Выбор исполнителя работ зависит от множества факторов: компетенции и вовлеченность заказчика в процессы защиты информации, сложность и масштаб системы, специфика отрасли, бюджет и сроки выполнения работ и т. д.
Перед тем как начать выбирать исполнителя, необходимо определить цель и задачи работ, выбрать их вид, а также выделить бюджет. При формировании бюджета необходимо учитывать, что чем больше у исполнителя опыта проведения работ по оценке защищенности и чем выше квалификация его команды, тем выше будет стоимость его услуг.
При выборе исполнителя в первую очередь стоит обратить внимание на технические и профессиональные навыки его команды. Ключевыми факторами, подтверждающими квалификацию команды исполнителя, являются:
- наличие сертификатов OSCP, OSCE, GPEN и CISA. Эти сертификаты свидетельствуют о наличии у специалистов реальных практических навыков в области оценки защищенности;
- количество идентификаторов CVE и BDU, полученных за обнаружение уязвимостей нулевого дня. Наличие таких идентификаторов на счету специалистов подтверждает их навыки выявлять соответствующие уязвимости.
Важно помнить, что оценка защищенности — лицензируемый вид деятельности, поэтому необходимо убедиться, что у потенциального исполнителя работ есть все необходимые лицензии и разрешения.
Необходимо учитывать и численность команды потенциального исполнителя. Нужно убедиться, что он в состоянии выделить на проект столько ресурсов, сколько требуется для качественной проверки реализуемости недопустимых событий с учетом масштаба и сложности тестируемой системы. Рекомендуется выбирать исполнителя с собственным штатом специалистов без привлечения субподрядчиков. Это упростит процесс коммуникации и поможет избежать возможных проблем с выполнением поставленных задач и условий.
Когда составлен список потенциальных исполнителей, необходимо дополнительно уточнить, есть ли у них опыт работы с используемыми у заказчика системами и технологиями, понимание отраслевых особенностей и специфики бизнес-процессов заказчика. В случае если планируется проверять реализуемость недопустимых событий, рекомендуется изучить направления деятельности потенциального исполнителя и уточнить, проводит ли он такие проверки и исследования. Если есть исполнитель, который проводит такие проекты и исследования на регулярной основе в различных отраслях, включая отрасль, к которой относится и тестируемая организация, рекомендуется отдавать предпочтение именно ему.
Также необходимо убедиться, что для управления работами по оценке защищенности со стороны исполнителя будет выделен проектный менеджер. Это существенно упростит процесс коммуникации между работниками заказчика и исполнителя.
После получения коммерческого предложения необходимо понять, насколько проработана оценка проекта. Важно не только оценить предлагаемую стоимость, но и сравнить стоимость отдельных задач. Потенциальный исполнитель должен прислать подробное технико-коммерческое предложение, порядок проведения работ, обезличенный образец отчета по ранее проведенным работам, формат рекомендаций, спецификации и другие документы. Чем подробнее эти документы, тем больше это говорит о зрелости и профессионализме исполнителя.
Уточните у потенциального исполнителя, как происходит защита выполненных работ. Правилом хорошего тона является проведение презентации выполненных работ. Попросите показать проекты таких презентаций. Спросите, сможет ли он подготовить две отдельные презентации: одну для руководства, в которой простым языком представлена ценность проведенной работы, и другую для технических специалистов, в которой проделанная работа описана более детально с использованием профессиональной терминологии.
Обращайте внимание на задержки со стороны потенциального исполнителя. Если он не соблюдает сроки на ранних этапах, то, скорее всего, это же повторится и во время проведения работ.
Для проведения работ важно выбирать компании с выручкой не меньше стоимости проекта. В противном случае стоит уточнить, сможет ли исполнитель оформить банковскую гарантию. Рекомендуется выбирать компании, для которых стоимость проекта не превышает 20% выручки. Также рекомендуется проверять ликвидность исполнителей, используя сервисы проверки контрагентов, например «Контур.Фокус» и «СПАРК».
Указанные рекомендации можно объединить в следующий список требований к исполнителям.
В случае если для проведения работ необходимо проведение тендера или госзакупки, наряду с указанными требованиями необходимо разработать техническое задание на выполнение работ. Рекомендуется ответственно подходить к разработке указанного технического задания, так как от качества его проработки (детализации) будет напрямую зависеть качество выполненных работ.