В Центре информационной безопасности, одном из подразделений интеграторской компании "Инфосистемы Джет", подвели итоги своей работы в 2009 году. Оборот подразделения по сравнению с 2008 годом сократился всего на 2% - с 890 млн руб. до 873 млн руб. Однако значительно изменилась структура выполняемых контрактов - существенно выросло количество консалтинговых проектов: если в 2008 году их доля составляла всего 35%, то в 2009-м этот показатель увеличился до 60%. В результате компании к концу года приходилось вести до 100 проектов одновременно, но при этом увеличилась доходность, ведь деньги от предоставления услуг остаются в компании, а не транслируются поставщикам продуктов.
В 2009 году Центром безопасности было заключено 348 контрактов, в рамках которых было реализовано 137 комплексных проектов в России и СНГ. Среди своих заказчиков в "Джете" называют большинство российских нефтедобывающих компаний, десятки банков и крупнейшие страховые компании. В то же время сложная экономическая ситуация прошлого года наложила определенный отпечаток и на структуру заключаемых контрактов: практически не стало крупных инфраструктурных проектов по защите больших корпоративных сетей. Контракты потеряли в размахе, но стали более понятными и предсказуемыми.
"Если раньше нам зачастую приходилось реализовывать проекты, в которых заказчик сам не знал, чего хочет, то в прошлом году остались только проекты с хорошо просчитываемыми бизнес-показателями", - пояснил Игорь Ляпунов, руководитель центра.
Основным "двигателем" консалтинговых проектов явился закон "О персональных данных", на реализацию требований которого фактически отводился только год. Во многих случаях для соответствия этому закону не требовалось выполнять крупных внедрений, но нужна была консалтинговая работа по подготовке необходимого пакета документов. Таких проектов Центр информационной безопасности за 2009 год реализовал 50. В "Джете" предлагали клиентам два типа услуг: обследование, результатом которого был необходимый набор документов и сертификатов, и внедрение, выполняемое в том случае, когда клиенту требовалось установить какие-либо дополнительные инструменты защиты. Всего над проектами по защите персональных данных трудилось более 40 специалистов компании.
Еще одним фактором развития консалтингового направления в области информационной безопасности стали требования PCI DSS по защите платежных систем. Компания уже несколько лет назад получила статусы Approved Scanning Vendor и Qualified Security Assessor, которые позволяют проводить процедуру сертификации информационных систем в соответствии со стандартом, разработанным международным регулятором PCI Security Standards Council. В 2009 году по этому направлению было реализовано более 20 проектов.
"До кризиса многие компании успели завершить крупные инфраструктурные проекты, а в прошлом году их практически не было, - отметил Ляпунов. - В то же время компании начали тратить деньги на оптимизацию уже построенной инфраструктуры".
К таким проектам относится построение центров комплексного управления безопасностью (Security Operations Center, SOC), внедрение решений защиты от мошенничества и гарантирования доходов (Fraud Management & Revenue Assurance, FMRA), управления идентификацией и доступом (Identification & Access Management, IAM) и предотвращения утечек данных (Data Leak Protection, DLP). Именно на продвижении этих классов продуктов с хорошо предсказуемыми бизнес-показателями и сконцентрировались сотрудники "Джет".
Благодаря этому в прошедшем году компания реализовала в два раза больше DLP-проектов, чем в 2008-м. Были построены первые системы на основе Symantec DLP, а число внедрений собственных продуктов "Дозор-Джет" и WebMail превысило две сотни. Количество проектов по созданию центров управления безопасностью возросло втрое.
Несмотря на сложную экономическую ситуацию, удалось открыть несколько новых направлений деятельности. В частности, были реализованы первые проекты по GRC (Governance, Risk & Compliance - автоматизация процессов руководства компанией, управления рисками и обеспечения соответствия нормативным требованиям), по внедрению инструментов контроля транзакций баз данных и по построению систем управления информационной безопасностью, соответствующих стандарту ISO 27001.
В 2010 году руководство центра рассчитывает на развитие отмеченных тенденций. В частности, компания будет концентрировать усилия на построении систем защиты от мошенничества и гарантирования доходов, управления доступом, комплексного управления безопасностью, а также исполнения требований регуляторов. Актуальности последнему пункту добавляет вступление с 1 января 2011 года в полную силу закона "О персональных данных", а также штрафы, которые с 1 октября 2010 года платежная система Visa будет накладывать на компании, не отвечающие требованиям PCI DSS. Таким образом, 2010 год для рынка информационной безопасности будет не менее интересным.