Противодействие внешним и внутренним угрозам". На этой конференции представители интегратора безопасности убеждали клиентов в преимуществах сервисной модели обеспечения защиты своих ИТ-активов.

Этой диаграммой в

В случае применения такой модели интегратор продает не установку межсетевого экрана или какого-то иного компонента системы безопасности, а полный цикл услуг: аудит и оценку защищенности системы клиента, выбор решения для обеспечения безопасности, внедрение и настройку средства защиты и его сопровождение. Однако этим циклом внедрения продукта не ограничивается набор услуг современного интегратора безопасности. В арсенале "Информзащиты" также есть услуги по обеспечению требований законодательства, изменению бизнес-процессов с учетом требований информационной безопасности, разработке корпоративной политики и многое другое.

Однако сервиcная модель имеет серьезные ограничения. В частности, клиент не всегда может понять, насколько адекватную цену он платит за построение защищенной системы, особенно если никаких продуктов при этом не покупается. Поэтому интегратору нужно сделать прозрачной свою систему ценообразования и опубликовать список предоставляемых услуг. Со своей стороны в "Информзащите" опубликовали подобный список на своем сайте, снабдив его даже диаграммой, которая показывает, в какой последовательности какие услуги должны выполняться.

Одной из наиболее важных услуг, входящих в набор "Информзащиты", является оценка соответствия защиты клиента требованиям регуляторов, таких как ЦБ РФ. Оценивая важность этой услуги, важно помнить, что требования стандарта защиты персональных данных в платежных системах - PCI DSS - могут распространяться и на торговые компании, которые обрабатывают платежные карты. Это относится как к обычным магазинам и торговым сетям, так и к электронным магазинам.

Стандарт требует от продавцов, которые принимают к оплате платежные карты, обеспечения полной защиты данных, полученных от клиента. При этом, если данные платежных карт будут утеряны по вине продавца, то ему в соответствии с правилами платежной системы придется выплачивать штраф самой платежной системе, возвращать деньги ее клиентам, украденные в результате этой утечки данных, а также оплачивать перевыпуск карт банками, клиенты которых пострадали от утечки. При этом общие расходы могут оказаться весьма существенными для продавца. Поэтому компаниям, которые работают с платежными картами, лучше заранее позаботиться о безопасности своей информационной системы.