Хочу продолжить вчерашнюю заметку о том, что принесли санкции и импортозамещение на отечественный рынок ИБ и смогли ли отечественные вендоры воспользоваться своим привилегированным положением, предложив заказчикам нечто новое? На фоне новостей о том, что российским силовикам разрешили вновь закупать западное ПО и разговорах о том, что это только первая ласточка к возврату на круги своя, было бы интересно увидеть, какие сюрпризы преподнесли российские разработчики средств защиты.
Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.
Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:
Когда я анализировал список сертифицированных продуктов, я все время вспоминал свою презентацию про "домотканные" средства защиты информации, в которой я попробовал перечислить отечественные продукты по ИБ хоть сколь-нибудь известные на рынке или у отдельных заказчиков. Однако порадоваться оказалось нечему :-( Новых типов продуктов среди сертифицированных решений почти не появилось, хотя на рынке новые имена все-таки есть и они регулярно звучат на различных стартаперских тусовках (правда, потом многие из них исчезают в никуда). Очень большое число железок для борьбы с утечками по техническим каналам и неимоверное число сертификатов на решения для РЖД - для тепловозов и электровозов, а также иных подвижных средств, в том числе и на отсутствие НДВ.
Какие же типы отечественных средств защиты находятся в реестре? Я перечислю то, что в той или иной степени можно отнести к традиционным средствам защиты, о которых я написал в прошлой заметке. Итак, список следующий:
- 2012-2013 годы
- средства вычислительной техники (СВТ), то есть средства защиты от несанкционированного доступа по классификации ФСТЭК
- средства гарантированного уничтожения информации
- "доверенные" операционные системы
- антивирусы
- средства аутентификации
- защищенные СУБД (точнее их две или три)
- межсетевые экраны
- средства резервного копирования
- 2013-2014 годы (в дополнение к вышеупомянутым)
- системы обнаружения вторжений
- сканеры защищенности
- средства защиты СУБД
- анализаторы исходных кодов
- электронные замки
- средства защиты корпоративной сотовой связи
- средства инвентаризации ресурсов
- 2014-2015 годы (в дополнение к вышеупомянутым)
- средства безопасного хранения информации
- сканер защищенности АСУ ТП
- DLP
- средства контроля конфигурации
- средства защиты приложений
- VDI и средства терминального доступа
- средства отражения DDoS-атак
- коммутаторы
- 2015-2016 годы (в дополнение к вышеупомянутым)
- WAF
- SIEM
- однонаправленные МСЭ
Если сравнивать с мировым рынком ИБ, то ситуация достаточно печальная. Там регулярно появляются какие-то свежие темы и решения. А у нас?.. Государству, как заказчику именно сертифицированных средств защиты, не нужны новые решения - нужны прошедшие оценку соответствия. Такая ситуация была 20 лет назад - такой ситуация и осталась. В 2007 году я написал статью "Западный или российский производитель ИБ: кого выбрать?", вызвавшую много споров, и заставившую моего бывшего руководителя, Володю Гайковича, написать ответный материал. И надо признать, что с тех пор почти ничего не поменялось. Причины такой ситуации остались те же - излишняя зависимость от регуляторики, отсутствие исследований (а зачем, если есть сертификат), отсутствие нормального маркетинга (хотя Twitter освоили почти все).
Итог печален - государственные структуры защищены не очень хорошо (мягко скажем) и с мертвой точки ситуация не сдвинется в обозримом будущем. Даже несмотря на очень неплохой 17-й приказ, который описывает большое количество защитных мер, совпадающих с лучшими мировыми практиками. Но под многие из них нет руководящего документа, утверждающего требования к той или иной мере. Нет требования; покупать решение никто не будет. И разрабатывать никто не будет. А если будут, то на соответствие чему сертифицировать? Техусловиям? А как потом это продать, если в сертификате нет четкого ответа о соответствии тому или иному классу или возможности работать в ГИС такого-то класса защищенности? И все возвращается на круги своя. А в условиях ужесточения правил сертификации ситуация и вовсе выглядит патовой...
На этом можно было бы закончить анализ реестра сертифицированных решений ФСТЭК, но это было бы неправильно. Все-таки есть у нас и положительные изменения, но они не касаются ни реестра, ни политики государства на импортозамещение, ни регуляторики. Есть компании, которые создают продукты, не благодаря, а вопреки усилиям государства. И ориентированы эти компании на решение нужд заказчиков, которых бумажки интересуют во вторую очередь (если вообще интересуют). Это Infowatch, Solar Security, Positive Technologies, Qrator, Wallarm и множество других. Было бы неверно завершить блиц-анализ текущей ситуации без упоминания этих компаний. Поэтому я превращу изначально планировавшийся диптих в триптих - в одной из следующих заметок обновлю презентацию про "домотканные" решения с указанием новинок нашего рынка.
В заключение хотел бы привести свою презентацию 2007 года, в которой я рассматриваю разницу подходов к разработке средств защиты в России и в мире.
Разработка средств защиты в России и на Западе: разность подходов from Aleksey Lukatskiy
Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":
Но есть и оптимисты. Вот как, например, на российский рынок ИБ в контексте импортозамещения смотрит одна из старейших отечественных ИБ-компаний - "Конфидент":
Конфидент. Евгений Мардыко. "Рынок ИБ - тенденции 2016. Взгляд российского разработчика. Информационная безопасность в государственном секторе" from Expolink