21.08.2017

Не верь глазам своим или всегда проверяйте резюме своих кандидатов

В последнее время на российском рынке труда в области ИБ не то, чтобы бум, но активно возросла. Многие специалисты уходят с прежних мест и стремятся на новые позиции, зачастую связанные с руководящими должностями. При этом рынок у нас достаточно узкий и все друг друга знают напрямую или через одно-два "рукопожатия". Тем более удивительно, что встречаются уникальные ситуации, об одной из которых я и хотел поведать.

Представьте, что ищите вы человека на руководяoe. роль и получаете солидное резюме, в котором есть вот такой фрагмент.


Согласитесь, что это просто мечта, а не кандидат. И иностранную нормативку он знает (канадская PIPEDA только немного выбивается из общей череды перечислений). И с отечественными регуляторами он на короткой ноге. Лидерские качества присутствуют в большом количестве. А про уникальные компетенции я вооще молчу - я там половины слов и не знаю даже. Раздел "Сертификаты" тоже выше всяких похвал.


 Все бы ничего, но в качестве последнего места работы у этого кандидата было написано вот что:


Поэтому логично, что коллега из компании, куда пришло это резюме, обратился ко мне за рекомендациями. Каково же было его удивление, когда я сказал, что этого кандидата я не знаю и он никогда не работал в Cisco (ни в московском офисе, ни в каком другом). Согласитесь, надо обладать определенной смелостью и, я бы даже сказал наглостью, чтобы такое писать в резюме и рассчитывать, что эта ложь прокатит. Наш мир уж очень тесен, чтобы нельзя было проверить места предыдущих работ кандидата; особенно если места топовые.

История это произошла в прошлом году и я как-то не особо стремился выносить ее на публику, если не бы схожий по сути случай, на который я наткнулся на прошлой неделе. В профиле одного из коллег на Facebook я увидел должность на предыдущем месте работы:


Никакого криминала, если не учитывать, что в эту компанию человеку помогал устраиваться я и повел он себя там не очень красиво. Завалил проект и ушел, написал об этом обычную смску, проработав около месяца. И никакого департамента там тоже не было - человек был один; и швец, и жнец, и на дуде игрец. Зато в профиле и в резюме у него теперь числится "руководитель департамента ИБ". В данном случае проверить этот факт будет сложнее - компания работает в узкой нише, которая к ИБ никакого отношения не имеет и никаких "наших" контактов там нет.

К чему я это веду? Какой-то морали особой не будет. Один раз - это случайность, а два - совпадение. Не хотелось бы столкнуться с третьим разом, когда это уже может стать закономерностью. Хотелось бы призвать коллег, ищущих работу и работников, - не портите карму ложью. Все же всплывает рано или поздно. И хотя в безопасности не может быть доверия, на человеческом уровне оно присутствует. Не стоит подрывать его стремными записями в резюме. Желание найти хорошую работу понятно (а ради красного словца, не пожалеешь и отца), но переступать определенную черту все-таки не стоит.

ЗЫ. Имен не будет (ни тут, ни в личке).

ЗЗЫ. В голове крутилась идея некоего рейтинга руководителей ИБ, но все-таки она так себе. Не все можно загнать в рейтинги и белые списки.

09.08.2017

Закон по БКИИ. Терминологический тупик

В утвержденных СовБезом в 2012-м году основах госполитики в области безопасности АСУ ТП КВО дается такое определение критической информационной инфраструктуры: "критическая информационная инфраструктура Российской Федерации - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий". Можно дисскутировать на тему, хорошее это определение или нет, но оно характеризуется тем, что обозначает критическую инфраструктуру как совокупность АСУ ТП и связывающих их сетей, находящихся в разных секторах экономики и имеющих значение для обороны и безопасности страны.

В утвержденной в День Победы Стратегии развития информационного общества дается иное определение: "критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры между собой". Вроде и тут есть совокупность объектов и связывающих их сетей, но почему-то исключена привязка к назначению этих объектов, как это было сделано в определении выше. Вроде мелочь, но если посмотреть на определение объекта критической информационной инфраструктуры, то мы увидим, что именно там сделана ключевая ошибка, которая загнала авторов закона "О безопасности критической информационной инфраструктуры" в тупик, из которого уже не выбраться. Мы стали заложниками совершенно дурацкого термина, противоречащего не только здравому смыслу, но и международной практике.

В Стратегии говорится, что "объекты критической информационной инфраструктуры - информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности". То есть, объект КИИ - это не то, что влияет на обороноспособность и безопасность страны, а то, что находится в определенных секторах экономики. Например, POS-терминал, стоящий в кассе столовой любого госоргана :-) Вместо того, чтобы отталкиваться от назначения инфраструктуры (системы), авторы (из 8-го Центра ФСБ) решили зачем-то оттолкнуться от отраслевой привязки. Соответственно, КИИ у нас могут быть, согласно Стратегии, только в 13 отраслях, перечисленных в определении выше. Я уже писал раньше, что мне совсем непонятна причина, по которой тоже водоснабжение или телерадиовещании выпали из контроля. То ли лобби у них сильное, то ли по ошибке их забыли включить, то ли авторы посчитали, что указанное определение покрывает и их тоже. Но увы, нет.

Самое главное, что это же определение перекочевало в закон "О безопасности критической информационной инфраструктуры", потянув за собой весь ворох проблем и задавая тон будущим проблемам - при категорировании объектов КИИ и при их защите. Точнее, в законе о БКИИ схожее определение, так как оно там формально, но все-таки отличается от Стратегии. Там идет трехуровневая связь терминов "критическая информационная инфраструктура", "объект КИИ" и "субъект КИИ". КИИ - это объекты (уже без совокупности) и сети, их связывающие. Объекты - это информационные, информационные-телекоммуникационные системы и АСУ субъектов КИИ. А вот уже в определении КИИ идет перечисление отраслей экономики (вновь без привязки к задачами создания информационных систем).


Внимательный читатель (а не внимательному я выделил все пурпурным) обратит внимание, что в двух нормативных актах, между которыми разница всего в пару месяцев, не только разные определения, но и разное их наполнение. В законе о БКИИ исчезли госорганы сами по себе, но добавилась наука и лица, обеспечивающие взаимодействие объектов КИИ. То есть госорганы вроде и есть, но только если они работают в указанных 13-ти отраслях. Например, Российская академия наук относится к субъектам КИИ, а МВД нет. А вот с Пенсионным фондом ситуация не столь однозначная. Вроде он и является кредитно-финансовым учреждением, но при этом он не относится к банковской сфере и к финансовым рынкам вроде тоже. То есть по версии Стратегии развития информационного общества ПФР - это КИИ, а по версии закона о БКИИ нет. Военные тоже выпали из понятия КИИ. То есть если их работа связана с оборонной промышленностью, они в зоне действия закона, а если они просто воюют и обеспечивают оборону страны, то нет. И если атака на деревенскую поликлинику, состоящую из главрача и медсестры, будет квалифицирована по новой статье 274.1, то атака на систему управления войсками или вооружениями - нет. Вот такой парадокс, являющийся результатом непродуманной работы с терминами и нежелания прислушиваться к мнению экспертов, которые об этом говорили, начиная с декабря 2016-го года.

Но это не все терминологические гримасы нового закона. Проблема с термином "КИИ", "объект КИИ" и "субъект КИИ" привела к еще большему разброду и шатанию в российском правовом поле. Ведь термин КИИ находится в прямом подчинении термина "критическая инфраструктура" (если следовать западной терминологии) или "критически важный объект" (если следовать российской и не вдаваться в споры о том, что у нас помимо КВО есть еще стратегические объекты, стратегически важные объекты, опасные производства и т.п.). Но наши творцы закона о БКИИ эту причино-следственную связь нарушили и сделали термин КИИ полностью независимым от объекта, на котором эта КИИ функционирует.


К чему это привело (а точнее приведет)? К тому, что будет полная *опа с категорированием. Если в идеальной ситуации (с сохранением причино-следственной связи) можно было бы сослаться на существующие методики категорирования критически важных объектов и плясать от них (а они, несмотря на их разнообразие, вполне могули бы стать точкой отсчета), то сейчас, увы, придется создавать новую методику категорирования именно объектов КИИ и прописывать в них показатели категорирования исходя из соответствующих критериев - социальной, политической, экономической, экологической и иной значимости. А это значит, что какая-нибудь гидроэлектростанция будет классифицироваться по требованиям МинЭнерго, как объект ТЭК, по требованиям к антитеррористической защищенности, по требованиям МЧС, и еще по требованиям к КИИ. Владельцы таких объектов будут только "рады"; особенно когда поймут, что эти методики используют разные подходы и результаты отнесения к категориям могут не совпадать.

И я вновь задаю риторический вопрос: "Почему в список указанных отраслей не попало водоснабжение, гидротехнические сооружение, ЖКХ и т.п.?" и не нахожу на него ответа. Мне можно возразить, что в ст.7 закона говорится о категорировании на базе критерия социальной значимости, который выражается в оценке возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения. И ЖКХ, и водоснабжение прекрасно ложатся в понятие таких объектов. Да, но... Упускается из виду описанная выше трехуровневая иерархия "КИИ - объект КИИ - субъект КИИ". Категорируется объект КИИ, но не любой, а только тот, который принадлежит субъекту КИИ (это вытекает из определений в законе). А субъект КИИ определяется принадлежностью к одной из 13-ти отраслей, в которой нет ни ЖКХ, ни водоснабжения. Ведь категорирование осуществляется сверху вниз. Сначала определяется "критическая" отрасль, а потом уже собственники предприятий в этих отраслях будут заниматься категорированием. Точка. Вот такое надругательство над здравым смыслом. Водоснабжение в единственном случае попадет под закон о БКИИ, если речь идет о гидротехнических сооружениях, связанных с энергетикой, то есть гидроэлектростанциях, частью которых являются водохранилища, которые также обеспечивают и водоснабжение. В остальных случаях, увы, шлюзы, насосные станции, водоочистка и т.п. не попадут под действие нового закона. А вот водопровод может попасть, потому что трубопроводы - это часть транспортной системы, которая включена в сферу действия закона о БКИИ.

Вот такие хитросплетения и засады с новым законом, необходимость принятия которого назрела давно, но который написан местами просто безграмотно, что еще аукнется нам в самом ближайшем будущем.

ЗЫ. Кстати, еще один интересный момент. Субъектом КИИ является только та организация, которой принадлежит на законном основании (праве собственности или аренды) информационная система или АСУ. А если у организации нет в собственности таких систем и они используются на условиях аутсорсинга?..

08.08.2017

"Код ИБ. ПРОФИ": краткие впечатления

Было бы неправильно не поделиться впечатлениями от прошедшего в конце июля в Сочи "Кода ИБ. ПРОФИ", о котором я уже предварительно писал и программу которого мне довелось курировать. Мероприятие завершилось и прошло оно, на мой взгляд (пусть и местами субъективный), вполне успешно.


Все-таки у такого формата есть своя ниша и даже то, что мероприятие было платным (а у нас не любят платить за ИБ-мероприятия), позволило привлечь на него достойную аудиторию. Да, было не так много участников, но я это объясняю поздним началом привлечения слушателей и местом проведения. Сочи - хоть место и неплохое, но вырваться туда в июле "на работу" не так и просто; начальство завидует и считает, что в Сочи не работают, а отдыхают; да и отпуск уже сформирован. Но несмотря на эти сдерживающие факторы первый "Код ИБ. ПРОФИ" состоялся и даже, раскрою маленький секрет организаторов (надеюсь, это не такая уж и тайна), вышел в плюс, что у первого мероприятия бывает не так уж и часто.


Хочу поблагодарить своих коллег (Наталью Гуляеву, Рустема Хайретдинова, Дмитрия Мананникова, Алексея Качалина, Кирилла Мартыненко, Олега Кузьмина, Андрея Прозорова, Александра Дорофеева), согласившихся вырваться из прохладной Москвы в жаркий Сочи и потратить 4 дня своего драгоценного времени на то, чтобы поделиться своим опытом и практикой со слушателями. Но зато это были полноценные полуторачасовые мастер-классы, которые стали отличительной особенностью "Код ИБ. ПРОФИ" и выделило его на фоне многих мероприятий, где время выступления обычно ограничивается 20 минутами. 


С организационной точки зрения у меня никаких нареканий к мероприятию не было - все прошло на высоте. Экспо-Линк постарался не только организовать деловую часть, но и культурная программа была весьма насыщенной - регата в один день и горное трофи во второй. Могу только предполагать, что будет на следующий год, когда в Сочи пройдет очередной "Код ИБ. ПРОФИ".


Первоначально я должен был выступать с презентацией по compliance management, которую я специально готовил к мероприятию (это тоже было отличительной особенностью "Кода ИБ. ПРОФИ" - контент был представлен уникальный, ранее в таком варианте, нигде не звучащий). Не стоит думать, что я опять рассказывал про нормативные акты и тенденции принятия новых требований по ИБ. Наоборот. Я ставил перед собой задачу рассказать о том, как при таком огромном количестве НПА от разных регуляторов выстроить непрерывный процесс соответствия требованиям. Не эпизодическое изучение новых законов, стандартов или приказов, а выстраивание такой системы в организации, чтобы любой новый НПА безболезненно был внедрен и на его реализацию не надо было бы тратить множество ресурсов - финансовых, временных и людских. В презентации я привел результат анализа практически всех текущих и будущих НПА по ИБ и составил список ключевых требований, который и стоит выполнять в первую очередь.


К сожалению, у нас "отвалился" один из докладчиков, который должен был читать мастер-класс по внутреннему маркетингу ИБ. Эту тему мы плавно интегрировали в мастер-класс по культуре ИБ и повышению осведомленности, а освободившийся тайм-слот я закрыл своим могучим "мозгом", оперативно подготовив презентацию с обзором основных технологических трендов в ИБ, на которые стоит обратить внимание руководителям служб ИБ. Тут были и EDR, и CASB, и NTA, и UEBA, и системы симуляции атак, и обманные системы, и программно определяемая сегментация и т.п. В течении полутора часов попробовал рассказать о том, что из себя представляют все эти новомодные продуктовые аббревиатуры и на что обращать внимание при их выборе.


Презентации выкладывать не могу по условиям мероприятия, но доступ к ним возможен для тех, кто готов это оплатить. В стоимость такого доступа входят не только все 11 презентаций, но и видео всех докладов. Это, конечно, не заменит культурной программы, вечерних прогулок вдоль набережной и дебатов экспертов, но, как минимум, сможет прикоснуться к деловой программе и почувствовать себя участником "Код ИБ. ПРОФИ". 

04.08.2017

Symantec и Nevis Networks продают часть своих бизнесов

1 августа американская Qualys анонсировала сделку по покупке части активов американской Nevis Networks, связанные с анализом сетевого трафика и планируемые к интеграции в Qualys Cloud Platform. Сумма сделки не разглашается.

2 августа американская DigiCert анонсировала покупку за 950 миллионов долларов бизнеса Web Security / PKI у компании Symantec. С одной стороны Symantec хочет сконцентрироваться на своих других направлениях бизнеса, особенно после июльских покупок Fireglass и Scycure, а с другой после скандала с сертификатами для Google и последующим решением Google об отказе от сертификатов Symantec в Chrome, сертификатный бизнес Symantec пошел на убыль.