О доверии на рынке информационной безопасности

Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.

Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:

Сертификация. Почему по моему мнению это не работает я уже писал тут. В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).

Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).

Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым.  Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.

Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант. 

Вот выдержка из Wikipedia:

It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers.   (полный текст)

 

Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует. 

Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.

Каков же вывод ?  На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.

Не пора ли коллеги что-то менять ? продолжение...

Как известно:  "сказал А, говори Б".  Поэтому не хотелось поднимать в своем блоге другие темы, пока не будет ясности с тем вопросом, который я поднял в предыдущем посте. 

Итак, делюсь первичной информацией.  Что мы имеем ?  В ближайшее время мы ожидаем появление постановлений правительства, которые должны разъяснить нам подходы к обеспечению защиты информации, содержащей персональные данные. Наша задача: вовремя обнаружить проект, проанализировать и если он окажется полной ересью, то начать звонить во все колокола и сделать все, чтобы ересь не прошла. 

Чтобы вовремя обнаружить проекты потребуется мониторить ресурсы ФСТЭК и ФСБ, т.к. эти ведомства публикуют проекты постановлений правительства (я пока не нашел документ, который обязывает их это делать, но пока они эту обязанность соблюдали).  Приглашаю всех, кому не все равно начать мониторить сайты указанных ведомств и как только там что-то засветится, сразу же скопировать (пока не закрыли доступ) и распространить через блоги или форумы. 

Сайт ФСТЭК - http://fstec.ru/_lenta/_lno.htm

Сайт ФСБ - http://www.fsb.ru/fsb/npd/prna.htm

Кстати, на сайте ФСТЭК на днях опубликовали проект постановления правительства, разработанный под закон "О национальной платежной системе". Комментировать его сейчас не буду, тема другого поста. 

Идем дальше, для борьбы с возможной ересью в постановлениях правительства у нас есть целых 2 (как оказывается) вполне правовых метода:

1) Антикоррупицонная экспертиза

Данная экспертиза проводится Минюстом. Как только документ поступит в Минюст они обязаны будут повести его экспертизу о чем заявят на своем сайте (тут).  Для того, чтобы у нас была возможность участвовать в этой экспертизе потребуется пройти аккредитацию как независимого эксперта (порядок аккредитации описан тут).  Стать таким экспертом может любой, дерзайте господа ! 

Вот краткая информация о том, что такое "антикоррупционная экспертиза":  

В соответствии с ФЕДЕРАЛЬНЫМ ЗАКОНОМ от 17 июля 2009 года №172-ФЗ «ОБ АНТИКОРРУПЦИОННОЙ ЭКСПЕРТИЗЕ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ПРОЕКТОВ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ» экспертиза проектов нормативных правовых актов и иных документов в целях выявления в них положений, способствующих созданию условий для проявления коррупции (далее – экспертиза на коррупциогенность), проводится в отношении:

проектов федеральных законов, указов Президента Российской Федерации, постановлений Правительства Российской Федерации, разрабатываемых федеральными органами исполнительной власти, проектов нормативных правовых актов федеральных органов исполнительной власти, затрагивающих права, свободы и обязанности человека и гражданина, проектов нормативных правовых актов федеральных органов исполнительной власти устанавливающих правовой статус организаций или имеющих межведомственный характер, концепций и проектов технических заданий на разработку проектов федеральных законов, проектов федеральных законов, поступивших для подготовки проектов официальных отзывов и заключений Правительства Российской Федерации на проекты федеральных законов, а также проектов поправок Правительства Российской Федерации к проектам федеральных законов.

Институты гражданского общества и граждане могут в порядке, предусмотренном нормативными правовыми актами Российской Федерации, за счет собственных средств проводить независимую антикоррупционную экспертизу нормативных правовых актов (проектов нормативных правовых актов). Экспертиза на коррупциогенность проводится аккредитованными в установленном порядке Министерством юстиции Российской Федерации юридическими и физическими лицами (независимые эксперты), принявшими решение о ее проведении, в соответствии с методикой проведения экспертизы проектов нормативных правовых актов и иных документов.

Независимая экспертиза на коррупциогенность проводится в инициативном порядке за счет собственных средств.

По результатам независимой экспертизы на коррупциогенность составляется экспертное заключение, которое направляется федеральному органу исполнительной власти – разработчику проекта документа.

В заключении по результатам независимой антикоррупционной экспертизы должны быть указаны выявленные в нормативном правовом акте (проекте нормативного правового акта) коррупциогенные факторы и предложены способы их устранения.

Заключение по результатам независимой антикоррупционной экспертизы носит рекомендательный характер и подлежит обязательному рассмотрению органом, организацией или должностным лицом, которым оно направлено, в тридцатидневный срок со дня его получения. По результатам рассмотрения гражданину или организации, проводившим независимую экспертизу, направляется мотивированный ответ, за исключением случаев, когда в заключении отсутствует предложение о способе устранения выявленных коррупциогенных факторов.

2) Оценка регулирующего воздействия

Такое у нас оказывается тоже есть :). Проводится данная оценка Департаментом оценки регулирующего воздействия Министерства Экономического Развития РФ. Причем, чтобы принять в этой оценке участие даже не требуется иметь аккредитацию !  

Вот кстати пример оценки, проведенной недавно в отношении проекта постановления, подготовленного ФСБ, по поводу лицензирования деятельности, связанной с криптографией. 

А вот слова В.В. Путина о данной оценке: "Сам институт оценки регулирующего воздействия (…) рассматривался как своеобразный фильтр против появления в правовых и ведомственных актах разного рода барьеров и ограничений, которые сковывают (или могут сковывать) работу бизнеса, влекут для него дополнительные издержки."  Ну золотые слова, именно то, что надо!

Итого, надо отслеживать появление анонсов о проведении оценки соответствующего постановления правительства на сайте МЭР (вот тут). И далее писать, писать, писать..... самое главное по утвержденной форме :)

Вот пока это все предварительные итоги. Если у вас, уважаемые читатели, есть что дополнить или поправить, оставляйте комментарии. Это действительно важно ! 

Не пора ли, коллеги, что-то менять?!

Одним из топовых постов последних дней в ЖЖ являтся сообщение Татьяны Лазаревой, посвященное ее отношению к тому, что происходит в нашей стране.

Сообщение мне лично очень понравилось, приведу несколько купюр:

.....То есть, типа, тебя не коснулось лично – и не лезь? Моя хата с краю, можно, я тут еще немножечко поиграю? А не кажется никому, что нас просто тупо приучили к тому, чтобы мы не высовывались? Это уже в хребте нашем, и не только нашем – от бабушек и дедушек, через родителей - живет, укрепляясь, не имея сопротивления. А зачем сопротивляться? Ведь все хорошо? Ну а если это все хорошо заканчивается, когда выходишь за пределы своей обставленной квартиры-дачи, отличной машины, оплаченной школы и больницы? Если ты видишь, что вокруг нечеловеческая нищета, нищета моральная, бездушие и беззаконие? Если ты это вдруг замечаешь – то у тебя есть два выхода: сделать вид, что этого ничего нет и вернуться в свою норку под одеяло первого, второго и далее каналов; или сказать себе: тут что-то не так и мне это не нравится......

.....Я сама панически боюсь системы, беспредела и беззакония, меня никогда не учили, не только тому, как с ними бороться, но даже просто тому, как с ними общаться. И я не умею с ними общаться и всячески избегаю. Мой девиз всегда был «Подальше от начальства, поближе к кухне». И это не единственный мой страх, я конечно же боюсь все потерять, я конечно же боюсь за своих детей. Но я не хочу видеть, как они будут жить в таком же страхе, это для меня еще ужаснее......


Рекомендую всем прочитать пост Татьяны полностью.

Я не буду говорить сейчас о политике, хоть этот блог и мой личный, но он все же посвящен вопросам информационной безопасности. Поэтому давайте взглянем на нашу отрасль. Все ведь выходит довольно схоже.  


Те же принципы у многих - моя хата с краю. Тот же страх, который видимо многие из нас впитали вместе с молоком матери (я тоже родился в СССР). То же самое нежелание сопротивляться. Даже когда наши регулирующие и проверяющие органы  нарушают элементарные нормы закона, когда эти самые законы пишутся  в полном противоречии с тем, что уже имеется. Когда существуют двойные стандарты, когда степень маразма зашкаливает порой настолько, что просто тушите свет,  и прочее... прочее.... прочее....

И мне если честно надоело, что все это объясняется простым "ну мы ж в России живем". Так в том то и дело, что здесь живем, и жить дальше нам, и нашим детям (я про своих по крайней мере так могу сказать).  А значит надо что-то менять.

Страшно ли мне ?  Есть немного ! Конечно же на нашем поле не играют по-крупному (огромными деньгами, жизнями и проч.), поэтому не стоит строить из себя тут революционеров. Я не говорю о страхе за жизнь.... у нас все значительно прозаичнее...  многие из нас молчат, потому что боятся подставлять свои компании... боятся за свои карьеры, за хорошие зарплаты...   Я был одним из тех, кто подписывал "письмо пяти" президенту. Поверьте, незаметно это конечно же не прошло (хотя и серьезных последствий все же не было, а это кстати показатель того, что действовать надо!).

Разве мы не хотим работать ?  Хотим ! Разве мы не хотим, чтобы наша отрасль развивалась, а вопросам безопасности уделялось больше внимания на уровне государства и бизнеса ?  Хотим ! Но чтобы это достигалось не теми методами, которые используются сейчас !

Мы слишком долго молчали, летом 2011 г. наконец-то прорвало, но мы проиграли (я про принятие поправок в 152-ФЗ). Проиграли потому что слишком поздно спохватились... эффект был, но реакция была слишком запоздалой (особенно со стороны разного рода сообществ, но это отдельна тема).... и Система выстояла.

Что теперь?  Будем ждать новых документов, в которых "по желанию общественности будет сохранена преемственность с прежними документами" (думаю все понимаю что это значит copy/paste), а потом хвататься за голову, возмущаться... ворчать по блогам ?  Я убежден, что нам необходимо найти механизмы общения с нашими регуляторами и более того .... механизмы ВОЗДЕЙСТВИЯ на регуляторов. Мне почему-то кажется, что они есть.  Причем это должны быть как механизмы разного рода сообществ и партий, так и механизмы индивидуального воздействия широких масс (это я так обозвал методы работы по принципу А. Навального, т.е. писать много, в разные инстанции большим количеством людей).

Пора, коллеги, (господа, товарищи, как изволите) занимать активную позицию. Если вы работаете в отрасли ИТ, то не думайте, что "ваша хата" будет с краю.... не будет.... все в одной лодке. 

О пользе общения и обмена опытом

Прочитал тут на днях пост в одном англоязычном блоге. Весь его здесь приводить не буду, только фрагмент:

We don’t comment anymore. We don’t blog back anymore. 

People are blogging and putting their 2 cents into the conversation, but no one is repsonding. Oh, maybe they respond on twitter, on but it doesn’t make it into the blog. Blogging has always been and will always be a two way street. A blog should be a multi-party conversation with the blogger putting forth his ideas and others responding. They can agree, disagree, or concur, but they put their thoughts into the conversation. One of the great things about reading a hot blog post was following the thread of comments, that was where the real action took place. Whether it was a Rothman post on Security Incite/Securosis or Tom Pcatek on Matasano, a good threat with 50 comments kept you reading for more.

What about you? Are you ready to rejoin the conversation? If so, head over to your favorite security blog and join in. Or better yet, write a blog in response to someone else’s blog. It starts with you and you and you.

Суть этого сообщения сводится к тому, что автор сожалеет о том, что многие перестали оставлять комментарии в блогах, хотя обсуждение, которое возникает вокруг тех или иных мыслей в блоге, как правило становится дажее более ценным, чем само сообщение.  И именно о снижении интенсивности такого рода общения и сожалеет автор.

Я хотел бы взглянуть на этот вопрос несколько шире с учетом нашей, отечественной специфики.  На мой взгляд нашему сообществу (специалистов по инфобезопасности) не хватает общения, в том числе способствующего обмену опытом.  Почему в последнее время почти все, кто посещает разного рода конференции или выставки, говорят о бесполезности этих мероприятий ? Да потому, что практически редко удается услышать что-то полезное для себя. И это отчасти понятно. Чаще всего на этих мероприятиях выступают представители коммерческих организаций, которые заплатили за доклад, и они естественно в определенном смысле ограничены в формате и содержании выступления.  

И получается, что с одной стороны, организаторы не горят желанием звать людей, которые выступят просто так, да и желающих выступить тоже не так много, как мне думается (вот она, наша пассивность). 

Из форумов, в которых идет хоть какое-то профильное общение, лично я могу выделить только форум на bankir.ru (я здесь опускаю форумы чисто хакерской направленности, суть которых как правило заключается в обмене информацией для совершения нелегальных действий), но сам по себе формат форума не всегда подходит для обмена практическим опытом.

Тут конечно же надо честно признаться, что и я сам в последнее время не проявлял особой активности в сети.... но обещаю исправиться :)

Собственно я призываю всех проявлять бОльшую активность. Заводите собственный блог, комментите в чужих блогах (по делу конечно же), пишите в форум, социальную сеть...... может быть, если интересно, то вступайте в пока незарегистрированную партию ИТ. В общем проявляйте активность. Активное сообщество значительно сложнее прогнуть и навязать применение неадекватных норм (думаю все понимают о чем я).

Вы не согласны со мной ?  Давайте поспорим ! Пишите в комменты. 

P.S. Кстати, есть у кого-то мысли о том, какая площадка могла бы стать полезной для обмена опытом ?  

Налоги vs. инновации

Не могу не высказаться, коллеги. Видимо приближающиеся выборы в Госдуму (а далее и президентские) так на меня действуют :)

Возможно некоторые из вас уже в курсе последней инициативы Минфина, о введении дополнительного налога на "богатых", т.е. тех, чей годовой доход превосходит 512 тыс. руб. Вообще сумма конечно странная почему именно 512 ? не 500, не 510, не 520, а именно 512. Мне как человеку, получившему инженерное образование, это сразу напомнило 2 в 9 степени, в бинарной системе это число представляется как 1 000 000 000. Может что-то там напутали с цифрами ? Хотели миллиард, а получили 512 тыс. ? :)

Но это конечно же шутка, а если серьезно, то вот чем меня это конкретно смущает. По кому это ударит в первую очередь ? Конечно же не по богатым людям. Они уж извините не на зарплату живут и налог (если и платят), то только подоходный. Я считаю, что этот новый налог в том числе ударит на инновационные бизнесы в области высоких технологий, куда я отношу и компании, работающие в области ИТ и ИБ.

Ведь для того, чтобы эффективно конкурировать с западными компаниями нашим потребуется обеспечить сопоставимый уровень дохода. Давайте посмотрим сколько может заработать хороший специалист по ИБ, решивший свалить за рубеж.

По данным портала myinfosecjobs.com специалист по информационной безопасности, например, в Англии может рассчитывать на оклад около 50-60 тыс. фунтов в год (это так между прочим 2,5 млн. рублей).

Т.е. это означает, что для обеспечения конкурентных условий, потребуется оклад явно превышающий 512 тыс. рублей, а это повлечет за собой дополнительную налоговую нагрузку. О каких инновациях и конкуренции с другим миром мы тогда говорим ?

P.S. Кстати это нововведение повлияет и на каждого из нас, ведь работодатель в любом случае захочет как-то снизить эту самую налоговую нагрузку (а способы у всех разные).

P.P.S. Да простят меня коллеги из регионов, я понимаю, что мои слова могут быть восприняты как возмущение зажравшегося москвича. Я понимаю, что 45 тыс. в месяц за пределами МКАД вполне себе неплохая зарплата, но ведь это надо же менять, а доп. налоги этому явно не способствуют.

Дополнение: заметка по теме в блоге М. Прохорова