Аттестат ИБ-зрелости. Как подготовиться к выполнению контрактов крупного подрядчика за шесть шагов

Если вы намерены предлагать свои услуги кастомной разработки, облачных сервисов или DevOps крупными заказчиками, то наверняка заметили: крупные игроки смещают фокус выбора партнеров. Неспроста: ваш вероятный заказчик живёт под постоянным давлением регуляторов, угрозой штрафов и прессингом обязательных ИБ-требований. Хотите быть у такого клиента в коротком списке? Покажите, что вы не только компетентны, но и безопасны.

Вот шесть шагов, которые имеет смысл предпринять подрядчику, чтобы соответствовать ожиданиям крупного клиента в вопросах ИБ.

Проанализируйте опыт взаимодействия с заказчиками, чтобы:

• Составить перечень бизнес-критичных данных, сервисов, библиотек, API-интеграций.
• Понять последствия нарушения работоспособности каждого компонента, включая репутационные и финансовые потери от сбоя, утечки данных, остановки зависимых процессов и сервисов.
• Подготовиться к синхронизации своих выводов с бизнесом клиента. То, что вы считаете “второстепенным”, может быть его “точкой страха”, и наоборот.

Зачем?

Уже на первой встрече заказчик должен увидеть вашу способность накладывать карту рисков на его технологический ландшафт. Это станет сигналом о вашей готовности обеспечить его безопасность на вашей стороне.

Если самое плохое уже случилось, ситуацию спасут уверенные и четкие действия в первые часы после инцидента. Для этого:

• Подготовьте базовый IRP (план реагирования): что делаете при утечке/инциденте.
• Назначьте контактное лицо для таких случаев.
• Пропишите, что именно и как быстро вы сообщите заказчику, если инцидент заденет его.

Зачем?

Вы умеете вести себя, даже когда что-то пошло не так.