Позиции российского бизнеса на рынке ИБ могут оказаться под ударом

Позиции российского бизнеса на рынке ИБ могут оказаться под ударом 
По результатам исследования, проведенного CNews Analytics, объем продаж средств защиты информации в России в 2002 году по сравнению с предыдущим годом удвоился и превысил отметку в 1,5 млрд. рублей (подробные оценки рынка, включая структуру рыночных долей компаний в ключевых сегментах, мы представим вашему вниманию чуть позже). Подавляющее превосходство в конкурентной борьбе до сего дня имеют российские компании, но как показывают последние изменения на рынке, позиции отечественного бизнеса могут оказаться под ударом. Возможное снятие протекционистских барьеров со стороны государства неизбежно приведет к резкому обострению конкуренции с крупными иностранными производителями. На ключевые изменения на рынке наше внимание обратила группа доброжелателей, заметки которых, мы и приводим ниже.

 
В 2003 году начались серьезные изменения в условиях государственного регулирования рынка информационной безопасности. Общая тенденция парадоксальна — усиление влияния органов государственной безопасности на рынке и, одновременно с этим, открытие рынка. Такого еще не было нигде. И непонятно чем это закончится. Приведем несколько фактов:
  • Передача функций ФАПСИ (в части криптографии) в ФСБ;
  • Первым заместителем Начальника Гостехкомиссии России назначен генерал ФСБ. В итоге Гостехкомиссия России из военного ведомства превращается в ведомство чекистское.
  • Гостехкомиссия начала активное продвижение новых государственных стандартов сертификации продукции, основанных на Common Criteria.

По оценкам участников рынка, результатом усиления влияния на рынке органов государственной безопасности становится движение рынка к состоянию неопределенности. Подтверждением тому опять же несколько фактов.

С конца февраля 2003 года в Гостехкомиссии России не подписываются ни лицензии (в том числе и не продлеваются), ни сертификаты. Еще несколько месяцев — и число лицензиатов Гостехкомиссии уменьшится за счет естественной убыли последних.

До сих пор не определена позиция ФСБ в части регулирования процессов разработки, распространения и эксплуатации средств криптографической защиты информации. Непонятна политика этого ведомства в части существования российской криптографии на коммерческом рынке.

Внедрение Common Criteria может привести к самым неожиданным последствиям. Сами Common Criteria представляют собой не что иное, как расширяемую библиотеку требований к механизмам безопасности. Для того, чтобы можно было что-либо сертифицировать по новым ГОСТам, необходимо создание типовых профилей защиты. На сегодняшний день существуют проекты таких профилей для различных типов средств защиты (операционных систем, электронных замков, межсетевых экранов и т.д.). Но они до сих пор не утверждены. И когда они будут утверждены, похоже, никто не знает. Между тем, начало сертификации по ним должно начаться уже с 2004 года. Кроме того, в отличие от ранее существующей системы сертификации, в России пока не предполагается существование единых требований к средствам защиты. Каждая организация может разработать для собственных нужд профили для средств защиты и затем сертифицировать по ним используемые средства.

Такое развитие событий может привести к тому, что сертификат будет действителен только для той организации, для которой действует профиль. Следовательно, один и тот же продукт будет сертифицироваться неоднократно. Кроме того, возможна ситуация, когда государственные организации, работающие с одной и той же информацией будут защищать ее по-разному, в зависимости от того, как они оценили те или иные риски.

А если еще учесть, что сертификационные лаборатории Гостехкомиссии обладают ограниченной производительностью, то сложится ситуация, когда без сертификата жить нельзя, а получить его тоже практически невозможно. Зато сертификационные лаборатории будут перегружены заказами, что не сможет не сказаться на стоимости их услуг. Т.е. в краткосрочной перспективе сертификационные лаборатории могут рассчитывать на увеличение своих оборотов.

Гостехкомиссия также планирует взаимное международное признание сертификатов Common Criteria. Сегодня в России работает не более 10 компаний, которые в состоянии разработать собственный программный продукт. Это требует значительных капиталовложений и соответствующей инфраструктуры. Такое стало возможным только в силу протекционистской политики государства на этом рынке за счет действия старых РД Гостехкомиссии.

Взаимное признание сертификатов откроет российский рынок средств защиты информации для западных производителей. В этом случае вряд ли на нашем рынке останется хотя бы одна компания, которая сможет конкурировать с такими грандами как Microsoft, Checkpoint, Rainbow и другими. А не останется российских компаний, разрабатывающих ПО, — нечего будет делать и специалистам по сертификации. Таким образом, в долгосрочной перспективе доходы сертификационных лабораторий могут резко уменьшиться.

Выход же наших компаний на западный рынок средств защиты информации как без сертификатов по Common Criteria, так и с ними практически невозможен из-за большого количества иных барьеров на этом пути.

Все вышеперечисленные факторы могут негативно сказаться, прежде всего, на деятельности специализированных компаний, как основных игроках рынка ИБ. Эти компании будут вынуждены учиться работать на открытых конкурентных рынках. И для них 2004 год будет довольно тяжелым.

Между тем, как показал опыт предыдущих лет, именно специализированные компании оставались наиболее конкурентоспособными в отрасли, в то время как у ряда ведущих системных интеграторов, которые также присутствовали на рынке защиты информации, за последний год произошли существенные изменения. Некоторым из системных интеграторов пришлось расформировать подразделения, занимавшиеся проектами по защите информации.

Сегодня можно говорить о некоторой тенденции, суть которой в том, что бизнес-модель системных интеграторов в области информационной безопасности в существующих условиях не оправдывала себя. Среди важных причин, такого развития ситуации — отсутствие средств защиты собственной разработки. Бизнес-модель системного интегратора предполагает использование большого количества чужих продуктов, на которых трудно получить более или менее приемлемые условия по скидкам, в силу небольшого количества контрактов по безопасности. Поэтому поставки средств защиты, которые у специализированных компаний составляют до 70% от оборота, для системных интеграторов также являются низко прибыльными.

Без изменения внешних условий специализированные компании и далее имели бы неоспоримые преимущества. Но как было показано выше, внешние условия могут существенно измениться.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS