Статья

Безопасность как сервис: аудит, организационные меры и проверки регуляторов

Безопасность ИТ в госсекторе
мобильная версия

Немалая часть расходов на информационную безопасность (ИБ) приходится на обязательные мероприятия для выполнения требований регуляторов в области персональных данных, государственных и других систем. Стабильный спрос на них породил новый вид услуг – облачные сервисы, обеспечивающие соответствие организаций требованиям и их готовность к проверкам контролирующих органов. Об этом виде сервиса рассказывает заместитель генерального директора компании «Кейсистемс-Безопасность» Сергей Сергеев.

CNews: Государство из года в год усиливает внимание к вопросам защиты информации. Как это отражается на рынке услуг информационной безопасности?

Сергей Сергеев: Рынок такого рода услуг меняется, и это связано не только с тем, что его объем растет, но и с тем, что потребители более осознанно выбирают услуги: им нужны гарантии результата, и, что самое главное, потребитель знает, что ожидать от информационной безопасности.

К примеру, подавляющее число организаций в первую очередь занимается разработкой внутренних документов: инструкций, положений, приказов и других документов по защите персональных данных. Соответствующие вопросы часто ложатся на плечи системных администраторов или кадровиков. Чтобы разработать более-менее внятный пакет документов, им приходится искать примеры документов в интернете или в правовых системах. Поэтому, когда подобные услуги современный потребитель ищет на рынке, он уже достаточно неплохо распознает халтурную работу и требует конкретных гарантий.

Я думаю, мы правильно поняли ожидания рынка, когда два года назад запустили облачный сервис «АльфаДок», ценность которого как раз в том, чтобы профессиональные услуги в сфере информационной безопасности стали доступны широкому кругу потребителей.

CNews: То есть «АльфаДок» позволяет подготовить документацию по защите информации?

Сергей Сергеев: Да, сегодня автоматическая разработка документации – это одна из основных функций «АльфаДок», но далеко не единственная. Мы сразу пошли по пути развития экспертной системы, что вкупе с традиционным консалтингом по «горячей линии» позволяет, например, разработать довольно серьезный комплект документов по защите персональных данных и государственных информационных систем, в том числе техническое задание, технический паспорт, модель угроз и действий нарушителя, матрицу доступа и другие.

Сергей Сергеев: Автоматическая разработка документации – это одна
из основных функций «АльфаДок», но далеко не единственная

Осталась и традиционная услуга по разработке документации «под ключ», включающая выезд нашего специалиста или аттестованного специалиста компании-партнера. Вот только мы, с одной стороны, добавили возможность самообслуживания без дорогостоящего выездного аудита, а с другой стороны, дополнили традиционную услугу годом бесплатного консалтинга, актуализации документов и доступа к десяткам других функций сервиса «АльфаДок».

Надо понимать, что основная работа и «нюансы» начинаются как раз позже, когда все документы готовы и утверждены. Тут задача сервиса – реагировать на изменения федерального законодательства и помогать в конкретных ситуациях, если что-то произошло в самой организации: Роскомнадзор едет с проверкой, гражданин что-то требует в своем обращении, поменялся руководитель, сменилась программа в бухгалтерии и т.д. Мы научили сервис давать конкретные рекомендации клиенту, а также автоматически обновлять документы, полученные ранее, а во всех остальных ситуациях работает еще и консалтинг по «горячей линии». Можно сказать, что купить подписку на сервис – это на целый год взять в штат профессионального консультанта по информационной безопасности.

CNews: А кто нуждается в такого рода консалтинге? Кто ваш типовой клиент?

Сергей Сергеев: Мы выделяем две основные группы клиентов. Первая – это массовый сегмент: государственные и муниципальные учреждения, где требуются высокое качество и доступность услуги: больницы, школы, детские сады. Вторая группа – это федеральные и региональные органы исполнительной власти, городские и районные администрации и различные информационные центры – МИАЦ, РЦОКО, МФЦ, – где для заказчика важен непрерывный контроль, то есть объективная информация о состоянии системы защиты и выполнении требований законодательства во всей подведомственной сети. Здесь мы реализуем комплексные проекты: поставляем тиражные версии «АльфаДок» и включаем в работу специальный блок контроля и управления ИБ-процессами в сети курируемых организаций.

CNews: Какую информацию получает курирующая организация? Как осуществляется контроль?

Сергей Сергеев: К профилю курирующей организации мы подключаем группу профилей подведомственных учреждений. Куратор в режиме реального времени получает информацию о готовности и актуальности документов в каждом учреждении, видит, кто готов к проверкам регуляторов, а кто нет, какие программные комплексы и средства защиты информации применяются, действительны ли их сертификаты соответствия и так далее. Все данные сводятся в тематические отчеты. Сведения можно посмотреть как по отдельным организациям, так и по всей сети с отображением иерархической структуры. Если какая-то организация не принимает меры или, к примеру, использует средства защиты с истекшим сроком действия сертификата, то куратор может быстро связаться с ответственным сотрудником или поставить задачу и проконтролировать ее исполнение при помощи сервиса.

CNews: У вас есть примеры выполненных комплексных проектов?

Сергей Сергеев: Да, в августе текущего года к сервису была подключена сеть учреждений здравоохранения из 46 организаций, курируемых медицинско-аналитическим центром Калужской области. Для медицинских организаций мы провели серию бесплатных обучающих вебинаров, и с нашей поддержкой они самостоятельно занесли необходимую информацию в сервис. В МИАЦ же было организовано внедрение «под ключ»: наши специалисты провели аудит информационных систем центра, собрали необходимую информацию, внесли ее в сервис. В результате представители МИАЦ получили профиль в сервисе с готовой к выгрузке документацией. Аудит проводили специалисты нашего партнера в Калужской области. Во многих регионах наши услуги представляют компании-партнеры, которые оказывают поддержку клиентам на местах. В ближайшие два года такая поддержка будет доступна по всей России.

CNews: Вы упоминали проверки. Расскажите, как ваши клиенты готовятся к проверкам?

Сергей Сергеев: На самом деле, к проверкам клиентов готовимся и мы, и они. Только они один раз, а мы непрерывно последние восемь лет. Объясню. За нашими услугами и подпиской на «АльфаДок» часто обращаются именно те организации, которые попали в план проверок. Поддержка клиентов в ходе проверки – это часть сервиса, поэтому все замечания Роскомнадзора, ФСБ России и ФСТЭК России, о которых мы узнаем, непрерывно расширяют нашу экспертизу и качество облачного сервиса.

Сергей Сергеев: Новые технологии всегда призваны снижать затраты на выполнение работ,
одновременно повышая качество и доступность услуг, иначе какой в них смысл?

Чтобы пользователи были уверены, что их организация приняла все необходимые меры, мы разработали механизм самостоятельной оценки готовности к проверкам. Отметив, какие шаги в организации выполнены, а какие нет, пользователь получает рекомендации – список действий, необходимых для полной готовности к проверке. Если организацию ожидает плановая проверка Роскомнадзора или ФСБ России, то сервис автоматически уведомит об этом пользователя. Кстати, мы регулярно проводим бесплатные тематические вебинары по подготовке к проверке, которые может посетить любой желающий.

CNews: Онлайн-сервис подразумевает хранение информации на серверах разработчика, как Ваши клиенты к этому относятся?

Сергей Сергеев: Вопрос безопасности хранения данных не редкость при первом знакомстве с сервисом. Он быстро снимается, когда мы рассказываем, что в договорах с клиентами прописываются условия соблюдения конфиденциальности информации, а сама система размещена в нашем защищенном центре обработки данных и аттестована по требованиям безопасности информации.

Есть еще один вариант: размещение копии системы на мощностях заказчика – при этом предусматриваются специальные меры по защите информации и индивидуальное сопровождение такой системы.

CNews: Вернемся к текущим реалиям: кризис, сокращение бюджетов. Оправдано ли приобретение сервиса в текущей ситуации?

Сергей Сергеев: Новые технологии всегда призваны снижать затраты на выполнение работ, одновременно повышая качество и доступность услуг, иначе какой в них смысл? Давайте сравним заказ разработки документации у подрядчика и приобретение подписки на использование сервиса. В первом случае вы получите разовый результат без возможности оперативной актуализации документации. За каждое обновление документации в случае изменения законодательства или изменений в штате организации, применяемом ПО, оборудовании и т.д. придется заплатить снова неизвестную до поры сумму. Во втором случае – вполне доступная разовая плата (от 35 тысяч рублей) за 12 месяцев готовности к проверкам с автоматической актуализацией документов, причем клиент может выбрать вариант «самообслуживание» и готовиться самостоятельно, либо заказать услуги «под ключ».

Немаловажно, что расходы на реализацию организационных мер защиты становятся прогнозируемыми на очередной год, т.к. сервис продается по подписке, а типовые услуги стандартизированы.

CNews: Вы говорили о партнерской сети. Кто ваши партнеры? Опишите портрет типового партнера компании «Кейсистемс-Безопасность».

Сергей Сергеев: В основном наши партнеры – это ИТ-компании, представители малого или среднего бизнеса. У них есть опыт работы с государственными заказчиками, и они хотят получить дополнительный доход за счет оказания новых услуг или конкурентное преимущество за счет нового продукта с уникальными возможностями для усиления своих позиций. Среди наших партнеров много лицензиатов ФСТЭК России, уже давно работающих на рынке информационной безопасности.

Два года назад наша сеть состояла из 6 партнеров, охватывавших 12 регионов. Сейчас у нас 28 партнеров в 30 субъектах России. Мы видим стабильный рост интереса к нашему сервису во многих регионах, поэтому активно расширяем партнерскую сеть и готовы к сотрудничеству. Кстати, недавно мы заключили договор с компанией Axoft: теперь купить лицензию на наш продукт можно и через федерального дистрибьютора.

CNews: И в завершение поделитесь вашими прогнозами о будущем ИБ-услуг.

Сергей Сергеев: Рынок информационной безопасности продолжит рост и свою трансформацию. Сегодня появляется большое количество интересных стартапов, многие из которых станут новыми игроками на рынке. Прослеживается однозначный тренд: различные услуги по безопасности будут все более востребованы в режиме «как сервис», в особенности для массового сегмента и для государственного сектора экономики. Мы, благо, уже прошли стадию стартапа и несем ценность сотням реальных клиентов. С их отзывами и самим сервисом можно ознакомиться по адресу www.alfa-doc.ru. Протестировать функциональные возможности сервиса и оценить его качество могут все желающие: достаточно зарегистрироваться в сервисе, указать промокод «Эксперт» и приступить к работе.