«Поставщик услуг кибербезопасности – важное звено системы защиты любой компании. По данным Qrator Labs, количество DDoS-атак в 2016-м году выросло примерно в полтора раза, аналогичными темпами растет количество попыток взломов сайтов. Вместе с ростом числа атак увеличивается и количество зарубежных и отечественных сервисов, предлагающих клиентам соответствующую защиту. Однако выбрать надежного поставщика услуг сложно, поскольку рынок кибербезопасности информационно закрытый, непрозрачный: публичных историй успеха здесь немного. Поэтому клиентам зачастую непросто оценить того или иного поставщика, с которым они намереваются работать. Наша инициатива направлена на то, чтобы помочь заказчикам систематизировать и упростить процесс выбора поставщика. Следуя рекомендациям, разработанным в Содружестве компаний по развитию услуг кибербезопасности, клиенты смогут подобрать действительно эффективную защиту, позволяющую в полном объеме обезопасить веб-ресурсы от всех возможных видов атак», – говорит генеральный директор и основатель Qrator Labs Александр Лямин.
Разработанные рекомендации ориентированы на широкую аудиторию: теперь любой сотрудник, участвующий в выборе поставщика, сможет однозначно составить свое мнение о той или иной компании, предоставляющей услуги кибербезопасности, до того, как могут наступить непоправимые последствия от возможного неверного выбора.
«Рецепт эффективного провайдера услуг безопасности содержит много ингредиентов: актуальные технологии, зрелость бизнес-процессов, опыт сотрудников. Оценить будущего партнера заранее сложно, и тем более не хочется экспериментировать в критической ситуации. Объединяя видение лидеров ИБ-индустрии в одном документе, мы стремимся помочь компаниям оценить риски и выбрать поставщика услуг, который обеспечит непрерывность их бизнеса», – комментирует Константин Чумаченко, генеральный директор NGENIX.
По мнению участников разработки методического документа, провайдер услуг безопасности должен удовлетворять целому комплексу критериев – как бизнес, так и технических. Данные требования, как правило, указываются в коммерческом предложении и стандартном договоре SLA, предлагаемом клиенту. Среди основных бизнес-критериев можно отметить следующие:
1.Гарантии качества, или SLA (Service Level Agreement), где содержится описание гарантий доступности ресурса и материальной ответственности за их несоблюдение, в том числе во время атаки.
2.Суть договора с поставщиком – обеспечение доступности, отсутствие взломов сайта, что гарантирует защиту от любого типа угроз, даже самых новых.
3.Отсутствие тарификации трафика атак: если вредоносный трафик будет платным, то спрогнозировать бюджет на услугу будет практически невозможно.
4.Бесплатный тестовый период для типовых решений, чтобы до проведения оплаты клиент мог ознакомиться с качеством услуги.
5.Доступность техподдержки экспертного уровня в режиме 24/7 на языке компании-клиента, чтобы любые проблемы с услугой решались незамедлительно и в понятных заказчику терминах.
6.Отсутствие регуляторных рисков: поставщик должен соблюдать российское законодательство в отношении подключаемых клиентов либо выделять клиентам из зоны риска независимый ресурс.
7.Заказчику должен предоставляться online-доступ к статистике и аналитике в личном кабинете и регулярная отчетность, чтобы клиент имел возможность самостоятельно контролировать качество работы сервиса.