Сами клиенты не всегда могут построить подобные распределенные многоконтурные комплексы защиты. Поэтому компаниям приходится прибегать к помощи интеграторов. Практически все ведущие интеграторские компании имеют отделы информационной безопасности и предоставляют услуги по защите корпоративных сетей клиентов. Однако существуют и компании, специализирующиеся на обеспечении информационной безопасности, — так называемые «интеграторы безопасности». Типичными представителями этого сегмента отечественного рынка ИТ являются компании «Антивирусный центр», «ДиалогНаука», «Информзащита», «Элвис+», Leta IT.
В частности, компания «ДиалогНаука» на прошедшем 4 сентября семинаре «Практические аспекты проведения аудита информационной безопасности компании» представила набор предоставляемых ею услуг. В значительной мере он повторяет услуги других интеграторов безопасности, однако в ассортименте компании есть и уникальные предложения. И если системные интеграторы могут хорошо состыковать между собой различные технологические средства защиты, то интеграторы безопасности скорее специализируются на проведении аудита и создании политики информационной безопасности.
Все интеграторы безопасности предлагают различные услуги аудита системы безопасности. Это и понятно: прежде чем добавлять новые элементы в защиту, нужно вначале проанализировать уже существующую систему и определить те компоненты системы, которые экономически эффективно защищать. Впрочем, в некоторых случаях аудит представляет и самостоятельную ценность. Это относится к аудиту на соответствие различным стандартам. Их для отечественных компаний несколько — прежде всего, ISO 27002, стандарт ЦБ РФ (СТО БР ИББС-1.0), закон «О персональных данных» и PCI DSS. Аудит по этим стандартам сводится к проверке документов — «поиску документальных свидетельств работы систем безопасности», — так описал основную цель этих проверок Виктор Сердюк, генеральный директор «ДиалогНауки».
Впрочем, интегратор безопасности должен уметь проводить не только проверку документов, но и технического состояния средств защиты. Для этого существует два типа услуг — технический аудит и тест на проникновение. Часто технический аудит сводится к запуску детектора уязвимостей и предоставлению его отчета заказчику. Хороший же аудитор будет тестировать каждое средство защиты в отдельности, проверяя их корректную настройку и работу. Что же касается теста на проникновение, который часто является очень наглядным, особенно для руководства компании, то его в России предлагают делать всего несколько компаний.
Впрочем, «ДиалогНаука» предлагает и оригинальную форму аудита — поиск утечек конфиденциальной информации по результатам сканирования Internet. Такая услуга может выявить каналы утечек ценной корпоративной информации, а также уязвимости в работе Web-сервисов как самой компании, так и партнеров.
Кроме проведения различных методов аудита, интегратор безопасности должен уметь правильно построить систему защиты заказчика, для чего ему может потребоваться максимально широкий выбор защитных инструментов — от банальных антивирусов до сложных систем управления информационной безопасностью. Поэтому компания, которая специализируется на построении систем безопасности, должна иметь в своем ассортименте широкий выбор различных инструментов защиты. Иными словами, хорошему интегратору безопасности необходим максимально большой портфель услуг по аудиту информационной безопасности и выбор средств для построения корпоративной защиты.