01.10.2008

Занимательная арифметика персданных

Сейчас это может быть уже не столь актуально, но когда только вышли первые документы по персданным, я заинтересовался, а сколько же реально можно срубить бабла на этой теме. И вот некоторые выкладки, которые у меня получились:
  1. Число юрлиц и индивидуальных предпринимателей, которые подпадают под требования данного законодательства (до выхода 687-го Постановления), составляет 7 миллионов.
  2. Объем рынка услуг по персданным на 2009-й календарный год составляет 300 миллиардов рублей (по оценкам одного из ФСТЭКовских НИИ, озвученных на конференции в Сочи). Это, кстати, очень заниженная оценка ;-) Если разделить 300 миллиардов на 7 миллионов, то мы получим всего 43 тысячи рублей. За такие деньги врядли можно "родить" модель угроз или какие-либо иные документы (если только эти документы не поставят на поток). Для крупных компаний эта цифра явно будет выше и измеряться не десятками тысяч рублей, а долларов. Ну да ладно... Возможно представитель ФСТЭК посчитал, что не все сразу ринутся выполнять требования ФЗ-152 и процесс этот будет только нарастать. Тогда оценка в 300 миллиардов вполне адекватна.
  3. Стоимость аттестации одного рабочего места - 10-15 тысяч рублей. А число аттестумых компьютеров у нас как минимум 7 миллионов (если предположить, что у каждого оператора персданных только один компьютер). Т.е. еще 105 миллиардов рублей. А ведь это аттестация автономных АРМ ;-) Если сюда приплюсовать сетевую составляющую и разработку документов, то цена возрастет раза в два (плюс/минус). Например, в предложении одной известной российской компании аттестация одной защищенной комнаты с двумя персоналками (включая установку двух СЗИ, продажу и монтаж генераторов шума и разработку комплекта документов) стояла цифра в 60000 рублей. За 2(!) компьютера.
  4. Могу предположить, что не менее трети всего железа и софта так или иначе будет завязано на обработку персданных (а треть - это еще пессимистическая оценка). По требования ФСТЭК все эти решения должны быть сертифицированы. Пессимистичный анализ четверокнижия говорит, что сертификат НДВ нужен на все элементы ИСПДн, а также нужен сертификат по ТУ/РД/15408. Усредненная стоимость сертификата (без НДВ) составляет около 10-15% от стоимости изделия. Если вспомнить, что у нас из западных производителей сертифицированное производство имеют только Microsoft и Cisco, то всем остальным придется сертифицировать либо единичные экземпляры, либо партии продукции (или затевать сертификацию производства, что не так уж и просто). Т.е. при рынке ПО/железа в 12 миллиардов долларов стоимость этой сертификации (пока без НДВ) составит около $1,5 миллиардов или в рублях около 37 миллиардов рублей. У российских разработчиков цена сертификата уже включена в стоимость, но и доля российских сертифицированных разработок в рынке ИТ у нас не так велика (я бы ею вообще пренебрег).
  5. Теперь, что касается НДВ. Стоимость сертификации (если представить, что западная компания все-таки выдаст исходники своих решений) какого-нибудь MS Word (учитываем зарплату, налоги и себестоимость) составит для усредненной испытательной лаборатории около 130000 долларов (18 человекомесяцев). Это без изысков - гонять АИСТа и писать бумажки. Если покопать глубже, то цена конечно же возрастет. Если решение openource, то цена может быть чуть ниже (но несущественно). Например, сертификация одной из opensource операционных систем в Росси обошлась (по слухам) около 250 тысяч долларов (4-й уровень НДВ). А таких программных решений участвую в обработке, хранении, передаче персданных десятки тысяч наименований! Ткну пальцем в небо, но предположу, что сертификация по НДВ (по минимуму и если будет налажено производство самим производителем) всего многообразия ПО и железа даст нам (точнее им) еще около одного миллиарда долларов.
  6. Для получения лицензии на ТЗКИ надо обучить минимум двух человек. Стоимость такого обучения (для получения документа государственного образца) составляет около 50000 рублей (по ценам УЦ Информзащиты). Разумеется ждать, что каждый оператор обучит по двух человек не приходится и рынок аутсорсинга здесь сыграет в полную силу (не имея ресурсов и лицензий можно уйти под крышу лицензиата ФСТЭК). Но даже, если каждый сотый оператор обучит своих людей, то мы имеем 140 миллионов долларов (вот где учебным центрам можно порезвиться).
  7. Какие еще у нас есть затраты? Лицензирование ТЗКИ. По сравнению со всем остальным затраты копеечные - всего несколько тысяч рублей за саму лицензию (мероприятия для получения лицензии я не рассматриваю).
  8. Стоимость работ по противодействию ПЭМИН и закупке сертифицированных защитных решений оценить сложно, но попробую. Считается, что адекватная цена защиты одного компьютера (если сложить все требования ФСТЭК и взять сертифицированный Windows или Linux) составит около 200 долларов (включает антивирус, токены и т.п.). Защита контура ИСПДн в среднем на компанию может обойтись тысяч в 5-10 долларов (если сильно экономить). Защита серверов врядли обойдется дешевле тысячи на один узел. Итого получаем, что для оператора среднего масштаба очень усредненная оценка стоимости защитных решений (без ПЭМИН и организационных мероприятия) составит около 22-25 тысяч долларов. Умножаем это цифру на 4 миллиона (именно столько у нас операторов-юрлиц; индивидуалов не считаю) и выходим на 80-100 миллиардов (долларов!). А ведь это только стоимость лицензий. Про совокупную стоимость владения, которая превышает цену лицензии в 5-7 раз я даже не говорю. Как и про ПЭМИН (этой темой не владею).
  9. Все ли мы посчитали? Нет. Всякие оргмеры, обучение персонала, набор специалистов в отделы ЗИ, бюрократические процедуры я не оценивал ввиду сложности этой задачи. Есть и еще одна статья расходов, которую стоило бы учесть, но сейчас не представляется возможным из-за отсутствия сколь-нибудь значимой статистики. Речь идет о наказании за невыполнении требований регуляторов. А там оно и не такое уж и малое, если вчитаться в законы. Например, ст.13.11 - до десяти рублей за КАЖДОЕ нарушение. А вот за невыполнение предписания ФСТЭК у нас штраф по КоАП уже составляет 500 тысяч рублей! А таких статей, по которым можно "попасть" у нас пару десятков ;-)
Итак, что мы получили? Весь рынок информационной безопасности в России в прошлом году оценивался в 360 миллионов долларов!!! Сейчас мы насчитали "обязательных" требований по безопасности персданных на 3 триллиона рублей или 120 миллиардов долларов! Чтобы представить себе эту цифру могу сказать, что ВВП России в прошлом году (по данным МВФ) составил 2 087 815 миллионов долларов (оценки Всемирного банка и ЦРУ не сильно отличаются от этой цифры); доходная часть бюджета РФ на 2007 год составляет 6965,3 млрд руб. (расходная - 5463,5 млрд руб.), а емкость рынка ПО в 2007 году в России составила 1,87 млрд.долларов (около 50 миллиардов рублей). А весь рынок ИТ в России (включая услуги, поставки оборудования и т.п.) составил всего 17,6 миллиардов (440 миллиардов рублей). А ведь эти оценки были сделаны ДО выхода требований ФСТЭК.

Иными словами, рынок персданных у нас должен составить почти половину доходной части бюджета или около 6% от ВВП!

28 коммент.:

e1am0 комментирует...

может проще дать денег нужным людям, чтоб со своей ерундой не мешали работать? )))

Алексей Лукацкий комментирует...

А так примерно и делают или планируют делать ;-)

e1am0 комментирует...

ну вот тебе и вся безопасность (((
подаца что ле в дворники...

ригель комментирует...

Если я правильно понял, калькуляция основана на предположении, что 100% ИСПДн придутся на КС2 и выше.

Мне же почему-то думается, что подавляющее большинство ИСПДн (скажем, девять десятых) - это КС3.

Алексей Лукацкий комментирует...

Нет, ты не прав ;-) Я утечку по тех.каналам совсем не рассматривал. Для распределенных К3 аттестация нужна. Лицензия тебе все равно нужна. Сертификация нужна. Продукты одни и те же во всех 3-х классах ;-) Т.е. данные затраты почти одинаковы для всех случаев ;-)

Алексей Лукацкий комментирует...

А если опускать себя до К3, то нужно заказывать разработку модели угроз и ее согласование с ФСТЭК, а эта немалые деньги ;-) Т.е. выиграешь в одном, проиграешь - в другом.

Алексей Лукацкий комментирует...

Хотя не спорю, я рассматривал один из пессимистичных сценариев (но мне уже сказали, что я оптимист и скорее описал нижнюю планку обхема этого рынка, а не верхнюю).

Анонимный комментирует...

у представителей ФСТЭК я интересовался насчет согласования с ними модели - ответили, что не собираются этого делать и ничего не надо с ними согласовывать...все на откуп фирмы, проводящей аттестацию ;-)

ригель комментирует...

А откуда, кстати, эта странная цифра - 7 миллионов операторов?

Если даже в Башкирии, где выявлением этих врагов занимались с максимальным пристрастием (лично губернатор с омоном в каждую дверь заглядывали), в реестр загребли только 4 тысячи, так по стране - полмиллиона в самом лучшем случае.

Анонимный комментирует...

7 млн - цифра озвученная Росcвязькомнадзором на гротековской конференции. Получена из данных федеральной службы статистики и ФНС, включает как юридических (~4 млн.), так и физических лиц

Анонимный комментирует...

На конференции по ПДн начальница управления по ПДн приводила основания и источники расчетов с выходом на цифру 7млн. Боюсь ошибиться - в журнале организаторе конференции и презентациях с нее все описано.

Анонимный комментирует...

по всей стране отчитались сейчас чуть больше 25 тыс.
Представители РСКН мягко напомнили, что сроки по закону давно вышли и лучше не дожидаясь мер добровольно отчитаться ;-)
Как я понял, у них сейчас возникли проблемы с реестром, доставшимся от россвязькультуры и они занимаются уточнением информации по поданным уведомлениям.

Анонимный комментирует...

Был сегодня на вашей конференции.Вы, несоменно, профессионал.Тоже хочу так уметь говорить.

Алексей Лукацкий комментирует...

А вы чаще выступайте ;-) Выступлений по 120-140 в год ;-) И будете также ;-)

Спасибо

Алексей Лукацкий комментирует...

Согласовывай, не согласовывай - все равно платить ;-(

Polkan комментирует...

Я уважаю Алексея, но своё незнание проблематики и процедур аттестации объектов информатизации по требованиям безопасности информации он демонстрирует не в первый раз. Его оценка рынка ИСПДн в триллионы рублей превышает реальность на несколько порядков. Не пугайтесь те, кому уготована участь операторов, и не раскрывайте жадно рты системные интеграторы от информационной безопасности. Глубже изучайте опубликованные и неопубликованные документы, консультируйтесь напрямую в ФСТЭК - только не у таких "специалистов", которые попали в систему на излете своей военной карьеры и не умеют ничего, кроме как повторять всякий бред, превращающий Интернет в помойку. И вы найдете массу надежных и приемлемых по цене решений своих проблем или просто обнаружите, что ПРОБЛЕМ НЕТ.

Алексей Лукацкий комментирует...

polkan: Я действительно тесно не знаком с данной проблематиков и считаю, что мне повезло. К реальной безопасности бизнеса (а не государства) это отношения вообще не имеет.

Что же касается оценки, то я исходил из худшего варианта. Хотя я не вижу в нем серьезных недочетов. А все потому что документы совершенно неоднозначные и МОГУТ (конечно не факт, что БУДУТ) трактоваться как угодно проверяющим.

И мои коллеги, вплотную занимающиеся данной тематикой, говорили, что я наоборот занизил оценку ;-) Буду рад, если мне покажут мои ошибки.

virus комментирует...

по поводу аттестации ИС - 10-15 тыщ это вы оптимистично :))
У нас в области стоимость примерно от 65000....:)

Алексей Лукацкий комментирует...

Ну 10-15 это мне назвали голую цифру на один комп без документов и обвязки. На 2 компа цена в одном из ТКП была 60 тысяч.

h-campbell комментирует...

Отличный расчет.
Вопрос первый: что можно сделать с законом о защите персональных данных, если он абсурден изначально?

Вопрос второй: когда в РФ будут издаваться законы относительно регулирования в область ИБ и ИТ, которые будут отражать требования бизнеса, а не требования ФСТЭК? И что для этого нужно сделать?

Алексей Лукацкий комментирует...

h-campbell: Ответ первый: закон нормальный (относительно). Проблема с подзаконными актами.

Отчет второй: когда бизнес будет инициировать такие законы. Сейчас их делают регуляторы. Вот когда мы создадим нечто вроде ANSI, то тогда у нас и будут стандарты для бизнеса. По крайней мере Ростехрегулирование так считает. А т.к. они у нас главные за стандарты, то ожидать чего-то не стоит.

Анонимный комментирует...

Алексей, приводимые Вами расценки, мягко говоря, неадекватны - на сертификацию они сильно завышены; на аттестацию - наоборот, сильно занижены.
В частности, "слухи о стоимости сертификации операционной системы" абсолютно не соответствуют действительности.

Анонимный комментирует...

Кстати, между нами говоря, "гонять АИСТа" для 4 уровня НДВ не нужно вообще))

Алексей Лукацкий комментирует...

Анонимному: Приведенные оценки на сертификацию софта получены из достоверных источников ;-) Кроме того мы сами регулярно сертифицируем свои решения и я представляю порядок цен на данные работы.

Что касается аттестации, то цена взята из СУЩЕСТВУЮЩЕГО предложения для заказчика. Я не знаю, у кого она занижена - она такая. Скорее у кого-то она завышена.

Но в чем неадекватность оценки я так и не понял. Даже если следовать вашей логике, то емкость рынка будет еще выше, т.к. число аттестуемых объектов гораздо больше, числа сертифицируемых.

Анонимный комментирует...

Я извиняюсь, но, по-моему, Вы допускаете ошибку. Предлаагю этл обсудить. Пишите мне в PM.

Алексей Лукацкий комментирует...

Куда писать? Может все-таки тут? Чего скрывать-то?

Albert комментирует...

Стоимость аттестации одного рабочего места на сегодня составляет не менее 60 тыс. р (установкой SecretNet), аттестация помещения по конфидениалке с установкой генераторов шума, и "арендой" специализированногог оборудования составляет порядка 130 тыс. р. Чувствуется не аттестовывали даже локальные рабочие места...

Алексей Лукацкий комментирует...

60 тысяч? Можно раскмдать по статьям затрат? И модель угроз расписать.

И я действительно не занимался аттестацией ;-) К счастью