22.5.08

20 полезных сайтов по безопасности

Журнал NetworkWorld выбрал 20 лучших сайтов по информационной безопасности. В их числе:
  • Персональный сайт Брюса Шнайера - новости, аналитика, статьи, размышления одного из ведущих мировых экспертов по ИБ
  • Cisco Security Center - единая точка контакта по всем вопросам безопасности Cisco - бюллетени, сигнатуры, новости, эпидемии, аналитика и т.п.
  • Privacy Rights Clearinghouse - сайт, описывающий все утечки информации в США
  • OWASP - про безопасность Web-приложений
  • Microsoft - как мониторить действия пользователей в Интернет
  • Secunia - обширный список уязвимостей в разном ПО
  • Commtouch - сайт, посвященный эпидемиям вредоносного ПО
  • SecureMac - сайт, рассказывающий, как защищать Apple Mac
  • IT Security - сайт-советчик, посвященный тому, как выбирать и внедрять системы защиты. На этом же сайте опубликован список из 103 свободно распространяемых средств защиты для Linux, Windows и Mac
  • LiquidMatrix Security Digest - сайт Дейва Льюиса, аккумулирующий новости по ИБ
  • IronPort Senderbase - статистика в реальном времени о спаме и почтовых эпидемиях
  • CyberCrime.org - отчеты о штатовских преступлениях в сфере ИТ
  • IT Compliance Institute - новости, исследования и аналитика по IT Compliance
  • Microsoft Technet Security Center - бюллетени, статьи и практические рекомендации
  • по защите платформы Windows
  • Computer Security Resource Center - сайт американского института стандартов NIST, посвященный вопросам ИБ (кладезь информации)
  • SANS - еще одна кладезь информации от института SANS
  • CERT - про реагирование на инциденты + информация по уязвимостям
  • SecurityFocus - новости, статьи, аналитика по ИБ
  • Бунт роботов - нам неактуально, но читать прикольно

Приятно осознавать, что работаешь в компании, которой принадлежат два сайта, входящих в этот список (Cisco Security Center и Senderbase.org).

ЗЫ. Список американизированный, что закономерно, учитывая происхождение Network World.

12.5.08

Новая структура Правительства и ее влияние на безопасность

Сегодня объявлена новая структура Правительства. Если не брать в расчет другие направления, то в нашей области произошло достаточно много интересного, которое на ближайшее время внесет определенную неразбериху в то, что занимает наши думы последнее время.

1. У ФСБ новый руководитель. Учитывая классическое чемоданное настроение во время смену начальства, ожидать появления каких-то документов по безопасности персональных данных не приходится. Даже если они и есть, то подписывать их пока никто не будет, т.к. новое начальство должно войти в курс дела. А учитывая масштаб ведомства, это задача не одной недели.

2. Росвязьохранкультуры прекратила свое существование, так и не начав серьезно работать в область контроля защиты персональных данных. Из названия этого ведомства вновь исчез корень "связь" и оно опять стало заниматься культурным наследием и охраной памятников, подчиняясь Министерству культуры. Что теперь будет с персданными и кто будет регистрировать их операторов не совсем ясно.

3. Мининформсвязи было переименовано в Министерство связи и массовых коммуникаций. Из названия исчезли информационные технологии, а руководителем Минсвязи стал бывший глава президентской службы протокола. Чем это все закончится непонятно, но чемоданные настроения присутствуют и в этом ведомстве, что логично и предсказуемо.

ЗЫ. Говорят, у китайцев было страшное проклятие "Чтоб вам жить в эпоху перемен". Мало того, что мы все время живем, как на вулкане, мы опять столкнулись с переменами. В области же ИБ эти изменения приведут только к тому, что примерно полгода мы будем жить ожиданием новых законодательных инициатив (хорошо хоть "приказ трех" и 4 документа ФСТЭК были приняты)...

7.5.08

Насколько перспективны M&A в области безопасности в России

По заказу журнала "Слияния и поглощения" я написал в майский номер статью про перспективы слияний и поглощений на российском рынке ИБ. Вот фрагмент из нее:

"Но что же делать тем компаниям, которые все-таки хотят продать себя? Начнем с того, что у нас практически отсутствуют серьезные инвестиции в исследования и разработки (R&D). Отчасти это связано с отсутствием «свободных» денег, отчасти с непониманием необходимости таких исследований. Это приводит к тому, что у нас не так много действительно серьезных инновационных продуктов и интересных технологий. Многие из них являются результатом работы энтузиастов, а не целенаправленной работой. Отсюда вытекает и вторая проблема – отсутствие как задокументированного описания продукта, так и юридических прав на него (патенты, торговые марки, авторские права и т.п.). Покупать компанию или технологию в таких условиях чревато негативными последствиями – на продукт кто-то может предъявить свои права или на основе этой интеллектуальной собственности будет создан новый конкурирующий продукт. Поэтому рекомендация первая – оформите права на свои достижения и внедрите грамотный процесс разработки, включая документирование всех шагов.

Вторая основная проблема, которую надо устранять – четкое понимание направления движения своего развития. Как строительство дома немыслимо без плана, так и развитие бизнеса невозможно без стратегии. И вот тут мы сталкиваемся с тем, что давно описано в западной литературе (там такие же проблемы). «Многие компании имеют достаточно внушительные стратегические планы развития, но мало кому удается их реализовать. Крис Зук и Джеймс Аллен в своей книжке «Прибыль от основного бизнеса» (Profit From the Core) анализируют опыт почти 1900 крупных корпораций из разных стран, и оказалось, что только 12 процентов из этих компаний смогли добиться роста доходов при сохранении прибыльности. В большинстве случаев компаниям не удавалось преодолеть весьма скромный рубеж – увеличивать доходы и прибыль на 5.5 процентов в год при существующей стоимости капитала. Между тем у 90 процентов исследованных компаний имелись подробнейшие стратегические планы, предусматривающее достижение гораздо более значимых результатов. Чем объясняется такой разрыв между намерениями и реальными показателями? Авторам кажется, что проблема заключается в отсутствии связи между декларированием корпоративной стратегии и её осуществлением. Проведя исследование, авторы увидели, что в среднем 95 процентов сотрудников компаний не понимают стратегии компаний или вообще не имеют о ней представления. Но если сотрудники, которые работают с клиентами или обеспечивают создание стоимости, ничего не знают о стратегии, они никак не могут способствовать её эффективной реализации. Такую ситуацию нельзя считать нормальной» (Роберт Каплан и Дэвид Нортон, «Отдел управления стратегией», Гарвард Бизнес Ревю, Россия, 1’2006). Лучше и не скажешь. Иными словами, если вы хотите продать свой бизнес, то помимо такого желания необходимо иметь еще и четкий план, как это сделать.

Третья основная задача, которую надо решить – финансовая отчетность. При покупке необходимо быть уверенным в «чистоте» бизнеса, отсутствии долгов, «серых схем» и многих других российских особенностей, которые могут обернуться большими проблемами по завершении сделки M&A.

И, наконец, четвертая и последняя задача (может быть даже самая главная), позволяющая продать себя инвестору. Нужна идея! Причем не просто идейка, а именно ИДЕЯ! Любой мировой производитель не заинтересован в отдельно взятом локальном рынке (если это не рынок США, на которой приходится до 40% всего мирового ИТ и ИБ рынка). Технология или компания будет куплена только в одном единственном случае – она поможет в развитии всего бизнеса покупателя. Есть, конечно, исключения, но они скорее подтверждают правила. Поэтому думая о своей продаже, надо смотреть на рынок целиком и разрабатывать идею, которая будет интересна всему миру, а не отдельно взятой стране. Именно поэтому наша криптография неинтересна западным производителям – на нее нет спроса в странах, отличных от бывшего Советского Союза".