Всем привет. Меня зовут Федор Трифонов, я руководитель отдела экспертной поддержки продаж в RED Security. За 12 лет в ИБ я успел пообщаться с сотнями заказчиков самых разных компаний и в целом научился понимать их запросы с полуслова. Хочу поделиться своим опытом, чтобы, во-первых, сами заказчики определяли, с кем им удобнее будет работать, а во-вторых, коллеги по службе лучше понимали боли клиентов и говорили с ними на одном языке.
При выборе услуг ИБ клиенты задают плюс-минус похожие вопросы. Я выделил семь основных критериев, по которым можно понять, что вендор или сервис-провайдер подходит именно вам.
В этом материале речь будет идти преимущественно о сервис-провайдерах. И хоть для ИБ-вендоров критерии выбора немного отличаются, в целом почти все рекомендации подойдут и для тех, и для других.

Опыт работы с вашей отраслью
Конечно, любой уважающий себя менеджер по продажам не скажет, что с вашей сферой они не работали. Поэтому обращайте внимание на имеющиеся кейсы и сами проверяйте, есть ли у данной ИБ-компании аналогичный опыт защиты организаций из вашей отрасли.
Может быть и такое, что публичных кейсов нет — в ИБ это нормальная практика. Поставщик, у которого действительно есть опыт реализации проектов в той или иной отрасли, хотя бы на словах, да поделится информацией. Вам не покажут подписанные договоры, однако подключат специалистов, которые принимали участие в аналогичном проекте.
В каждой отрасли есть своя специфика и центр экспертизы, с которым очень часто различные центры мониторинга и реагирования дружат и обмениваются какой-то информацией. Опыт работы того же SOC с вашей сферой делает его более релевантным. Например, в том же финсекторе есть своя регуляторика, уникальные события и больше чувствительных данных для хранения.
Хороший знак, если сервис-провайдер дает возможность выбора среди различных классов решений того, который лучше подойдет под специфику конкретной отрасли. Это косвенно указывает на то, что он работал с ней и понимает детали. Например, что производство, выбирая межсетевой экран, будет смотреть на возможность обработки не просто проприетарных протоколов, которые всем известны, а специализированных протоколов в технологической сети. И если Firewall поддерживает Modbus, то промышленная компания с большей вероятностью выберет именно его. Они также скорее предложат сканер CI/CD для безопасной разработки с использованием протоколов, которые поддерживаются при создании различных АСУ ТП, SCADA и так далее. Отсутствие у сервис-провайдера гибкости при выборе технологий, как правило, говорит о том, что он не понимает специфики отрасли, а значит, вряд ли имеет серьезный опыт работы с ней.
Стоимость услуг
Цена — это краеугольный камень любых переговоров. И это нормально. Но будьте очень осторожны, если представитель ИБ-компании слишком легко соглашается на дисконт.
Есть адекватная информационная безопасность, а есть бумажная, когда покупают решение, чтобы «закрыться» перед регулятором. В первом случае нет ни одного ИБ-решения, которое идеально с точки зрения функциональности и при этом дешевле остальных.
Понимаю, что у большинства компаний бюджеты на ИБ сильно ограничены и они ищут предложение, которое сможет удовлетворить их запросы в рамках определенной вилки. Однако вместо того чтобы соглашаться на самый низкий по цене вариант, лучше попросить вендора или сервис-провайдера более комплексно подойти к этапу подготовки коммерческого предложения и глубоко погрузиться в ваши задачи и потребности. Возможно, изначально заявленные требования окажутся излишними. Был кейс, когда нам клиент на брифе заявил, что ему в SOC нужно 2 500 EPS, а на пилоте мы видим, как он не дотягивает и до 400 EPS. Вот вам и экономия.
Конкретный результат работы
Например, в рамках обсуждения сервисов Security Operation Center многие спрашивают, как реализована линия реагирования и аналитики, как устроено профилирование, сколько на это тратится времени. Уточняют про SLA, хотя SLA сейчас почти у всех топовых сервис-провайдеров более-менее одинаковый.
А чтобы лучше понять, какой результат вы получите по итогам работы, напишите свои хотелки и вместе с вендором определите критерии успешности пилотных испытаний. Задавайте больше точечных вопросов.
Некоторые ИБ-компании могут на этапе пилота даже позволить клиентам выставлять свои требования и оказывать влияние на продукт или сервис. Если такая возможность есть, воспользуйтесь ею.
Наличие дополнительных услуг
Отличным критерием выбора ИБ-компании может стать наличие широкого портфеля ИБ-услуг на все случаи жизни, чтобы был не только SOC, а еще, например, возможность поставить тот же deception или EDR с точки зрения реагирования. А если вдруг произойдет инцидент (ну бывает же!), то жизнь станет чуточку проще, если у ИБ-компании уже есть опытная команда форензики.
Да, все понимают, что это стоит отдельных денег, но это не просто удобно или интересно, это может сэкономить кучу сил и нервов. В момент инцидента искать абсолютно нового поставщика, который сможет предоставить услуги форензики, — значит терять драгоценное время. И тут также обращайте внимание на накопленную экспертизу — опытная команда сможет быстро сориентироваться и найти нужное решение.
Хороший знак, если поставщик не ограничивается только SOC, а может дать вам другие технологии и смежную экспертизу. Как правило, это говорит о том, что он сможет в целом улучшить уровень зрелости вашей компании в части ИБ и предложить комплексный подход к общему повышению защищенности, а не только решение точечной задачи.
Клиентоориентированность
Если у вас пока что слабо выстроены ИБ-процессы, то будет здорово иметь возможность задавать вендору много вопросов, получать объяснения и экспертные рекомендации по оптимизации в доступной и понятной форме.
Плохо, если ИБ-компания работает в формате «вот мы вам лицензии выписали, а дальше сами разберетесь». Грамотный провайдер будет составлять отчеты, проводить оценки, готовить аналитику и делать выводы по работе своих сервисов. Например, если после подключения WAF эксперты определили, что атак уровня L7 нет, а трекер ботов зашкаливает, то они могут предложить перейти на Antibot, который стоит дешевле.
Просите отчеты и внимательно их читайте. Если анализ первых месяцев работы или пилота показал, что какие-то предустановленные опции не используются, добросовестный провайдер предложит их отключить или переключиться на более дешевый продукт. А вот если представитель ИБ-компании никак это не комментирует, будьте осторожны.
Соответствие пиара действительности
Популярные и уважаемые в ИБ-сообществе личности играют важную роль в формировании доверия. Это амбассадоры, евангелисты, публичные люди, которые инвестируют свое время в подготовку широко доступных материалов по кибербезопасности и открыто делятся экспертизой. В мире ИБ таких людей не так много, их ценят и им доверяют.
Однако когда вы выбираете вендора или сервис-провайдера, старайтесь объективно подойти к этому вопросу и не симпатизировать без повода — только потому, что вам понравился чей-то пост в каком-нибудь телеграм-канале. Или, наоборот, отказываться от сотрудничества, потому что чья-то публичная фигура вам неприятна. Тут нужно быть объективным и не принимать решения на основе личных симпатий.
Уровень безопасности и надежности работы с сервисами
Часто заказчики боятся передавать свои данные, например во внешний облачный SOC сервис-провайдера. Но сегодня вся облачная инфраструктура российских компаний находится на территории России и является объектом критической информационной инфраструктуры, а значит, они обладают усиленными мерами безопасности — как физической, так и информационной. Кроме того, на этот случай есть гибридный формат поставки сервисов, когда данные о событиях ИБ не покидают пределов вашей компании.
Нужно понимать, что любой серьезный сервис-провайдер всегда дает «красную кнопку» на экстренный случай. Это значит, что если ЦОД по каким-то причинам остановит свою работу, то у вас, как заказчика, в личном кабинете всегда есть кнопка «отключить сервис», пока сервис не восстановит свою работу. Так что внимательно подойдите к вопросу о времени восстановления.
Факторов выбора в таком сложном направлении, как ИБ, намного больше, чем я описал в этом материале. Кому-то будет важно, есть у ИБ-компании офис или нет. Кого-то волнует, какой вуз окончили сотрудники. Однако даже ответы на эти семь вопросов уже дадут вам ясную картину и помогут более фокусно сформировать свой запрос, понять возможности сервис-провайдеров и вендоров, сделать взвешенный выбор и не потратить деньги впустую.