Антон С.В. Экономическая Академия
мастерант
Чеботарь П.П. Магистр
На сегодняшний день на ранке отсутствует понимание ИБ как таковой.
Обычно ИБ сводится к компьютерной безопасности. При решении, какие услуги предлагать необходимо провести предварительные маркетинговые исследования и выяснить, на что ориентироваться.
В идеале необходимо продвижение «Информационной Безопасности». Необходимо делать акцент на том, что предлагается защита информации, а не просто защита компьютеров.
Следствием низкого уровня развития информационных технологий является отсутствие обеспечения информационной безопасности бизнеса. Это приводит к тому, что большинство фирм являются потенциальными целями для умышленного постороннего вмешательства в их нормальную деятельность, со всеми вытекающими отсюда последствиями.
Однако если в настоящий момент потенциальный клиент, представитель небольшой фирмы решит обеспечить информационную безопасность своего бизнеса, он столкнется с отсутствием приемлемого для него предложения.
Рынок услуг информационной безопасности фактически не развит. Присутствуют "лоскутные" предложение и наработки по разным направлениям безопасности: криптография, цифровая подпись. Для банковской сферы практикуются эпизодические аудиты банковских информационных систем.
С другой стороны среди руководителей бизнеса отсутствует понимание в необходимости данной услуги как таковой, что приводит к отсутствию спроса на данные услуги. Таким образом, при предложении на рынок данной услуги необходимо исходить из необходимости помимо продажи услуги как таковой, занимается фактически "пропагандированием" и продвижением услуги в умах топ менеджмента, что естественно значительно усложняет выход на рынок с предложением данных услуг. Результатом подобных барьеров является "узость" предложения этих услуг для клиента. Образовывается замкнутый круг. Выходом из данной ситуации будет предложение эффективной и относительно недорогой системы безопасности эконом класса.
При внедрении на молдавский рынок услуг связанных с информационной безопасностью необходимо четко представлять, на какой круг потребителей можно ориентироваться.
Разделение по принципу «крупный бизнес, средний бизнес и мелкий бизнес» не всегда является корректным. При оказании услуг в ИТ секторе необходима ориентировка на информационные системы – «АИС»1. Упростим существующие классификации и разделим информационные системы на 3 категории по количеству и качеству оборудования.
Крупные системы:
Используют широкий круг сетевых и информационных технологий для обеспечения и поддержки бизнес процессов.
Комплексная автоматизация бизнес процессов.
Существует система разграничения доступов не менее чем на 3 уровня (ограниченный доступ рядовых пользователей, расширенный доступ, доступ администраторов).
Централизованная обработка и хранение информации на собственных серверах.
Систематические вложения в информационную безопасность в виде отдельных статей бюджета.
Количество АРМ2 (компьютеров и точек доступа к информационным ресурсам) для Молдовы более 50
Средние системы:
Используют стандартный набор3 сетевых и информационных технологий для обеспечения и поддержки бизнес процессов, отдавая предпочтение недорогим SOHO решения и программным комплексам.
Автоматизация основных бизнес операций.
Централизованная обработка и хранение информации на серверах.
Понимание проблем информационной безопасности и спорадические вложения в нее.
Наличие сотрудника, который занимается ограниченным набором функций обслуживания текущих ИТ потребностей.
Количество для Молдовы АРМ 20 – 50.
Малые системы:
Набор используемых информационных технологий ограничивается возможностями операционных систем и недорогого сетевого оборудования.
Фрагментарный уровень автоматизации.
Частичная интеграция информационных систем.
Понимание информационной безопасности отсутствует. Низкий неконтролируемый уровень безопасности: обеспечение безопасности данных и информации осуществляется усилиями пользователей.
Отсутствие отдельного сотрудника, отвечающего за ИТ.
Несистемный подход к планированию и развитию ИТ.
Количество АРМ – до 20.
Большие компании (банки, коммуникационные компании), владеющие крупными АИС, как правило, имеют свои собственные структуры и методики для обеспечения ИБ. Из услуг такую компанию может заинтересовать только аудит ИБ (предоставление услуг аудита будет рассмотрено ниже).
Компании , владеющие средними АИС, как правило, заинтересованы в самом широком наборе услуг, связанных с ИБ: ИТ персонал таких компаний имеет высокую квалификацию, но обладает поверхностными или несистематизированными знаниями в области ИБ. Также имеют место понимание проблем ИБ и систематические вложения данную сферу. Возможные услуги4:
Обучение системному подходу к ИБ.
Консалтинг и внедрение методик, направленных на повышение уровня информационной безопасности.
Оптимизация систем ИБ по экономическим и организационным направлениям.
Организация служб внутренней безопасности.
Услуги, связанные с конкурентной разведкой.
Компании, владеющие малыми АИС в ИБ не заинтересованы, но в соответствующих ситуациях могут стать одними из самых благодарных клиентов:
В случаях, когда АИС такой компании подошла к той точке, когда она не покрывает бизнес нужд своего владельца и необходима реорганизация и переход к новым методикам и технологиям работы ИТ сектора.
Руководство компании-владельца осознало экономическую, моральную и организационную необходимость ИБ.
При переходе от малой к средней АИС возникает целый ряд вопросов, которые может решить только высоко квалифицированный персонал.
В таких случаях необходима активная работа коммерческого департамента по продвижению услуг в области ИБ и информационных технологий как таковых.
Для реализации проектов по информационной безопасности необходим квалифицированный персонал в разных областях. Ниже приведены ресурсы для реализации проектов по ИБ
№ |
Специалисты |
|
Лидер команды – ответственный за направление |
|
Маркетолог |
|
Специалист по средствам технической и физической безопасности |
|
Специалист по организационным мерам безопасности |
|
Специалист по аудиту |
|
Специалист по компьютерному оборудованию |
|
Специалист по сетевому оборудованию |
|
Специалист по средства наблюдения и прослушивания |
Области ИБ, в которых возможно оказание услуг очень различны. Для создания товара необходимо
Провести фундаментальную работу по подготовке материалов по ИБ
Провести маркетинговые исследования в выбранных областях
Выделить одно или два направления работы
Создать стратегию продвижения услуг в области ИБ
Ниже приведены возможные направления работы с кратким описанием.
Под аудитом АБ АИС понимаем комплексный аудит систем:
Документооборота
Хранения информации
Организационных методик
Кабельного хозяйства
Коммуникационного хозяйства
Аудит персонала, как правило, не проводится.
Результатом аудита становится:
Описание АИС
Рекомендации по повышению безопасности рассмотренных подсистем
Для клиентов переходящих от малых информационных систем к средним:
Консультации по организации и/или внедрение новых форм документооборота
Пакет документов и методик по ИБ
Помощь в развертывании, настройке и наладке системы управления предприятием нового поколения.
Обучение персонала заказчика основам ИБ и мерам по обеспечению качества бизнес процессов. Возможны организации тренингов по внедрению стандартов качества ISO 9000
Подготовка работника заказчика к выполнению функций по внутреннему аудиту систем безопасности.
Подготовка заказчику пакета документов по физической, технической и информационной безопасности.
Внедрение процедур и норм по обеспечению безопасности бизнес процессов.
Сбор досье на кандидата или работника в пределах законодательства РМ.
Для клиентов владельцев малых АИС предложить услуги сетевого администратора:
Настройка компьютеров
Настройка сетей
Настройка периферии
Набор услуг «Скорая Помощь»
Модернизация компьютеров
Телефонная поддержка
1 АИС – автоматизированная информационная система – совокупность программного обеспечения, компьютерного и сетевого оборудования. АИС обслуживает бизнес процессы компаний-владельцев
2 АРМ – автоматизированное рабочее место – как правило компьютер или консоль, с подключением к АИС
3 Под стандартным набором понимается: межсетевой экран (фаирвол), сервер Баз Данных, средства автоматизации документооборота, сервера хранения файловых архивов, антивирус, сетевое SOHO оборудование.
4 Подробно услуги раскрыты в соответствующих разделах.