Архив метки: информационная безопасность

Наша экономика стояла на краю пропасти, а теперь мы сделали большой шаг вперед. Или карьера в ИБ

Всем, привет.

Знаете, что я вам скажу? Ремонт – это трындец. Когда, ты делаешь ремонт, времени не остается ни на что. Вот, обещал Андрею Прозорову, посмотреть его лекцию в июне, а добрался только к июлю. Про ремонт, как-нибудь в другой раз, а сейчас про Андрея.

Поехали.

Идею этого материала, подсказал сам Андрей. У нас стремительно развивается новый обучающий формат на базе Университета Сбербанка, где проводятся открытые лекции на разные темы. Наконец-то, кто-то это сделал. До этого можно было послушать уважаемых людей либо в рамках спонсорского доклада, либо в чил-ауте на конференции.

Как уж у них там все организовано не знаю, но задумка интересная. И тут значит, смотрю, вся лента Solar запестрила выступлением Андрея Прозорова. Называлось «карьера в ИБ», у меня сразу вопрос – о какой карьере идет речь? Блогера в ИБ? Или специалиста? Андрей предложил внимательно посмотреть лекцию и высказать свое мнение. Чем я два часа и занимался.

 

Слушаем

Начнем с названия – Карьера в информационной безопасности.

Карьера – это успешное продвижение в какой-либо области и/или достижение значимых результатов. Про карьерные продвижение остановимся ниже, остановимся на результатах. Разумеется, на первом месте личный блог Андрея. На втором (из автобиографии в блоге): какие-то проекты (какие?), выступление на телевидении, сертификация CISM и участие в профессиональных сообществах.

Как я ожидал из названия, Андрей расскажет ключевые этапы становления безопасника, возможные сферы применения, ключевые навыки и т.п.

Начинаем смотреть.

1:55 — ОАО «ФПД» — не так круто, как РЖД. Не знаю, чего застеснялся Андрей. Я, конечно, пониаю, что РЖД звучит круче, чем ФПД. Но чисто визуально акцентировать на РЖД в автобиографии… чего стыдиться-то?

Лета достойна полного названия, ФПД — нет.

Начал работать на 4 курсе, что могут доверить студенту, что бы он набрал бесценный опыт?

2:21 – «Новая  тема диплома «Защита от инсайдеров, защита от угроз». Что крайне странно, т.к. инсайдер по сути внутренний нарушитель, обладающий бОльшими возможностями, чем внешний. Да, у нас полкурса было посвящено борьбе с внутренними нарушителями.

2:35 – очень интересно было бы увидеть перечень научных статей Андрея.

3:15 – я знал, что должность «Руководитель экспертного направления», это для красного словца.

4:45 – Андрей не все умеет, как написано в стандарте на его специальность.

6:54 – Экономика и философия Андрею не пригодятся. Не мудрено, что сейчас с этим сложности.

7:36 – «Безопасность жизнедеятельности – это как надевать противогаз». Понятно, что Андрей хотел пошутить, но вышло не очень. Там много интересного рассказывают.

7:45 – «Документоведение и психология к безопасности отношения не имеют». То у нас главный источник угроз это человеческий фактор, но специалисту с 10 годами опыта, такие мелочи ни к чему. Ну, а с документами у Андрея давняя вражда, читал его обоснования внедрения продуктов работодателя для 152-ФЗ, сам черт ногу сломит. Не нужная дисциплина, да.

Интересно, кому Андрей рассказывает, что вышка в ИБ плохая? Если лекцию слушают в основном не-безопасники? Они в любом случае уже на нее не пойдут. Скопировал кусок из другой презы?

9:55 – «Упущены навыки общения с другими людьми». Видимо, Андрей прогуливал «ненужные» предметы, т.к. там об этом подробно рассказывали. Начиная с документоведения.

10:50 – «Когда я работал в Лета, у нас был консалтинг и стартанули персональные данные». По автобиографии, Андрей устроился в Лету в 2008 (очевидно летом, после диплома), когда ЗПД уже набирал обороты, а не стартовал.

11:09 – как ведущий консультант может собеседовать претендентов? Если, работающий уже там  Александр Бондаренко, делал это сам, в лучшем случае, в присутствии эчара? Я был там. Три раза.

11:50 – Трындеж какой-то. В 2008 студенты ЗПД еще даже не нюхали. Через год, я сам набирал студентов и обучал их ЗПД, из нескольких десятков о ЗПД не сказал никто. Тема была для них новая. Хотя, вполне допустимо, что это у Андрея ретроспективная память (привет, Психологии).

22:35 – «Медианная зарплата 90 тысяч долларов, там 75% зарплат больше 100 тысяч. Арифметическое среднее будет больше». Видимо, статистику Андрей тоже посчитал ненужным предметом. Андрей, медиана  — число, характеризующее выборку. Если все элементы выборки различны, то медиана — это такое число выборки, что ровно половина из элементов выборки больше него, а другая половина меньше него. Никаких «75% большее 100 тысяч» (в правом хвосте) тут быть не может.

30:30 – «В работе безопасника главным является управление инцидентами». Вот, уж номер. Двигаем ненавязчиво услуги Solar? Вот, что в наших евангелистах от ИБ подбешивает, так это желание протолкнуть рабочие интересы вперед общественных. Даже в таком мероприятии не обошлось без саморекламы. Про SOC уже раз 15 сказали (не говоря, что это. В аудитории где 7-8 специалистов по ИБ). Не хорошо.

31:29 – «Мое дополнительное образование в области безопасности началось с сайта Интуит». Оно и видно, Андрей, оно и видно.

32:25 – теперь понятно, почему для Андрея не было пользы в высшем образовании. 80% пропусков с 4 курса.

33:10 – «В РЖД не сильно напрягают работать, было много свободного времени». А как же «большая практическая база»? Что-то тут не стыкуется. А в ЛЕТЕ работал по 10-12 часов в день… как-то факты не сходятся.

35:40 – «То, что вы делаете со своим оплачиваемым временем, определяет ваш текущий доход». Интересно, сколько сейчас платят за посты в фейсбуке, дружеские посиделки в рабочее время и настройку квадрокоптера?

36:45 – Вообще, Анакин был зачат Силой, а дети его благополучно выжили. Факты-то надо чекать.

38:30 – У викингов были драккары, а на лодках перевозят овец, что бы их волки не сожрали, а они – капусту.

38:50 – Проверим Андрея по его методике. B – хорошие базисные знания. Как говорит сам Андрей, их у него нет. Ну, не считать же такими 15-20 курсов с Интуита и прогулы института.

О – глубокие специализированные знания. То же нет. Во, всяком случае не сказал.

А – личные качества. Тут сложно сказать, как минимум целеустремленность есть.

Т – знания в смежных областях. См. выше про медиану и другое.

1 из 4. Это хорошо или плохо?

41:40 – Викинги вспахивающие землю… глубокая проработка темы.

45:20 – «Тренинги личностного роста, окупаются в течение полугода, года». Что сказать? Андрей, полностью раскрылся, как офисный сотрудник новой волны, который забалтывает работодателя на большой фикс, не демонстрируя реальных результатов. В сфере пиара работодателя – это хорошо, но какое это имеет отношение к информационной безопасности?

Вместе с тем, видно, что Андрею уже тесно в ИБ, и он уже видит себя инфо-тренером. Это те ребятки, которые зарабатывают деньги, рассказывая, как заработать деньги. Уже и курсы специальные пройдены (100 часов, шутка ли), и клепается армия фанатов. Осталось сделать небольшой шаг.

48:04 – Хорошо бы, конечно, рассказать, где внедрялись процессы 27001?

48:19 – перечитывать PM-book, конечно, хорошо. Но специалист по ИБ в нормальной организации, не касается управления проектами чуть менее, чем никак. Примеры успешных компаний, это подтверждают. Например, Сбербанк.

48:35 – Чем конкретно помогли-то? Этому выступлению, очень не хватает конкретики.

50:48 – Какой офигенный слайд. Оказывается, многозвездным и по самое небалуйся  сертифицированным специалистам ISACA не хватает: технических навыков — 46,32%, понимания бизнеса – 72,33% (интересно, сколько из них считали курс экономики в ВУЗе – лишним предметом?), навыков коммуникации – 42,16%.

Подскажите, прав ли я, что из отчета ISACA следует: минимум 30% сертифицированных у нее специалистов нет достаточных навыков ни в одной из категорий? Как же они сертифицировались-то?

52:08 – Каким образом COBIT притягивается к ИБ? То, что у них одинаковое прилагательное – информационный? Или потому что Андрей его прочитал? Чего в ИБ больше – ИТ или безопасности, вопрос не до конца решенный. Не профессионально, предлагать методики из смежной, но во многом чуждой сферы.

53:02 – Предлагать в качестве основы, принципы тренеров личностного роста – это за гранью. Каждый такой тренер, выдает такие принципы на раз в огромном многообразии. Но что самое смешное, не применяет их в жизни. Не говоря уже о том, что бы кого-то научить. Ну, и предложение принципов без личных примеров, говорит об общем уровне лекции.

55:44Тайм-менеджмент. И ничего больше писать не буду. Устал я от этой секты.

56:22 – «Стать человеком, который может встать у руля какой-нибудь активности». По мне, так тут перепутаны темы тренингов, у нас вроде про информационную безопасность. Тема выступления забыта, Андрей уже во всю пиарится, как тренер. Скоро ли уход в инфо-бизнес?

amctv.com/shows/breaking-bad

57:13 – 40 прочитанных книг по тайм-менеджменту! Вау, либо у Андрея много времени переливать из пустого в порожнее, либо не было важных задач.

57:34 – Наглядная иллюстрация принципа Парето – прочитать 3 книги, где «много воды и не нужного», что бы найти 1-2 пару идей и заметок. Хороший тренинг, так победим.

57:52 – В соответствии с этим принципом, читать книги по тайм-менеджменту неважная деятельность :)

58:20 – Ок, ищу дела, которые делать не надо:

  1. Слушать эту лекцию.

1:00:16 – Дневник достижений… По мне, какая-то хипстерская вещь. Ты и так знаешь чего достиг. Или это планируется перечитывать? Или перед женой хвастаться, когда она будет в очередной раз пилить по поводу того, с каким ничтожеством она живет?

1:05:24 – Конечно, нет времени. Надо книги по тайм-менеджменту читать.

1:05:561 достойная книга из 10, все остальное из разряда «Как стать богатым, лежа на диване».

 

Подводя итоги

По мне, так либо Андрей не понял тему лекции, либо не было что сказать по существу. Презентация (кстати, не похоже, что андрей знает свою презентацию, т.к. постоянно читает со слайдов) построена по классической методичке инфо-бизнеса. В начале все плохо, я учился, но мне ничего не дали. Затем — преодоление, показываем, как мы исправили ситуацию. Закрепление, вносим в головы слушателей нужный нам посыл (чаще всего, все будет хорошо, я знаю, как сделать, приходите еще).

Андрей не раскрыл карьерных этапов и трудностей. Равно как и перспектив (оперирование уровнем зарплаты, это не карьерные перспективы). Ключевых базисных навыков не называл, ключевых смежных – аналогично. Все свелось к выдержкам из других источников, тайм-менеджменту и общим фразам «будь активен».

Т.к. все карьерное движение Андрея направлено на то, что бы стать «техническим евангелистом», то и надо было про это рассказывать. Про это интересно послушать. Только к информационной безопасности это не имеет никакого отношения.

На этом все, до новых встреч.

Андрей Прозоров

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз, после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой, попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление, с одной стороны красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедова в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены, чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса, чувствовались, как +17. Местной особенностью является – предложение пледов, на любой летней веранде, любого кафе.

И, вот, сидим мы – разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения, он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции, с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии, четко обозначены 9 форм журналов и что там должно быть. Что разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ – занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И, во всем этом благословенном раю определенности, была одна большая бочка дегтя. При таком подходе к регулированию, рынка информационной безопасности в Украине – так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет, ни консалтинга. Ни интеграторов, да, и вендора не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела, у наших соседей.

Распрощавшись, я еще немного погулял по городу, и поехал в гостиницу. Т.к. надо было опять вставать в три утра, что бы успеть в аэропорт. Где на прощание, нас ждал приятный сюрприз. За шоколадку, нас посадили в бизнес-класс (в котором правда нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.

Что читать безопасникам?

Если вы, когда-нибудь ходили на собеседования, в чем я лично не сомневаюсь. Вы ходили. Так, вот, если вы ходили на собеседования, то уже знаете примерно, как это происходит. Если вы делали это сравнительно недавно, хотя бы раз за последние пять лет, вы должны были сталкиваться с хитрыми вопросами HR. Ох уж эти эскулапы HR, их задача влезть в ваше естество, понять кто вы, не врете ли вы, насколько вы мотивированы и многое-многое другое.

Но есть один вопрос, который теперь ставит меня в тупик… Где-то ближе к концу собеседования, вас спросят или будет отдельный пункт в анкете: — Какие последние три-пять-десять книг вы прочитали?

main_book

Вроде, логика понятна, если укажешь кучу книг по теме вакансии или смежных, то ты молодец – стремишься развиваться. А если ты укажешь кучу фантастики или книг по хобби? Это значит, что ты развиваться не стремишься? А если, я читаю по книге в неделю, и последняя книга по специальности была четвертой-шестой-одиннадцатой?

Если посмотреть с другой стороны, то состоявшийся профессионал все основное по теме уже прочитал. Может быть еще в институте. Сейчас он читает новости и статьи, которые на книгу не тянут. В этом случае, перечень каких-то базовых книг, может быть признаком несостоятельности кандидата. Что это он в 25 лет основы читает?

Отдельный вопрос – как проверить, что именно эти книги прочитаны? Устраивать опрос? Но HR находиться вне понятийного поля вакансии, если только не берет другого HR. Это задача начальника. В общем, вопросы, вопросы, вопросы. Вопросы ради вопросов.

Но давайте посмотрим на себя. Какие книги вы читаете по специальности? Я не беру книги а-ля 7 улучшенное и дополненное издание «Риск-ориентированный подход в безопасности». Вы это в институте проходили, а это так – обновить. И я сомневаюсь, что вы читаете «Особенности администрирования Windows Server 2012 в условиях геополитических угроз». Если вы выполняете инженерные функции, то без этого никуда – ПО имеет свойство обновляться.

Выходит, что мы шлифуем наш базис все теми же статьями, новостями, да постами в блогах сомнительных личностей, вроде меня. А знаете, что самое ужасное? Что бы быть востребованным безопасником, надо читать совершенно другие книги. Все эти риски, угрозы, системы, средства защиты, РД регуляторов – интуитивно понятны и просты. Данные знания не продвигают вас к успеху. Количество прочтенных ISO и NIST не приблизят вас к цели. Все это проходиться в студенческом возрасте.

Теперь вы обладаете знанием, куда ходить не надо. Поздравляю! И всего доброго.

Поражения как импульс роста

Я очень люблю биографии, это, наверное, самый интересный жанр литературы. Конечно, если биография достойного человека. Если вы зайдете в книжный магазин, то найдете там биографии Наполеона, Гитлера, Стива Джобса или Билла Гейтса. Разумеется, это великие люди, каждый по-своему, кто-то с положительной стороны, кто-то с отрицательной, а кто-то в бизнесе. Читать их интересно. Но знаете, что их объединяет и чем они скучны? Это истории успеха. Это единицы из тысяч и миллионов, на их жизнь влияло слишком много факторов, которые мы не можем себе вообразить, например, удача.

Правильное выражение мыслей

Интересней читать другие истории, истории поражения. Их гораздо меньше, т.к. историю пишут победители. Да, зачастую некому рассказывать-то. Например, в бизнесе за каждой палаткой у метро лежит кладбище тех, кто делал и не смог. Так, кстати, везде. Можете сами в этом убедиться на следующей встрече вашего класса 20 лет спустя.

Поражения дают гораздо больше информации, импульса, чем успехи. Например, каждый знает, как организовать и выиграть конкурс. Многие знают, как залезть в чужой конкурс и выиграть. Но когда ты на вершине, реальность любит преподнести ржавую вилку в бок. Ты смотришь вокруг и понимаешь, каким ты был наивным. И о парочке таких историй в закупках я хочу вам рассказать.

Был это декабрь 2013 года. Я мониторил zakupki.gov.ru и нашел конкурс по аттестации. Не той кривой аттестации, что у парней из Тулы. А нормальной, информационной аттестации. Посмотрел конкурсную документацию, посчитал трудозатраты, командировочные и т.п. Заработать можно было. Радостно сказал: я нашОль!

Стали оформлять весь процесс для подачи, и выяснилась главная неприятность. Получить КД можно только лично в распечатанном виде, за 1000 км от меня… Туше!

Совсем недавно участвовал в конкурсе. Тематика была совсем не связанная с безопасностью — ИТ-мониторинг. Но мы могли его реализовать на имеющихся у Заказчика средствах плюс поставка. По требованиям мы с пяток на десяток проходили, а на части требований написали: «будет реализовано в ходе реализации проекта». Пришли на защиту конкурсной заявки и тут… Оказалось, что решение должно все выполнять из коробки и доработки не принимаются. И теперь система оценки заявки не предусматривает «выполняется частично», а только да/нет… Туше!

К чему это я? Иногда надо совершать ошибки, чтобы хорошо выучить урок. Главное — сильно от этого не страдать. :)

Проблемы обучения по ИБ

Как-то в последнее время стала чаще всплывать тема образования в информационной безопасности. Вернее, она никуда и не девалась – периодически бывают всплески. Но в последнее время особенно.

На образование обычно сетуют в таком духе:

Сейчас студенты ничего не знают. Хотят сразу много денег, но ведь ничего не знают. Но приходиться брать. Да и вообще образование сейчас никакое – лишь бы деньги платили, а знания не нужны.

learn

И из этого срач сразу перемещается в космические дали: все начинают поливать ЕГЭ, говорить про советских двоечников, знавших больше нынешних отличников и т.п. Жуть как интересно. Но тема это заезженная (понятно, что сейчас лучше), и не стал бы я о ней говорить, если бы не натолкнулся на одну статью.

Могу, например, рассказать, сколько времени я потратил в издательстве «Правда» на печать на матричном принтере книги «Архитектура IBM PC» – это был 1989 год. Книга вышла на русском, но маленьким тиражом и моментально стала редкостью. И вот кто-то – это в самом деле был подвиг! – вручную набрал текст этой книги (сканеров с распознаванием текста тогда в СССР и не видывали). Это толстенная книга и я даже представить боюсь, сколько времени у этого неведомого героя ушло на набор текста этой книги. Особенно если учесть, что дома тогда компьютеров никто не имел и, значит, человек мог набирать текст только на работе. А IBM PC были тогда в единичных экземплярах (да и то мало где они ещё были в конце 80-х), а, стало быть, днём эта IBM PC была загружена работой и набирать текст человек мог только ночью – сотни страниц текста! Вот на какие героические поступки толкала людей советская система доступности знания и книг. Технических книг, замечу! В СССР персональных компьютеров-то в конце 80-х было раз, два и обчёлся. А книг ещё меньше. О какой конкуренции с Западом вообще могла идти речь, если уже вроде получше стало с книгами (то есть многие запреты сняли), а всё равно хорошие технические книги можно было получить в основном только вот эдак, на дискете.

Очень занимательный отрывок, как и в целом статья. Но меня заинтересовал главный посыл, что любая зубрежка основ не дает результатов без существенного информационного базиса. Можно людей заставить зазубрить, как и брать интегралы, но нельзя заставить их применять это в жизни. Именно поэтому существуют шутки, что алгебра нужна лишь учителям алгебры.

Сам я из первой волны безопасников нового времени. Аккурат в 2006 году появился первый выпуск во всех аккредитованных ВУЗах страны по специальности Защита информации. До этого безопасности учили в основном на прикладной математике (криптографии), у различных связистов, или в силовых структурах. А тут сразу толпа гражданских специалистов. Правда, из моей группы сейчас по специальности работают 2 человека (10%), но это не так уж и плохо.

Мне повезло, и я устроился по специальности. И надо сказать, что я был в одинаковом положении со старшими товарищами, а скорее и в более выигрышном. На меня не давил груз зазубренных предметов по учебным планам мохнатых годов. Например, я учился программировать на С, тогда как весь остальной институт на Паскале.

Но главное (это я понял гораздо позже) — нас стали учить думать башкой и пользоваться доступными источниками, которые надо было найти самому, ведь списка могли и не дать. Т.к. разнокалиберного материала вокруг было много, приложив минимальные усилия, можно было освоить необходимые навыки, достойные звания инженера. На первой лекции по специальности нам задали глобальную задачу по созданию программы контроля. После уюта школы с учебниками и ответами в конце – это было шоком. Но те, кто чего-нибудь стоил, к 5 курсу добились серьезного прогресса в решении.

Почему-то все забывают, что в профессиональном росте, как и в институте, центральное место должна занимать самоподготовка. Это валидно для любого возраста, и любой профессии. В 2006 для нас firewall был диковинкой, а в 2007 я их уже сам настраивал. Сейчас не сыщется безопасника, который об этом не слышал.

Поэтому лишь платное образование спасет нашу страну вообще, и отрасль в частности. Если знания достаются на халяву, нет потребности их усваивать, понимать и применять. Зря потраченные человеко-часы преподавателей и студентов. Это улучшит качество не только усваивания предмета, но и качество его преподавания.

А то сейчас на кого не посмотри – обязательная вышка, куча курсов переподготовки, CISA, CISSP и еще черт знает что, а человек ноль. Помню, как в 2012-13 году у Андрея Янкина была проблема найти хотя бы младших специалистов, не говоря уже о ведущих. Их просто не было, или были просто дипломы. А у ребят более или менее выделяющихся были неадекватные запросы. И так у нас везде.

Помню, недавно была популярна тема – нужны ли все эти сертификации CISM, CISA, CISSP? Помогают ли они зарабатывать больше?

Я знал одного CISA, который понимал в безопасности меньше меня (тогда еще молодого специалиста). Как же он сдал? Этот человек 3 года работал в банке, у него было много свободного времени, и он его просто зазубрил по книгам и дампам.

Для сдачи требуется соблюсти всего два условия – знание английского и полгода времени на подготовку. Да, какой-нибудь CCIE надо делать руками, но все сертификаты до него можно просто сдать по существующим дампам. Это ведь обычные тесты (а у нас все ЕГЭ ругают, хотя он не так уж плохо, проблема в предметах, к которым его применяют), в них можно банально угадать ответ. Уровень вопросов там сравним с институтским, и как только тот же CISA сделают на русском, у нас все поголовно его сдадут. К тому же все забывают, что там как минимум 2 раздела по западной (специфической) нормативке. Понятно, что у нас это применимо, как 5 колесо у телеги.

Возвращаясь к основной мысли: главное — не корочки и академические знания, а умение их применять. Процесс не главное. А то многие находятся в перманентной стадии обучения – вечные студенты. Главное – результат.

Всего вам доброго.

Как анализировать конкурсы на госзакупках, или почему не было вчера не было материала

Вы думаете, почему нет вторничного мега-материала? Приходиться работать :( У всех начало января — мертвый сезон, а мне накидали конкурсов. 4 штуки на неделю для участия, и еще 10 на анализ.

Надо сказать, что конкурсы я люблю. И вообще являюсь специалистом по анализу конкурсов – что по 94 (44) ФЗ, что по 223, а уж как люблю конкурсы в свободной форме… не передать. Это все равно, что даниссимо съесть.

zakipki_gov_ru

Обычно дело обстоит так: мне прилетает ссылка – Диман, глянь, что как. Я смотрю, и даю выводы – идем/не идем. Это моя самая любимая часть, жаль, что она длится минут 5-10, прямо как среднестатистический секс.

И вот, когда я собрался уже написать мега-текст, ко мне прилетает ссылка. Аттестация по ЗПД в «Городская клиническая больница имени Архиепископа Луки г.Тамбова».

О том, как выигрывать конкурсы, я расскажу в другой раз, а сегодня о том, как обнаруживать в конкурсах защиту.

Что такое найти защиту? Это посмотреть, был ли конкурс подготовлен самим заказчиком, или ему кто-то помогал. Понятно, что помогающий надеется выиграть конкурс. И в этом, кстати, нет ничего плохого. В следующий раз я вам расскажу увлекательную историю про битву в конкурсе с двумя маститыми интеграторами, где были интриги, расследования и победа. Там, кстати, наша цена была в 3 раза ниже, чем у остальных. Т.е. конкурс с защитой – это не всегда желание отхапать кучу денег, зачастую это желание, чтобы делал проверенный контрагент за вменяемые деньги.

Но давайте теорию оставим на потом, сразу к практике. Почитайте документы по ссылке.

sokrovishha

.

.

.

Что нашли?

.

.

.

Сразу возникают сомнения уже в названии. Аттестация вещь такая, для нее нужны средства защиты и документы. Если все это есть, то аттестацию, скорее всего, уже кто-то сделал. Поэтому открытые конкурсы на «чистую» аттестацию – это переаттестация.

Есть такое у парней из Тамбова? Нетути.

8.1.7. Исполнитель должен обеспечить поставку, установку, настройку и ввод в эксплуатацию средств защиты информации, отвечающих требованиям, установленным в разделе 9 настоящего технического задания.

Ага, т.е. сразу в стоимость должны быть включены технические средства. Как вы понимаете, это увеличивает неопределенность, а, следовательно, косты вашего предложения. Смотрим, что за система – МИС. В границы работ попали лишь рабочие места, без серверных компонент. Уже легче, а то можно нарваться на черт знает что.

Сроки. Сроку всего 30 рабочих дней. И тут парни сработали чопорно. Окучить почти 500 рабочих мест за полтора месяца…? Кстати, так часто пишут, когда часть работ уже сделана, и за нее надо получить деньги. Как-нибудь расскажу про залеты с этой схемой.

Т.е. нам предлагают делать под ключ 16 компов в день… Ну, ладно. Чешем дальше.

Возвращаемся к требованиям к средствам защиты. Тут часто пишут номера випнетовских сетей, что сразу ставит крест на ваших чаяньях. Но тут такого нет, а есть спецификация:

 

 

Таблица №2

№ п/п

Наименование

Количество

1
Лицензия на право использования СЗИ от НСД SecretNet 7. Клиент (сетевой режим работы)

480

2
Лицензия на право использования СЗИ от НСД SecretNet 7. Сервер безопасности

1

3
Установочный комплект СЗИ от НСД

1

4
Программно-аппаратный комплекс, выполняющий функции средства обнаружения вторжений

4

5
Продление действующих неисключительных (пользовательских) лицензионных прав на антивирусное программное обеспечение Dr . Web Desktop Security Suite : Антивирус, Центр управления для рабочих станций сроком на 36 месяцев

480

6
Установочный комплект антивирусного программного обеспечения Dr . Web Desktop Security Suite

1

7
Передача неисключительных прав на использование средства анализа защищенности сети

1

8
Установочный комплект средства анализа защищенности сети

1

9
Продление неисключительных прав на использование Средств защиты информации Security Studio Endpoint Protection : Antivirus , Personal Firewall , HIPS . Subscription.

37

 

Тут все прекрасно. Если бы кто хотел помандиться по теме конкурса, то они бы в легкую это сделали. Сумма просто довольная маленькая. Было бы хотя бы миллионов 10, думаю, нашлось бы много охотников пописать в ФАС и прокуратуру. Но тема развала конкурсов – большая, чтобы о ней говорить в двух словах.

Если есть спецификация, значит кто-то уже защитил поставку у вендора. Следовательно, мы в лучшем случае получим скидку в 5% от прайс-листа.

Там еще можно много найти, но и этого хватает с головой.

Все необходимое узнали, считаем нашу себестоимость.

money

Я рекомендовал в этот конкурс не идти.

Вот так я потратил 10 минут, креативное настроение ушло, и я не написал вам вчера пост. Если интересна тема организации и выигрыша конкурсов по 94 и 223 ФЗ и всякие кул-стори, ставьте лайк и пишите в комментариях.

Всего вам доброго.