Этап 1: Поиск и квалификация заказчика через призму регуляторики

Тезис: первый и ключевой этап продаж ИБ-услуг — это не холодные звонки, а аналитическая работа по поиску и оценке потенциального заказчика. Цель — определить, есть ли у компании объективная потребность и, что важнее, законодательная обязанность тратить деньги на информационную безопасность. Эту работу должен проводить продажник, который понимает регуляторные рамки.

Почему это критически важно?

Обычный менеджер видит просто «крупную компанию». Менеджер с опытом в ИБ видит:

Источник боли: понимает, какие штрафы, проверки и риски блокировки бизнеса беспокоят CIO и CISO. Бюджет: знает, что бюджет на ИБ часто формируется под давлением регуляторов. Если компании надо выполнить требование, у нее есть на это деньги. Язык клиента: говорит с заказчиком на его языке (ФСТЭК, ФСБ, ЦБ РФ, 152-ФЗ, СОИБ, СУИБ), вызывая сразу же доверие и экспертный статус.

Типы компаний-заказчиков и их обязательства

Есть три ключевых закона: 149-фз, 152-фз и 187-фз. Их комбинации определяют уровень требований и, как следствие, потенциальный объем и сложность услуг.

а) Компании, подпадающие под 152-ФЗ и 149-ФЗ

Кто это? Практически любая коммерческая компания, которая работает с персональными данными (ПДн) граждан РФ. Это интернет-магазины, сервисы доставки, онлайн-образование, ритейл, медицинские центры (КИЗ), любые организации с базой клиентов/сотрудников. Почему эта комбинация? 152-ФЗ «О персональных данных» обязывает их защищать эти данные. Требования подробно описаны в постановлении Правительства № 1119 (уровни защищенности ПДн). 149-ФЗ «Об информации...» является базовым и задает общие требования к защите информации вообще, а также вводит понятие «критической информационной инфраструктуры» (КИИ), что уже является следующим уровнем. Что им нужно? Чаще всего это «базовый» коммерческий пакет: аудит защищенности ПДн, разработка документов (модель угроз, политика), внедрение СЗПДн (виртуальные АРМ, DLP, антивирусы), консультации по соблюдению требований Роскомнадзора.

б) Компании, подпадающие под 149-ФЗ и 187-ФЗ (Операторы КИИ)

Кто это? Операторы критической информационной инфраструктуры (КИИ). Это компании из значимых для государства отраслей: Здравоохранение (федеральные медцентры) Транспорт (авиа-, ж/д- перевозчики, метро) Связь (крупные операторы, дата-центры) Энергетика (ГЭС, АЭС, сетевые компании) Финансовый сектор (некоторые расчетные и клиринговые центры) И др. (полный список в Приказе ФСТЭК № 239) Почему эта комбинация? 149-ФЗ определяет их статус как субъекта КИИ. 187-ФЗ «О безопасности КИИ» — это основной закон, который накладывает на них жесткие и конкретные обязательства: категорирование объектов КИИ, создание системы безопасности (СБ КИИ), планы защиты, использование только сертифицированных ФСТЭК и ФСБ средств защиты. Что им нужно? Это уже серьезные, дорогостоящие проекты: помощь в категорировании, разработка всей модели угроз и СБ КИИ «под ключ», внедрение сложных сертифицированных DLP, FW, SIEM, проведение специальных оценок и аттестаций. Здесь закупки часто идут через тендеры с жесткими требованиями к лицензиям исполнителя (ФСТЭК, ФСБ).

в) Компании, подпадающие под 149-ФЗ, 152-ФЗ и 187-ФЗ

Кто это? Самые «сложные» и перспективные заказчики. Это операторы КИИ, которые к тому же активно работают с персональными данными. Крупнейшие банки (попадают и под 152-ФЗ как операторы ПДн, и под 187-ФЗ как субъекты КИИ, и еще под регулирование ЦБ РФ) Крупные медицинские учреждения (и ПДн пациентов, и статус КИИ) Госсектор (ведомства, работающие с населением) Почему эта комбинация? Им необходимо выполнять все требования одновременно, что создает сложную, многоуровневую систему защиты. Их ИБ-службы — одни из самых сильных и подкованных на рынке. Что им нужно? Комплексные проекты, интеграция систем защиты под разные задачи, аудит на соответствие всем регуляторам сразу, самые передовые и дорогие решения (противодействие APT, управление уязвимостями, мониторинг Security Operation Center — SOC). #услугиинформационнойбезопасности , #аудитиб , #защитаперсональныхданных , #152фз ,