tag:blogger.com,1999:blog-4065770693499115314.post6767136874750223859..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Мнение нобелевского лауреата о рынке ИБАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-4065770693499115314.post-55738985452863508712009-07-20T14:41:30.361+04:002009-07-20T14:41:30.361+04:001. Если внимательно почитать ПП-957, то на обслужи...1. Если внимательно почитать ПП-957, то на обслуживание СКЗИ (ДАЖЕ для внутренних нужд) нужна лицензия ФСБ. И последние это подтверждают.<br /><br />Про ФСТЭК я же написал - пытаются. А если бы им законодательно запретили лезть за пределы информации, как госсобственности, то они бы и не пытались.<br /><br />2. Если бы регуляторы не лезли в коммерческую область, то вы были бы правы. Но так они заставляют аттестовываться вас по своим требованиям. И им наплевать на все остальные.<br /><br />3. Вот именно. Именно поэтому я и говорю про ДОБРОВОЛЬНУЮ сертификацию.<br /><br />4. Я ратую за то, чтобы потребитель САМ решал, надо ему аттестовываться или нет. Задача регулятора - вырабатывать РЕКОМЕНДАЦИИ.<br /><br />5. Речь идет о гарантии качества, а не гарантии ИБ.<br /><br />Про сертификацию я уже написал (как и Акерлоф). Обязательная - это зло. Добровольная (реально добровольная) - это дифференциатор.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77181223811932601802009-07-20T12:39:56.805+04:002009-07-20T12:39:56.805+04:001. Можно пример не вмешательства? Сейчас ФСБ регул...1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию.<br />- ФСБ регулирует услуги. Никто не мешает ВНУТРИ шифровать всё, что угодно. И, надо сказать, такие услуги реально мало кому нужны.<br /><br />ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К.<br />- для кого СТР-К обязателен? Кого это касается? К счастью, пока немногих.<br /><br />2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое<br /><br />- если кому-то хочется соответствовать ISO 27001, то какой регулятор запрещает это делать? Регулятор регулирует весьма узкую область ИБ. Она расширилась с введением ПДн, но тем не менее ограничена. Если виды информации, доступ к тоторым ограничен по закону. И естественно, что средства и методы этих ограничений также прописаны. Если регуляторы примут за основу те же Общие критерии, то все равно, они будут так или иначе переписаны (глядя на политику формирования ГОСТов - скорее всего не очень сильно). И поводов для критики не уменьшится.<br /><br />3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.<br /><br />- ЛЮБАЯ сертификация - это дополнительная стоимость. Мне как покупателю непонятно, что я получу за свои деньги. Был просто Cisco ASA - стал сертифицированный. НИЧЕГО не изменилось, кроме цены. Кстати, а как в мире дела обстоят? ЦРУ/ФБР/АНБ сертифицирует технику для комм организаций? Или обходятся "общественными" лабораториями?<br /><br />4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.<br /><br />- ну можно сделать обязательной сертификацию по какому-то профильному ISO по ИБ. Еще неизвестно что дешевле будет, по СТР-К аттестат получить, или в BSI сходить на ISO 27001 сертифицироваться.<br /><br />5. А что вы понимаете под "повышать уровень гарантий"? Законодательно? Зачем? И как? Я был бы не против заставить Касперского гарантировать защиту от вирусов, но боюсь это технически невозможно (я имею в виду невозможно реально обеспечить такую гарантию). <br /><br />На мой взгляд лучше, чтобы область госрегулирования хотя бы не расширялась. Выбрать "хорошее" решение или поставщика и без сертфикации не так уж сложно. Если вы хорошо понимаете предметную область - можно сэкономить, выбирая вендоров "не на слуху" и оценивая услугу лично.<br />Не понимаете или не доверяете себе - выбирайте громкое имя. Ничего нового кстати. Разбираетесь в производстве телефизоров - покупаёте продукцию того конкретного завода, который по вашей информации правильный. не разбираетесь - покупайте Sony (или еще кого-то). <br />Сертификация товаров или тем более услуг ничего кроме монополизации не даст. Игроки типа StoneSoft еще на 5 лет отложат вход на рынок. Многие мелкие консультанты ИБ вообще прекратят своё существование. А "киты" рынка получат любой сертификат и возложат его стоимость на покупателя.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25982165758135467282009-07-20T12:01:17.759+04:002009-07-20T12:01:17.759+04:001. Можно пример не вмешательства? Сейчас ФСБ регул...1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию. ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К. Попытки уйти от этого не говорят, что этого нет.<br /><br />2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое.<br /><br />3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.<br /><br />4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.<br /><br />5. В каждом конкретном случае - это повод для злоупотреблений. А то, что это сейчас никому не нужно, - лишний раз доказывает правоту Акерлофа, который отметил, что поэтому на развивающихся рынках работать сложно. Локальным игрокам в массе своей наплевать на качество, гарантии и репутацию.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38503122338423127052009-07-20T11:17:19.848+04:002009-07-20T11:17:19.848+04:00Со многим из выводов не согласен:
1. Исключить вме...Со многим из выводов не согласен:<br />1. Исключить вмешательство государства в вопросы регулирования ИБ для широкого спектра приложений (...) <br />- а сейчас вмешивается разве? Можно пример? Кроме ПДн есть еще что-то?<br />2. Принять международные стандарты в области ИБ или гармонизировать с ними отечественные требования ("Общие критерии" подходят для этого как нельзя лучше) <br />- кто мешает бизнесу прямо сейчас начать соответствовать хоть марсианским стандартам? Как данное пожелание согласуется с п. 1 кстати?<br />2. Превратить сертификацию средств защиты из обязательной в добровольную, сделав её реальным дифференциатором и ключевым отличием от конкурентов.<br />- то есть сейчас она обязательна? Для кого и в каких случаях:<br />3. Запустить процесс появления саморегулируемых организаций, самостоятельно вырабатывающих требования по ИБ для отдельных отраслей, исключив из процесса орган исполнительной власти, одновременно вырабатывающий требования и проверяющий их исполнение, а также проводящий лицензирование участников рынка<br />- государство защиту гостайны никогму никогда не отдаст (и правильно сделает) и система аттестация/сертификаций по гостайне останется. А рынок и бизнес получит еще одного "общественного" регулятора. Со своей политической борьбой внутри.<br /><br />4.Повышать уровень реальных гарантий, которые производители средств защиты дают на свои продукты.<br />- это можно решить в каждом конкретном случае конкретным пунктом договора. Вот только это не нужно интеграторам, вендорам и прочим продавцам.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59208114525847604852009-07-16T21:44:14.330+04:002009-07-16T21:44:14.330+04:00Ничего архитекторы безопасности созреют вместе с р...Ничего архитекторы безопасности созреют вместе с рынком...<br />У нас создатели крупных систем уже очень хорошо оценивают средства защиты для внедрения. Идет оценка по разным параметрам и с учетом репутации и на длительную перспективу (>10 лет) сотрудничества с разработчиками СрЗИ.<br />Зрелые компании покупают зрелые решения - их ввести в заблуждение трудно и опасно.<br />Мелкие, средние и частный сектор из лимонов уже варенья варят...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74998946860466377902009-07-16T19:17:51.864+04:002009-07-16T19:17:51.864+04:00Для потребителя в цене. Или в репутации/гарантии, ...Для потребителя в цене. Или в репутации/гарантии, что в России пока мало оценивается на нужном уровне.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-88747915837586684922009-07-16T13:23:08.970+04:002009-07-16T13:23:08.970+04:00"При этом цена у некачественных средств защит..."При этом цена у некачественных средств защиты сопоставима с лучшими образцами рынка ИБ, а иногда и выше, но с о-о-очень гибким подходом к формированию финальной стоимости. В итоге мы приходим к той же ситуации, что и с классическими "лимонами" описанными у Акерлофа – некачественные СЗИ заполоняют рынок, вытесняя высококлассные средства защиты, в разработку и тестирование качества которых вложены огромные средства."<br /><br />Тенденция не только в России, но и в мире. И тут дело не только в цене...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25516911088369169752009-07-16T13:01:45.703+04:002009-07-16T13:01:45.703+04:00Тут же вспомнился фильм "Игры разума"......Тут же вспомнился фильм "Игры разума"... С Алексеем в главной роли ...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26528672876458354952009-07-16T09:08:40.054+04:002009-07-16T09:08:40.054+04:00Тебе наконец нобелевку дали? О_ОТебе наконец нобелевку дали? О_ОРигельhttps://www.blogger.com/profile/03649888229386031334noreply@blogger.com