- Андрей, расскажите о деятельности Вашей компании, в частности, о развитии бизнеса в Кыргызстане.
- Более восьми лет наша компания оказывает консалтинговые услуги для заказчиков в Кыргызстане, а нашими клиентами, в первую очередь, являются представители банковского сектора и финтеха в целом.
Если выделять направления, в которых мы традиционно сильны, хочу отметить проведение аудитов информационной безопасности (ИБ) по требованиям различных стандартов (PCI DSS, ISO, SWIFT), а также оказание услуг по тестированию на проникновение инфраструктуры и анализ защищенности приложений.
Поскольку compliance - исторически наше основное направление бизнеса, мы прекрасно понимаем, сколько сил уходит у заказчиков на поддержание процессов в соответствии с требованиями различных внешних и внутренних стандартов в части обеспечения ИБ.
Так появился наш новый вектор развития, и в середине 2025 года компания представила рынку собственный продукт - платформу Compliance App.
Если коротко рассказывать о продукте - он направлен на оптимизацию и автоматизацию процессов соответствия стандартам ИБ. Этот инструмент, по нашей экспертной оценке, помогает CISO (Chief Information Security Officer, руководитель ИБ-направления) и сompliance-менеджерам экономить до 30% времени, расходуемого на периодические задачи в рамках поддержания соответствия требованиям различных регуляторов.
Мы уже провели ряд пилотов нашего решения в банках, в том числе в Кыргызской Республике, получили обратную связь и видим большой потенциал этого решения.
- У Вас есть новинки, которые можно представить нашим читателям?
- Да, хотелось бы затронуть вопрос построения центра мониторинга информационной безопасности (SOC). Это направление сейчас очень актуально для финансового сектора.
Наша группа компаний в 2025 году закончила проект по развертыванию собственного SOC на территории Кыргызстана.
Мы локализовали ресурсы в дата-центре нашего партнера в Бишкеке, а с 2026 года начали обслуживание нашего первого клиента по MSSP-модели[1], с подключением к нашему локальному SIEM-облаку и сопровождением нашей команды экспертов-аналитиков.
Теперь мы готовы частично брать на себя функции ИБ, что позволяет нашим клиентам экономить на ресурсах и закрывать вопрос недостатка экспертизы.
- Вы рассказали о направлениях, актуальных для рынка ИБ в Кыргызстане. Какие еще тенденции развития наблюдаются сегодня?
- Если говорить о перспективе, мы отмечаем заметное повышение актуальности темы построения процессов безопасной разработки ПО, в чем наша компания за последние годы нарастила значительную экспертизу благодаря успешным проектам в России, Азербайджане, Казахстане и Беларуси.
Но сложность этой темы заключается в ресурсах на стороне заказчиков, мы очень часто слышим от клиентов примерно следующее: «Мы хотим выстраивать процессы, но у нас нет человека, который будет заниматься этим проектом».
В этом случае мы видим выход в тесном взаимодействии консультанта и заказчика.
Наши эксперты готовы оказывать полный комплекс консалтинговых услуг, начиная с аудита текущего состояния процесса разработки с точки зрения ИБ, созданию долгосрочного плана построения и повышения зрелости процессов SSDLC[2], а также дальнейшей поэтапной реализации этого плана совместно со специалистами заказчика.
В ходе проекта, помимо непосредственного выстраивания процессов, мы занимаемся обучением и погружением разных специалистов заказчика в область SSDLC.
Зачастую удается начать уверенно двигаться по проекту, когда на стороне заказчика находится энтузиаст со скилами в разработке уровня senior, а главное - с желанием развиваться в безопасной разработке. Далее за дело принимаются уже наши эксперты-консультанты.
Бесспорно, на стороне заказчика обязательно должен быть человек, курирующий проект. Без него ничего не получится.
Профильного специалиста найти крайне сложно и дорого, поэтому мы готовы заниматься переобучением имеющихся ресурсов клиента и можем оказать содействие при собеседовании претендентов на должность. Как видите, консалтинг - явление разностороннее.
- Какие факторы могут тормозить развитие направления безопасной разработки и что Ваша компания может предложить в этой части?
- Помимо проблемы с экспертами, есть сложности и с инструментами ИБ, а именно с традиционным набором сканеров - SAST, DAST, SCA, которые должны быть встроены в процесс разработки.
Здесь мы приходим к классической развилке: использовать платные инструменты - дорого, а бесплатные - сложно и неудобно.
Мы, как консультанты, имеем всесторонний опыт: если у заказчика есть платное решение, но не хватает ресурсов и экспертизы, чтобы с ним работать, мы поможем с его корректной интеграцией в pipeline разработки, выстроим процесс тестирования, обучим людей и опишем весь процесс.
Если же платного решения нет, а в связи с ограниченностью бюджета его приобретение не планируется, мы подберем оптимальный набор open source-решений под конкретный технологический стек клиента. В этой модели нашим основным активом является экспертиза в части настройки инструментов. Каждый, кто сталкивался с работой open source-решения, знает, что сканирование провести просто, но сложно работать с его результатами.
Эксперты нашей компании осуществляют настройку инструментария, проводится ряд этапов отработки ложных срабатываний и на выходе, после нескольких месяцев работы системы и ее «тюнинга» в боевых условиях, мы добиваемся результатов в части тестирования ПО и статистики по ложным срабатываниям на уровне платных сканеров, а зачастую превосходим их.
Подводя итоги, отмечу, что мы имеем опыт и экспертизу и планируем активно делиться ей с рынком.
- Спасибо Вам за беседу!
- Буду рад посетить Бишкекский международный финансовый форум - 2026, до встречи!
Справка:
1 Managed Security Service Provider, то есть провайдер услуги «безопасность как сервис». В рамках MSSP-модели мониторинг, управление и защита систем и инфраструктуры клиента осуществляются поставщиком услуг, что позволяет клиенту экономить собственные ресурсы, компенсировать нехватку персонала или экспертизы в вопросах ИБ и концентрироваться на приоритетных бизнес-задачах.
2 Secure Software Development Life Cycle, жизненный цикл безопасной разработки ПО.
Compliance Control - одна из первых консалтинговых компаний в сфере информационной безопасности в СНГ. Была основана в 2012 году и изначально выступала как специализированный аудитор в области безопасности платежных данных и требований VISA и Mastercard. В феврале 2014 года стала первой в мире русскоговорящей компанией, получившей квалификацию VISA для проведения VISA PIN Security аудитов. На данный момент компания входит в международную консалтинговую группу Compliance Control & Rakasta, с офисами в РФ, Казахстане, Узбекистане, ОАЭ и Европе. Основные заказчики компании - представители финтеха, ритейла, маркетплейсов и банковской сферы. Compliance Control оказывает услуги по сертификации и аудиту платежных систем и инфраструктуры, консалтингу, проведению тестирований на проникновение (пентестов), построению SSDLC, внедрению средств защиты и другие.
Compliance Control - ссылка на сайт;
Электронная почта: [email protected]
Тел.: +7 499 136-27-66.
Комментарийлер
Азырынча комментарий жок
Комментарий калтырган биринчи болуңуз!
Комментарий калтыруу үчүн авторизациядан өтүңүз керек.