические мероприятия. Все это предопределило действия службы в новой для нее области. Дело в том, что выпущенные ФСТЭК в начале 2008 г. Четыре нормативных документа (известные как «четверокнижие»), детально описывавшие требования к организации технической защиты информационных систем персональных данных (ИСПДн), фактически повторили режимные требования, предъявляемые к системам, обрабатывающим государственную тайну. Требования двух остальных регуляторов — Роскомнадзора и ФСБ — не отличались такой жесткостью и сложностью исполнения, однако создавали необходимость появления у оператора специалиста определенной квалификации, способного хотя бы разобраться в многостраничных регламентах и подготовить минимальный набор организационно-распорядительной документации. Таких специалистов в 2007 г. просто не было, а учебные курсы, способные дать специалисту необходимые знания, появились гораздо позже.

Эти факторы плюс постоянные изменения в подзаконных актах, то и дело вносимые регуляторами, стали предпосылками для формирования спроса и его главным катализатором, а где есть спрос — есть и предложение.

Следует отметить, что формировавшийся сегмент рынка в области защиты ПДн для крупных интеграторов, занимавшихся вопросами информационной безопасности в общем и защитой государственной тайны в частности, чем-то новым не был. Все они и ранее проводили работы по защите конфиденциальной информации и знали подходы таких служб, как ФСТЭК и ФСБ.

Гораздо сложнее приходилось небольшим организациям, у которых появилась задача «сделать все по 152-ФЗ»: у них не было ни соответствующей подготовки, ни специалистов, ни средств на ее реализацию.

Какие появились услуги по защите персональных данных?

Условно интеграторов можно разделить на два типа: те, кто сосредоточены на оказании консультационных услуг; и те, кто сосредоточены на поставке и внедрении программных и технических решений.

Как правило, значительно выгоднее работать с первым типом интеграторов, так как в результате их работы необходимо будет внедрять лишь незначительное количество технических средств. Очевидно, что это позволяет не только значительно сократить расходы на проект, но и избежать технических проблем при внедрении, снизить нагрузку на ИТ-инфраструктуру и т. д.

В течение нескольких лет интеграторы разрабатывали и совершенствовали свои услуги в области защиты персональных данных. В настоящий момент проекты по защите персональных данных можно условно разделить на несколько стадий:

1). обследование процессов обработки ПДн;

2). разработка организационно-распорядительной документации;

3). разработка технического задания;

4). разработка технического проекта;

5). внедрение (поставка средств защиты и их установка, настройка);

6). оценка соответствия системы требованиям закона, подзаконным актам и руководящим документам регуляторов.

Как правило, в отдельный блок выделяются следующие услуги:

1). постпроектная поддержка;

2). обучение сотрудников заказчика;

3). аудит проведенных работ (самой компанией или сторонним консультантом).

Наиболее востребованными являются услуги по проведению комплексного проекта (пункты 1–6), и они же создают львиную долю рынка. Отдельные услуги пользуются меньшим спросом и предлагаются интеграторами «заодно» с чем-ни- будь еще.

Текущее состояние

Российский рынок защиты персональных данных стал формироваться в 2008–2009 гг., и, по различным оценкам, его объем в 2010 г. может составить около 110 млн долл. Среди игроков этого рынка есть компании, ранее предоставлявшие услуги в области «классической» информационной безопасности, и новые компании, для которых тема защиты персональных данных стала в кризис спасательным кругом.

Среди множества организаций можно указать следующий список (по алфавиту) российских компаний, продвигающих услуги в области защиты персональных данных:

  • ICL-КПО;
  • LETA IT-company;
  • ReignVox;
  • Softline;
  • ГК «Информзащита»;
  • «Инфосистемы Джет»;
  • КРОК;
  • НПО «Эшелон»;
  • «Орбита»;
  • РНТ;
  • «ЭЛВИС-ПЛЮС».

По информации, которой обладают авторы, наибольшие обороты по услугам, связанным с защитой персональных данных, показывают компании:

«Информзащита», «Инфосистемы Джет» и LETA ITcompany.

Специфика рынка

На качество работ влияет постановка задачи Бурный рост рынка защиты персональных данных привел к загрузке существующих специалистов по информационной безопасности и создал условия к возникновению новых (часто некомпетентных) консалтинговых групп, которые в течение двух лет без труда получали заказы, в том числе и от крупных компаний-операторов.

В результате среднее по рынку качество работ до сих пор остается ниже среднего. С этой же причиной связано появление у ведущих интеграторов такой услуги, как аудит уже проведенных работ по защите персональных данных.

Вопрос выбора поставщика услуги многогранен, и универсального метода здесь нет. В случае с защитой персональных данных успех проекта должен оцениваться не подписанием акта приема-передачи, а результатом проверки регуляторов.

Однако интеграторы не в силах заставить регуляторов проводить внеплановую проверку, а такого института, как добровольная проверка (по аналогии с добровольной сертификацией), не существует. Поэтому далеко не каждый интегратор берет на себя ответственность за результат своей работы, и заказчику имеет смысл прописывать в договоре ответственность поставщика услуги на случай неудовлетворительных результатов прохождения проверки.

Нужно отметить, что основным мотивом, толкающим операторов персональных данных на проведение работ, является не стремление улучшить защиту данных граждан, а желание хорошо выглядеть перед регуляторами. В большинстве случаев заказчики ставят задачу так: «Мы хотим, чтобы у нас все было в соответствии с 152-ФЗ и не было проблем». И когда вопрос доходит до выбора поставщика услуги, возникает резонный вопрос: «Сколько это стоит?».

Проблема в том, что до начала работ ни один интегратор не может сказать точную стоимость (равно как и сроки) проведения всех работ, включая поставку и установку оборудования — он может оперировать только приблизительными данными, основанными на собственном опыте работ в аналогичных компаниях и на аналогичных проектах.

В этом и заключается основная неопределенность при выборе поставщика услуги. Обследование информационных систем заказчика и анализ процессов обработки ПДн — самый ответственный этап работ: именно по результатам этого этапа можно будет говорить о более-менее точной смете затрат на проведение интегратором комплекса мероприятий, дающих заказчику желаемый результат. Однако ввиду множества вариантов решения той или иной задачи разные специалисты могут предложить совершенно разные решения. Кроме того, обследование —мероприятие не бесплатное и, кроме осознания полного несоответствия закону, внушительного перечня мероприятий и впечатляющих сумм, ровным счетом ничего заказчику не дающее.

Некоторые некомпетентные интеграторы, принимая это во внимание, не уделяют данному этапу должного внимания в надежде на то, что в остальном разберутся «по ходу проекта».

Поэтому финальное техническое решение, сформулированное интегратором в техническом задании и отраженное в техническом проекте, может оказаться совсем не оптимальным для заказчика.

Есть и другие факторы, влияющие на качество подготовки технического проекта. Например, наличие у интегратора собственных или продвигаемых им разработок (технических средств защиты) практически всегда приводит к появлению таких решений в техническом проекте, даже если решения эти, мягко говоря, не совсем подходят заказчику. Принимая во внимание то, что на поставке технических и программных средств можно заработать гораздо больше, чем на всем остальном (обследовании, разработке документации и т. д.), некоторые интеграторы сознательно прописывают в проекте необходимость покупки дорогостоящего оборудования, а заказчик, в силу собственной некомпетентности в этих вопросах, вынужден подписывать громадную смету.

Чтобы избежать нежелательных последствий, имеет смысл провести оценку адекватности требований, сформулированных интегратором по результатам обследования в техническом задании. Опытный руководитель проекта со стороны заказчика на завершающих этапах проведения обследования может самостоятельно оценить порядок цены предлагаемого интегратором технического решения. В идеальном варианте такой аудит должна проводить другая компания или консультант, но даже самостоятельная оценка заказчиком технического задания позволит избежать неоправданных трат в будущем.

Источник: CONNECT | № 9, 2010