Прошли времена, когда для обеспечения информационной безопасности достаточно было установить антивирус. Современные системы защиты состоят из большого количества компонентов, которые обязаны тесно взаимодействовать между собой. Сами клиенты не всегда могут построить подобные распределенные многоконтурные комплексы защиты. Поэтому компаниям приходится прибегать к помощи интеграторов. Практически все ведущие интеграторские компании имеют отделы информационной безопасности и предоставляют услуги по защите корпоративных сетей клиентов. Однако существуют и компании, специализирующиеся на обеспечении информационной безопасности, - так называемые "интеграторы безопасности". Типичными представителями этого сегмента отечественного рынка ИТ являются компании "Антивирусный центр", "ДиалогНаука", "Информзащита", "Элвис+", Leta IT.
В частности, компания "ДиалогНаука" на прошедшем 4 сентября семинаре "Практические аспекты проведения аудита информационной безопасности компании" представила набор предоставляемых ею услуг. В значительной мере он повторяет услуги других интеграторов безопасности, однако в ассортименте компании есть и уникальные предложения. И если системные интеграторы могут хорошо состыковать между собой различные технологические средства защиты, то интеграторы безопасности скорее специализируются на проведении аудита и создании политики информационной безопасности.
Все интеграторы безопасности предлагают различные услуги аудита системы безопасности. Это и понятно: прежде чем добавлять новые элементы в защиту, нужно вначале проанализировать уже существующую систему и определить те компоненты системы, которые экономически эффективно защищать. Впрочем, в некоторых случаях аудит представляет и самостоятельную ценность. Это относится к аудиту на соответствие различным стандартам. Их для отечественных компаний несколько: прежде всего, ISO 27002, стандарт ЦБ РФ (СТО БР ИББС-1.0), закон "О персональных данных" и PCI DSS. Аудит по этим стандартам сводится к проверке документов - "поиску документальных свидетельств работы систем безопасности", - так описал основную цель этих проверок Виктор Сердюк, генеральный директор "ДиалогНауки".
Впрочем, интегратор безопасности должен уметь проводить не только проверку документов, но и технического состояния средств защиты. Для этого существует два типа услуг - технический аудит и тест на проникновение. Часто технический аудит сводится к запуску детектора уязвимостей и предоставлению его отчета заказчику. Хороший же аудитор будет тестировать каждое средство защиты в отдельности, проверяя их корректную настройку и работу. Что же касается теста на проникновение, который часто является очень наглядным, особенно для руководства компании, то его в России предлагают делать всего несколько компаний.
Впрочем, "ДиалогНаука" предлагает и оригинальную форму аудита - поиск утечек конфиденциальной информации по результатам сканирования Internet. Такая услуга может выявить каналы утечек ценной корпоративной информации, а также уязвимости в работе Web-сервисов как самой компании так и партнеров.
Кроме проведения различных методов аудита, интегратор безопасности должен уметь правильно построить систему защиты заказчика, для чего ему может потребоваться максимально широкий выбор защитных инструментов - от банальных антивирусов до сложных систем управления информационной безопасностью. Поэтому компания, которая специализируется на построении систем безопасности, должна иметь в своем ассортименте широкий выбор различных инструментов защиты. Иными словами, хорошему интегратору безопасности необходим максимально большой портфель услуг по аудиту информационной безопасности и выбор средств для построения корпоративной защиты.