КЛИЕНТ
Дочерняя компания ПАО «Сбербанк», специализирующаяся на оказании технологических и сервисных услуг в рамках экосистемы Сбера.Принадлежность к крупнейшей финансовой группе страны автоматически предъявляет к компании повышенные требования по информационной безопасности, операционной устойчивости и соответствию внутренним стандартам Группы. Заказчик работает в условиях, когда требования внешних контрагентов часто диктуют необходимость дополнительных подтверждений уровня защищённости информационных систем, в том числе через процедуру аттестации.
ОТРАСЛЬ
ИТ-сервисы для финансовой отрасли. Это сегмент, в котором пересекаются требования банковского регулирования, законодательства о персональных данных и требований ФСТЭК России к защите информации в государственных и иных значимых информационных системах. Контрагенты в этой отрасли — крупные финансовые институты — выступают в роли строгих заказчиков, для которых наличие подтверждённого уровня защищённости является обязательным условием заключения контрактов.ЗАДАЧА
Перед нами стояла задача обеспечить выполнение требований контрагента по аттестации сегмента инфраструктуры заказчика, предназначенного для оказания услуг технической поддержки. Требовалось выделить целевой контур, спроектировать в нём систему защиты информации в соответствии с 2 классом защищённости по приказу ФСТЭК России № 17, разработать всю необходимую проектную документацию, внедрить недостающие средства защиты и довести объект до состояния, в котором он мог быть успешно аттестован уполномоченным органом.Аттестация по требованиям ФСТЭК — это не просто формальность: она даёт объективный ответ на вопрос, в чём заключается обеспечение информационной безопасности конкретного объекта и насколько применяемые меры соответствуют актуальным угрозам.
ПРОБЛЕМАТИКА
Главная проблематика проекта заключалась в том, что без аттестации сегмента заказчик не мог легально оказывать услуги технической поддержки своему контрагенту. Это был не вопрос «улучшения» уровня безопасности, а вопрос непосредственно бизнес-возможности — заключённый контракт ставил процесс аттестации в число критических задач с жёсткими сроками. Дополнительная сложность состояла в требованиях именно 2 класса защищённости в соответствии с приказом ФСТЭК России № 17 от 11 февраля 2013 г. (действовал на момент работ; с 01.03.2026 заменён приказом № 117) — это высокий класс, предполагающий значительный объём организационных и технических мер.РЕШЕНИЕ
Мы реализовали проект «под ключ».- На первом этапе был выделен целевой сегмент, проведена инвентаризация информационных систем и описана архитектура. Совместно с представителями центра обработки данных была построена согласованная модель угроз информационной безопасности, учитывающая разделение зон ответственности между заказчиком и оператором ЦОД.
- На втором этапе была разработана вся необходимая проектная документация по защите информации.
- На третьем этапе была проведена закупка и внедрение недостающих средств защиты информации, в том числе средств доверенной загрузки.
РЕЗУЛЬТАТЫ
- Главный результат — компания успешно легализовала процесс оказания услуг технической поддержки своему контрагенту благодаря получению необходимого аттестата соответствия. Внутренняя служба информационной безопасности получила структурированную документацию — модели угроз, политики, регламенты — и понятный набор внедрённых средств защиты.
- Сам факт прохождения аттестации по 2 классу защищённости ФСТЭК стал серьёзным маркетинговым активом: это весомый аргумент при работе с другими контрагентами, для которых уровень защищённости подрядчика является ключевым фактором выбора.
- В перспективе — последующий контроль уровня защищённости на аттестованном объекте, что позволит поддерживать действительность аттестата при изменениях инфраструктуры.