⛔️ Когда требования по ИБ становятся стоп-фактором для сделки с крупным заказчиком? Вы нашли крупного заказчика, провели предварительные переговоры, и вдруг на этапе проверки надежности приходит анкета по ИБ из 100+ пунктов. Знакомо? Для многих компаний это становится неожиданностью: требования по информационной безопасности могут не просто затянуть сделку, а полностью ее остановить. Разбираем, когда это происходит. ➖Когда у вас нет должной документации Крупный заказчик (особенно госсектор или банки) обязан проверять вас по 149-ФЗ, приказам ФСТЭК и требованиям ФСБ. Также запрашивают документы, подтверждающие квалификацию специалистов. Если вы не можете предоставить: 🔵Документы СОИБ (системы обеспечения информационной безопасности): политика ИБ, регламенты, инструкции по процессам ИБ, проектная документация на СОИБ; ⚫️Результаты оценки эффективности принятых мер защиты информации (Может потребоваться акт классификации). Почему это стоп-фактор: Заказчик может не подписать договор, если ваша компания — «черный ящик» с точки зрения регуляторов. Риски доначислений штрафов слишком высоки. ➖Когда ваша инфраструктура в зоне риска Служба безопасности заказчика может запросить схемы ваших сетей или прислать анкету с вопросами об архитектуре. Стоп-факторы: 🔵Отсутствие лицензированого ПО: использование нелицензионного ПО, либо нарушение условий использования лицензий (например, использование сертифицированной версии продукта на неподдерживаемой ОС или в конфигурации, не предусмотренной лицензионным соглашением). Подтверждается отчетами сканирования, где видны версии, типы установок и уязвимости; 🔵Нарушения локализации данных: хранение баз данных с персональными данными граждан РФ за рубежом (нарушение требований 152-ФЗ, влечет ответственность по КоАП), использование недостоверных (не внесенных в реестр) ЦОД; 🔵Несоответствие средств защиты: отсутствие шифрования каналов связи и баз данных; использование средств защиты информации (СрЗИ), не входящих в реестры сертифицированных ФСТЭК/ФСБ (Критично для госинформсистем (ГИС) и заказчиков из числа банков). ➖Когда установлен порядок реагирования и устранения инцидентов Крупные заказчики часто включают в договор пункты о расследовании инцидентов и аудите. Стоп-факторы: 🔵У вас нет регламента по реагированию на инциденты; 🔵Вы не можете предоставить логи за прошлый период (или храните их всего 3 дня, а нужно 6 месяцев); 🔵У вас нет выделенного ответственного, способного отвечать на вопросы по ИБ, при взаимодействии со стороной заказчика.