29.7.16

Рынок средств защиты информации в России: до санкций и после. Часть вторая

Хочу продолжить вчерашнюю заметку о том, что принесли санкции и импортозамещение на отечественный рынок ИБ и смогли ли отечественные вендоры воспользоваться своим привилегированным положением, предложив заказчикам нечто новое? На фоне новостей о том, что российским силовикам разрешили вновь закупать западное ПО и разговорах о том, что это только первая ласточка к возврату на круги своя, было бы интересно увидеть, какие сюрпризы преподнесли российские разработчики средств защиты.

Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.

Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:
  • 2012-2013 годы
    • средства вычислительной техники (СВТ), то есть средства защиты от несанкционированного доступа по классификации ФСТЭК
    • средства гарантированного уничтожения информации
    • "доверенные" операционные системы
    • антивирусы
    • средства аутентификации
    • защищенные СУБД (точнее их две или три)
    • межсетевые экраны
    • средства резервного копирования
  • 2013-2014 годы (в дополнение к вышеупомянутым)
    • системы обнаружения вторжений
    • сканеры защищенности
    • средства защиты СУБД
    • анализаторы исходных кодов
    • электронные замки
    • средства защиты корпоративной сотовой связи
    • средства инвентаризации ресурсов
  • 2014-2015 годы (в дополнение к вышеупомянутым)
    • средства безопасного хранения информации
    • сканер защищенности АСУ ТП
    • DLP
    • средства контроля конфигурации
    • средства защиты приложений
    • VDI и средства терминального доступа
    • средства отражения DDoS-атак
    • коммутаторы
  • 2015-2016 годы (в дополнение к вышеупомянутым)
    • WAF
    • SIEM
    • однонаправленные МСЭ
Если сравнивать с мировым рынком ИБ, то ситуация достаточно печальная. Там регулярно появляются какие-то свежие темы и решения. А у нас?.. Государству, как заказчику именно сертифицированных средств защиты, не нужны новые решения - нужны прошедшие оценку соответствия. Такая ситуация была 20 лет назад - такой ситуация и осталась. В 2007 году я написал статью "Западный или российский производитель ИБ: кого выбрать?", вызвавшую много споров, и заставившую моего бывшего руководителя, Володю Гайковича, написать ответный материал. И надо признать, что с тех пор почти ничего не поменялось. Причины такой ситуации остались те же - излишняя зависимость от регуляторики, отсутствие исследований (а зачем, если есть сертификат), отсутствие нормального маркетинга (хотя Twitter освоили почти все).

Итог печален - государственные структуры защищены не очень хорошо (мягко скажем) и с мертвой точки ситуация не сдвинется в обозримом будущем. Даже несмотря на очень неплохой 17-й приказ, который описывает большое количество защитных мер, совпадающих с лучшими мировыми практиками. Но под многие из них нет руководящего документа, утверждающего требования к той или иной мере. Нет требования; покупать решение никто не будет. И разрабатывать никто не будет. А если будут, то на соответствие чему сертифицировать? Техусловиям? А как потом это продать, если в сертификате нет четкого ответа о соответствии тому или иному классу или возможности работать в ГИС такого-то класса защищенности? И все возвращается на круги своя. А в условиях ужесточения правил сертификации ситуация и вовсе выглядит патовой...

На этом можно было бы закончить анализ реестра сертифицированных решений ФСТЭК, но это было бы неправильно. Все-таки есть у нас и положительные изменения, но они не касаются ни реестра, ни политики государства на импортозамещение, ни регуляторики. Есть компании, которые создают продукты, не благодаря, а вопреки усилиям государства. И ориентированы эти компании на решение нужд заказчиков, которых бумажки интересуют во вторую очередь (если вообще интересуют). Это Infowatch, Solar Security, Positive Technologies, Qrator, Wallarm и множество других. Было бы неверно завершить блиц-анализ текущей ситуации без упоминания этих компаний. Поэтому я превращу изначально планировавшийся диптих в триптих - в одной из следующих заметок обновлю презентацию про "домотканные" решения с указанием новинок нашего рынка.

В заключение хотел бы привести свою презентацию 2007 года, в которой я рассматриваю разницу подходов к разработке средств защиты в России и в мире.


Разработка средств защиты в России и на Западе: разность подходов from Aleksey Lukatskiy

Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":



2 коммент.:

Анонимный комментирует...

Хорошая статья, но большинство изображений не отображаются :(

Алексей Лукацкий комментирует...

Там нет изображений - две ссылки на LinkedIn