18 апреля 2025 г.
Окончание, начало тут
Напоминаем об отраслевых требованиях к ИТ
Примеров отраслевых требований, которым должен соответствовать ИТ-рельеф компании, немало. Например, у платежных систем есть свои требования — и довольно жесткие — к инфраструктуре, задействованной в обеспечении электронных платежей. Этим требованиям, определяемым форматом PCI DSS (Payment Card Industry Data Security Standard), должны соответствовать ИТ-инфраструктуры многих компаний: ритейлеров, маркетплейсов, банков и ряда других организаций.
«Стандарт постоянно развивается и совершенствуется; при этом с каждой новой версией PCI Security Standards Council предъявляет все более строгие требования к безопасности данных», — говорит Александр Крупчик, директор по развитию бизнеса в компании «ДиалогНаука».
Напомним, что стандарт разработан международным советом PCI SSC и охватывает все аспекты защиты данных: от конфигурации информационных систем и обеспечения физической безопасности до организации процессов внутри компании. Процедура сертификации включает всесторонний аудит инфраструктуры, сканирование уязвимостей и тесты на проникновение, говорит Алексей Кубарев, директор по информационной безопасности в «Т1 Облако» и в «Т1 Интеграция». Простейший вариант упростить соответствие требованиям стандарта — все тот же: вынести инфраструктуру в «облачную» среду, уже сертифицированную по PCI DSS. Наличие сертификата у «облачного» провайдера упрощает процесс сертификации ИТ-рельефа корпоративных заказчиков, разместивших платежную инфраструктуру в этих «облаках», напоминает Алексей Кубарев.
Получение сертификатов — в том числе, упомянутого PCI DSS — является частью комплексных стратегий крупных «облачных» провайдеров в РФ. Компании придерживаемся комплексного подхода к обеспечению физической и информационной безопасности, для обеспечения чего нужно учесть разные аспекты.
Еще раз про актуальность консалтинга
Корпоративные заказчики понимают, что ИТ-системы нужно приводить в соответствие с требованиями регуляторов, отраслей и т. д. Но есть проблема: далеко не все знают, как именно это можно сделать — требования разнообразны, исходят из разных источников, иногда дополняя друг друга, а иногда вступая в противоречие; кроме того, национальная регуляторика находится в постоянной динамике. Нужны консалтеры с актуальными знаниями и с профильными компетенциями.
«Сегодня компании достаточно часто обращаются за внешними консалтингом и другими сервисами для приведения своего ИТ в соответствии с нормативными актами, поскольку вплотную встала задача корректного категорирования объектов КИИ, — говорит Григорий Сизоненко, генеральный директор ИВК. — До недавнего времени бизнес нередко занижал категорию объекта, если расходы на его защиту превышали предполагаемые риски».
Для соотнесения подведомственных объектов с перечнем организации обращаются за внешним консалтингом.
Важность консалтинга в рассматриваемой нише отмечают и другие эксперты. Зачастую предприятия просто не могут самостоятельно решить сложную инженерную задачу приведения инфраструктуры в соответствие с регуляторикой, говорит Дмитрий Грязнов, генеральный директор компании «Инполюс»: «Им критически необходим и внешний консалтинг, и грамотные проектные решения, и команды, обладающие многолетним опытом работы с западными вендорами, использующие его в собственных продуктах и успешно реализовавшие крупные проекты».
«Облачные» провайдеры сегодня являются центрами разноплановых компетенций, вопросы миграции и приведения структуры в соответствие с требованиями к КИИ или к работе с персданными — только одни из множества доступных направлений. Корпоративные заказчики могут воспользоваться провайдерскими компетенциями и экспертизой для упрощения/ускорения развития собственной инфраструктуры.
«Ключевым фактором в выборе сервис-провайдера стала экспертная техническая поддержка, которая способна на экспертном уровне заниматься обслуживанием виртуальной инфраструктуры и ключевых инженерных систем», — отмечает Владимир Лебедев, директор по развитию бизнеса в M1Cloud.
Вместо заключения
Рассмотренные примеры показывают, как использование «облака» — а в более широком плане сервисного потребления ИТ — снижает затраты и риски, причем как технические или ИБ, так и регуляторные. Учет рисков и управление ими крайне важен для бизнеса, причем как в финансово-экономическом аспекте, так и в репутационном. Превращение риска в инцидент вполне может привести к настолько значимым потерям, что поставит под вопрос само существование компании. «Облака» в данном случае не «волшебная палочка», но действенный инструмент для минимизации рисков.
Миграция в «облако» в большинстве случаев бывают сложной технической задачей, требующий участия компаний — интеграторов или провайдеров, обладающих глубокой экспертизой.
«Недостаточная проработка плана миграции или отклонение от установленных процедур способны привести к серьезным последствиям: неполному развертыванию систем, потере данных или нарушению работы ключевых бизнес-процессов организации», — говорит Сергей Андриевский, технический директор «Инферит Облако».
Источник: Александр Маляревский, внештатный обозреватель IT Channel News
