Почему рынок сертификации IT-оборудования требует либерализации

Опубликовано
Авторская колонка соучредителя ТОО «ОТАН-СЕКЬЮРИТИ» Зангара Медеуова

Рынок подтверждения соответствия (сертификации) IT-продукции в Казахстане можно безболезненно упростить, исключив некоторые излишние требования к игрокам и заказчикам.

Компания «ОТАН-СЕКЬЮРИТИ» является лидирующим в Казахстане органом по подтверждению соответствия требованиям информационной безопасности продукции, программных продуктов, средств оперативно-разыскных мероприятий. Важнейшее направление нашей деятельности – сертификация телекоммуникационного оборудования на соответствие требованиям ИБ. Этот вид сертификации необходим для оборудования, которое используется в госорганах для предотвращения утечек важной, а иногда и секретной информации. Объем рынка от года к году практически не меняется – ежегодно на нем выдается от 8 до 9 тыс. сертификатов в области телекоммуникационного оборудования суммарно, большая часть из которых выдается нашей компанией. Рост за 2020 год составил 40% – с 5 до 7 тыс. сертификатов, что составляет почти 78% казахстанского рынка.

Казалось бы, нам стоит радоваться уменьшению доли конкурентов на рынке, потому что это автоматически означает рост нашей востребованности. Но тут следует учитывать специфику нашей отрасли, где проведение одной экспертизы может занимать до двух месяцев. Поэтому резкий наплыв клиентов не всегда является положительным моментом для компании.

Проще говоря, тот объем, который сейчас существует в сегменте сертификации на соответствие требованиям информационной безопасности,ни один из игроков в одиночку поглотить не в состоянии. Поэтому глобальная тенденция в нашей отрасли – это совместное стремление всех участников рынка решить общие для них проблемы, мешающие работе существующих компаний. В пример можно привести кадровую проблему в отрасли: чтобы компания состоялась в качестве полноценного органа сертификации, там должны работать аттестованные эксперты аудиторы, для соблюдения беспристрастности – минимум двое, со стажем работы в отрасли не менее трех – пяти лет, имеющие специальное образование.

Опыт должен быть у эксперта,это понятно, однако разумно ли требовать пятилетний стаж как обязательное условие для профессии? Здесь возникают вопросы, потому что айтишник – выпускник вуза, какими бы знаниями и навыками он ни обладал, не сможет сразу стать экспертом-аудитором. Опыт нарабатывается со временем, а в «младшую лигу» будущие эксперты-аудиторы не идут по причине низких зарплат. Отсюда следует кадровый дефицит: растить эксперта в течение трех – пяти лет на перспективу может позволить себе далеко не каждая компания, и далеко не все кандидаты в эксперты готовы выжидать этот срок. На наш взгляд, эту проблему можно решить двумя путями, первый из которых сводится к сокращению требований к стажу хотя бы до одного года.

Также необходимо исключить требование к узкой специализации будущих экспертов-аудиторов: на наш взгляд, достаточно будет того, чтобы кандидат год работал в органе сертификации на любом смежном направлении.

Второй путь решения кадрового вопроса – это необходимость дать экспертам-аудиторам «вольную» уже на постаттестационном этапе – сейчас аттестация жестко привязывает их к одной компании. От этой «аттестационной привязки» работодатели страдают не меньше, чем работники. Потому что при возникновении кадрового форс-мажора у работодателя была бы возможность привлекать на проектной основе экспертов из других сертификационных органов. То есть тогда, когда у тебя не хватает эксперта по какому-то специфичному направлению, с которым в ходе сертификации ты сталкиваешься редко – а потому и нет смысла содержать отдельного специалиста по нему в штате, ты мог бы за дополнительную плату и по договоренности с руководством другой структуры задействовать их эксперта. Таким образом решается несколько вопросов: осуществляется сертификация, обеспечивается беспристрастность экспертизы с подключением к ней стороннего специалиста.

Опасаться того, что кадровая либерализация приведет к снижению качества предоставляемых услуг в нашем сегменте, не стоит. Потому что у органа сертификации помимо аттестованных экспертов еще должна быть испытательная лаборатория с дорогостоящим оборудованием. Например, стоимость сканера для анализа исходного кода измеряется несколькими десятками тысяч долларов. При такой цене входа на рынок ожидать наплыва компаний-однодневок не приходится, а вот уже состоявшимся игрокам, проверенным временем, государство, наверное, могло бы пойти навстречу. И не только в кадровом вопросе, но и в налаживании диалога, позволяющего игрокам рынка участвовать в установлении правил игры на нем и решать какие-то проблемы, причем не только свои, но и заказчиков.

В 2018 году в Казахстане были утверждены Правила формирования и ведения реестра доверенного программного обеспечения и продукции электронной промышленности, а также критериев по включению программного обеспечения и продукции электронной промышленности в реестр доверенного программного обеспечения и продукции электронной промышленности.

С 1 января этого года все программные продукты, которые используются при оказании госуслуг и интегрируются с государственными информационными системами, должны фигурировать в указанном реестре. На самом деле это очень хорошая возможность для местных разработчиков предложить государству свой, отечественный продукт, и мы как орган сертификации вносим большой вклад в процедуру подтверждения (проверки) разработанных отечественных продуктов, что позволяет государству быть уверенным: продукт не содержит уязвимость, безопасен и им можно смело пользоваться.

И мы как компания, которая активно работает на рынке IT-услуг и планирует оказывать услуги по поставке оборудования, принимаем участие в соблюдении конфиденциальности государственной информации. Но, к сожалению, и здесь не обходится без некоторых сложностей: чтобы попасть в реестр доверенного программного обеспечения, нужно получить сертификат соответствия. При этой процедуре заказчик (разработчик продукта) должен продемонстрировать и доказать безопасность продукта, показав жизненный цикл объекта оценки и возможность выдерживать атаки. И тут сразу возникает проблема: заказчика зачастую не устраивает цена сертификации (состоит из анализа исходного кода и большого пакета технической документации), и он вынужден отказаться от возможности предложить свой продукт. Если бы государство рассматривало возможность реального субсидирования по оснащению испытательных стендов, то, возможно, рынок мог бы и пересмотреть стоимость сертификации.

Читайте также