Какие доказательства по ИБ нужны, чтобы вас вообще допустили дальше❔
Представим типовую ситуацию:
Вы — компания-интегратор, участвуете в тендере, заполняете анкету, подаете заявку по всем требованиям, а в ответ получаете отказ из-за несоответствия по ИБ.
Для заказчика это очень важно, ведь риски слишком высоки: утечка данных через подрядчика, влияние на штатную работу систем, юридические последствия. Поэтому в тендере оценивают не только решение, но и то, можно ли вам доверить работу с чувствительным контуром.
Что чаще всего влияет на это решение?
1️⃣ Отсутствие лицензии на деятельность
В соответствии с Федеральным законом № 99-ФЗ «О лицензировании отдельных видов работ» отдельные виды работ подлежат лицензированию. Если лицензии нет, компания не имеет права оказывать такие услуги.
Поэтому для реализации своих услуг нужно пройти необходимые процедуры и получить лицензию. Иначе это грозит не только отказом в тендерах, но и юридическими проблемами для самой организации.
2️⃣ Отсутствие компетентного персонала
Сотрудники, которых планируется привлекать к работам, должны обладать необходимой квалификацией. Обычно в подтверждение запрашивают сведения о профильном образовании и сертификатах в области ИБ.
Если специалист не может внятно отвечать на вопросы и не ориентируется во внутренних документах, доверить ему проект сложно. На практике этот вопрос решают двумя путями: наймом сотрудников с нужной квалификацией или обучением текущей команды через специализированные курсы с выдачей сертификатов о повышении квалификации.
3️⃣ Несоответствие требованиям НПА РФ
Если нет доказательств того, что система защищена и необходимые работы по ИБ действительно проведены, нельзя уверенно говорить о безопасности данных.
На уровне законодательства к организациям предъявляются требования по защите информации, и соответствие им может подтверждаться актами оценки эффективности или аттестатом соответствия. Если таких документов нет, но компания уверена, что система защиты соответствует требованиям, нужно быть готовыми показать документы по СОИБ, подтверждающие, что средства защиты настроены и подходят под требования: например, скриншоты, выгрузки из баз знаний СОИБ, лицензию на СрЗИ или документы по оценке соответствия.
4️⃣ Отсутствует управление рисками
Одним из самых частых векторов атаки остается эксплуатация уязвимостей. Если у компании нет доказательств того, что она регулярно проводит работу над ошибками, доверие к ней снижается.
Поэтому в ИБ на практике рекомендуют регулярно проводить аудиты или пентесты инфраструктуры, а также использовать сканеры уязвимостей. По итогам проверки формируется отчет с найденными уязвимостями, и в первую очередь должны устраняться критические и высокого уровня. Эти работы можно выполнять как своими силами, так и с привлечением подрядных организаций.
Что можно предъявить заказчику как доказательство зрелости по ИБ:
⚫️ документацию, регламентирующую процессы ИБ
⚫️ акт оценки эффективности или аттестат соответствия
⚫️ отчеты о сканировании без уязвимостей критичного и высокого уровня
⚫️ отчеты о проведении аудитов и пентестов
⚫️ информацию о профильном образовании сотрудников или сертификаты о повышении квалификации
В тендере заказчик оценивает не только продукт, но и то, есть ли у вас доказуемая зрелость по ИБ. Если защита выстроена и это можно подтвердить документально, это перестает быть барьером на входе и становится дополнительным аргументом в вашу пользу.
И в этом есть выигрыш сразу с двух сторон: собственная инфраструктура лучше защищена от утечек и хакерских атак, а участие в тендерах становится сильнее с точки зрения доверия со стороны заказчика.
Если у вас уже есть выход на тендеры, но не хватает понятного пакета доказательств по ИБ, мы можем помочь собрать его в рабочем и убедительном для заказчика виде.
