Архив метки: информационная безопасность

Как убивают четкие инструкции

Так получилось, что в четверг я оказался в Крыму. Там уже успели побывать большинство моих знакомых, а я – первый раз, после присоединения. Это была самая неподготовленная из моих командировок, билет туда был куплен за 8 часов до вылета, а обратный за 20, в самом аэропорту.

Крым, он вообще такой, попасть легко, выбраться сложно. Разница между входом и выходом составила 675%, видимо, окончание сезона – все спешат домой. Дело у меня было в Симферополе, что очень удобно для суточных командировок, т.к. ехать никуда не надо.

Памятник вежливым людям

Памятник вежливым людям

Сам город оставил двойственное впечатление, с одной стороны красиво, с другой – все какое-то незаконченное. Местный Арбат (ул. Карла Маркса) – от силы 200 метров. А главная особенность, что такси в городе не поймаешь можно только заказать по телефону. Не, таксисты стояли в двух местах в центре, но цены ломили, как из Домодедова в Шереметьево в час пик.

Поделал я всякие дела, и забурились мы в кафе Ин Тайм (ул. Карла Маркса, 14), где я попробовал самый офигенный салат Цезарь за последние три года. Цены, чуть ниже московских. Крайне рекомендую. Кстати, хваленные +22 градуса, чувствовались, как +17. Местной особенностью является – предложение пледов, на любой летней веранде, любого кафе.

И, вот, сидим мы – разговариваем с коллегой. И зашла у нас речь о регулировании безопасности. До воссоединения, он работал в государственном банке. Как и у нас, у них банки впереди планеты всей по информационной безопасности, во всяком случае, в области нормативки. У них единый регулятор — Центробанк, и все, кто хочет что-то добавить – идут туда.

Репетиция, видимо, перед выборами

Репетиция, видимо, перед выборами

ЦБ выпускает четкие инструкции, с конкретными мерами. Например, есть инструкция на ИБП, сети питания, заземление (привет, ПЭМИН), криптографию и т.п. Инструкции, крайне подробные. Например, ИБП должен быть в железном ящике, регламентирована толщина листа и как он должен быть сварен (либо сплошной шов, либо прихватами с промежутком не более 25 мм). Или по криптографии, четко обозначены 9 форм журналов и что там должно быть. Что разительно отличается от нас (вопрос знатокам – что такое лицевой счет сертификата?).

Все это проверяется раз в 5 лет специальным контролерами, которые проверяют по тем же прописанным инструкциям.

А все, что не описано – считай и не надо делать. Или надо, но на свое усмотрение. Процедура проверки СЗИ – занимала 3 месяца. Юзали все, в том числе и нашу криптографию.

И, во всем этом благословенном раю определенности, была одна большая бочка дегтя. При таком подходе к регулированию, рынка информационной безопасности в Украине – так и не сформировалось. Не, есть компании, которые вам построят ЦОД в соответствии с инструкциями, но не более. ИБ окончательно стало придатком ИТ, мало имеющая от собственно безопасности.

Нет, ни консалтинга. Ни интеграторов, да, и вендора не особо нужны (за три месяца получил разрешение на импортный МСЭ — и порядок). Такие дела, у наших соседей.

Распрощавшись, я еще немного погулял по городу, и поехал в гостиницу. Т.к. надо было опять вставать в три утра, что бы успеть в аэропорт. Где на прощание, нас ждал приятный сюрприз. За шоколадку, нас посадили в бизнес-класс (в котором правда нас не кормили), поэтому дорога домой была приятна и комфортна.

Завтрак бизнес-классе

Завтрак бизнес-классе

Москва меня встретила дождиком и +6.

Восход

Восход

CISO FORUM 2016 – И дамы, погасших пылающих гнезд, спалят кавалеров с тупых белых звезд

Я в несколько подходов принимался за вторую часть отчета. Я долго собирался с силами, чтобы рассказать о своих страхах и предчувствиях. Основная (негативная) часть была написана в пятницу. Пятница 13 — лучшее время для отчета. Но должна быть и капля позитива, ведь я верю в хорошее.

Текст далее не будет хронологически связным, скорее это будут определенные, законченные сцены, иначе общая бессвязность моей речи совсем зашкалит.

ciso_forum_2016

Правильные SOC

Основным светлым пятном было выступление Феди Горловского. В отличие от «кошмаров Лукацкого» (лепить в выступление как можно больше рекламы), Федор не стал разводить рекламу в своем выступлении «CISO‐KIT или Меч самурая Хандзо». Хотя теперь он Директор по развитию в Security Vision (а я безработный блогер), а они в свою очередь были главным спонсором всей выставки. Растут ребята.

Ключевое, что сказал Федя, и чего я не услышал на SOC- forum: хватит говорить о технологиях. Технологии — это лишь один, при том самый низший уровень SOC.

Иерархия выглядит так (в порядке повышения значимости):

  1. Люди.
  2. Процессы.
  3. Технологии.

Вот и весь SOC- forum крутился вокруг технологий… мда. Еще Федор интересно рассказывал про западные SOCи и отечественные, о той локализации, что присуща только нам. Можно сказать, что у нас образуются два отдельных направления в SOC: это подход Solar с его аутсорсингом и вытекающими от сюда проблемами, и Security Vision, который старается нивелировать пробелы уровней процессов и людей с помощью технологий.

Фактически Solar заявляет, что у него лучшие специалисты, а процессы и люди не важны (взяты на аутсорсинг). Security Vision идет снизу и выстраивает процессы сам, адаптируясь под предприятие. Люди должны повышать свой скилл в боевых условиях на живом материале. Конечно, не идеальная ситуация, но гораздо лучше неизвестности аутсорсинга.

Ну, и заценил функционал Security Vision, который, говорят, ценил В.В. Путин. Приобщился к великому, так сказать.

Луч света в темном царстве

Чтобы закончить с хорошим, хотел бы отдать должное организации. Конечно, были у них косяки – пару раз перепутали залы и спикеров, колонки немного фонили, переключатели не работали. Но программка – мое почтение. На моей памяти они единственные, кто догадался сделать ее формата А5. На полиграфию денег не пожалели.

Ну, и развлечения были неплохи. Особенно алко-казино:)

ISACA — российские туристы переключаются с Крыма на Сочи

У ISACA было аж два выступления (мб и больше, я был 1 день). И оба оставили тягостное впечатление. С места в карьер – Андрей Дроздов (Вице‐президент Московского отделения ISACA) пересказывал какой-то западный отчет по угрозам. Потом вещал о том, какая ISACA крутая организация, и все это съело 80% пленарного заседания.

Иероним Босх, Семь смертных грехов

Иероним Босх, Семь смертных грехов

Я, честно сказать, был в шоке. Никогда не думал, что на таком уровне можно так явно гнать джинсу. Андрей заполнил собой всю пленарку, оставив остальным по 2 минуты на реплику. Не знаю, как там в высшем свете, а на Нижегородской конференции по ЗПД в 2008 году за такое пара лиц были биты. Завершилось все фееричной новостью, что доступны учебники ISACA со скидкой для студентов. Хотя какие студенты на платной конференции для директоров по ИБ? Куда смотрел Алексей Лукацкий, он вроде был модератором…

В конце дня выступал Фарит Музипов (председатель правления, НП «Партнерство специалистов информационной безопасности»). Фарит, в целом, интересно рассказал о своем опыте сертификации CISA, CISM и CISSP. Рассказ об этом занял минут 5. Потом началась опять джинса – как хороши западные сертификации, как много западных друзей можно получить и т.п. У меня сложилось ощущение, что московскому отделению ISACA надо срочно заполнить аудитории на курсах по подготовке к этим самым сертификациям.

Я задал Фариту аж четыре вопроса:

  • Насколько применимы западные стандарты и подходы к отечественной специфике? Как именно вы применяете их в работе? Особенно учитывая, что CISA содержит 2,5 раздела (из 8) по западной (чуждой нам) нормативке?
  • Вы сказали, что данные сертификации являются экспертными, но вместе с тем вы так же сказали, что они носят общий характер. Верно ли, что единственным отличием CISA специалиста от не- CISA – это знание английского языка?
  • Как вы относитесь к тому факту, что данные сертификации носят общеобразовательный смысл, не привязанный ни к какой конкретике, в отличие от CCIE Security или Lead Auditor ISO 27000? Что они могут быть просто задамплены и не отражают должного уровня специалиста?
  • Как лично вы применяете знания из международных сертификаций?

Фарит высказал свое мнение, и тут опять появился Андрей Дроздов и начал рассказывать, как они готовят к сдаче сертификации…

И это был словно третий круг ада – чревоугодие. Т.е. какие-то люди собрались, придумали свою сертификацию, и за деньги обучают своей методике. Так мало того, вы каждый год должны покупать книжки, чтобы остаться в кругу Элиты. Я уже рассказывал про одного CISA. На моей памяти лишь несколько человек были достойными специалистами. Один из них Андрей Янкин, который в большей степени получил корочку для защиты конкурсов. В его квалификации и так никто никогда не сомневался.

Так началось наше снисхождение…

Безопасники бывшими не бывают

В этот день много говорили про бывших безопасников. В начале Александр Баранов (секция «ОДИН НА ОДИН». Генерал Баранов. Жизнь после 8‐го Центра ФСБ) рассказывал, как устроиться на гражданке после ФСБ. Не шибко помню все выступление, лишь несколько цитат:

Александр Баранов: служба продолжается и на гражданке.

Александр Баранов: нормативка не совсем отражает реалии.

Александр Баранов: регуляторы заточены на защиту гостайны, а ее 2-3%. Требования слишком жесткие.

Александр Баранов: выбить деньги на иб сложно, безопасник плохой продавец. Надо учиться выбивать.

Александр Баранов: iso, стандарты и методички рассказывают банальности, но не дают никакой конкретики.

А затем была целая секция «Жизнь после ИБ», от которой я просто выпал в осадок. Там вещали девушка и молодой человек. Оба занимались ИБ, но потом ушли из профессии.

Рене Магритт, Сын человеческий

Рене Магритт, Сын человеческий

Крайне покоробили их причины прихода в ИБ (я уже не помню, кто и что конкретно сказал, главное — общий посыл, оба спикера были похожи в своих предпосылках), так это я записал с места событий: в ИБ попадают, потому что деньги платят, или была перспектива в начале обучения.

Что сказать? Пиздец. Лично я остаюсь при мнении, что безопасник (пусть и на гражданке) – это ум, честь и совесть компании. Это верные, в том числе своему пути, люди. По мне корыстный безопасник – это оксюморон. Помню, мне Руслан Рахметов (сейчас директор в Security Vision), рассказывал о причинах, почему он стал делать средства защиты. В топ 10 причин не было ни слова о деньгах, одни чистые, светлые идеи.

И это наш четвертый круг ада – жадность. Среди нас появились корыстные люди, готовые переметнуться к буржуинам: туда, где вкусно кормят и мягко стелют.

Дамы пылающих гнезд

Алексей Волков решил провести секцию «ИБ «под каблуком. Женщина в профессии CISO». Вообще надо сказать, что все выступающие независимые эксперты (а независимы они видимо потому, что их компании не были спонсорами форума), как-то странно выбрали себе темы. Видимо, решили постебать всех… такие темы надо на автопати обсуждать.

Алексей пригласил 5 тигриц, и смело вошел в их клетку. Хорошо, что вышел живым. Затролили по самое не балуйся.

Вообще странно, что на нашем рынке женщина воспринимается как что-то такое неведомое и экзотическое. Типа безопасность для суровых мужиков, которые пьют, не закусывая, и ругаются матом. Как же женщина пить-то будет? Помню, в 2006 году, когда я учился по ISO 27000 в АИСе, курс читала девушка из Джетов (недавно ушла оттуда). Она готовилась стать сертифицированным аудитором и начитывала для этого часы. И надо сказать, отлично читала. Беспочвенно критикуемый сейчас цикл Деминга был понят мной во всех нюансах и подробностях.

Скажем нет сексизму в ИБ! Можно сказать, это был второй круг – похоть.

Сизифы

Про отважных людей, живущих в парадигме: «руководству плевать на иб, если оно решило идти в облака. А если риски, связанные с этим, реализуются, виноват будет безопасник. Ему и отвечать.» Читайте в первой части.

И это был пятый круг – гнев и уныние.

Иероним Босх, Восхождение в Эмпирей

Иероним Босх, Восхождение в Эмпирей

Я не знаю, может быть, там было что-то прекрасное на второй день. Хотя сильно сомневаюсь… Забавно было про китайский банкомат. Или как Solar сказал: «мы будем рады, если на торрент-трекерах будут лежать исходники наших продуктов».

Но все это хорошая мина при плохой игре. Первый день CISO- forum был… душным. И дело не в работе кондиционера, с ним все было нормально. Дело в давлении. Это как с двоемыслием в Оруэлла. Океания всегда воевала с Остазией. Если вы читали классику кибер-панка, то вы должны понять то ощущение безнадежности, что за тебя уже все решили. Или вспомните Горец 3 с Ламбертом. Вот корпорации – они всем рулят, а вот модная сертификация — ее надо получить, иначе к баланде не допустят. И ты бежишь как белка в колесе за целями, поставленными другими. Хотя добро — вот оно. Ты только что свернул от него в другую сторону…

Были там и другие круги… но я не хочу об этом писать.

Всего вам доброго.

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.

Что читать безопасникам?

Если вы, когда-нибудь ходили на собеседования, в чем я лично не сомневаюсь. Вы ходили. Так, вот, если вы ходили на собеседования, то уже знаете примерно, как это происходит. Если вы делали это сравнительно недавно, хотя бы раз за последние пять лет, вы должны были сталкиваться с хитрыми вопросами HR. Ох уж эти эскулапы HR, их задача влезть в ваше естество, понять кто вы, не врете ли вы, насколько вы мотивированы и многое-многое другое.

Но есть один вопрос, который теперь ставит меня в тупик… Где-то ближе к концу собеседования, вас спросят или будет отдельный пункт в анкете: — Какие последние три-пять-десять книг вы прочитали?

main_book

Вроде, логика понятна, если укажешь кучу книг по теме вакансии или смежных, то ты молодец – стремишься развиваться. А если ты укажешь кучу фантастики или книг по хобби? Это значит, что ты развиваться не стремишься? А если, я читаю по книге в неделю, и последняя книга по специальности была четвертой-шестой-одиннадцатой?

Если посмотреть с другой стороны, то состоявшийся профессионал все основное по теме уже прочитал. Может быть еще в институте. Сейчас он читает новости и статьи, которые на книгу не тянут. В этом случае, перечень каких-то базовых книг, может быть признаком несостоятельности кандидата. Что это он в 25 лет основы читает?

Отдельный вопрос – как проверить, что именно эти книги прочитаны? Устраивать опрос? Но HR находиться вне понятийного поля вакансии, если только не берет другого HR. Это задача начальника. В общем, вопросы, вопросы, вопросы. Вопросы ради вопросов.

Но давайте посмотрим на себя. Какие книги вы читаете по специальности? Я не беру книги а-ля 7 улучшенное и дополненное издание «Риск-ориентированный подход в безопасности». Вы это в институте проходили, а это так – обновить. И я сомневаюсь, что вы читаете «Особенности администрирования Windows Server 2012 в условиях геополитических угроз». Если вы выполняете инженерные функции, то без этого никуда – ПО имеет свойство обновляться.

Выходит, что мы шлифуем наш базис все теми же статьями, новостями, да постами в блогах сомнительных личностей, вроде меня. А знаете, что самое ужасное? Что бы быть востребованным безопасником, надо читать совершенно другие книги. Все эти риски, угрозы, системы, средства защиты, РД регуляторов – интуитивно понятны и просты. Данные знания не продвигают вас к успеху. Количество прочтенных ISO и NIST не приблизят вас к цели. Все это проходиться в студенческом возрасте.

Теперь вы обладаете знанием, куда ходить не надо. Поздравляю! И всего доброго.

Поражения как импульс роста

Я очень люблю биографии, это, наверное, самый интересный жанр литературы. Конечно, если биография достойного человека. Если вы зайдете в книжный магазин, то найдете там биографии Наполеона, Гитлера, Стива Джобса или Билла Гейтса. Разумеется, это великие люди, каждый по-своему, кто-то с положительной стороны, кто-то с отрицательной, а кто-то в бизнесе. Читать их интересно. Но знаете, что их объединяет и чем они скучны? Это истории успеха. Это единицы из тысяч и миллионов, на их жизнь влияло слишком много факторов, которые мы не можем себе вообразить, например, удача.

Правильное выражение мыслей

Интересней читать другие истории, истории поражения. Их гораздо меньше, т.к. историю пишут победители. Да, зачастую некому рассказывать-то. Например, в бизнесе за каждой палаткой у метро лежит кладбище тех, кто делал и не смог. Так, кстати, везде. Можете сами в этом убедиться на следующей встрече вашего класса 20 лет спустя.

Поражения дают гораздо больше информации, импульса, чем успехи. Например, каждый знает, как организовать и выиграть конкурс. Многие знают, как залезть в чужой конкурс и выиграть. Но когда ты на вершине, реальность любит преподнести ржавую вилку в бок. Ты смотришь вокруг и понимаешь, каким ты был наивным. И о парочке таких историй в закупках я хочу вам рассказать.

Был это декабрь 2013 года. Я мониторил zakupki.gov.ru и нашел конкурс по аттестации. Не той кривой аттестации, что у парней из Тулы. А нормальной, информационной аттестации. Посмотрел конкурсную документацию, посчитал трудозатраты, командировочные и т.п. Заработать можно было. Радостно сказал: я нашОль!

Стали оформлять весь процесс для подачи, и выяснилась главная неприятность. Получить КД можно только лично в распечатанном виде, за 1000 км от меня… Туше!

Совсем недавно участвовал в конкурсе. Тематика была совсем не связанная с безопасностью — ИТ-мониторинг. Но мы могли его реализовать на имеющихся у Заказчика средствах плюс поставка. По требованиям мы с пяток на десяток проходили, а на части требований написали: «будет реализовано в ходе реализации проекта». Пришли на защиту конкурсной заявки и тут… Оказалось, что решение должно все выполнять из коробки и доработки не принимаются. И теперь система оценки заявки не предусматривает «выполняется частично», а только да/нет… Туше!

К чему это я? Иногда надо совершать ошибки, чтобы хорошо выучить урок. Главное — сильно от этого не страдать. :)

Проблемы обучения по ИБ

Как-то в последнее время стала чаще всплывать тема образования в информационной безопасности. Вернее, она никуда и не девалась – периодически бывают всплески. Но в последнее время особенно.

На образование обычно сетуют в таком духе:

Сейчас студенты ничего не знают. Хотят сразу много денег, но ведь ничего не знают. Но приходиться брать. Да и вообще образование сейчас никакое – лишь бы деньги платили, а знания не нужны.

learn

И из этого срач сразу перемещается в космические дали: все начинают поливать ЕГЭ, говорить про советских двоечников, знавших больше нынешних отличников и т.п. Жуть как интересно. Но тема это заезженная (понятно, что сейчас лучше), и не стал бы я о ней говорить, если бы не натолкнулся на одну статью.

Могу, например, рассказать, сколько времени я потратил в издательстве «Правда» на печать на матричном принтере книги «Архитектура IBM PC» – это был 1989 год. Книга вышла на русском, но маленьким тиражом и моментально стала редкостью. И вот кто-то – это в самом деле был подвиг! – вручную набрал текст этой книги (сканеров с распознаванием текста тогда в СССР и не видывали). Это толстенная книга и я даже представить боюсь, сколько времени у этого неведомого героя ушло на набор текста этой книги. Особенно если учесть, что дома тогда компьютеров никто не имел и, значит, человек мог набирать текст только на работе. А IBM PC были тогда в единичных экземплярах (да и то мало где они ещё были в конце 80-х), а, стало быть, днём эта IBM PC была загружена работой и набирать текст человек мог только ночью – сотни страниц текста! Вот на какие героические поступки толкала людей советская система доступности знания и книг. Технических книг, замечу! В СССР персональных компьютеров-то в конце 80-х было раз, два и обчёлся. А книг ещё меньше. О какой конкуренции с Западом вообще могла идти речь, если уже вроде получше стало с книгами (то есть многие запреты сняли), а всё равно хорошие технические книги можно было получить в основном только вот эдак, на дискете.

Очень занимательный отрывок, как и в целом статья. Но меня заинтересовал главный посыл, что любая зубрежка основ не дает результатов без существенного информационного базиса. Можно людей заставить зазубрить, как и брать интегралы, но нельзя заставить их применять это в жизни. Именно поэтому существуют шутки, что алгебра нужна лишь учителям алгебры.

Сам я из первой волны безопасников нового времени. Аккурат в 2006 году появился первый выпуск во всех аккредитованных ВУЗах страны по специальности Защита информации. До этого безопасности учили в основном на прикладной математике (криптографии), у различных связистов, или в силовых структурах. А тут сразу толпа гражданских специалистов. Правда, из моей группы сейчас по специальности работают 2 человека (10%), но это не так уж и плохо.

Мне повезло, и я устроился по специальности. И надо сказать, что я был в одинаковом положении со старшими товарищами, а скорее и в более выигрышном. На меня не давил груз зазубренных предметов по учебным планам мохнатых годов. Например, я учился программировать на С, тогда как весь остальной институт на Паскале.

Но главное (это я понял гораздо позже) — нас стали учить думать башкой и пользоваться доступными источниками, которые надо было найти самому, ведь списка могли и не дать. Т.к. разнокалиберного материала вокруг было много, приложив минимальные усилия, можно было освоить необходимые навыки, достойные звания инженера. На первой лекции по специальности нам задали глобальную задачу по созданию программы контроля. После уюта школы с учебниками и ответами в конце – это было шоком. Но те, кто чего-нибудь стоил, к 5 курсу добились серьезного прогресса в решении.

Почему-то все забывают, что в профессиональном росте, как и в институте, центральное место должна занимать самоподготовка. Это валидно для любого возраста, и любой профессии. В 2006 для нас firewall был диковинкой, а в 2007 я их уже сам настраивал. Сейчас не сыщется безопасника, который об этом не слышал.

Поэтому лишь платное образование спасет нашу страну вообще, и отрасль в частности. Если знания достаются на халяву, нет потребности их усваивать, понимать и применять. Зря потраченные человеко-часы преподавателей и студентов. Это улучшит качество не только усваивания предмета, но и качество его преподавания.

А то сейчас на кого не посмотри – обязательная вышка, куча курсов переподготовки, CISA, CISSP и еще черт знает что, а человек ноль. Помню, как в 2012-13 году у Андрея Янкина была проблема найти хотя бы младших специалистов, не говоря уже о ведущих. Их просто не было, или были просто дипломы. А у ребят более или менее выделяющихся были неадекватные запросы. И так у нас везде.

Помню, недавно была популярна тема – нужны ли все эти сертификации CISM, CISA, CISSP? Помогают ли они зарабатывать больше?

Я знал одного CISA, который понимал в безопасности меньше меня (тогда еще молодого специалиста). Как же он сдал? Этот человек 3 года работал в банке, у него было много свободного времени, и он его просто зазубрил по книгам и дампам.

Для сдачи требуется соблюсти всего два условия – знание английского и полгода времени на подготовку. Да, какой-нибудь CCIE надо делать руками, но все сертификаты до него можно просто сдать по существующим дампам. Это ведь обычные тесты (а у нас все ЕГЭ ругают, хотя он не так уж плохо, проблема в предметах, к которым его применяют), в них можно банально угадать ответ. Уровень вопросов там сравним с институтским, и как только тот же CISA сделают на русском, у нас все поголовно его сдадут. К тому же все забывают, что там как минимум 2 раздела по западной (специфической) нормативке. Понятно, что у нас это применимо, как 5 колесо у телеги.

Возвращаясь к основной мысли: главное — не корочки и академические знания, а умение их применять. Процесс не главное. А то многие находятся в перманентной стадии обучения – вечные студенты. Главное – результат.

Всего вам доброго.

Как анализировать конкурсы на госзакупках, или почему не было вчера не было материала

Вы думаете, почему нет вторничного мега-материала? Приходиться работать :( У всех начало января — мертвый сезон, а мне накидали конкурсов. 4 штуки на неделю для участия, и еще 10 на анализ.

Надо сказать, что конкурсы я люблю. И вообще являюсь специалистом по анализу конкурсов – что по 94 (44) ФЗ, что по 223, а уж как люблю конкурсы в свободной форме… не передать. Это все равно, что даниссимо съесть.

zakipki_gov_ru

Обычно дело обстоит так: мне прилетает ссылка – Диман, глянь, что как. Я смотрю, и даю выводы – идем/не идем. Это моя самая любимая часть, жаль, что она длится минут 5-10, прямо как среднестатистический секс.

И вот, когда я собрался уже написать мега-текст, ко мне прилетает ссылка. Аттестация по ЗПД в «Городская клиническая больница имени Архиепископа Луки г.Тамбова».

О том, как выигрывать конкурсы, я расскажу в другой раз, а сегодня о том, как обнаруживать в конкурсах защиту.

Что такое найти защиту? Это посмотреть, был ли конкурс подготовлен самим заказчиком, или ему кто-то помогал. Понятно, что помогающий надеется выиграть конкурс. И в этом, кстати, нет ничего плохого. В следующий раз я вам расскажу увлекательную историю про битву в конкурсе с двумя маститыми интеграторами, где были интриги, расследования и победа. Там, кстати, наша цена была в 3 раза ниже, чем у остальных. Т.е. конкурс с защитой – это не всегда желание отхапать кучу денег, зачастую это желание, чтобы делал проверенный контрагент за вменяемые деньги.

Но давайте теорию оставим на потом, сразу к практике. Почитайте документы по ссылке.

sokrovishha

.

.

.

Что нашли?

.

.

.

Сразу возникают сомнения уже в названии. Аттестация вещь такая, для нее нужны средства защиты и документы. Если все это есть, то аттестацию, скорее всего, уже кто-то сделал. Поэтому открытые конкурсы на «чистую» аттестацию – это переаттестация.

Есть такое у парней из Тамбова? Нетути.

8.1.7. Исполнитель должен обеспечить поставку, установку, настройку и ввод в эксплуатацию средств защиты информации, отвечающих требованиям, установленным в разделе 9 настоящего технического задания.

Ага, т.е. сразу в стоимость должны быть включены технические средства. Как вы понимаете, это увеличивает неопределенность, а, следовательно, косты вашего предложения. Смотрим, что за система – МИС. В границы работ попали лишь рабочие места, без серверных компонент. Уже легче, а то можно нарваться на черт знает что.

Сроки. Сроку всего 30 рабочих дней. И тут парни сработали чопорно. Окучить почти 500 рабочих мест за полтора месяца…? Кстати, так часто пишут, когда часть работ уже сделана, и за нее надо получить деньги. Как-нибудь расскажу про залеты с этой схемой.

Т.е. нам предлагают делать под ключ 16 компов в день… Ну, ладно. Чешем дальше.

Возвращаемся к требованиям к средствам защиты. Тут часто пишут номера випнетовских сетей, что сразу ставит крест на ваших чаяньях. Но тут такого нет, а есть спецификация:

 

 

Таблица №2

№ п/п

Наименование

Количество

1
Лицензия на право использования СЗИ от НСД SecretNet 7. Клиент (сетевой режим работы)

480

2
Лицензия на право использования СЗИ от НСД SecretNet 7. Сервер безопасности

1

3
Установочный комплект СЗИ от НСД

1

4
Программно-аппаратный комплекс, выполняющий функции средства обнаружения вторжений

4

5
Продление действующих неисключительных (пользовательских) лицензионных прав на антивирусное программное обеспечение Dr . Web Desktop Security Suite : Антивирус, Центр управления для рабочих станций сроком на 36 месяцев

480

6
Установочный комплект антивирусного программного обеспечения Dr . Web Desktop Security Suite

1

7
Передача неисключительных прав на использование средства анализа защищенности сети

1

8
Установочный комплект средства анализа защищенности сети

1

9
Продление неисключительных прав на использование Средств защиты информации Security Studio Endpoint Protection : Antivirus , Personal Firewall , HIPS . Subscription.

37

 

Тут все прекрасно. Если бы кто хотел помандиться по теме конкурса, то они бы в легкую это сделали. Сумма просто довольная маленькая. Было бы хотя бы миллионов 10, думаю, нашлось бы много охотников пописать в ФАС и прокуратуру. Но тема развала конкурсов – большая, чтобы о ней говорить в двух словах.

Если есть спецификация, значит кто-то уже защитил поставку у вендора. Следовательно, мы в лучшем случае получим скидку в 5% от прайс-листа.

Там еще можно много найти, но и этого хватает с головой.

Все необходимое узнали, считаем нашу себестоимость.

money

Я рекомендовал в этот конкурс не идти.

Вот так я потратил 10 минут, креативное настроение ушло, и я не написал вам вчера пост. Если интересна тема организации и выигрыша конкурсов по 94 и 223 ФЗ и всякие кул-стори, ставьте лайк и пишите в комментариях.

Всего вам доброго.

Аутсорсинг ИБ – будущее, которое может и не наступить

Оказалось, что тема аутсорсинга волнует многих. Вставлю и я свои пять копеек. Если лень читать много букв, то краткий вывод – у аутсорсинга информационной безопасности будущего в ближайшей перспективе нет. А теперь много букв.

outsoursing2

Лирика для вхождения в тему

Как-то месяца два назад наткнулся в ленте новостей на статью «почему западные методики бизнеса не приживаются в России» или как-то так. Главный посыл: потому что у нас другой менталитет. А вот вывод был неправильный – «давайте менять менталитет».

Вся стратегия аутсорсинга (слово-то какое буржуинское :)) строится на том, что мы доверяем компании аутсорсеру. А если не доверяем, то сможем с нее взыскать убытки по договору через суд. Как вы понимаете, чтобы не допустить второго, наше доверие должно быть избирательным. Помочь ему в этом может множество факторов, но главный – репутация. И это первая проблема.

Вчера я упоминал круглый стол у Алексей Лукацкого на Infosec2013. Там Алексей впрямую заявил – «в России репутация стоит ноль». И я был шокирован, какое большое количество фанатов Алексея его поддержало. На BISA саммите в 2014 году я решил уточнить у Алексея, изменилось ли его мнение (не дословное цитирование):

— Нет. У нас в куче банков происходят утечки и кража денег, но все остается как есть.

— Хорошо. Но начнем с малого, есть же личная репутация, и…

— А и ее нет. Про меня такое говорят, устал читать.

Т.е. в нашей сфере известный блоггер, формирующий общественное мнение, не верит в репутацию и что она чего-то стоит. Вот от этого и оттолкнемся.

У аутсорсинга нет репутации, а следовательно доверия к нему

Я затрону всего три грани, почему аутсорсинг — это не про нас:

  • со стороны заказчика;
  • со стороны рынка;
  • и со стороны продаж.

Почему аутсорсинг ИБ не нужен заказчику?

Аутсорсинг, в принципе, выгодная вещь. Например, чтобы не держать собственную логистическую структуру, проще нанять специальную компанию. Качество сервиса растет, прямые расходы известны, бери и радуйся. Но уже на этапе, когда мы переходим к аутсорсингу ИТ, а тем более ИБ – это мало работает.

Во-первых, это очень дорого. Посмотрите материалы Solar с SOC форума, в каждой презентации у них есть слайд, где затраты на внедрение собственного SOC и аутсорсинг сходятся в районе 3 лет (парни без контактов – вы еще не оплатили прошлый счет за product placement :) ).

Окупаемость внедрения SOC

Т.е. дальше аутсорсинг будет только дороже. Вообще, нанять 1 специалиста на аутсорсинг на рынке стоит 3 ФОТ от стоимости собственного специалиста.

Это не говоря уже о том, что, если вы берете на аутсорсинг сложные системы (те же SOC), вы их банально не сможете амортизировать, а любой бухгалтер вам скажет, что амортизационные отчисления — один из главных источников модернизации. Для сложных систем срок амортизации варьируется от 3 до 7 лет. Т.е. и здесь не выгодно.

Но вернемся к сути. Если вы увлекаетесь теорией литературы, то должны знать или хотя бы слышали, что есть с десяток классических сюжетов и остальное лишь вариация на тему. Один из этих классических сюжетов – разорившийся богач (Гобсек, например), от которого отворачиваются все, остается лишь пара верных слуг. В нынешних реалиях – обычно водитель, охранник и экономка. Можно долго рассуждать, почему и как, но основная причина такова: потому что эти люди тесно общались с хозяином и стали частью жизни друг друга.

Я не хочу сказать, что безопасники – слуги. Но это наиболее близкая к владельцу структура, призванная его защищать от всего, от чего сможет. Если он не доверяет собственным безопасникам, то кому ж доверять? Скажем прямо, безопасники – это наиболее преданная и лояльная к организации структура. Да, преданность и лояльность можно купить. Ведь всегда в условиях войны можно было купить наемников. Но надо быть уверенным, что вас не кинут в трудную минуту. И тут опять всплывает вопрос репутации.

Рассмотрим разные ситуации взаимоотношений. Например, я. Любой человек, работающий со мной знает, что я человек слова, у меня есть несколько пунктиков на счет сроков и другие заморочки. Но если я с кем-то договорился, то слово назад не вертаю. Это отношения человек–человек.

В ситуации отношений человек-организация все примерно также. Правда, возрастает неопределенность в отношении организации.

А вот в ситуации организация-организация все катится в кромешный ад. По сути, эти отношения переворачиваются в организация (аутсорсер)-человек (заказчик), т.к. в Заказчике за привлечение аусорсера отвечает 1 человек, он принимает решение, контролирует и получает результат. Сами понимаете, что в данном случае заказчик будет в положении Алисы в стране чудес. Аутсорсер для него совсем не прозрачен (кто сомневается, можете как физическое лицо повзаимодействовать с любой государственной или коммерческой структурой по нетривиальному вопросу).

Кто эти люди? Кому они расскажут мои тайны? Уйдут ли через месяц работать к конкурентам? И еще тысяча вопросов. И, увы, все эти SLA, NDA, KPI и прочее не дают ответа. Закачаешься, какая информация внутри тусовки циркулирует.

Собственного сотрудника хотя бы обматерить можно. А Оператора Антона — иди еще найди, кто это.

Почему рынку не нужен аутсорсинг ИБ?

Тут уже не буду растекаться мыслью по древу. Чтобы аутсорсинг работал, должно быть множество компаний с определенной репутацией. Это на рынке телефонов могут быть пионеры, которые загребают все деньги. На рынке услуг все совсем иначе. Если нет альтернативы, то не понятно чего ожидать. Сейчас вот Solar продвигает аусорсинг SOCов. Молодцы. Но мне не с чем сравнить. Я не понимаю ни ценообразования, ни своих затрат, не могу оценить качество сервиса. Да, и банально могу не доверять другим организациям в таком тонком деле как управление инцидентами. Потому что глядя в окно, я вижу совсем иную картину. Почему Solar Security считает себя особенной? «Где ваши доказательства?» (с)

Поэтому понятно, почему Игорь Ляпунов (директор Solar) говорит: «Ответственность за информационную безопасность на заказчике, нельзя ее переложить на аутсорсера».

Главный посыл: как только на рынке все будут играть по одним правилам с единой этикой поведения, тогда поговорим. Говоря проще, как Solar начнет отчитываться о пропущенных инцидентах и штрафах, что они заплатили, тогда имеет смысл присмотреться.

Почему аутсорсинг ИБ не продается?

Я обещал рассказать историю. Выполняю.

Жила была компания, оказывающая услуги по аутсорсингу. Взялись за дело они шибко, и скоро стали отличными специалистами в узкой области. Но потом уперлись головой в потолок (или дно, как посмотреть). Текущие их заказчики уже не покрывали их расходов, т.к. аутсорсинг услуг масштабируется линейно. Надо было искать новых. Решила наша компания развивать партнерскую сеть, стали они везде ездить и всех агитировать «продавайте нас!». Но не получилось, никто их продавать не захотел. История еще не закончилась, посмотрим, что будет.

К чему это я? Все просто: в цепочке аутсорсер-заказчик нет места партнеру (интегратору). Получается, что партнер может заработать только на скидке, которую даст аусорсер, т.к. интеграторских работ нет. И зачем заказчику работать с партнером, если можно напрямую с аутсорсером – мб и дешевле выйдет. К тому же я не уверен, что аутсорсер банально не уведет моего клиента. Вот и люди из истории – ходят по рынку и пробуют что-то сделать.

outsoursing3

В этом случае аутсорсер рассчитывает в основном на свои продажные силы, а их всегда недостаточно. Ирония: аутсорсеру, чтобы продавать аутсорсинг, нужны продавцы на аутсорсинге в партнерах. :)

Куда не кинь, всюду клин. Аутсорсинг дорого, стремно и ненадежно. Печаль.

«Топим лед» по Прозорову

Что-то не оставляет меня тема блоггерства. Пошел почитать, что пишут. Заглянул к Прозорову, последняя запись о фразах, которые «топят лед» в общение с безопасниками. Посмотрим предметней:

— Сколько человек в подразделении ИБ, кому подчиняется?

"Ломая лед" по Андрею Прозорову
С места в карьер. Вы бы еще про бюджеты спросили.

— Имеется ли перечень критичных ИС и в каком виде?

И сразу вопрос про КИС (или по старому КСИИ). Учитывая, что в 99% заказчиков КИС нет, вопрос в пустоту.

— Сколько документов регламентируют ИБ, где хранятся актуальные версии, как часто пересматриваются?

Второй вопрос начинающийся со «сколько». Тут явно не хватает еще «сколько у вас денег в этом году». Что интересно, не задается более актуальный вопрос – что это за документы. А уж место хранение актуальных документов… оно нам зачем?

— Используются ли мобильные устройства для работы, как они защищаются?

Solar продает MDM решения? Или ведет разработку VPN клиента с ГОСТОм? Мы явно чего-то не знаем.

— Каким образом регламентируется и контролируется использование съемных носителей?

Этот вопрос из арсенала продавцов DLP. Что-то я не слышал, что бы у Solar был такой функционал, или это бытность памяти по Infowatch?

— Что с правами администратора для рядовых пользователей?

Как-то хаотично скачем. Нумерации в списке нет, но думаются они стоят по уменьшению приоритета. Вопросы съемных носителей и админских прав, это, конечно, проблема, но не самая первая.

— Каким образом пересматриваются и изменяются права доступа пользователей к ИС?

Вопрос для продажи IDM от Solar =)

— Есть ли SIEM, кто настраивает правила корреляции?

Кто настраивает правила… кто настраивает… Если SIEM есть, то специалисты заказчика. Если нет, то никто. Продаем сервис от Solar.

— Кто проводит сканирование уязвимостей, как часто, каким средством?

Странно, как-то сформулирвоан вопрос. Почему нет вопроса – провдиться ли вообще сканирвоание?

— Где и как фиксируются инциденты ИБ?

Слово «фиксируются» имеет значение: заносить в журнал факт. Про выявление инцидентво ни слова. Solar inView только фиксирует инциденты? =)

— Насколько выполняете требования Приказа 21?

Надо понимать, другие требования 152-ФЗ выполнять не надо ;) Или они не выполняются продуктами Solar?

— Какие грифы конфиденциальности проставляются на документах?

«Какие грифы» — а их несколько? Знаю три грифа по гостайне, по конфиденциальности в лучшем случае ставиться один – конфиденциально. Или речь идет о форме, крючк там, или плюсик ставиться? Очень информативный вопрос.

— Проводились ли проверки регуляторами и каковы их итоги?

99% заказчиков не сталкивалось с проверками по безопасности.

— Каким образом проводится обучение и повышение осведомлённости пользователей?

Норм вопрос, но задача не в первой сотне.

— Какие крупные инциденты ИБ происходили за последние пару лет?

Андрей, а вы NDA подписали, что бы вам такое рассказывали?

— Начали ли что-то делать по теме импортозамещения?

Андрей, продаете ArcSight под маркой Solar? ;)

— Что запланировано по ИБ на этот и следующий год?

Уже не плохо.

 

Как видно, нет ряда ключевых вопросов. Один из них – а какие насущные проблемы есть сейчас?

Всего вам доброго.

Как Лукацкий накинул на Царева, или обзор российской блогосферы по информационной безопасности

Вокруг любой области, насколько бы она не была узка, формируется культурный ареал. Люди любят общаться себе подобными, обсуждать общие проблемы и делиться успехами. В начале все начинается с пиваса на поинтовке, потом перерастает в специальные конференции. Естественно формируются вокруг этого различные специализированные СМИ и блогеры.

Лукацкий накинул на Царева

Кто такой блоггер? Человек ведущий блог. Блог может быть личным, или специализированным. Специализированные в основном ведут специально нанятые люди по заказу больших компаний. Данные блоги интересные специалистам в этой и смежной плоскостях. Зачастую такие блоги унылы более, чем полностью. Нанятый аноним, часто не является профессионалом в заданной области, и постит репосты и унылые корпоративные брифинги.

Личные блоги интересно читать, если харизма автора не подводит и сам он не слишком увлекается этим самым личным. Где-то между ними и помещается «идеальный блог».

Зачем заводят личный блог? По многим причинам. Например, вы графоман и вам есть о чем сказать. Вас наняли вести этот самый блог за деньги. И самая распространенная причина, для личного пиара.

Пиар вещь обоюдоострая. С одной стороны она позволяет протолкнуть личный бренд, или товар заказчика. Вас станут чаще приглашать на конференции, и вы станете известны узкому кругу лиц. Вы даже сможете уйти на повышение в крупную западную фирму. Но это требует уйму времени. Которое можно было бы потратить с большей пользой. Если вы занимаетесь более-менее чем-то реальным, у вас не найдется времени ездить на конференции каждую неделю и строчить по 5 постов в день (плюс Твиттер). Как только цель пиара бывает достигнута, блог умирает.

И в какое место рейтинга тогда включать этого «писаку»?

Я сам редко читаю блоги по ИБ. И совсем уж не слежу за медийной движухой, кто с кем дружит/не дружит, куда ушел, куда перешел. Заставил меня оглядеться вокруг пост Алексея Лукацкого, где он создал свой рейтинг блогов в ответ на другой рейтинг другого блоггера, который создал … (рекурсия, такая рекурсия).

Заметка делиться на две части. В одной Лукацкий накидывает на Женю Царева, у которого больше фоловеров в Твиттере (почти, 6000), который уже 200 дней ничего не пишет, а до этого писал одни репосты и « Ни одной адекватной и интересной мысли» (с). Почему же спрашивает Алексей – количество фоловеров не уменьшается? Ответ наверняка, я лишь предполагаю, кроется в том, этих фоловеров купили на какой-то площадке по раскрутке блогов. Деньги уплачены по прайсу, поэтому пиши не пиши, а подписчики будут висеть.

Во второй, Алексей говорит, что необходимо оценивать контент, а не количество просмотров или записей. Давайте, так и поступим. Пройдемся по топу отечественных блогеров по информационной безопасности.

Обращаю внимание, это не рейтинг, а обзор, который является личным мнением автора. Информация взята из открытых источников.

Алексей Лукацкий «Бизнес без опасности»

Алексей, человек заслуженный, давно присутствует в ареале информационной безопасности (ходит на все конференции, везде выступает и т.п.). Блог ведет с 2007 года, и как утверждает его автобиография написал пару книжек и более 400 статей по ИБ. Работает в компании CISCO, где помимо личного блога, пишет для корпоративного – 20% статей с пиаром работодателя, еще 10% про слияния и поглощения.

Остальные 70% поделены между новостями об изменении в законодательстве, и рассуждениях автора о том, как же все будет после этого плохо. Я лично отслеживаю новинки в нормативке в этом блоге. Для этого и держу его в закладках, увы, времени отслеживать изменения самостоятельно – нет. Надо отдать должное работоспособности Алексея, отслеживать столько всего и, до кучи, участвовать в многочисленных рабочих группах – это круто.

А вот с аналитикой по изменениям, бывают серьезные накладки. Надо понимать, что Алексей работает в крупном западном вендоре, и не может отклоняться от линии партии – есть плохие темы «импортозамещение, сертификация, персональные данные», есть хорошие – по перечню продаваемой продукции, особенно продукция для банков и BYOD.

Помниться был серьезный косяк за Алексеем, когда, еще в бытность четверокнижия и приказа трех, он утверждал, что не бывает типовых систем, а только специализированные (отчасти правда), и что классифицироваться эти системы должны как просто «специальные». Я в то время, плотно общался с регуляторами по методическим рекомендациям Минздрава и Депортамента образования и знал их позицию, и она в корне расходилась с позицией Алексеея. Потом я встречал много заказчиков, которые повелись на поводу у авторитета и попали впросак. Но каждый должен думать своей головой.

Читать стоит, но осторожно.

Волков Алексей «Безопасность для понимающих и не очень»

Пример умирающего блога человека, у которого стало мало времени. Алексей заведует эксплуатацией средств защиты и удостоверяющим центров в Северстали. Раньше писал много, и был активным участником блогосферы и Твиттера. Отметился многими достижениями (например, перевел еще первый nmap), и является больше практиком, чем теоретиком.

Сейчас читать нечего.

Прозоров Андрей  «Жизнь 80 на 20»

«Жизнь 80 на 20» — это пример классического пиара корпоративного блога. Какое-то время Андрей работал в компании InfoWatch (и пиарил соответствующее DLP), а в этом году ушел в Solar Security (и пиарит теперь другое DLP – что на мой взгляд полный провал, как теперь в глаза людям смотреть? «Я раньше предлагал вам какашечное решение, а теперь конфеточное?»).

В блоге 30% репостов, 30% о книгах, которые Андрей прочел, и остальное пиар продуктов текущего работодателя. Встречаются ссылки на хитрые западные стандарты, методики и аналитику, под соусом «изучу подробнее».

Андрей адепт тайм-менеджмента и личной эффективности, в узком ее понимании – а-ля «как заработать много денег не работая». На конференциях часто выступает модератором, а не спикером.

Читать можно, если вам необходимы обзоры новых книг.

Вот, такой он топ блогосферы. Два корпоративных пиар блога, и человек , у которого все меньше времени что бы свой блог вести. Как я говорил в начале, это довольно частое явление. Тот же Евгений Царев забил на блог, когда устроился в представительство западного вендора, Аркадий Прокудин – аналогично. Очень мало энтузиастов у нас.