28.11.08

Оценка эффективности ИБ

Второй презентацией, которую я прочитал в Киеве, была "Оценка эффективности информационной безопасности". Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон - ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).

27.11.08

Позиционирование ИБ в условиях кризиса - 2

Сегодня читал презентацию по позиционированию ИБ в условиях кризиса в Киеве и поскольку было много вопросов, решил выложить ее тут. В целом подход очевиден - традиционные решения и проекты надо преподносить по другому и увязывать их не с борьбой с виртуальными угрозами, до которых многим сейчас просто нет дела, а с реальными бизнес-потребностями - снижением операционных затрат, ростом продуктивности, снижением капитальных затрат и т.п.

Cisco Security and Crisis
View SlideShare presentation or Upload your own.

24.11.08

Позиционирование ИБ в условиях кризиса

В четверг проводили Webinar о позиционировании решений по ИБ в условиях кризиса. Получилось достаточно интересно, на мой взгляд. Позволяет посмотреть на ИБ не с точки зрения собственно защиты, а с точки зрения достижения целей, которые ставит руководство перед всеми отделами - снижение операционных и капитальных затрат, повышение продуктивности и т.п. Разумеется, есть свои нюансы, но все равно информация может быть полезной в текущих условиях.

Длительность Webinar'а: 54 минуты.

ЗЫ. Просмотр с помощью WebEx Player, который можно скачать по ссылке выше. Сам Webinar можно скачать к себе на компьютер.

20.11.08

Новый Указ Президента

Президент подписал новый Указ от 17.11.2008 №1625 "О внесении изменений в некоторые акты президента Российской Федерации". Суть проста - ряд ведомств, таких как ФСБ, ФСО, МО и др. получили право самостоятельно устанавливать требования по защите информации в продукции, поставляемой для нужд данных ведомств.

Интересен 7-й пункт про ФСТЭК. Теперь "требования в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющихгосударственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа", которые разрабатывает ФСТЭК, названы обязательными. Правда, теперь, как я понимаю, требования по ИБ могут разрабатываться только в виде технического регламента.

18.11.08

Закончился межотраслевой форум директоров по ИБ

Вчера я выложил свою презентацию с межотраслевого форума директоров по ИБ. Сейчас дошли руки и до общих впечатлений. Надо сказать, что первый день мероприятия удался; надеюсь второй тоже не подкачает.

Из интересных докладов могу отметить Курило А.П., который сказал, что внедрение Базель II в России и до кризиса было под вопросом, а теперь и подавно. Несмотря на внедренные практики управления рисками, мировая банковская система ничего не смогла противопоставить финансовому коллапсу. Г-жа Волчинская как обычно дала обзор законодательства по ИБ выпущенного в последнее время и того, что планируется сделать. Про это я написал уже на bankir.ru (тут и тут). Дима Костров из МТС приводил интересные слайды про обоснование инвестиций в ИБ (вплоть до расчета ROI). Представитель ФСТЭК не сказал ничего нового (такое впечатление, что они читают доклады по одной и той же бумажке). Как всегда самое интересное было в вопросах и ответах. Интересная точка зрения была высказана Велигурой из АРБ. Он говорит количественная оценка рисков - это все фигня и никому не нужно. Типа любого специалиста с точки зрения рисков интересует только ответ "да" или "нет" и все. Хотя при чем тут тогда риск, если у вас всего два значения 0 и 1 (риск либо есть, либо нет) не совсем понятно? На вопрос из зала про связь рисков с Business Impact Analysis так никто внятно и не ответил. А на вопрос Галины Большовой из ИнформКурьерСвязи, почему АРБ не может разработать методику оценки стоимости ущерба хотя бы для банков, представитель АРБ только развел руками. Вот вкратце и все из интересного. Не на всех секциях я смог присутствовать - не было меня на персданных. А там было что-то интересное ;-) Были представители ФСБ и его завалили вопросами (на час больше запланированного). Кто был, может расскажете?

Хочется заметить, что последние мероприятия по ИБ становятся более качественными. Всего за год с моей критической заметки ситуация меняется коренным образом. Появляется пул докладчиков, которым не только есть, что сказать, но они еще и могут это сказать красиво ;-) Организаторы поняли, что слушателям неинтересно внимать рекламе вендоров - гораздо полезнее узнать что-то новое из уст таких же как и они практиков. Поэтому руководителей и сотрудников служб ИБ среди выступающих становится все больше и больше. И это правильно.

ЗЫ. Презентации с форума обещали выложить в течении недели-двух.

17.11.08

Аутсорсинг ИБ в России - миф или реальность

Как и обещал выкладываю свою презентацию на сегодняшнем форуме директоров по информационной безопасности, посвященную вопросам аутсорсинга ИБ в России.

О спаме

В Интернете сейчас активное обсуждение моих мифов, в частности о спаме. Одним из "наездов" на миф, является якобы устаревшие сведения о частоте покупок по спаму. В качестве примера все ссылаются на последнее исследование, согласно которому на 350 миллионов спамовых сообщений количество покупок составило всего 28 случаев. Т.е. существенное отклонение от данных Radicatti 2005-го года. И все сразу стали тыкать меня носом в неактуальные данные.

А теперь посмотрим на само исследование, а не на выжимку из него. Что написано в разделе "Выводы"? Буквально следующее: "We would be the first to admit that these results represent a single data point and are not necessarily representative of spam as a whole. Different campaigns, using different tactics and marketing different products will undoubtedly produce different outcomes. Indeed, we caution strongly against researchers using the conversion rates we have measured for these Storm-based campaigns to justify assumptions in any other context".

Иными словами, считать эти результаты истиной в последней инстанции по меньше мере некорректно; в иных условиях и цифры будут совершенно иные.

Мы теряем русский язык или поколение NEXT добралось и до ИБ

Когда-то был в моде слоган "Поколение NEXT". Сейчас у нас поколение, для которого я придумал термин "поколение SMS". А все потому, что мы привыкли общаться укороченными словечками, фразами, как по SMS. Если раньше это было уделом молодежи, то сейчас это явление добралось и до информационной безопасности.

Все чаще в статьях и выступлениях российских специалистов по ИБ встречаются такие слова, что волосы на голове встают дыбом. Всего за один день я услышал три новых для себя слова:
- профилактировать - по русски это значит заниматься профилактикой
- бюрокрачить - процесс занятия бюрократией
- контрактация - процесс заключения контракта.

Мы теряем наш родной язык и это грустно ;-(

14.11.08

Еще один ресурс по персданным

Еще один ресурс появился по персональным данным - сайт www.fz152.ru. Запущен самарской ассоциацией "Электронные системы".

11.11.08

Несмотря на шествующий по миру кризис, который коснулся и ИТ/ИБ, аналитики считают, что в условиях смены роли ИТ на предприятии, некоторые позиции/должности/роли на нашем рынке будут востребованы как никогда. В частности Forrester называет экспертов по ИБ - самой востребованной специальностью на ближайшие годы.

9.11.08

О высокопарности, экономике и российских разработках

Прочитал тут одно интервью, в котором директор одной из российских компаний ратует за то, чтобы потребители покупали продукцию в области ИБ именно российского производства. Какие причины названы? Их три:
  • уход от зависимости от западного производителя (как будто зависимость от нестабильно стоящего на ногах российского разработчика лучше)
  • цена на российское ПО ниже (правда функциональность и качество тоже страдают)
  • вы вкладываете деньги в российскую экономику и деньги не уходят зарубеж.
Вот последний пункт меня и заинтересовал. А насколько он вообще правилен? Ведь мы часто слышим про поддержку отечественного производителя. И если не брать в расчет остальные причины и коснуться только ратования за нашу экономику, то ситуация выглядит не так уж и очевидно, как об этом обычно пишут.

Возьмем в качестве примера двух производителей средств защиты - западного и российского (настоящие имена не так важны). Первая компания в России зарабатывает на продаже своих решений около 60 миллионов долларов (цифра вполне реальная). Но это те деньги, которая она получает. На самом деле ее решения продаются на сумму около 100-120 миллионов долларов, т.к. прямых продаж в России она не ведет (это стандартный путь для большинства западных вендоров в области ИБ) и все сделки идут через партнеров, которые обычно имеют от 30 до 50% скидки. Российский разработчик зарабатывает на продаже только своих продуктов около 10-15 миллионов (это высшая планка на сегодняшний день для Топ5 российских компаний); остальные доходы ему приносят перепродажа западных решений и услуги. Итак на чаше весов у нас две цифры - 120 и 15 миллионов долларов. Из первых 120-ти 60 ушло на Запад, а 60 осталось в России. В отечестве в первом случае остается 60 миллионов, во втором - 15. И кто больше поддерживает российскую экономику?

А если бы западный вендор получил право продавать самому? Тут возможно два сценария. Первый - фантастический. Вендор продает все сам, минуя партнерскую сеть. В этом случае все деньги получает он. Но... не менее 30% он отдаст государству напрямую в виде налогов. Т.е. при 120 миллионах это будет 40 миллионов долларов (опять больше 15 миллионов, которые получит российская компания; а ведь налогов она отдаст гораздо меньше). Второй сценарий более реалистичный. Продажи будут идти в соотношении 70/30 или 80/20 в пользу партнеров. В этом случае (при 70/30) западный игрок отдаст 14 миллионов в качестве налогов, а еще 40 миллионов заработают партнеры, т.е. в России останется 54 миллионов.

Разумеется я утрировал немного свои расчеты, но в целом логика верна. Я сравнивал лидеров рынка западного и российского происхождения. Если брать иностранных середнячков или даже аутсайдеров, то конечно при прочих равных вкладывать в российскую продукцию лучше (если вы конечно патриот и верите, что ваши деньги вкладываются в экономику, а не кладутся за счет в швейцарском бынке). Ситуация в пользу российского производителя изменится только тогда, когда его обороты сравняться с западными игроками.

ЗЫ. Я не ратую за приобретение только западного продукта. Исходить надо из конкретных задач и возможностей, а уж на кого попадет перст судьбы - отечественного или зарубежного производителя не так важно.

6.11.08

Завершилась конферения DLP Russia 2008

Конференция DLP Russia 2008, организованная компанией Infowatch, завершилась. Мероприятие мне понравилось ;-) Достаточно неожиданно было увидеть среди участников почти всех серьехных игроков этого рынка - Infowatch, Trend Micro, Verdasys, Symantec (Vontu), Mcafee, Websense. Из западных игроков не было только EMC, а российских (Perimetrix, Device Lock и т.д.) не было вообще. Т.е. тусовка получилась представительная.

Из докладчиков (если не брать рекламодателей и откровенно посторонних людей) понравились почти все. Неплох был Рич Могул, который всю технологию DLP разложил по полочкам, указал на критерии выбора решений, описал пошагово процедуру. Очень толково. Жаль только времени у него было мало, чтобы рассказать все. Но зато есть его whitepaper, которая все это расписывает. Достаточно интересным был рассказ француза из Kroll Ontrack про расследование инцидентов (forensic) - незаезженная тема. Хотя я пока не вижу ее массового распространения в России.

Но тема конечно находится еще в стадии становления; как и весь рынок ИБ в России. На круглом столе я задал вопрос экспертам, многие ли из них используют DLP в своих компаниях. Из 9-ти человек положительно ответили 7. А вот на вопрос: "Как вы измеряете эффективность внедрения с точки зрения ИТ и финансового директора?" не ответил никто ;-( Т.е. люди внедряют решения, но не могут обосновать их эффективность ни с точки зрения эксплуатации, ни с точки зрения инвестиционной привлекательности данного проекта для CFO. В целом такая же ситуация складывается и по другим направлениям ИБ в России (и, видимо, не только в России). Показательны слова Рича Могула на просьбу из зала порекомендовать решение под конкретную задачу. Одним из наводящих вопросов был "А какой ваш бюджет?" Т.е. он исходил не из потребностей организации, под которые нужно предложить решение, а из имеющегося бюджета, которые надо освоить ;-)

Мероприятие было душевное - полезная информация, приятные люди, встреча со сторыми знакомыми... Все это признаки хорошего мероприятия.