Бизнес-критерии

Как правило данные для проверки таких критериев можно узнать из коммерческого предложения конкретного провайдера услуги, а также согласованных уровней качества предоставления услуг (SLA), предлагаемых провайдером.

  • 1.

    Гарантированный уровень предоставления услуги (Service Level Agreement), как часть договора

    Описание условий доступности ресурса и материальной ответственности за их несоблюдение, в том числе во время атаки.

    Должны быть определены и легко измеримы обеими сторонами все параметры качества (время ответа серверов, сетевая задержка, процент не получивших доступа валидных пользователей) предоставляемой услуги. Методика и формулы для расчета доступности защищаемого ресурса должны учитывать возможность любых инцидентов внешнего характера, которые могут быть предотвращены средствами защиты.

    Некоторые поставщики гарантируют доступность защищаемого ресурса лишь в отсутствии атаки, что делает их гарантии бессмысленными. Проверка доступности ресурса должна проводиться третьей стороной с помощью специализированных сетевых сервисов, вне инфраструктуры заказчика и поставщика.

    Отсутствие декларируемого уровня предоставления услуги либо её полное отсутствие. При этом поставщик не понесет за это материальной ответственности. В случае отсутствия прозрачных методик расчета сложно доказать собственную правоту в спорной ситуации.

  • 2.

    Суть договора с поставщиком: обеспечение доступности, отсутствие взломов сайта

    Если декларируется, что услуга позволит противодействовать лишь определенному перечню типов атак, то не стоит рассчитывать на большее.

    Сегодня новые типы атак появляются буквально каждый день. Идет непрерывное состязание «брони» и «снаряда». Что будет, если завтра появится новый тип угроз, который не описан в договоре? Важна суть требуемого сервиса, которая заключается в обеспечении бесперебойной доступности сайта – это и должно быть гарантировано в договоре.

    Обычно несоблюдение данного критерия говорит о том, что поставщик, как минимум, не гарантирует быструю реакцию на появление новых векторов угроз.
     

  • 3.

    Трафик атак не должен тарифицироваться

    Не всегда возможно адекватно оценить риски, и если вредоносный трафик будет платным, то спрогнозировать бюджет на услугу практически невозможно. Кроме того, недоброжелатель может намеренно организовать атаки на ресурс с целью нанести максимальные финансовые потери, связанные с сервисом фильтрации.

  • 4.

    Наличие бесплатного тестового периода для типовых решений

    До заключения договора и оплаты, важна возможность ознакомиться с качеством услуги: как работает личный кабинет, не происходит ли каких-то нарушений работы сервиса, конфликтов оборудования или ПО и т.п.
    Ситуации, когда невозможно воспользоваться уже оплаченной услугой. Возникает риск незапланированных затрат на дополнительную настройку и адаптацию услуги.

  • 5.

    Доступность техподдержки экспертного уровня в режиме 24/7 на языке компании

    Любые проблемы с услугой должны решаться незамедлительно и в понятных терминах.

    Отсутствие экспертной техподдержки на родном языке говорит о том, что поставщик является реселлером сторонних решений и не обладает собственными необходимыми компетенциями. Невозможность общения на одном языке может сильно затруднить решение возникших проблем, так как потребует знания специфических терминов на  иностранном языке.

  • 6.

    Отсутствие регуляторных рисков

    Неправомерные действия поставщика и/или его уязвимость порождают зависимые уязвимости и риски. Поставщик должен соблюдать российское законодательство в отношении подключаемых клиентов, либо выделять клиентам из зоны риска независимый ресурс.

    Прекращение работы поставщика и/или его систем защиты в случае процессуальных действий регулирующих и правоохранительных органов.

    Пример: по тому же IP-адресу, что поставщик выделил клиенту для оказания услуги, может оказаться другой сайт с запрещенным контентом. Таким образом возникнут риски блокировки сервиса Роскомнадзором, срабатывания у посетителей антивирусов, других средств защиты и т.п.

    Риск подкупа компании-защитника конкурентами.

    Нарушение работы поставщика вследствие геополитических конфликтов.

  • 7.

    Наличие удалённого доступа к статистике и аналитике в клиентском кабинете и регулярная отчетность

    Появляется возможность своевременного контроля качества работы сервиса.

    Невозможно контролировать работу исполнителя. Отсутствие доступа к статистике и аналитике лишает заказчика возможности мониторинга и самостоятельной оценки качества услуги.