Обычно я сделкам слияния и поглащения не уделяю много внимания, но тут особый случай. 6 мая американская корпорация McAfee (часть Intel) объявила о подписании соглашения о приобретении финской Stonesoft за 389 миллионов долларов наличными. В мировом масштабе сделка не особо интересная, т.к. Stonesoft - компания нишевая и с небольшими оборотами, что не позволяло ей "светиться" в различных сравнениях, отчетах, квадратах и т.п. У себя в компании, иногда задавая вопрос коллегам из США или Западной Европы о сравнении решений Cisco и Stonesoft, постоянно слышу: "А Stonesoft - это что?" ;-) Но в России Stonesoft компания известная; в первую очередь тем, что смогла получить сертификат ФСБ на свой SSL Gate став второй зарубежной компаний после Cisco, получившей официальный статус от этого регулятора. Поэтому вопрос о том, что несет с собой это слияние, непраздный и в Facebook вчера мы немало внимания посвятили дискуссии на эту тему. Здесь я выскажу свою личную позицию по этому вопросу.
Сразу скажу, что обсуждать что-то конкретное рано. Я думаю, даже в самих компаниях еще не понимают конкретных шагов по интеграции и тех последствий, которые эта интеграция влечет за собой (достаточно посмотреть на письмо Ilkka Hiidenheimo, гендиректора и основателя Stonesoft по партнерам). Наблюдая за ИБшным M&A-рынком на протяжении последних лет 10-12, могу сказать, что перспективы поглощенных компаний почти всегда печальны ;-( Разработчики и архитекторы уходят в другие компании, руководство создает новые стартапы, технологии если и интегрируются, то очень небыстро. Какие-то технологии вообще прекращают свое существование. Партнерская и ценовая политика претерпевает серьезные изменения. Гибкости становится меньше. А вот поглотитель, как правило, в выигрыше ;-) Он либо устраняет конкурента, либо получает в свое портфолио новые технологии, либо получает клиентскую базу. В крайнем случае для него вообще ничего не меняется ;-) Но вернемся к сделке McAfee и Stonesoft.
Судя по пресс-релизу, цель приобретения заключалась в технологии межсетевых экранов. Именно о них говорят то-менеджеры обеих компаний в своих цитатах. Про IPS сказано вскользь, про VPN вообще ни слова. Это закономерно. Свои решения по IPS у McAfee есть и технологии Stonesoft скорее всего вольются в McAfee, а не наоборот. Хотя надо заметить, что судьба IPS как самостоятельного сегмента рынка сейчас в мире находится под вопросом. Очень уж активно пересекаются технологии IPS и FW NG. А учитывая заявления аналитиков и многие по-настоящему серьезные исследования по рынку сетевой безопасности, могу предположить, что через 2-3 года самостоятельных IPS в мире почти не останется - они вольются в межсетевые экраны и UTM-решения, как их неотъемлемая часть.
С VPN от Stonesoft ситуация, на мой взгляд, еще хуже. В портфолио McAfee, насчитывающем с 4-5 десятков различных продуктов, нет ни одного, который бы касался VPN. Есть фрагментарно разбросанные функции, но как самостоятельного направления нет. Учитывая мировые тенденции, можно предположить, что и эти продукты Stonesoft прикажут долго жить. Частично этот функционал может быть включен в МСЭ, частично в решения по мобильной безопасности.
Но в России же решения Stonesoft VPN имеют перспективы, скажете вы. Да еще и в контексте сертификации в ФСБ. Если смотреть с точки зрения России да. А если с точки зрения международного бизнеса? Россия одна из немногих стран в мире, где VPN-решения существуют как самостоятельный сегмент рынка, что связано с нашей регуляторикой. Во всех других регионах VPN - это одна из функций МСЭ, балансировщика нагрузки, маршрутизатора, UTM-устройств... Я более чем уверен, что McAfee не будет оставлять в своем портфолио продукт только для одного локального рынка, доход с которого измеряется 10-20 миллионами долларов. Это для финской компании это серьезный вклад в финансовое благополучие; для транснациональной корпорации - это в пределах погрешности. Я, конечно, не могу принимать решений за McAfee, но учитывая, что и сам работаю в американской компании и знаю, как принимаются такие решения, могу с высокой степенью достоверности предположить, что судьба VPN-продуктов Stonesoft предрешена (о них, кстати, в пресс-релизе о слиянии ни слова).
А что будет с сертификацией Stonesoft? Тут ситуация еще сложнее. О ней вообще мало кто думает - причем со всех сторон. Отечественный потребитель и интегратор о ней просто не знает. Российское представительство вендора либо не знает, либо не понимает как подступиться к ее решению. А американской штаб-квартире на нее вообще с высокой колокольни ;-) Американцы считают, что весь мир живет по их правилам и поэтому для них бывает большим открытием, что, например, в Россию нельзя взять и просто ввезти средство с шифрованием по AES или 3DES. Они не знают, что в России не действуют сертификаты по FIPS и "Общим критериям". Они всегда удивляются, когда им пытаешься рассказать о специфике российского регулирования. А когда они понимают, они начинают пытаться состыковать отечественную регуляторику со своей собственной. А она там тоже есть и не менее серьезная, чем у нас, а местами и более серьезная.
Например, там нельзя взять и просто вывезти какие-то технологии, имеющие значение для национальной безопасности. Необходимо получить согласование Министерства коммерции и, в частности, его бюро промышленности и безопасности (Bureau of Industry and Security). Чтобы получить разрешение на встраивание отечественной криптографии в американский продукт (не забывайте, что после завершения сделки продукция Stonesoft становится американской, а не финской) необходимо получить соответствующую лицензию. Получение такой лицензии - очень непростой процесс; может занимать до года и более. Чтобы впрягаться в эту игру, McAfee должна понимать не только сложности, но и преимущества. Нужен серьезный бизнес-кейс. 10-20 миллионов - это не бизнес-кейс для компании масштаба McAfee (по моим ощущениям). Аналогичную лицензию и еще большее количество согласований внутри американских госорганов небходимо получать в случае сертификации на отсутствие недекларированных возможностей, требующей предоставления исходных кодов.
Закончу я тем, с чего начал. Сейчас рано делать выводы о последствиях покупки финской Stonesoft американской McAfee. Одно можно сказать с уверенностью, мнение российских офисов Stonesoft и McAfee при принятии решения о покупке в расчет не бралось и их вообще не спрашивали об этом. Поэтому с последствиями для российского бизнеса в штаб-квартире McAfee если и будут разбираться, то уже после завершения всех необходимых формальностей. Опираясь на свой опыт и знание тех усилий, которые предпринимаются российским офисом Cisco для решения аналогичных вопросов (а замечу, что наш бизнес в России на пару порядков превышает бизнес McAfee в России), могу сказать что сценарий, по которому McAfee решит переиграть свои международные общекорпоративные правила в пользу России, не слишком вероятен.
Предположу, что вся эта история закончится следующим образом. Все технологии Stonesoft (МСЭ, IPS и VPN) в том или ином объеме будут интегрированы в линейку продукции McAfee; с упором на технологии межсетевого экранирования. Как самостоятельные продукты решения Stonesoft будут существовать какое-то время, но без развития и выпуска новых версий, а через год-другой они и вовсем исчезнут из прайс-листа McAfee. Сертификация VPN-решений Stonesoft в ФСБ прекратится, т.к. натолкнется на ограничения американского законодательства, которые врядли в обозримом будущем будут разрешены американским и российским офисами McAfee. При этом хочу заметить, что ограничения на экспорт технологий вступят сразу после завершения сделки, в то время как вопросы ценообразования, партнерской политики и т.п. будут приводиться в порядок еще долго (не менее года, а то и более). Аналогичная ситуация с сертификатами ФСТЭК на НДВ. Действующие же сертификаты пока будут действовать до срока, в них указанного
Могут ли быть иные сценарии? Теоретически да. Например, сделку могут не разрешить вовсе. Но это было бы более чем вероятное событие (как, например, в ситуации когда Check Point'у запретили поглощение Sourcefire) если бы Stonesoft решил купить McAfee, а не наоборот. Stonesoft могут оставить в качестве независимого подразделения, зарегистрированного в Финляднии. Тоже верится с трудом (пока такого на рынке "американских" поглощений почти не наблюдалось). Последний вариант - McAfee будет нарушать закон. Но это еще менее вероятный сценарий (после скандала с бывшем основателем одноименной компании McAfee сейчас меньше всего нужна негативная шумиха). Прав я или нет, покажет время. Но пока мои прогнозы, которые я делал раньше относительно поглощенных компаний, сбывались.
ЗЫ. Кстати, хочу еще заметить по поводу появившихся скоропалительных "экспертных" выводов о последствиях этой сделки. Оценивать ее надо не столько с точки зрения российской, сколько с точки зрения американской, т.к. именно законодательство США и правила компании-поглотителя будут первостепенными при принятии тех или иных решений. То, что было позволено небольшой финской компании, непозволено подразделению американской корпорации, которая очень жестко регулируется в контексте национальной безопасности США (особенно на фоне последних событий).
Сразу скажу, что обсуждать что-то конкретное рано. Я думаю, даже в самих компаниях еще не понимают конкретных шагов по интеграции и тех последствий, которые эта интеграция влечет за собой (достаточно посмотреть на письмо Ilkka Hiidenheimo, гендиректора и основателя Stonesoft по партнерам). Наблюдая за ИБшным M&A-рынком на протяжении последних лет 10-12, могу сказать, что перспективы поглощенных компаний почти всегда печальны ;-( Разработчики и архитекторы уходят в другие компании, руководство создает новые стартапы, технологии если и интегрируются, то очень небыстро. Какие-то технологии вообще прекращают свое существование. Партнерская и ценовая политика претерпевает серьезные изменения. Гибкости становится меньше. А вот поглотитель, как правило, в выигрыше ;-) Он либо устраняет конкурента, либо получает в свое портфолио новые технологии, либо получает клиентскую базу. В крайнем случае для него вообще ничего не меняется ;-) Но вернемся к сделке McAfee и Stonesoft.
Судя по пресс-релизу, цель приобретения заключалась в технологии межсетевых экранов. Именно о них говорят то-менеджеры обеих компаний в своих цитатах. Про IPS сказано вскользь, про VPN вообще ни слова. Это закономерно. Свои решения по IPS у McAfee есть и технологии Stonesoft скорее всего вольются в McAfee, а не наоборот. Хотя надо заметить, что судьба IPS как самостоятельного сегмента рынка сейчас в мире находится под вопросом. Очень уж активно пересекаются технологии IPS и FW NG. А учитывая заявления аналитиков и многие по-настоящему серьезные исследования по рынку сетевой безопасности, могу предположить, что через 2-3 года самостоятельных IPS в мире почти не останется - они вольются в межсетевые экраны и UTM-решения, как их неотъемлемая часть.
С VPN от Stonesoft ситуация, на мой взгляд, еще хуже. В портфолио McAfee, насчитывающем с 4-5 десятков различных продуктов, нет ни одного, который бы касался VPN. Есть фрагментарно разбросанные функции, но как самостоятельного направления нет. Учитывая мировые тенденции, можно предположить, что и эти продукты Stonesoft прикажут долго жить. Частично этот функционал может быть включен в МСЭ, частично в решения по мобильной безопасности.
Но в России же решения Stonesoft VPN имеют перспективы, скажете вы. Да еще и в контексте сертификации в ФСБ. Если смотреть с точки зрения России да. А если с точки зрения международного бизнеса? Россия одна из немногих стран в мире, где VPN-решения существуют как самостоятельный сегмент рынка, что связано с нашей регуляторикой. Во всех других регионах VPN - это одна из функций МСЭ, балансировщика нагрузки, маршрутизатора, UTM-устройств... Я более чем уверен, что McAfee не будет оставлять в своем портфолио продукт только для одного локального рынка, доход с которого измеряется 10-20 миллионами долларов. Это для финской компании это серьезный вклад в финансовое благополучие; для транснациональной корпорации - это в пределах погрешности. Я, конечно, не могу принимать решений за McAfee, но учитывая, что и сам работаю в американской компании и знаю, как принимаются такие решения, могу с высокой степенью достоверности предположить, что судьба VPN-продуктов Stonesoft предрешена (о них, кстати, в пресс-релизе о слиянии ни слова).
А что будет с сертификацией Stonesoft? Тут ситуация еще сложнее. О ней вообще мало кто думает - причем со всех сторон. Отечественный потребитель и интегратор о ней просто не знает. Российское представительство вендора либо не знает, либо не понимает как подступиться к ее решению. А американской штаб-квартире на нее вообще с высокой колокольни ;-) Американцы считают, что весь мир живет по их правилам и поэтому для них бывает большим открытием, что, например, в Россию нельзя взять и просто ввезти средство с шифрованием по AES или 3DES. Они не знают, что в России не действуют сертификаты по FIPS и "Общим критериям". Они всегда удивляются, когда им пытаешься рассказать о специфике российского регулирования. А когда они понимают, они начинают пытаться состыковать отечественную регуляторику со своей собственной. А она там тоже есть и не менее серьезная, чем у нас, а местами и более серьезная.
Например, там нельзя взять и просто вывезти какие-то технологии, имеющие значение для национальной безопасности. Необходимо получить согласование Министерства коммерции и, в частности, его бюро промышленности и безопасности (Bureau of Industry and Security). Чтобы получить разрешение на встраивание отечественной криптографии в американский продукт (не забывайте, что после завершения сделки продукция Stonesoft становится американской, а не финской) необходимо получить соответствующую лицензию. Получение такой лицензии - очень непростой процесс; может занимать до года и более. Чтобы впрягаться в эту игру, McAfee должна понимать не только сложности, но и преимущества. Нужен серьезный бизнес-кейс. 10-20 миллионов - это не бизнес-кейс для компании масштаба McAfee (по моим ощущениям). Аналогичную лицензию и еще большее количество согласований внутри американских госорганов небходимо получать в случае сертификации на отсутствие недекларированных возможностей, требующей предоставления исходных кодов.
Закончу я тем, с чего начал. Сейчас рано делать выводы о последствиях покупки финской Stonesoft американской McAfee. Одно можно сказать с уверенностью, мнение российских офисов Stonesoft и McAfee при принятии решения о покупке в расчет не бралось и их вообще не спрашивали об этом. Поэтому с последствиями для российского бизнеса в штаб-квартире McAfee если и будут разбираться, то уже после завершения всех необходимых формальностей. Опираясь на свой опыт и знание тех усилий, которые предпринимаются российским офисом Cisco для решения аналогичных вопросов (а замечу, что наш бизнес в России на пару порядков превышает бизнес McAfee в России), могу сказать что сценарий, по которому McAfee решит переиграть свои международные общекорпоративные правила в пользу России, не слишком вероятен.
Предположу, что вся эта история закончится следующим образом. Все технологии Stonesoft (МСЭ, IPS и VPN) в том или ином объеме будут интегрированы в линейку продукции McAfee; с упором на технологии межсетевого экранирования. Как самостоятельные продукты решения Stonesoft будут существовать какое-то время, но без развития и выпуска новых версий, а через год-другой они и вовсем исчезнут из прайс-листа McAfee. Сертификация VPN-решений Stonesoft в ФСБ прекратится, т.к. натолкнется на ограничения американского законодательства, которые врядли в обозримом будущем будут разрешены американским и российским офисами McAfee. При этом хочу заметить, что ограничения на экспорт технологий вступят сразу после завершения сделки, в то время как вопросы ценообразования, партнерской политики и т.п. будут приводиться в порядок еще долго (не менее года, а то и более). Аналогичная ситуация с сертификатами ФСТЭК на НДВ. Действующие же сертификаты пока будут действовать до срока, в них указанного
Могут ли быть иные сценарии? Теоретически да. Например, сделку могут не разрешить вовсе. Но это было бы более чем вероятное событие (как, например, в ситуации когда Check Point'у запретили поглощение Sourcefire) если бы Stonesoft решил купить McAfee, а не наоборот. Stonesoft могут оставить в качестве независимого подразделения, зарегистрированного в Финляднии. Тоже верится с трудом (пока такого на рынке "американских" поглощений почти не наблюдалось). Последний вариант - McAfee будет нарушать закон. Но это еще менее вероятный сценарий (после скандала с бывшем основателем одноименной компании McAfee сейчас меньше всего нужна негативная шумиха). Прав я или нет, покажет время. Но пока мои прогнозы, которые я делал раньше относительно поглощенных компаний, сбывались.
ЗЫ. Кстати, хочу еще заметить по поводу появившихся скоропалительных "экспертных" выводов о последствиях этой сделки. Оценивать ее надо не столько с точки зрения российской, сколько с точки зрения американской, т.к. именно законодательство США и правила компании-поглотителя будут первостепенными при принятии тех или иных решений. То, что было позволено небольшой финской компании, непозволено подразделению американской корпорации, которая очень жестко регулируется в контексте национальной безопасности США (особенно на фоне последних событий).
55 коммент.:
"Второй после cisco" - улыбнуло ) что же это за загадочный сертифицированный SSL от Cisco, Алексей?
Леш, с "квадратами" ты малость перегнул. В квадратах Гартнера Стоунсофт есть. В квадрате по IPS он как минимум с 2010, и кстати в 2012 они в нем вышли из нишевых игроков (хотя конечно сильно проигрывает МакАфи), также они есть в квадрате корпоративных МЭ. Так что, сказать что совсем неизвестная компания для американцев, наверное, некорректно.
Вот и покупай после этого сертифицированные решения. Мало того, что производителю не выгодно продлевать сертификат, лучше продать новый продукт с новым сертификатом, а тут еще риски слияний/поглощений и застраховаться от них невозможно. С отечественными компаниями, думаю, ситуация аналогичная.
Хах..как раз хотели установить их сертифицированный IPS. Теперь под вопросом, стоит ли...продлится ли сертификат, обновы и тех поддержка? без этого не вариант!
http://stonesoft-rus.blogspot.ru/2013/05/mcafee-stonesoft.html
Я бы не спешил с выводами. Не думаю что McAfee интегрирует и растворит в себе активы Stonesoft. Вероятно, что никто ничего не почувствует ближайшие 2-3 года точно.
"став второй зарубежной компаний после Cisco" - если что второй была s-terra
Huh? McAfee же получил VPN-продукты в составе наследства Secure Computing?
Кстати, Stonesoft мне запомнились дичайшим количеством рекламы на российском рынке, в каждой бочке затычка просто.
Как ловко уважаемый автор то выступает как независимый эксперт, то как сотрудник Cisco. Вероятно, это путает некоторых заказчиков. Данный комментарий не более чем радость представителя одного вендора по случаю проблем другого вендора - типичная ситуация в бизнес-практике. Единственная полезная составляющая данного комментария состоит в том, что в очередной раз отмечено нежелание западных вендоров вникать в особенности национальных рынков: к сожалению, это регулярная практика.
Можно только пожелать успехов Cisco на российском рынке, и чтобы планы уважаемых регуляторов (ФСБ РФ, ФСТЭК РФ) по полной прозрачности для контролирующих органов исходного кода средств защиты реализовывались столь медленно.
Пару золотых кубков в адрес StoneSoft в России: единственное ВЫСОКОПРОИЗВОДИТЕЛЬНОЕ ЗАПАДНОЕ решение, которое полностью открылось для российских регуляторов, и потому прошло все круги российской сертификации. При этом имеет полную линейку средств защиты. Продукт занимает в России отличную нишу между недоделанными местными решениями и топовыми западными продуктами операторского класса. Будем надеяться, что будущее не столь сумрачно, как рисует уважаемый представитель Cisco.
Кстати, обратите внимание на дату публикации - всю ночь автор работал. Более удачного случая, действительно, может не представиться.
Алексей Т., второй сертифицировавший СКЗИ ;-)
Сергей, с отечественными проще - им поглощения не грозят ;-)
С-Терра не является зарубежной
Арканоид, у нас в наследии тоже много чего было. Но не все осталось ;-)
R-DMI-TRY, если бы Вы чаще посещали этот блог, то знали бы, что 95% всех постов публикуется в 5 утра ;-)
Думаю, несмотря на надежды уважаемого автора, скорее всего будет как с HP Enterprise Security. Кто работает по этой тематике, отлично знает, что от слияния бизнес никак не пострадал. В общем, с ArcSight все хорошо, а насыщение рынка - явление нормальное.
Алексей, "второй, сертифицировавшей СКЗИ"? Что же это за СКЗИ от Cisco? Читатели замерли в предвкушении... От С-Терры вроде открестились, Алексей, нужен срочно экскурс в историю сертификации СКЗИ от Cisco, иначе стоило был тэг "реклама" ставить...
А по поводу Stonesoft не думаю, что это серьезно повлияет на их решения, в течении 2-3 лет точно... В конце концов могут быть и более радужные варианты, подразумевающие вложения Макафи в продукты Стоунсофта, расширение линейки, сертификация и т.д. (радужные для потребителей в России, а не для автора блога, естественно ;-)). Циско так и останется первым в истории (если конечно Алексей откопает нам какой-нибудь сертификат), а Стоунсофт останется самым распространенным иностранным решением, использующим российский Гост :-))
Да и про S-Terra тоже забавная история всем известная, что RVPN и S-Terra VPN Gate суть разные продукты в различных форм-факторах и для различных областей применения (к примеру, банокматная 100-ка и магистральный 3000,7000).
Алексей, давайте не передергивать факты.
Лично меня больше всего умиляет напускание тумана во вполне очевидных вещах: конкуренция в России на рынке средств защиты есть! И на рынке, поделенном Cisco (с S-Terra), VipNet, Континт + еще парочка, явно конкурент лишний (тем более, номальный и сертифицированный) - так что "мочить" любыми средствами. А тут еще удачный информационный повод.
Однако, Secure Computing растворился так, что его и не видно.
mike, ЛОЛШТО?
Я наизусть не помню списки сертифицированных СЗИ, но не помню, чтобы на Cisco было что-то кроме штучного и мелкосерийного по ФСТЭК. По ФСБ на крипту вообще не было (и быть не могло, так как иностранная "крипта" в терминах ФСБ таковой не является, а так как криптостойкость подтвердить нет возможности, то и сертифицировать невозможно - четкая и конкретная позиция). Возможно когда-то кто-то как МЭ по ФСБ сертифицировал, но это совсем другая песня.
да нет конечно же сертификатов, можно не ждать от Алексея, после восторженных откликов на свой пост...
R-DMI-TRY, список сертификатов ФСТЭК внимательнее читайте. 20+ линеек продуктов по схеме "серия".
А ты знаешь другие схемы кроме единичного экземпляра, партии и серии? Поделись сокровенным знанием ;-)
Алексей, не передергивайте. Слова из текста не выкинешь-речь шла о первом сертификате на скзи. Соответственно в посте есть как минимум неправда.
Чему посвящен пост? Поглощению Стоунсофта компанией Макафи. Чему посвящено большинство комментов? Компании Сиско ;-) Троллинг чистой воды - обсуждать то, чему не посвящен исходный материал, зацепившись за фрагмент в первоначальнем посте ;-)
Не завидуйте лидерству Сиско - лучше присоединяйтесь к числу ее партнеров и продавайте продукцию компании, которую (компанию) врядли кто-то купит ;-)
Алексей, очень удобно любой неудобный комментарий троллингом обзывать. В слове поста только слово Cisco три раза встречается, так что речь не только о Стоунсофте. А если касаться сертификации детальнее, то все эти партии на самом деле ничего не значат - купить сертифицированный МЭ Cisco "со склада" невозможно. Да и не со склада проблема еще та - начиная с устаревших прошивок (и невозможности их обновления) и заканчивая сложностями процедур. Так что кроме маркетинга никакого эффекта сертификация производства не имела... Это кстати и про отношение к потребителям в России... Ну и про СКЗИ судя по переводу темы ждать сертификата не стоит, слова о том, что Cisco первая сертифицировала СКЗИ в ФСБ - мягко говоря неправда.
Алексей, по поводу купит - не купит - не нам с вами рассуждать. Помню времена DEC, MicroVAX c ОС VMS(который лично я считаю лучшей системой всех времен и народов), когда считалось, что PC - это вообще ни о чем. Где они? Кем скушаны по кусочкам все отлично знают.
Вспомним судьбу лучшего каталога Novell NDS...
Так что не зарекайтесь. Не случайно Cisco активно наращивает силы не столько в сетевом сегменте, так как ближайшая судьба чисто сетевых вендоров понятна - при развитии облачных тем потребность в чистой сетевухе сведется либо к высокопроиводительным коммутаторам, либо умрет (клиентские кусочки, встроенные в мобильные платформы не в счет).
А столь негативное отношение к вашему посту вызвано слишком явной ангажированностью высказываний.
Лично я хотел бы пожелать StoneSoft успешно повторить опыт ArcSight по интеграции в HP. Рекламы, действительно, много, но почему не продвигать отличный перспективный и конкурентноспособный продукт (что проверено практически всеми интеграторами РФ и подтверждено оптимистичными международными ретингами), который явно взмутил зарегулированное и унылое стоячее "пространство" сетевой безопасности в России?
"Аналогичную лицензию и еще большее количество согласований внутри американских госорганов небходимо получать в случае сертификации на отсутствие недекларированных возможностей, требующей предоставления исходных кодов."
Алексей, можно поподробней про то, какие неимоверные трудности с органами приполучении НДВ 4? Ну а про лицензию на встраивание крипты...А что, такие компании, как Инфотекс, например, уже упразднили? Как то плохо аргументируете "пугалку"
Mike, по IPS - по какому уровню по новым РД идете на продление?
Mike: дайте пожалуйста ссылку на положение в котором написана схема сертификации "производство"...
2 Родыгин: это положение о сертификации СЗИ.
Основными схемами проведения сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе.
Специально для "гуру сертификации":
1. наверное вы имеете в виду "ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ" от 27 октября 1995 г. N 199 !
2. Читаем его нормальный вариант(http://goo.gl/2SHo6), а не тот, который вы подсовываете! п. 1.7
1.7. Основными схемами сертификации средств защиты информации являются:
для единичных образцов средств защиты информации - проведение испытаний образца на соответствие требованиям по безопасности информации;
для партии средств защиты информации - проведение испытаний репрезентативной выборки образцов средств на соответствие требованиям по безопасности информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов продукции на соответствие требованиям по безопасности информации и последующий инспекционный контроль за стабильностью характеристик сертифицированной продукции, обеспечивающих (определяющих) выполнение этих требований.
Кроме того, по решению федерального органа по сертификации допускается предварительная проверка (аттестация) производства по утвержденной программе. По согласованию с федеральным органом по сертификации могут быть использованы и другие схемы сертификации, включая применяемые в международной практике.
Рассказывать что представляет собой "предварительная проверка (аттестация) производства" ?
Для чего она проводится, в каких случаях, как эта проверка попадает в Решение, в каком месте пишется?
Не вводите в заблуждение читателей..!
2 Евгений согласен, сайт ФСТЭК уже не торт, найти там положение задача небыстрая, моя вина. :-) Рассказывать я думаю не стоит, все-таки сертификация производства есть как схема? :-) И именно по этой схеме вроде бы коммутаторы Cisco проходили сертификацию. Но никакого производства на данный момент нет...
Схемы "производство" нет.
Все сертификаты, в которых написано "серия" фактически и есть 3-я схема сертификации, как ее не называй - "производство", "серийное производство" и т.д. При проведении сертификации проводится дополнительная проверка неизменности характеристик сертифицированного СЗИ при тиражировании (ну или производстве, кому как больше нра). Давно уже не в системе, возможны неточные формулировки, но ситуация была примерно такая. Может в настоящее время что-то изменилось, но сертификаты "серий" новые все же появляются. :-)
Отвечу по тексту...
у меня во всех решениях ФСТЭК и по всей документации подписанных
Куцем и некоторыми другими фраза: "испытаний образцов продукции для серийного производства"
- правильно написано: "1. Сертификацию провести по схеме: испытаний образцов продукции для серийного производства".
- это и есть схема сертификации, которую, в виду отсутствия компетенций, вы неправильно трактуете как "схема "производство"!
- "подписанных Куцем" это попытка усиления вашего ошибочного мнения авторитетом? Анатолий Владимирович в курсе? Судя по тому что этот блог читается представителями ФСТЭК - не рекомендую привязывать.
в сертификате написано про продукт производимый компанией .....
- вы решили найти все встречающиеся слова про произв..? В данном случае указан производитель и только.
все процедуры внутри у нас принимались ФСТЭКом как производство(есть реальное производство в России и Российская версия компилится и собирается в РАше).
- в Раше... очень уважительно... но терминология показывает не владение темой... Вы сэйлер?
Во Всех документах подписанные ФСТЭК слово серийное производство так или иначе прописано.
- вы опять решили найти все встречающиеся слова про произв..?
- а вы опубликуйте Все материалы сертификации... Почитаем вместе...
Времени искать правильный вариант постановлений нет, можете самостоятельно как настоящий гуру
(видимо) пойти во ФСТЭК и доказать им их "некомпетентность".
ТАм уже очень любят буквоедов и трактователей.
- не ясно почему вы приписывате свою некомпетентность в части понимания процедур представителям ФСТЭК.
- я пока вижу только неправильное понимание автором сертификационной ереси и попытки удержаться.
- время на пустой троллинг и наставления как бы есть, а посмотреть основные документы нет... ноу комментс...
- вот из-за таких как вы и творится черт знает что...
Жень, ну это ж форумный сленг...сократили точную формулировку до ключевого слова "производство", давайте не будем из-за этого ссориться
Хочется отметить, мы тут видим образцово-показательный срачик в стиле "отечественного инфобеза". Вот именно поэтому я стараюсь держаться от него подальше, в частности.
Да я не против сленга! Когда он правильно применяется а не строятся на его основании обвинения. Уж если обвиняешь человека в некомпетенции, используй нечто более достойное... В данном случае вскрывается непонимание. Шут бы с ним, но вводить в заблуждение то зачем!
Обидно да, когда считаешь себя специалистом а оказывается нет ...
http://kaskadsecurity.blogspot.ru/2013/04/blog-post_18.html
mike ну раз вы о личностях...
В отличии от вас я провел более 150 сертификаций и около 400 отдельных видов испытаний, 15 лет занимаюсь практической сертификаций во всех системах сертификации и не только поделок но и крупных систем.
Вы насчет буквоедства и подколок о специалисте немного не по адресу...
Я, извините, вас в этой теме съем и не замечу... темой вы не владеете...
Кто нужно материал оценил и я об этом знаю! И да, я еще и офицер запаса. Так что дешево вы собеседников оцениваете...
Миша, мне кажется ты стал в запале заговариваться. Твой пост говорит о полном непонимании ситуации и реальном незнании правил M&A ;-( Почитай хотя бы, прежде чем высказывать суждения о незнакомой тебе теме. На 2-й день после анонса и при незакрытой сделке тебе никто и никогда не скажет, что будет как-то иначе.
ЗЫ. Ты по ходу, за последние 2 дня своими высказываниями обидел уже минимум 3-х человек.
ЗЗЫ. Изменения, тем более неожиданные, не всегда приятны. Но не переживай ты так. Не последняя это компания в твоей жизни.
Алексей, можно понять представителей российского офиса Стоунсофта, у них же большинство продаж сейчас может встать. Кто будет тратить серьезные деньги на продукт, который через два года может исчезнуть? А ведь например тот же IPS как и антивирусы, требует постоянного обновления и поддержки производителя.
Здравствуйте )
ИМХО:
Алексей вы пишите
"В мировом масштабе сделка не особо интересная, т.к. Stonesoft - компания нишевая и с небольшими оборотами, что не позволяло ей "светиться" в различных сравнениях, отчетах, квадратах и т.п."
Компания светится в отчетах несколько лет, причем среди специалистов по безопасности очень даже заметна. (SANS,NSS,ICSA и т.д.)
Читая статьи SANS,отчеты NSS я бы даже сказал что Cisco просто теряется в сравнении с Stonesoft...как же так получается у вас ))
Вы пишите
"У себя в компании, иногда задавая вопрос коллегам из США или Западной Европы о сравнении решений Cisco и Stonesoft, постоянно слышу: "А Stonesoft - это что?"
Тем меньше доверия к мнению специалистов(вашим коллегам), которые "не в теме".
И чем же продукты Stonesoft так интересны? Я не смог придумать ни одной причины их покупать.
Крайне эффективное управление, отказоустойчивость, безопасность, адаптированность под распределенные крупные инсталяции, очень хороший и продуманный интерфейс, крайне развитый функционал логирования и управления инцидентами, масштабируемость, возможности управления, балансировка нагрузки и управление распределением нагрузки, сертификация (далеко не только в России) под стандарты различные и сертификаты от многих контор тестирующих, локализация, высокий профессионализм сотрудников.
Т.е. все что описал выше может написать любой вендор, возможно так, но вот как именно это реализовано и детали при рассмотрениии дают понимание.
Если вы не занимаетесь серьезно подобными решениями трудно понять, но для тех кто обслуживает большую инфраструктуру и считает деньги, ценит качество все становится понятным.
Я на этих конях уже лет двадцать езжу, еще SKIP и swIPe застал, так что рассказывайте, не стесняйтесь.
2 mike:
"Алексей есть такая схема - производство."
- Это вам вполне практическая тема! В которой вы извиняюсь себя слили...
"Тоесть как я понял вы реальной защитой не занимались, только сертифицировали?"
- нет поняли неправильно...
"Да нет просто не люблю когда начинают умничать не говоря по делу при этом ничего .... просто показал что тоже могу из пустого в порожнее."
- я вам даже цитату привел, которая опровергает ваши заблуждения. куда уж точнее то?
"почитал про Комплекс тестирования межсетевых экранов... вашей фирмы"
- спасибо за рекламу ;)
- ну я же не говорю что у вас поделки кривые... всего лишь признайте, что нет схемы сертификации "производство" и все :))
Вы тут говорили про небрежность... небрежность, это когда оценка понижена на балл... А в том "исследовании" автор заработал твердый кол! И вы туда же...
Но ведь это наша профессиональная деятельность!!! Неужели мы себя так не любим! У нас эта "небрежность" стала правилом!
2 mike или для (Михаил Романов Директор по развитию бизнеса в России, СНГ и странах Балтии Stonesoft)
К доктору ходил - сказали годен!
Но вы то совсем упали духом...
В этой вашей истории меня смущает только одно: как так получается, что Директор по развитию вместо того чтобы обеспечивать хозяевам бизнеса безопасность, устойчивость бизнеса открыто организовывает серые схемы легализации продукции, подставляет под риски компанию которая его наняла. При этом участвует в схемах конкурсов достойных Начального и публично примазывает ФСТЭК и другие организации...
Неужели так оголодали... Неужели у компании нет ресурсов работать без перекладывания рисков на потребителя?! Вы же не просто дискредитируете компанию Stonesoft вы открыто говорите что вам серые схемы подходят лучше... Неужели тактическая выгода важнее стратегической для компании которой совсем скоро может не остаться!?
И чо? Думаешь отмылся? По факту только и смог наехать на автора и проныть что все так делают :)
Михаил, вы бы лучше позаботились прямыми обязанностями, а то мне уже тот самый народ на вас жалуется, что мол наслали вам кучу писем по работе и ни ответа ни привета... Вас там всё-таки прикрывают? Или уже на вас крест ставить и в макафи слать?
Или можно вас с стоунсофтом уже не ассоциировать :))
Михаил, я по секрету, в одном случае уже разрулил ;) В пользу более адекватных коллег ;)
Отправить комментарий