Информационная безопасность как драйвер развития компании на примере федерального оператора интернета вещей

Соловьев А.А.

Выпускник группы MBA CSO-27

Школа IT-менеджмента

РАНХиГС при Президенте РФ

Объектом исследования является молодая компания ООО «СРТ» в условиях наступления экономического кризиса и отсутствия значительных инвестиционных средств на набирающем обороты, но уже высококонкурентном рынке интернета вещей в России. Компания является федеральным оператором и осуществляет деятельность во всех регионах страны. Деятельность включает в себя обеспечение полного цикла жизни всех компонент сети оператора: разработка, производство, реализация и обслуживание. Принцип работы сети оператора состоит в следующем: информация с оконечных устройств через базовые станции передается для хранения и обработки в комплекс информационных систем, откуда предоставляется конечному потребителю. Предметом исследования являются возможности, которые компания может получить от непосредственного включения своих обеспечивающих подразделений в процесс генерации денежного потока при наличии внешних ограничений.

Актуальной проблемой и ограничением для бурного развития рынка интернета вещей в целом, и рассматриваемой компании в частности, является наличие законодательного регулирования. Например, требований федеральных законов: 16-ФЗ «О транспортной безопасности», 152-ФЗ «О персональных данных», 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности», 187-ФЗ «О безопасности критической информационной инфраструктуры» и т.д. Основной задачей для компании в таком случае становится поиск ответа на вопрос - как использовать законодательные ограничения на пользу бизнесу: для расширения своей ниши, пула клиентов, объемов продаж? Один из вариантов - использовать экспертизу подразделения информационной безопасности (ИБ) для увеличения полезной ценности своего продукта и/или услуги.

Из таких проектов как внедрение процесса безопасной разработки ПО (SDLC), внедрение системы предотвращения утечек информации (DLP), создание центра мониторинга и реагирование на инциденты (SOC) или сертификации производимых компонент по требованиям безопасности выбран последний. Причиной такого выбора является то, что все, кроме последнего, направлены на повышение качества продукта, снижения процента брака, времени на устранение проблем с производимыми компонентами и снижение рисков, т.е. на экономию ресурсов компании, а сертификация позволит компании увеличить пул заказчиков, объемы продаж и, как следствие, увеличить доход. Увеличение охвата рынка связано с тем, что в государственных организациях, на объектах транспортной инфраструктуры или критической информационной инфраструктуры должно использоваться сертифицированное по различным требованиям оборудование. Наличие сертификации позволит компании соответствовать требованиям к поставщикам оборудования для государственных органов или корпораций с повышенными требованиями к защите информации. Увеличение объемов продаж планируется за счет участия в государственных закупках и тендерах компаний-гигантов. Наличие сертификатов по требованиям безопасности для производимого оборудования становится для компании значительным конкурентным преимуществом.

В работе определены ключевые параметры для выполнения проекта, включая экономическое обоснование, дорожную карту, алгоритм проведения сертификационных испытаний и стратегию дальнейшего развития компании. В качестве подтверждающего примера проводится получение сервисной ИТ-компанией группы ОАО «РЖД» лицензии на деятельность со средствами криптографической защиты информации, что даже без возможности разработки и сертификации самих средств позволило увеличить объем оказываемых услуг и обслуживаемых технических средств примерно на 30% от исходного.

К выводам по результатам работы можно отнести следующие:

1. При сравнении подходов к обеспечению информационной безопасности компании на современном этапе развития производства в высококонкурентной отрасли приоритет должен быть отдан тому, который вместо расходования бюджета на минимизацию рисков позволяет компании зарабатывать больше. При этом важно отметить роль ИБ-руководителя в принятии стратегических решений для развития компании и его правильное понимание целей компании.
2. Законодательные ограничения могут быть как стопором, так и драйвером экономического развития компании, если у нее есть компетенции для соответствия требованиям. Предложенное в работе решение является корректным по отношению к заявленной проблеме.
3. В качестве основного вывода можно отметить, что проблема законодательного регулирования является актуальной для многих компаний, а предложенное решение будет иметь аналогичный эффект и может быть применимо для других высокотехнологичных производств в России, т.е. является универсальным.