четверг, 6 сентября 2012 г.

О доверии на рынке информационной безопасности

Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.

Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:

Сертификация. Почему по моему мнению это не работает я уже писал тут. В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).

Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).

Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым.  Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.

Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант. 

Вот выдержка из Wikipedia:

It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers.   (полный текст)
 
Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует. 

Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.

Каков же вывод ?  На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.

6 комментариев:

  1. Двумя руками ЗА независимую оценку, только на данном этапе независимость у нас невозможна в принципе, даже в отношении государственных институтов этого нет. Начнем с того, за счет чего будут кушать эти независимые компании? Добровольные взносы потребителей? Сомнительно.

    ОтветитьУдалить
    Ответы
    1. Плохой пример с S&P и Moody's выбрал. Они Lehman Brothers наивысший рейтинг выставляли, причем знали, что те уже год как в состоянии дефолта. Это доказывается еще и тем, что руководство агентств одновременно с выставлением высоких рейтингов слоивали и шортили Lehman Brothers. Не дай Бог нам такие "объективные" агентства.

      Удалить
    2. Сергей, действительно ключевой вопрос в том, откуда будут брать деньги компании, которые будут давать независимую оценку.

      Удалить
  2. А так ли уж важна независимая оценка каких-то там интеграторов и консультантов, когда достаточно просто финансово привязать исполнителя услуги к сумме потенциального ущерба (неважно за счет "кривости" СЗИ, штрафов регулятору, выплат пострадавшим), точнее даже не потенциального, а реального в случае его возникновения...
    Иными словами, почему бы исполнителю не начать нести обязательства по _гарантийным_ случаям нарушения ИБ.

    С ув. Turkish

    ОтветитьУдалить
  3. А вы сможете доказать, что это произошло именно по причине действия /или бездействия интегратора, а не по причине действия / или бездействия, а может и халатности, сотрудников организации-заказчика, либо из-за органичений проекта, в рамках которых действовал нанятый интегратор ?

    Думаю у таких судебных разбирательств перспективы довольно мутные.

    ОтветитьУдалить
  4. Про независимую оценку - прямо моя бизнес-идея двухлетней давности:) Только не общедоступная информация, а оказание соответствующих услуг за деньги. Вот сразу и деньги для компании:)

    ОтветитьУдалить