Несмотря на кризис, в структуре российского рынка ИТ обнаруживается ниша, где спрос превышает предложение. Бизнес здесь растет как на дрожжах, а сотрудникам компаний даже повышают зарплаты. И это не чудо. Речь — о сегменте решений и услуг, связанных с защитой персональных данных.

Согласно федеральному закону «О персональных данных» (ЗоПД), уже начиная с 1 января 2010 года компании, деятельность которых так или иначе связана с обработкой персональных данных (ПД), должны быть готовы предъявить документальные подтверждения наличия сертифицированных средств защиты такой информации. В противном случае предприятия могут быть подвергнуты санкциям. До сих пор большинство российских компаний, в той или иной степени использующих ПД (например, анкетные данные розничных покупателей, получивших бонусные карты), к таким проверкам не готово. Зато ИТ-проектов, связанных с внедрением сертифицированных решений, становится все больше.

Почему предприятия не подготовились вовремя? И почему именно теперь, за два с небольшим месяца до «дня Ч», интеграторы в спешном порядке проектируют и устанавливают сотни подобных решений? Ведь федеральный закон был принят еще летом 2006 года!

Принят — действительно был. Вот только основные документы, разъясняющие и уточняющие порядок реализации этого нормативного акта, появились лишь спустя два года. И вот результат. Поставщики с трудом переваривают шквал срочных заказов. Мало того, целый ряд проектов по защите персональных данных, выполненных загодя (то есть еще до появления нормативных актов, разъясняющих порядок применения закона), сегодня приходится переделывать.

Неудивительно, что именно на 2009 год пришелся всплеск интереса к решениям в сфере защиты ПД со стороны заказчиков. С одной стороны, время «поджимает». С другой, наконец-то всем стало более или менее ясно, чего именно ждут госорганы от используемых систем обработки ПД.

Андрей Конусов

Что же, нет худа без добра. ИТ-проекты по защите персональных данных «вытащили» рынок информационной безопасности из кризиса. По крайней мере, об этом свидетельствуют цифры, озвученные генеральным директором LETA IT-company Андреем Конусовым. Так, благодаря проектам в области защиты персональных данных, оборот компании за первые три квартала составил 786 миллионов рублей (что на 16-17% выше соответствующего показателя 2008 года). В итоге годовой оборот LETA должен превысить 1,2 миллиарда рублей, причем как минимум 50% всего оборота компании придется на проекты по защиты ПД.

Впрочем, выиграла от столь оригинально сложившейся конъюнктуры не только LETA. В столь же выгодном положении оказались практически все участники этого сегмента: спрос на проекты по защите ПД существенно превышает предложение. По словам Андрея Конусова, объем рынка защиты персональных данных только в этом году составит не менее 600 проектов на общую сумму в 4,5 - 5 миллиардов рублей. Только у LETA IT-company количество проектов в этом году превысит 60, при средней стоимости одного проекта в 10 миллионов рублей.

Любопытно, но некоторые заказчики готовы даже доплатить подрядчикам «сверху», лишь бы уложиться в срок. Однако нередко интеграторские компании вынуждены отказываться от столь лестных предложений. Прежде всего — из-за нехватки квалифицированных кадров, владеющих всем комплексом знаний по проблемам защиты персональных данных.

По словам Андрея Конусова, специалистов в сфере защите персональных данных сегодня очень мало, так что столичным ИТ-компаниям приходится рекрутировать сотрудников в регионах. В самой же LETA IT-company ведущему специалисту в сфере защиты ПД даже подняли зарплату на 40%, поскольку столь ценный профессионал постоянно получает предложения от конкурирующих компаний.

Увы, ажиотаж в сегменте защиты ПД привел к тому, что на рынке начали появляться неквалифицированные исполнители, решившие сделать легкие деньги на волне интереса клиентов к подобным ИТ-решениям. Доверчивым заказчикам предлагается сократить срок проекта с 6-9 месяцев (столько длится типичный цикл внедрения по оценкам специалистов LETA) и снизить его стоимость. «За последние два месяца я услышал названия двадцати новых компаний, — говорит Конусов. — И в каждом новом тендере число этих компаний увеличивается. В лучшем случае они пытаются многократно и практически без изменений использовать один и тот же пакет документов, не учитывая особенности каждой конкретной компании-заказчика. При этом клиент уверен, что он «решил проблему» и успокаивается. Напрасно! Ведь уже первая проверка неизбежно выявит неадекватность решения и потребует его замены».

Ситуация осложняется еще и тем, что четких правил защиты персональных данных до сих пор нет — несмотря на выпущенные чиновниками разъяснения. Зато уже известно, что в ходе проверок контролеры сначала будут знакомиться с документацией. Но если на этом этапе у ревизоров возникнут подозрения — следует ждать масштабной проверки.

До недавнего времени проекты по защите персональных данных на рынке предлагали лишь немногочисленные компании, в том числе «Информзащита», «Инфосистемы Джет», «Крок», LETA IT-company и несколько других. Пока не эту группу исполнителей приходится около 50% всего рынка решений в сфере защиты ПД. Однако, по словам Андрея Конусова, такие крупные интеграторы как «Миктотест» и IBS «оживились» и через три-шесть месяцев «научаться делать такие проекты хорошо». Мало того, благодаря своим «лоббистским возможностям», эти компании «заберут часть рынка», опасается Конусов.

Активный спрос на подобные проекты сохранится в течение нескольких лет. Ведь очевидно, что к 1 января 2010 года подавляющее большинство предприятий, использующих в своей деятельности ПД, не будут обладать сертифицированными средствами информационной безопасности. А после того, как завершатся проекты в крупных компаниях, наступит черед рынка среднего и малого бизнеса, на который ведущие поставщики решений в сфере информационной безопасности пока не обращают внимания. Разве что в LETA IT-company приступили к созданию бесплатной инструкции по защите персональных данных для таких компаний.

Занятно, но до сих пор в точности не известно, насколько строгими будут санкции за нарушение ЗоПД. А значит, в тактическом плане могут выиграть те предприятия, которые обращаются к услугам … демпингующих недобросовестных игроков, предлагающих «муляжи» информационных систем для предъявления ревизорам. Если государственному контролю будут подвергаться собственно системы и их работоспособность — это одно. Если же достаточно будет продемонстрировать «купленный диплом» о наличии системы защиты ПД — это совсем другое дело. В таком случае и правда можно обойтись без серьезного внедрения.

Однако участники рынка информационной безопасности предупреждают: подобный подход рано или поздно сыграет против предприятий, решивших сэкономить. Что же, это действительно так. Клиенты все более нервно реагируют на утечки баз данных, в которых содержится частная информация. А значит компании, не уделяющие должного внимания вопросам защиты ПД, всерьез рискуют куда более дорогим активом — собственной репутацией.