Безопасный проход для государственных закупок
Процессы государственных закупок для технологических инструментов наиболее систематически ограничены сертификатами безопасности. Федеральные контракты США на облачные услуги требуют авторизации FedRAMP (Программа управления рисками и авторизацией федерального уровня) — процесс, который обычно занимает 12–24 месяца и стоит сотни тысяч долларов на подготовку к соблюдению требований. Большинство поставщиков программного обеспечения не стремятся получить авторизацию FedRAMP, что фактически исключает их из федеральных закупок США.
Для государственных органов ЕС эквивалентным стандартом является ISO 27001, часто в сочетании с сертификациями, специфичными для страны (немецкий BSI C5 для облачных услуг, французский SecNumCloud для чувствительных государственных данных). Государственные закупки программного обеспечения в Великобритании, обрабатывающего персональные данные, обычно требуют ISO 27001 в качестве базового уровня, с дополнительным требованием Cyber Essentials или Cyber Essentials Plus для инструментов с прямым доступом к государственным системам.
Практическое значение: инструмент SaaS без сертификата ISO 27001 обычно не может быть рассмотрен для участия в государственных закупках ЕС и Великобритании, независимо от его функциональных возможностей, цен или репутации. Безопасный проход применяется до функциональной оценки.
Рынки государственных и местных органов
Государственные и местные органы власти и международные государственные организации (агентства ЕС, органы ООН, НАТО) обычно имеют более гибкие правила закупок, чем национальные правительства. Многие принимают ISO 27001 в качестве своей базовой безопасности, а не требуют сертификационные программы, специфичные для страны.
Для местных органов власти, обрабатывающих персональные данные жителей — городские советы, региональные власти, организации общественного здравоохранения — соблюдение GDPR требует выбора обработчиков данных, которые реализуют соответствующие технические меры. Сертификация ISO 27001 является стандартным механизмом для демонстрации этих мер в контексте государственных закупок.
Требование к контракту с государством
Организации, имеющие государственные контракты, часто имеют требования к защите данных "первичного контракта", которые передаются их субподрядчикам и поставщикам технологий. Подрядчик в области обороны, обрабатывающий данные, связанные с государством, может быть обязан в соответствии со своим первичным контрактом использовать только программное обеспечение с сертификатом ISO 27001 для обработки данных. Поставщик услуг агентства ЕС может столкнуться с аналогичными требованиями для инструментов, касающихся проектных данных.
Этот поток требований первичного контракта означает, что сертификат ISO 27001 открывает не только прямые возможности для государственных закупок, но и гораздо более крупный косвенный государственный рынок — поставщики технологий для основных подрядчиков, консалтинговые компании, обслуживающие государственные клиенты, и реселлеры технологий, чьи клиенты включают организации, связанные с государством.
Цифровая трансформация программы государственного агентства Великобритании, требующая ISO 27001 для всех поставщиков, может немедленно одобрить инструмент без отдельной оценки безопасности. Сертификация является доказательством. Сроки проектов не продлеваются из-за задержек в оценке безопасности поставщика.
Источники: