Москва, 11 марта 2010 г. LETA IT-company – один из лидеров рынка информационной безопасности в России, ведущий оператор типизированных ИТ-услуг – подводит итоги работы в 2009 году и объявляет планы на 2010 год.
Итоги 2009 года
В 2009 году выручка компании составила 1.193 млрд. рублей, что на 14.2% превысило аналогичный показатель 2008 года. Для LETA IT-company прошедший год характеризовался значительным расширением клиентской базы. Так, новыми клиентами компании стали: ФТС РФ, ОАО «Банк ВТБ», ОАО «Московский кредитный банк» (МКБ), ОАО «РАО Энергетические системы Востока», ОАО «ОГК-3», Сибирская угольная энергетическая компания (ОАО «СУЭК»), «Атомредметзолото», ФГУП ВНИИА, ФГУП НИИТ (входит в корпорацию «Росатом»), Координационный центр национального домена сети Интернет (КЦ домена RU), компания «Сити Палас», НПФ «Благосостояние», ЗАО «Санкт-Петербургская Международная товарно-сырьевая биржа» и др. В отчетный период компания выполнила 128 проектов в сфере ИБ, из них 42 – комплексные проекты по созданию систем ИБ (стоимость свыше 10 млн. руб.) и 54 – проекты стоимостью от 4 до 10 млн. руб.
В 2009 году 46 проектов LETA IT-company были связаны с защитой персональных данных, что принесло компании 52% выручки. Отметим, что эти результаты получены бизнес-направлением, созданного в марте 2009 года. Коммерческая эффективность лишь частично характеризует масштабы его работы. Значительная часть усилий подразделения была изначально направлена на всестороннюю информационную поддержку формирования российского рынка защиты ПДн. В 2009 году компания провела серию открытых семинаров, разработала программы и организовала обучение специалистов в сфере защиты ПДн, выступила соорганизатором и спонсором ряда тематических мероприятий. Важным этапом этой деятельности стал выпуск не имеющего аналогов на российском рынке информационного продукта «Рекомендации по выполнению требований Федерального закона №152-ФЗ “О персональных данных”», в котором интегрированы тщательно отобранные и систематизированные информационные материалы по защите персональных данных и оригинальная универсальная методика создания систем защиты ПДн, доведенная до уровня пошаговой инструкции. Работая с этим бесплатным информационным продуктом как с самоучителем, оператор персональных данных может самостоятельно привести свою ИСПДн в соответствие с требованиями действующей нормативной базы в сфере защиты ПДн. Всё это вывело LETA IT-company в число безусловных лидеров рынка защиты персональных данных.
По итогам года устойчивые положительные результаты получены и на традиционных направлениях работы LETA IT-company. В первую очередь, это относится к сфере защиты конфиденциальной информации (DLP), где выполнено 16 проектов, причем в половине случаев в них использовалось «тяжелое» решение для крупных организаций – Symantec DLP. Востребованными оказались и такие консалтинговые направления, как аудит и выстраивание процессов ИБ (18 проектов), а также выполнение требований международных стандартов (5 проектов). Остальные проекты распределились следующим образом: безопасность в Интернет – 11 проектов, корпоративные системы шифрования – 6 проектов, корпоративные системы защиты каналов связи и VPN – 9 проектов, корпоративные системы идентификации и аутентификации – 8, прочее – 9 проектов.
2010 – год качественных изменений рынка ИБ
2010 год станет знаковым и переломным для российского рынка ИБ. Как известно, в последнем квартале 2008 года он «ушел в пике», как и другие сегменты ИТ-рынка. По оценкам экспертов LETA IT-company, в рублёвом выражении рынок ИБ сократился, по крайней мере, на 10%, и от гораздо большего падения его удержало только формирование в 2009 году сегмента защиты персональных данных. В настоящее время точка перегиба уже позади, но процесс возрождения идёт по совершенно иной траектории, которая приведет рынок в качественно новое состояние.
Несмотря на успешное докризисное развитие, на рынке ИБ существовала скрытая проблема, связанная с тем, что исторически он формировался как излишне технологический и слабо связанный с бизнес-подразделениями. За единичными исключениями, потребители продолжали относиться к ИБ-решениям как к способу устранения тех или иных локальных угроз. Именно по этому сценарию развивались практически все сегменты ИБ: DLP, антивирусы, защита периметра и каналов передачи данных и мн.др. Защита ПДн также укладывается в этот ряд. Несомненно, такой подход упрощал обоснование проектов и приближал практический результат на выбранном участке, но одновременно создание интегрированных систем ИБ отодвигалось на второй план. В организациях, внедривших множество частных решений, подразделения, отвечающие за корпоративную систему безопасности и управления рисками, по существу, утрачивали контроль выполнения своих требований к ИБ.
Две ключевые особенности 2009 года сломали эту ситуацию. С одной стороны, кризис остановил ненужные проекты и научил заказчика экономическому подходу. С другой стороны, жесткая линия государства на повышение защищенности персональных данных показала, что регулирование рынка ИБ дает положительный эффект. Приобретенный опыт в настоящее время используется при разработке схем регулирования ИБ для пенсионных фондов, кредитных организаций, отрасли здравоохранении и др. Теперь рынок ИБ быстро идет к иной схеме. Исходной является четкая высокоуровневая задача в сфере управления рисками, а «под нее» создается комплексное решение, сразу рассматриваемое и как часть внутрикорпоративной системы безопасности, и как элемент системы защиты информации в сети взаимодействующих предприятий, и в иерархии: предприятие – отрасль – экономика в целом. На этом пути ключевую роль начинает играть разработка и внедрение различных взаимоувязанных стандартов ИБ. Соответствие им и станет главной долгосрочной тенденцией всего корпоративного рынка ИБ. Наступает «эпоха compliance».
От участников рынка это требует новой расстановки приоритетов, перенастройки бизнеса, умения мыслить одновременно в категориях управления рисками, ИТ-, ИБ и безопасности в целом, особого управления компетенциями и типизированными разработками. Именно способность быстро решить эти задачи будет определять расстановку сил на послекризисном рынке ИБ.
Планы на 2010-2011 годы
В 2010-2011 годах LETA IT-company будет строить работу с учетом перечисленных долгосрочных тенденций. При этом компания исходит из того, что крупные предприятия уже в текущем году увеличат затраты на ИБ на 50%, тогда как сегмент SMB еще не вернется к массовому спросу на услуги и решения в сфере ИБ. Это позволяет компании LETA прогнозировать рост выручки на 25%. При наихудшем сценарии развития рынка данный показатель может снизиться до 15%, а оптимистичный сценарий обеспечит его рост до 35%. Подчеркнем, что в 2010 году консалтинговые решения (без учета защиты персональных данных) составят не менее 30%, а с учетом ПДн – до 70% оборота компании.
В двух важнейших сегментах современного рынка ИБ – защите персональных данных и защите конфиденциальной информации – компания считает своей основной задачей сохранение лидерства. При этом одна из важнейших целей компании LETA – активное влияние на формирование рынка сопровождения уже внедренных систем защиты ПДн. По оценкам LETA IT-company, этот сегмент начнет активно развиваться во второй половине 2010 года.
Новой стратегической задачей на 2010-2011 годы является наращивание услуг профессионального консалтинга в сфере ИБ и выход компании LETA на лидирующие позиции как универсального ИБ-консультанта для крупных предприятий и организаций. LETA IT-company исходит из того, что большая часть таких предприятий объективно уже подошла к необходимости создания целостных систем ИБ, интегрированных в системы корпоративной безопасности и управления рисками. Комплексные проекты создания таких систем появятся уже в 2010 году (LETA планирует выполнить порядка пяти проектов), в дальнейшем их количество будет постоянно увеличиваться. Этой категории заказчиков решения компании LETA позволят оптимизировать расходы таким образом, чтобы 20% затрат позволили «закрыть» 80% функциональности. Однако в ближайшие годы большинство заказчиков будет двигаться «снизу вверх» – от функционально-ориентированных подсистем к единому взаимоувязанному целому. Таким предприятиям потребуется оптимальная стратегия, гарантирующая, что существующие и новые подсистемы ИБ сложатся в целостную систему при минимальном количестве переделок.
Подчеркнем, что развитие консалтинговых направлений в LETA IT-company опирается на программу внутренних преобразований, начатую в сентябре 2009 года. В настоящее время уже завершены несколько этапов этой программы: пересмотрена вся система документационного обеспечения проектов, введена новая система нормоконтроля документов; создан Департамент продуктов и услуг, разработаны KPI и система мотивации для ключевых должностей, пересмотрены регламенты взаимодействия подразделений; сформированы новые бизнес-направления; отработана технология формирования консорциумов с партнерами по предоставлению консалтинговых услуг. Значительные изменения произошли и в сфере управления персоналом. Так, за прошедший год в компании стало на 10% больше инженеров, на 15% выросло число менеджеров проектов, а рост штата аналитиков и консультантов составил 35%. Одновременно, в компании на 30% был сокращен административный персонал, началось внедрение усовершенствованных систем мотивации для менеджмента и исполнителей, занятых в проектах ИБ-консалтинга.
В 2010 году важнейшими будут три направления ИБ-консалтинга: «банковские стандарты», «СУИБ» и «процессы ИБ». При этом компания уже располагает портфелем выполненных и активных проектов в этих областях.
Банковский блок традиционно является приоритетным для LETA IT-company; здесь в 2010 году LETA IT-company сконцентрирует усилия на внедрении стандарта PCI DSS и интегрированного стандарта ИБ для банковского сектора.
В феврале 2010 года LETA IT-company открыла бизнес-направление по приведению систем ИБ организаций в соответствие с требованиями международного стандарта безопасности данных индустрии платежных карт (PCI DSS). При этом компания начала предоставлять полный спектр услуг, позволяющих заказчикам внедрить все необходимые механизмы защиты данных о держателях карт и достичь максимального уровня безопасности при всех связанных с ними операциях, а также подготовиться к сертификации и пройти сертификационный аудит. Отметим, что пакет услуг LETA IT-company ориентирован на самый широкий круг предприятий, работающих с платежными картами. Среди них: банки, интернет-магазины, торговые сети, поставщики услуг, а также любые организации, в которых обрабатываются данные о держателях карт. В этом году компания LETA планирует выполнить до 10 комплексных проектов, включающих предварительный аудит, внедрение организационно-технических решений и сертификацию на соответствие требованиям PCI DSS.
Вторым направлением в работе LETA IT-company с кредитными организациями является продвижение Стандарта Банка России СТО БР ИББС-1.2-2009 и внедрение решений на его основе (летом 2009 года компания вступила в сообщество ABISS – Association for Banking Information Security Standards). Отметим, что в 2009 году многие банки откладывали внедрение указанного стандарта, отдавая предпочтение проектам по защите ПДн, поскольку в соответствии с нормативной базой создание таких систем являлось обязательным. Кроме того, определенные затруднения вызывало расхождение этого стандарта с требованиями действующего законодательства в области защиты персональных данных. Наблюдаемое сегодня сближение позиций регулирующих органов позволяет надеяться на быстрый прогресс в создании интегрированного стандарта и запуск множества проектов по его внедрению уже в 2010 году.
В блоках «СУИБ» и «процессы ИБ» LETA IT-company возвращается к активной работе по созданию систем управления информационной безопасностью, отвечающих требованиям международного стандарта ISO 27001. В настоящее время именно этот стандарт, внедрение связанных с ним наилучших практик и проведение сертификационного аудита рассматриваются международным бизнес-сообществом как наиболее системный, эффективный и респектабельный подход к комплексной защите информации на взаимодействующих предприятиях. Напомним, что еще в 2007 году компания LETA начала серьезно заниматься всем комплексом вопросов, связанных с построением СУИБ, совместимых с указанным стандартом. В частности, компания приобрела высокие компетенции в этой сфере, стала партнером Британского института стандартов (BSI – British Standards Institution), а также разработала и начала предоставлять пакет соответствующих услуг (подробнее см. http://leta.ru/services/consulting/id_87.html). Однако мировой экономический кризис и необходимость направить ресурсы на защиту персональных данных сделали внедрение систем на базе ISO 27001 практически невозможным для российских предприятий. Но уже осенью 2009 года, при первых признаках завершения кризиса, LETA IT-company вновь отметила рост интереса российских предприятий к ISO 27001, причем этот интерес имел гораздо более выраженную практическую направленность, чем в первый период развития.
Компания LETA планирует предоставлять полный спектр услуг (обследование, выявление отклонений, выдача рекомендаций по их устранению, внедрение) по построению СУИБ, отвечающих требованиям ISO 27001, и подготовке к сертификационному аудиту в BSI. Поскольку полный цикл подготовки к сертификации, ее первичное проведение и периодические подтверждения связаны со значительными затратами, такие проекты целесообразны, в первую очередь, для крупных и средних предприятий, ведущих международный бизнес или готовящихся к IPO, а также для профессиональных поставщиков услуг, стремящихся убедительно доказать своим заказчикам высокую степень защищенности информации в своих ИС. Вместе с тем, по мнению компании LETA, стандарт ISO 27001 будет востребован гораздо более широким кругом российских организаций – даже если они не планируют доводить свою систему ИБ до сертификации. При разработке ISO 27001 был учтен положительный опыт и ошибки тысяч организаций, работающих по всему миру в разных отраслях и в различных экономических условиях. Стандарт свел в целостную систему подходы к решению множества задач ИБ, поэтому соответствие частных ИБ-решений элементам стандарта значительно повышает вероятность их согласованной работы, даже если такие решения внедрялись в разное время и вне рамок единого проекта.
Подчеркнем, что в рамках блока «СУИБ» получат развитие временно приостановленные из-за кризиса направления работы LETA, связанные с бизнес-взглядом на ИБ, процессным подходом к ИБ, интеграцией ИБ в корпоративную систему управления рисками. Также будут развиваться новые направления, в частности, внедрение процессов управления IT-инфраструктурой, непрерывность бизнеса (стандарт BS25999), стратегии и системы менеджмента ИБ.
Наряду с консалтинговым направлением, важная роль в планах 2010 года отводится выводу на российский рынок совершенно новых решений, обеспечивающих раннее выявление угроз и оперативное согласованное реагирование на них. Такие решения позволяют раскрыть потенциал уже внедренных средств защиты и эффективно использовать уже имеющуюся информацию. При этом они тесно интегрируются с различными подсистемами ИТ и ИБ, отвечающими за обновление ПО, управление политиками безопасности, анализ консолидированных журналов подсистем ИБ и др.
«Эпоха compliance и настоящего консалтинга в сфере ИБ – это новая реальность российского рынка. Уже в 2010 году квалифицированный ИБ-консультант будет постоянно работать на грани бизнеса, менеджмента, стандартов, организационных процедур и информационных технологий, – говорит Андрей Конусов, генеральный директор LETA IT-company. – Квалифицированных ИБ-консультантов в России мало, и мы хотим, чтобы для них наша компания стала тем местом, где можно полностью себя реализовать, сделать что-то действительно заметное, повлиять на само направление развития рынка. Это важно, ведь специалисты такого уровня давно устали от бюрократизма и едва ли упустят уникальные возможности, открывающиеся сегодня. Мы также готовимся к тому, что в ИБ-консалтинг пойдут многие высококлассные специалисты в сфере управленческого- и ИТ-консалтинга, а в ряде случаев – и «технические гуру». LETA IT-company всегда была привлекательным работодателем для умных, инициативных, стремящихся к постоянному росту людей. Сейчас мы идем дальше и целенаправленно преобразуем компанию, чтобы выйти на новый уровень задач, не потеряв главное – масштаб задач, оперативность принятия решений, отсутствие бюрократических проволочек, четкость мотивации».
О LETA IT-company
LETA IT-company (www.leta.ru) – один из лидеров рынка информационной безопасности в России, первый оператор типизированных ИТ-услуг. Компания LETA оказывает весь спектр услуг по информационной безопасности – от разработки стратегии ИБ до внедрения и сопровождения технических средств защиты информации. Портфель услуг LETA IT-company включает защиту персональных данных, защиту от утечек информации, обеспечение безопасности при работе с интернетом, аудит ИБ и построение систем управления ИБ по требованиям российских и международных стандартов, защиту от вирусов и спама, защиту от атак и вторжений, контроль уязвимостей ПО. LETA IT-company входит в состав LETA Group – компании №1 по объему продаж на российском рынке продуктов и услуг в сфере информационной безопасности (по данным рейтинга «CNews Security 2009: Крупнейшие ИТ-компании России в сфере защиты информации»). Блог LETA IT-company – http://letablog.livejournal.com.
За дополнительной информацией обращайтесь:
Мария Кузнецова
Тел: +7 (495) 921 1410
E-mail: MKuznetsova@leta.ru