Как правильно выбрать подрядчика по ИБ

В ближайшем будущем компаниям не нужно будет содержать большой штат специалистов, однако, на будущую команду ляжет повышенная ответственность за выбор подрядчика, чьими руками будут реализованы задачи информационной безопасности  предприятия. И тут на первый план выходит вопрос: «Как правильно выбрать подрядчика по информационной безопасности?» Ведь в последнее время появилась масса организаций, называющих себя интеграторами по информационной безопасности. Так как же не ошибиться и выбрать интегратора, которому можно доверить «святое святых» современной компании – безопасность информационной инфраструктуры и ресурсов?

Предлагаем наш рецепт успешного выбора – четыре «Р»:

• Разрешения
• Результаты
• Ресурсы
• Равновесие

Разрешения

Разрешения на работы по ИБ на отечественном рынке - это наличие лицензий ФСТЭК и ФСБ. Лицензии - первый параметр, который нужно проверять. Любая уважающая себя компания, желающая легально работать в ИБ, обязана иметь лицензии. Наличие «заветной бумаги» у исполнителя снимает с вас необходимость проверки многих характеристик. Как минимум, Вы будете понимать, что исполнитель – это юридическое лицо, а не «группа товарищей», ищущих клиентов на сайтах бесплатных объявлений.

Получение лицензий на деятельность в сфере ИБ – не простая задача. Компания должна предоставить регулятору информацию о: правообладании используемых помещений, наличии спец. оборудования, ПО, допуске к работе с конфиденциальной информацией, наличии в штате сотрудников с профильным образованием и т.д. По каждой позиции Регулятору направляется внушительный объем документов, без которых интегратору просто не разрешат работать в ИБ-отрасли.

Запросите у Исполнителя сведения о лицензиях (серия, дата, номер, подтверждение на сайте Регулятора). Подрядчик обязан предоставить вам данную информацию. Не обращайтесь к сомнительным исполнителям, какие бы условия они вам ни предлагали.

Результаты

Результаты, а точнее результативный опыт. Наличие лицензии никак не связано с наличием опыта и результатов работы у Исполнителя. Для подтверждения профессионализма нужно обязательно запросить описание компетенций и опыта работы – описание выполненных кейсов, количество реализованных проектов, подобных Вашему, список предыдущих заказчиков для возможного получения информации о качестве работ из первых уст, число специалистов в команде, компетенции сотрудников, их стаж работы, образование и т.д. Не стесняйтесь задавать вопросы, ведь это Ваше право! 

Запросите информацию, подтверждающую компетенции и опыт реализации аналогичных проектов.

Ресурсы

Вы получили и проверили информацию по лицензиям, ознакомились с кейсами по реализованным проектам, и Вас всё устроило. Но это еще не означает, что ваш многомилионный проект по ИБ можно доверить данному подрядчику. Теперь нужно понять, сможет ли подрядчик выполнить проект в удобные для Вас сроки, располагает ли он достаточными для выполнения ресурсами.

Для проверки информации по ресурсам обратите внимание на следующие важные моменты:

• имеет ли подрядчик нужный объем трудовых ресурсов. Запросите и самостоятельно проверьте штатную численность. Сделать это можно через Контур Фокус, Спарк или другой аналогичный ресурс по ИНН или ОГРН компании. Уточните, может ли специалист или команда исполнителя выехать на Вашу территорию, если услуга это подразумевает;
• владеет ли подрядчик нужным объемом финансовых ресурсов. Например, проект стоит 100 млн. руб., а у исполнителя годовой оборот только 50. В этом случае стоит выяснить, как он будет выполнять обязательства, если что-то пойдет не так. Выбирайте компании с оборотом не меньше стоимости проекта. В противном случае уточните, сможет ли подрядчик оформить банковскую гарантию;
• будет ли проект выполняться собственными силами, или будут привлекаться субподрядчики. Для кого-то это может быть не принципиально, главное – качественный результат, но для кого-то это принципиальный вопрос. При привлечении субподрядчиков чувствительная информация компании становится доступна «третьим лицам», и в случае утечки сложнее определить источник. Ведь Вы не можете быть уверены, насколько подрядчик контролирует субподрядчика, вне зависимости от подписанных соглашений о конфиденциальности и прочих регламентирующих документов. Рекомендуем выбирать исполнителей с собственным штатом специалистов. Уважающий себя интегратор заинтересован в развитии собственного штата квалифицированных специалистов, который является его главным активом, способствующим развитию;
• запросите исполнителя направить в Ваш адрес материалы, детализирующие услугу, которые должны быть понятны вашему руководству («Мне понятно, за что я плачу и какую выгоду получу») и, соответственно, вам (описание этапов работ, инструментов, результатов этапов, цель и др.). Обладая такими материалами, у вас будут дополнительные доводы для «защиты» вашего проекта перед руководством, и Вы сами будете обладать исчерпывающей информацией по планируемым работам. Рекомендуем запросить: подробное ТКП, обезличенный образец отчёта по ранее проведенным работам, рекомендации, спецификации и другие «выходные» документы. Не ограничивайтесь одним листочком КП, в котором описание умещается в один абзац. 

Правило хорошего тона – провести презентацию по итогам выполненных работ. В зависимости от ситуации можно организовать 2 блока или 2 отдельные презентации: одна для вашего руководства, в которой представлена ценность проведенной работы понятным языком для Вашего ЛПР, и другая для технических специалистов, где более детально, с использованием профессиональной терминологии, описана проделанная работа.

Поэтому если в самом начале Исполнитель не готов предоставить детальную информацию, понятную Вам и ЛПР, то не факт, что ему удастся «защитить» и итоги своей работы. Это может поставить крест на Вашем возможном долгосрочном сотрудничестве.

Поэтому мы рекомендуем выбирать исполнителей, нацеленных именно на долгосрочные отношения.

Равновесие

Равновесие между выгодой подрядчика и вашей. Обратите внимание на то, насколько исполнитель будет гибок в работе с вами, подбирая баланс между Вашей выгодой и собственными возможностями:

• уточняйте о возможности скидок, апеллируйте к средней цене по рынку. Если Вы заказываете ряд услуг у одного Исполнителя, то некоторые этапы могут повторяться (например, сбор исходных данных). Так как Исполнитель вряд ли будет собирать ИД дважды, суммарные трудозатраты снизятся, и цена должна, очевидно, быть скорректирована. Иногда, в целях экономии средств, имеет смысл предложить самостоятельный сбор данных с помощью опросных листов Интегратора;
• заранее спланированные сроки и правильный период проведения работ позволит сэкономить на цене без потери качества. Дело в том, что у интеграторов существуют периоды умеренной загрузки (1-2 квартал) и отрезки, когда все специалисты перегружены (обычно это 4 квартал). Если Ваши сроки позволяют, договоритесь заранее с подрядчиком о выполнении работ в удобное для него и приемлемое для вас время в обмен на снижение стоимости. В противном случае, в 4 квартале Вам придётся переплатить, либо остаться без услуги. Заблаговременное заключение договора и планирование работ позволят существенно сэкономить;
• другие особенности оплаты: дает ли Вам исполнитель возможность быть гибким в оплате (до работ / авансирование / постоплата / рассрочка и т.д.);
• не спешите отказываться, если вам предлагают подозрительно низкую стоимость услуги – спросите о причинах. Дешево не всегда значит некачественно. Возможно, компания «демпингует», желая получить часть рынка. Либо ей нужно быстро загрузить простаивающих специалистов. Есть вариант, когда исполнитель входит в новый для себя сегмент и может предложить услугу по себестоимости для формирования портфолио и наработки компетенций;
• уточняйте, может ли исполнитель, в зависимости от Вашего пожелания, оказать услугу в типовом исполнении, когда Вам не требуется «глубина» (например, базовый аудит на предмет соответствия требованиям Регулятора), либо, наоборот, произвести «эксклюзивные» работы (комплексные «под ключ», соответствие отраслевым или международным нормам, по нетиповым сценариям). Стоимость типовых работ, как правило, является невысокой;
• узнавайте о пилотных проектах. Некоторые услуги являются, своего рода, «ознакомительными», чтобы Интегратор мог «подружиться» с Вами для долгосрочных отношений с Вами. Если Вы обращаетесь к Исполнителю впервые – не стесняйтесь уточнять о продуктах такого типа;
• если услуга носит характер аудита (обследования, пентесты и т.д.), то поговорите с Исполнителем об оплате по результату. Возможно договориться о стоимости за конкретно выявленные уязвимости. Мы против принципа «Вы нам сначала заплатите, а мы у вас потом, может, что-нибудь найдём». Однако, следует помнить, что режим оплаты по результату подходит, только если вы уверены в себе, и у Вас минимум проблемных зон.

Еще несколько немаловажных рекомендаций

Маркетинг VS ценник

Многое из того, что мы порекомендовали запрашивать у Исполнителя, компании будут стараться размещать на своем сайте. Тем не менее, на рынке много квалифицированных в плане компетенций и опыта компаний, в которых «маркетинг» не сильно развит, поэтому на их сайте вы можете не найти необходимую информацию. Поэтому, если вы не нашли на сайте нужную информацию, лучше не полениться и запросить то, что необходимо. 

Преимущества региональных компаний

Если Ваш выбор – качество по доступной цене, то идти к «раскрученным» столичным исполнителям мы бы не рекомендовали. Да, скорее всего Вы получите высококачественный сервис и возможно такой же результат, но однозначно переплатите за бренд и «столичную прописку».

Мы рекомендуем обратить внимание на региональные компании и совсем не потому-что мы сами Волгоградская компания. И вот почему. Не для кого не секрет, что столичные компании формируются, в основном, из специалистов-«самородков» из регионов. Они включают «зарплатный пылесос» и собирают всех, кто только может переехать. Столица редко формирует собственные кадры, чаще занимаясь «вербовкой». Поэтому отличия московских компаний от региональных в части компетенций не столь велики.

В столичных компаниях большое внимание уделяют маркетинговым бюджетам, благодаря этому компании на виду. Грамотная стратегия и правильная презентация оставляет мало шансам региональным компаниям. В регионах есть профессионалы и компании не менее квалифицированные, просто менее раскрученные. К тому же, в регионах зарплаты в 1,5-2 раза ниже московских, и это существенно сказывается на стоимости услуг. Поэтому даже проекты с выездами в командировки от региональной компании могут оказаться для вас выгоднее, чем от московских исполнителей. В случае же удаленных услуг выгода может оказаться ещё существеннее. 

«Многостаночники» или «Узконаправленники»

Компании узко специализирующиеся на конкретных работах это хорошо, но не в информационной безопасности. Таки компании хорошо разбираются в том что делают, но не больше! Мы рекомендуем отдавать предпочтение в пользу исполнителя, имеющего более широкие компетенции по ИБ и ИТ. 

Компания, специализирующаяся только на пентестах, вероятно, не сможет помочь вам в разработке технического проекта для модернизации системы защиты информации, не возьмется за сопровождение и не проведёт комплексный аудит и тем более, не сможет реализовать проект по КСЗИ. Она видит лишь свой «кусочек» Вашей инфраструктуры. Работая с комплексной компанией, специалисту Заказчика, во-первых, удобнее контактировать с представителями одного исполнителя, во-вторых, интегратор понимает Вашу картину и может указать на слабые моменты на разных уровнях и направлениях, которые Вы упустили.

Ротация команд

Иногда имеет смысл подумать о ротации команды или, хотя бы, о получении «второго экспертного мнения» от сторонней компании. Этим советом рекомендуется воспользоваться, когда Вы хотите разнообразить спектр проверок и сценариев. Если это аудит или пентест, получить иной взгляд на состояние Вашей безопасности или просто проверить работу существующей команды. При этом следует помнить, что работа с новой командой будет несколько дороже, чем с прежней, так как первичные проверки всегда дороже повторных.

Разделение проекта или услуги

В условиях ограниченного бюджета на информационную безопасность, целесообразно будет разделить проект, например, провести аудит не целиком, а по подсистемам. Условно говоря, за 2-3 года при Вашем бюджете покроете проверками все вверенное «хозяйство». А работать с одним исполнителем будет выгоднее, т.к. не нужно будет оплачивать повторяющиеся процедуры, например сбор исходных данных.

Вместо заключения

Для компетентного интегратора возможность работать долгосрочно важнее однократного контракта. А честность со стороны заказчика, создаст прозрачные взаимоотношения с исполнителем.