Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
"При этом цена у некачественных средств защиты сопоставима с лучшими образцами рынка ИБ, а иногда и выше, но с о-о-очень гибким подходом к формированию финальной стоимости. В итоге мы приходим к той же ситуации, что и с классическими "лимонами" описанными у Акерлофа – некачественные СЗИ заполоняют рынок, вытесняя высококлассные средства защиты, в разработку и тестирование качества которых вложены огромные средства."
Тенденция не только в России, но и в мире. И тут дело не только в цене...
Ничего архитекторы безопасности созреют вместе с рынком... У нас создатели крупных систем уже очень хорошо оценивают средства защиты для внедрения. Идет оценка по разным параметрам и с учетом репутации и на длительную перспективу (>10 лет) сотрудничества с разработчиками СрЗИ. Зрелые компании покупают зрелые решения - их ввести в заблуждение трудно и опасно. Мелкие, средние и частный сектор из лимонов уже варенья варят...
Со многим из выводов не согласен: 1. Исключить вмешательство государства в вопросы регулирования ИБ для широкого спектра приложений (...) - а сейчас вмешивается разве? Можно пример? Кроме ПДн есть еще что-то? 2. Принять международные стандарты в области ИБ или гармонизировать с ними отечественные требования ("Общие критерии" подходят для этого как нельзя лучше) - кто мешает бизнесу прямо сейчас начать соответствовать хоть марсианским стандартам? Как данное пожелание согласуется с п. 1 кстати? 2. Превратить сертификацию средств защиты из обязательной в добровольную, сделав её реальным дифференциатором и ключевым отличием от конкурентов. - то есть сейчас она обязательна? Для кого и в каких случаях: 3. Запустить процесс появления саморегулируемых организаций, самостоятельно вырабатывающих требования по ИБ для отдельных отраслей, исключив из процесса орган исполнительной власти, одновременно вырабатывающий требования и проверяющий их исполнение, а также проводящий лицензирование участников рынка - государство защиту гостайны никогму никогда не отдаст (и правильно сделает) и система аттестация/сертификаций по гостайне останется. А рынок и бизнес получит еще одного "общественного" регулятора. Со своей политической борьбой внутри.
4.Повышать уровень реальных гарантий, которые производители средств защиты дают на свои продукты. - это можно решить в каждом конкретном случае конкретным пунктом договора. Вот только это не нужно интеграторам, вендорам и прочим продавцам.
1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию. ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К. Попытки уйти от этого не говорят, что этого нет.
2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое.
3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.
4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.
5. В каждом конкретном случае - это повод для злоупотреблений. А то, что это сейчас никому не нужно, - лишний раз доказывает правоту Акерлофа, который отметил, что поэтому на развивающихся рынках работать сложно. Локальным игрокам в массе своей наплевать на качество, гарантии и репутацию.
1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию. - ФСБ регулирует услуги. Никто не мешает ВНУТРИ шифровать всё, что угодно. И, надо сказать, такие услуги реально мало кому нужны.
ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К. - для кого СТР-К обязателен? Кого это касается? К счастью, пока немногих.
2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое
- если кому-то хочется соответствовать ISO 27001, то какой регулятор запрещает это делать? Регулятор регулирует весьма узкую область ИБ. Она расширилась с введением ПДн, но тем не менее ограничена. Если виды информации, доступ к тоторым ограничен по закону. И естественно, что средства и методы этих ограничений также прописаны. Если регуляторы примут за основу те же Общие критерии, то все равно, они будут так или иначе переписаны (глядя на политику формирования ГОСТов - скорее всего не очень сильно). И поводов для критики не уменьшится.
3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.
- ЛЮБАЯ сертификация - это дополнительная стоимость. Мне как покупателю непонятно, что я получу за свои деньги. Был просто Cisco ASA - стал сертифицированный. НИЧЕГО не изменилось, кроме цены. Кстати, а как в мире дела обстоят? ЦРУ/ФБР/АНБ сертифицирует технику для комм организаций? Или обходятся "общественными" лабораториями?
4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.
- ну можно сделать обязательной сертификацию по какому-то профильному ISO по ИБ. Еще неизвестно что дешевле будет, по СТР-К аттестат получить, или в BSI сходить на ISO 27001 сертифицироваться.
5. А что вы понимаете под "повышать уровень гарантий"? Законодательно? Зачем? И как? Я был бы не против заставить Касперского гарантировать защиту от вирусов, но боюсь это технически невозможно (я имею в виду невозможно реально обеспечить такую гарантию).
На мой взгляд лучше, чтобы область госрегулирования хотя бы не расширялась. Выбрать "хорошее" решение или поставщика и без сертфикации не так уж сложно. Если вы хорошо понимаете предметную область - можно сэкономить, выбирая вендоров "не на слуху" и оценивая услугу лично. Не понимаете или не доверяете себе - выбирайте громкое имя. Ничего нового кстати. Разбираетесь в производстве телефизоров - покупаёте продукцию того конкретного завода, который по вашей информации правильный. не разбираетесь - покупайте Sony (или еще кого-то). Сертификация товаров или тем более услуг ничего кроме монополизации не даст. Игроки типа StoneSoft еще на 5 лет отложат вход на рынок. Многие мелкие консультанты ИБ вообще прекратят своё существование. А "киты" рынка получат любой сертификат и возложат его стоимость на покупателя.
1. Если внимательно почитать ПП-957, то на обслуживание СКЗИ (ДАЖЕ для внутренних нужд) нужна лицензия ФСБ. И последние это подтверждают.
Про ФСТЭК я же написал - пытаются. А если бы им законодательно запретили лезть за пределы информации, как госсобственности, то они бы и не пытались.
2. Если бы регуляторы не лезли в коммерческую область, то вы были бы правы. Но так они заставляют аттестовываться вас по своим требованиям. И им наплевать на все остальные.
3. Вот именно. Именно поэтому я и говорю про ДОБРОВОЛЬНУЮ сертификацию.
4. Я ратую за то, чтобы потребитель САМ решал, надо ему аттестовываться или нет. Задача регулятора - вырабатывать РЕКОМЕНДАЦИИ.
5. Речь идет о гарантии качества, а не гарантии ИБ.
Про сертификацию я уже написал (как и Акерлоф). Обязательная - это зло. Добровольная (реально добровольная) - это дифференциатор.
Тебе наконец нобелевку дали? О_О
ОтветитьУдалитьТут же вспомнился фильм "Игры разума"... С Алексеем в главной роли ...
ОтветитьУдалить"При этом цена у некачественных средств защиты сопоставима с лучшими образцами рынка ИБ, а иногда и выше, но с о-о-очень гибким подходом к формированию финальной стоимости. В итоге мы приходим к той же ситуации, что и с классическими "лимонами" описанными у Акерлофа – некачественные СЗИ заполоняют рынок, вытесняя высококлассные средства защиты, в разработку и тестирование качества которых вложены огромные средства."
ОтветитьУдалитьТенденция не только в России, но и в мире. И тут дело не только в цене...
Для потребителя в цене. Или в репутации/гарантии, что в России пока мало оценивается на нужном уровне.
ОтветитьУдалитьНичего архитекторы безопасности созреют вместе с рынком...
ОтветитьУдалитьУ нас создатели крупных систем уже очень хорошо оценивают средства защиты для внедрения. Идет оценка по разным параметрам и с учетом репутации и на длительную перспективу (>10 лет) сотрудничества с разработчиками СрЗИ.
Зрелые компании покупают зрелые решения - их ввести в заблуждение трудно и опасно.
Мелкие, средние и частный сектор из лимонов уже варенья варят...
Со многим из выводов не согласен:
ОтветитьУдалить1. Исключить вмешательство государства в вопросы регулирования ИБ для широкого спектра приложений (...)
- а сейчас вмешивается разве? Можно пример? Кроме ПДн есть еще что-то?
2. Принять международные стандарты в области ИБ или гармонизировать с ними отечественные требования ("Общие критерии" подходят для этого как нельзя лучше)
- кто мешает бизнесу прямо сейчас начать соответствовать хоть марсианским стандартам? Как данное пожелание согласуется с п. 1 кстати?
2. Превратить сертификацию средств защиты из обязательной в добровольную, сделав её реальным дифференциатором и ключевым отличием от конкурентов.
- то есть сейчас она обязательна? Для кого и в каких случаях:
3. Запустить процесс появления саморегулируемых организаций, самостоятельно вырабатывающих требования по ИБ для отдельных отраслей, исключив из процесса орган исполнительной власти, одновременно вырабатывающий требования и проверяющий их исполнение, а также проводящий лицензирование участников рынка
- государство защиту гостайны никогму никогда не отдаст (и правильно сделает) и система аттестация/сертификаций по гостайне останется. А рынок и бизнес получит еще одного "общественного" регулятора. Со своей политической борьбой внутри.
4.Повышать уровень реальных гарантий, которые производители средств защиты дают на свои продукты.
- это можно решить в каждом конкретном случае конкретным пунктом договора. Вот только это не нужно интеграторам, вендорам и прочим продавцам.
1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию. ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К. Попытки уйти от этого не говорят, что этого нет.
ОтветитьУдалить2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое.
3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.
4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.
5. В каждом конкретном случае - это повод для злоупотреблений. А то, что это сейчас никому не нужно, - лишний раз доказывает правоту Акерлофа, который отметил, что поэтому на развивающихся рынках работать сложно. Локальным игрокам в массе своей наплевать на качество, гарантии и репутацию.
1. Можно пример не вмешательства? Сейчас ФСБ регулирует ЛЮБУЮ криптографию.
ОтветитьУдалить- ФСБ регулирует услуги. Никто не мешает ВНУТРИ шифровать всё, что угодно. И, надо сказать, такие услуги реально мало кому нужны.
ФСТЭК пытается регулировать все остальное, натягивая на всех СТР-К.
- для кого СТР-К обязателен? Кого это касается? К счастью, пока немногих.
2. Никто не мешает, если бы регуляторы признавали марсианские стандарты. А т.к. они признают только свое, то кто же будет выполнять еще и что-то другое
- если кому-то хочется соответствовать ISO 27001, то какой регулятор запрещает это делать? Регулятор регулирует весьма узкую область ИБ. Она расширилась с введением ПДн, но тем не менее ограничена. Если виды информации, доступ к тоторым ограничен по закону. И естественно, что средства и методы этих ограничений также прописаны. Если регуляторы примут за основу те же Общие критерии, то все равно, они будут так или иначе переписаны (глядя на политику формирования ГОСТов - скорее всего не очень сильно). И поводов для критики не уменьшится.
3. Не надо ерничать. Чтобы нормально работать на рынке продукт должен быть сертифицированным, даже если ПП-608 подразумевает обязательную сертификацию только для гостайны.
- ЛЮБАЯ сертификация - это дополнительная стоимость. Мне как покупателю непонятно, что я получу за свои деньги. Был просто Cisco ASA - стал сертифицированный. НИЧЕГО не изменилось, кроме цены. Кстати, а как в мире дела обстоят? ЦРУ/ФБР/АНБ сертифицирует технику для комм организаций? Или обходятся "общественными" лабораториями?
4. Никто и не претендует на рынок гостайны. Для саморегуляируемых организаций подойдет только коммерческая тайна и т.п., т.е. у чего владельцем не является государство.
- ну можно сделать обязательной сертификацию по какому-то профильному ISO по ИБ. Еще неизвестно что дешевле будет, по СТР-К аттестат получить, или в BSI сходить на ISO 27001 сертифицироваться.
5. А что вы понимаете под "повышать уровень гарантий"? Законодательно? Зачем? И как? Я был бы не против заставить Касперского гарантировать защиту от вирусов, но боюсь это технически невозможно (я имею в виду невозможно реально обеспечить такую гарантию).
На мой взгляд лучше, чтобы область госрегулирования хотя бы не расширялась. Выбрать "хорошее" решение или поставщика и без сертфикации не так уж сложно. Если вы хорошо понимаете предметную область - можно сэкономить, выбирая вендоров "не на слуху" и оценивая услугу лично.
Не понимаете или не доверяете себе - выбирайте громкое имя. Ничего нового кстати. Разбираетесь в производстве телефизоров - покупаёте продукцию того конкретного завода, который по вашей информации правильный. не разбираетесь - покупайте Sony (или еще кого-то).
Сертификация товаров или тем более услуг ничего кроме монополизации не даст. Игроки типа StoneSoft еще на 5 лет отложат вход на рынок. Многие мелкие консультанты ИБ вообще прекратят своё существование. А "киты" рынка получат любой сертификат и возложат его стоимость на покупателя.
1. Если внимательно почитать ПП-957, то на обслуживание СКЗИ (ДАЖЕ для внутренних нужд) нужна лицензия ФСБ. И последние это подтверждают.
ОтветитьУдалитьПро ФСТЭК я же написал - пытаются. А если бы им законодательно запретили лезть за пределы информации, как госсобственности, то они бы и не пытались.
2. Если бы регуляторы не лезли в коммерческую область, то вы были бы правы. Но так они заставляют аттестовываться вас по своим требованиям. И им наплевать на все остальные.
3. Вот именно. Именно поэтому я и говорю про ДОБРОВОЛЬНУЮ сертификацию.
4. Я ратую за то, чтобы потребитель САМ решал, надо ему аттестовываться или нет. Задача регулятора - вырабатывать РЕКОМЕНДАЦИИ.
5. Речь идет о гарантии качества, а не гарантии ИБ.
Про сертификацию я уже написал (как и Акерлоф). Обязательная - это зло. Добровольная (реально добровольная) - это дифференциатор.