Архив метки: персональные данные

Как анализировать конкурсы на госзакупках, или почему не было вчера не было материала

Вы думаете, почему нет вторничного мега-материала? Приходиться работать :( У всех начало января — мертвый сезон, а мне накидали конкурсов. 4 штуки на неделю для участия, и еще 10 на анализ.

Надо сказать, что конкурсы я люблю. И вообще являюсь специалистом по анализу конкурсов – что по 94 (44) ФЗ, что по 223, а уж как люблю конкурсы в свободной форме… не передать. Это все равно, что даниссимо съесть.

zakipki_gov_ru

Обычно дело обстоит так: мне прилетает ссылка – Диман, глянь, что как. Я смотрю, и даю выводы – идем/не идем. Это моя самая любимая часть, жаль, что она длится минут 5-10, прямо как среднестатистический секс.

И вот, когда я собрался уже написать мега-текст, ко мне прилетает ссылка. Аттестация по ЗПД в «Городская клиническая больница имени Архиепископа Луки г.Тамбова».

О том, как выигрывать конкурсы, я расскажу в другой раз, а сегодня о том, как обнаруживать в конкурсах защиту.

Что такое найти защиту? Это посмотреть, был ли конкурс подготовлен самим заказчиком, или ему кто-то помогал. Понятно, что помогающий надеется выиграть конкурс. И в этом, кстати, нет ничего плохого. В следующий раз я вам расскажу увлекательную историю про битву в конкурсе с двумя маститыми интеграторами, где были интриги, расследования и победа. Там, кстати, наша цена была в 3 раза ниже, чем у остальных. Т.е. конкурс с защитой – это не всегда желание отхапать кучу денег, зачастую это желание, чтобы делал проверенный контрагент за вменяемые деньги.

Но давайте теорию оставим на потом, сразу к практике. Почитайте документы по ссылке.

sokrovishha

.

.

.

Что нашли?

.

.

.

Сразу возникают сомнения уже в названии. Аттестация вещь такая, для нее нужны средства защиты и документы. Если все это есть, то аттестацию, скорее всего, уже кто-то сделал. Поэтому открытые конкурсы на «чистую» аттестацию – это переаттестация.

Есть такое у парней из Тамбова? Нетути.

8.1.7. Исполнитель должен обеспечить поставку, установку, настройку и ввод в эксплуатацию средств защиты информации, отвечающих требованиям, установленным в разделе 9 настоящего технического задания.

Ага, т.е. сразу в стоимость должны быть включены технические средства. Как вы понимаете, это увеличивает неопределенность, а, следовательно, косты вашего предложения. Смотрим, что за система – МИС. В границы работ попали лишь рабочие места, без серверных компонент. Уже легче, а то можно нарваться на черт знает что.

Сроки. Сроку всего 30 рабочих дней. И тут парни сработали чопорно. Окучить почти 500 рабочих мест за полтора месяца…? Кстати, так часто пишут, когда часть работ уже сделана, и за нее надо получить деньги. Как-нибудь расскажу про залеты с этой схемой.

Т.е. нам предлагают делать под ключ 16 компов в день… Ну, ладно. Чешем дальше.

Возвращаемся к требованиям к средствам защиты. Тут часто пишут номера випнетовских сетей, что сразу ставит крест на ваших чаяньях. Но тут такого нет, а есть спецификация:

 

 

Таблица №2

№ п/п

Наименование

Количество

1
Лицензия на право использования СЗИ от НСД SecretNet 7. Клиент (сетевой режим работы)

480

2
Лицензия на право использования СЗИ от НСД SecretNet 7. Сервер безопасности

1

3
Установочный комплект СЗИ от НСД

1

4
Программно-аппаратный комплекс, выполняющий функции средства обнаружения вторжений

4

5
Продление действующих неисключительных (пользовательских) лицензионных прав на антивирусное программное обеспечение Dr . Web Desktop Security Suite : Антивирус, Центр управления для рабочих станций сроком на 36 месяцев

480

6
Установочный комплект антивирусного программного обеспечения Dr . Web Desktop Security Suite

1

7
Передача неисключительных прав на использование средства анализа защищенности сети

1

8
Установочный комплект средства анализа защищенности сети

1

9
Продление неисключительных прав на использование Средств защиты информации Security Studio Endpoint Protection : Antivirus , Personal Firewall , HIPS . Subscription.

37

 

Тут все прекрасно. Если бы кто хотел помандиться по теме конкурса, то они бы в легкую это сделали. Сумма просто довольная маленькая. Было бы хотя бы миллионов 10, думаю, нашлось бы много охотников пописать в ФАС и прокуратуру. Но тема развала конкурсов – большая, чтобы о ней говорить в двух словах.

Если есть спецификация, значит кто-то уже защитил поставку у вендора. Следовательно, мы в лучшем случае получим скидку в 5% от прайс-листа.

Там еще можно много найти, но и этого хватает с головой.

Все необходимое узнали, считаем нашу себестоимость.

money

Я рекомендовал в этот конкурс не идти.

Вот так я потратил 10 минут, креативное настроение ушло, и я не написал вам вчера пост. Если интересна тема организации и выигрыша конкурсов по 94 и 223 ФЗ и всякие кул-стори, ставьте лайк и пишите в комментариях.

Всего вам доброго.

Как м*даки убивают интеграторы по информационной безопасности

Скоро Новый год, время подведения итогов, время водораздела, время начинать все с начала. Для многих НГ является ключевой точкой. И сегодня у нас самая новогодняя тема – про собеседования, а еще вернее, как отличить хорошую компанию от плохой. Материал планировался как набор забавных историй из личной жизни. Увы, в нынешний кризис, с его веерными сокращениями — это может стать руководством к действию. Но начнем.

Как мудаки убивают интеграторы по информационной безопасности

Вообще, работа — одно из главных, если не главное, мерил мужчины. И дело даже не в деньгах и должностях. Если мужчина реализовался на работе, у него, скорее всего, и вокруг все хорошо. А если нет, то могут быть всякие отклонения, среди которых депрессия и алкоголизм лишь верхушка айсберга.

Сам я работаю с 14 лет. Как-то я составлял перечень, кем работал (получал деньги), получилось:

  1. Курьер (3 года);
  2. Электро-монтер связи (3 месяца);
  3. Сисадмин (1 год);
  4. Бета-тестер игр (1 месяц);
  5. Разносчик газет (1 неделя);
  6. Уборщик/разнорабочий (полгода);
  7. Литературный негр (полгода);
  8. Офицер службы безопасности (2 года);
  9. Специалист (старший, ведущий) по ИБ (3 года);
  10. Преподаватель и лектор (2 года);
  11. Администратор/модератор форума (4 года);
  12. Начальник отдела консалтинга (1 год).
  13. Руководитель проектов по ИБ (5 лет).
  14. Антикризисный управляющий (8 месяцев).
  15. Бизнес-консультант (2 года).

На собеседования я ходить люблю, людей посмотреть и себя показать (но сейчас этого практически не делаю). И рассказать-то я хотел о м*даках (кстати, оказалось, что и книжка соответствующая вышла), моем опыте общения с ними, и что в итоге получилось.

Какое точно название документа?

Искал я как-то работу и забрел в интегратор Б. Захожу на собеседование, передо мной садятся двое, посмотрели резюме и спрашивают:

— Какие документы по ЗПД вы знаете?

— ФЗ, четверокнижие, РД.

— А назовите, как документы в четверокнижии называются.

— Полностью?

— Да.

— Иди нахуй (развернулся и ушел).

Мое знание наизусть названия документов не делает меня более лучшим или худшим специалистом. Когда мне потребуется — я полное название скопирую из Консультанта. Важно ведь понимание, правда? Если помните, еще совсем недавно на конференциях были люди, полностью проговаривающие названия ПП №687. Специалисту нет нужды помнить название, достаточно номера.

Или же чуваки набирают зубрил, которые знают лишь «учебник». Ну, они добились своего, через год они потеряли одного из крупнейших клиентов по безопасности и занимаются теперь ИТ-интеграцией. Сейчас у них 1,5 специалиста по ИБ.

В другой компании моего будущего коллегу гоняли как на экзамене по ГОСТ 34. И сделали офер на 20% ниже, т.к. он не твердо его знал. В той компании сейчас тоже все не очень хорошо.

Любимый вопрос HR

Интересный вопрос, нужен ли HR при собеседовании на вакансии по ИБ? Вообще, HR должен оценить кандидата с человеческой точки зрения, выяснить мотивацию и передать непосредственному руководителю свое мнение (на втором собеседовании, если кандидат прошел первичный отбор).

Был я в интеграторе М. Собеседовал меня вновь назначенный директор департамента и HR. HR прыгала от нетерпения, чтобы ей разрешили задать «ее любимый» технический вопрос. Вопрос заключался – назовите все уровни модели OSI (и улыбается). Опять какой-то зубрильный вопрос.

Я смотрю на нее и спрашиваю: — Вы мое резюме читали?

— Читала.

— У вас возникают сомнения, что я это сделал?

— Нет.

— Так вот, за 4 года работы модель OSI мне ни разу не пригодилась. Я знаю 4 основных уровня (называю), где работают основные средства защиты. Позвоните мне, если надумаете.

В этом году компания обанкротилась.

Как мудаки убивают интеграторы по информационной безопасности

Хитрые схемы мотивации

Ходил я в интегратор Е. на инженерную должность. Практически все обговорили, пошел финально говорить с генеральным директором.

— Сколько хочешь?

— 60 т.р.

— Давай так, мы тебе платим 40 + бонус в конце года, те же 60 выйдут. Это у нас мотивация такая.

Я чуть не поперхнулся, и работать там не стал. В 2014 году интегратор закончил существование, и вся его жизнь была страданием.

Я лучше знаю

Был я в интеграторе Л. К тому моменту уже заделал рекомендации минздрава и сделал кучу всего в ЗПД. Прихожу на собеседование к техническому директору. Обсуждаем ЗПД и методы безопасности. Пересказал проделанную работу. Получил в лоб:

— Посмотрим, что на это скажет прокуратора?

— Прокуратора, конечно, глобальный регулятор, но при чем тут она?

— Все эти согласования — хуйня.

Лично я не хочу работать в догматичной компании, не готовой меняться. По слухам, этот интегратор закроется 31 декабря.

К чему это я?

Всех этих интеграторов объединяло одно: в них работал как минимум один м*дак на руководящей должности. Никакая зарплата не компенсирует вам работу с м*даками. Это как брак по расчету: деньги вроде есть, но спишь-то ты с конкретным человеком.

Самый лучший способ – перед собеседованием навести справки у друзей. Со временем вы будете знать много коллег по рынку. Спросите их, если уж они будут рекомендовать, то стоит сходить.

Мне вот, например, регулярно звонили кадровые агентства:

— Здравствуйте, у нас есть должность в крупном интеграторе.

-Каком?

— Не могу сказать.

— Понимаю. Знаете, я рынок неплохо знаю. Я не буду работать в интеграторах А, Б, Ц и Я.

— Спасибо, до свидания.

Надеюсь, с вами подобного не случится. Всего вам доброго.

Что делать, если вы специалист по персональным данным, или услуги, вышедшие в тираж

Недавно я писал про средства защиты, вышедшие в тираж. Сегодня поговорим об услугах. Сподвиг меня на это Евгений Бабицкий, который подумал, что я «наехал» на его любимый PCI DSS, назвав его вышедшей в тираж услугой. О чем мне сразу и написал. Евгений, как бы это было не прискорбно, но это факт. И вы, и я в одинаковом положении. В чем суть?

Услуги вышедшие в тираж

В отличие от средств защиты, услуги, вышедшие в тираж, определяются несколько иначе:

1. Это услуги, которые предоставляют все.

2. Это услуги, на которых уже так просто не заработаешь. Т.е. можно, но сложно. В отличие от тех же антивирусов.

Как и Евгений, я тоже это прошел с персональными данными, но раньше. Когда-то я сделал методические рекомендации минздравсоцразвития, потом сразу – для образования и Росатома. Помогал проходить проверки, читал кучу лекций и обучений. Если переводить на язык денег, я обладал экспертными знаниями и опытом по теме, и это позволяло мне оказывать качественный сервис за хорошие деньги.

Но время шло, подтянулись новые игроки, открылось много небольших интеграторов – и на рынке стало много предложений по персональным данным. Например, сейчас можно найти конторки, которые сделают это за 100 тысяч рублей. Проблема усугубляется тем, что зачастую важна цена услуги, а не ее качество.

Помню, как-то в одном казанском банке наше предложение было на 200 тысяч дороже, но гораздо качественней. Функциональный заказчик это понимал, но он же знал и своего директора, которому надо было подешевле. В итоге я услышал – либо падаете на 200 тысяч, либо не работаем.

То же самое происходило и с PCI DSS. Я помню те благословенные времена, когда у нас было всего две компании со статусом PCI QSA (ох, какие они чудесные срачи устраивали между собой на форумах). Когда-то обследование по PCI DSS можно было продать за 400 тысяч долларов. И это не какой-то удачный случай, это поголовно так было. Именно с того времени тянется большинство внедрение ArcSight, который ставили в сегмент PCI DSS и больше не трогали. Сейчас эти времена прошли, ASV-сканирование сейчас можно взять за 100 тысяч рублей, внешний аудит и комплект документов за 500. Печалька :(

Назовем их всех

1. Персональные данные. Как уже говорил, сейчас только ленивый не занимается этим. На рынке полно небольших конторок и фрилансеров, которые готовы сделать проект за любые деньги.

<реклама>

Обратившись сегодня, вы получите исчерпывающую консультацию по защите персональных данных от профессионалов, съевших на этом стаю собак. Проекты любой сложности за вменяемые деньги. Пишите! :)

<реклама>

2. СТО БР и НПС. СТО БР был с самого начала мертворожденным. Отличный стандарт, огромная работа, но легкость присоединения к нему убила этот рынок. Плюс к этому узкая отрасль, на которой уже все сделано. НПС примерно такой же.

3. PCI DSS. Все крупное сделано, осталась лишь поддержка. Если вам это надо, обращайтесь в Compliance Control, они давно этим занимаются (Евгений, с тебя причитается :)).

4. Pen-test. Тут ситуация двоякая. Есть два вида: просканировать сканером (так называемый assessment) или реально поломать. Не знаю, как со вторым, а вот с первым просто швах. Помню, разговаривал с директором ИБ топ-3 банка, он рассказывал, как сделал запрос нескольким интеграторам на пентест, и один подмосковный интегратор ему предложил это сделать за 35 т.р. С поправкой на желание «зайти в клиента» это стоит те же 100-200 т.р.

5. Аттестации. Как по конфиденциалке и персональным данным, так и по гостайне. Лицензиатов много, ценники мизерные и зависят только от количества компьютеров.

Все так плохо?

Конечно, нет. На рынке с таким количеством игроков вступают в действие уже обычные законы любого потребительского рынка. Изменяется состав услуг и позиционирование. И это реально работает. В моей квоте персональные данные все еще занимают 60%, хотя многие интеграторы уже махнули на ЗПД рукой. Так что не отчаивайтесь, если ваши услуги вышли в тираж.

Всего вам доброго.

Про тренды в информационной безопасности: SOC, ЗПД и т.п.

Вернувшись с очередной конференции по новомодным трендам, задумался о вечном. Об истории. По сути, вся история защиты информации в России прошла перед моими глазами, и принимал я в ней деятельное участие. А т.к. я известный цифирькосчет и фрик, решил изучить тренды в информационной безопасности на опыте себя любимого.

Сразу жбахну картинку.

Количество проектов за последние 6 лет

Количество проектов за последние 6 лет

Это разбивка моего опыта выполнения различных проектов по информационной безопасности. Вписал, что помнил. Совсем не стал вписывать, где были просто поставки (без работ). А также не упоминал темы, мало связанные с безопасностью.

До 2011 года я активно выполнял работы сам и чуть-чуть пресейлил. После активно пресейлил и гиповал и чуть-чуть делал сам. Т.к. изменился спектр обязанностей, получился большой разрыв в количестве. Продажи занимают больше времени, чем исполнение (сравнимо с методическими рекомендациями Департамента образования). А ведение проекта не заканчивается с написанием комплекта документов.

Предлагал я весь спектр интеграторских услуг, но в итоге получилось следующее:

Разбивка проектов по типам работы

Разбивка проектов по типам работы

Сейчас пишу и вспоминаю, что еще делал pen- test, внедрял DLP и еще всякое разное, но уж как получилось. Как видно, персональные данные как стали трендом в 2009 году, так и не отпускают пальму первенства.

Количество проектов по защите персональных данных

Количество проектов по защите персональных данных

А вот в процентах тренд виден более явно:

Количество проектов в процентах по защите персональных данных

Количество проектов в процентах по защите персональных данных

И последняя диаграмма: разбиение по отраслям:

Количество проектов по отраслям

Количество проектов по отраслям

Что в итоге?

1. Персональные данные все еще тренд. Спасибо 242-ФЗ.

2. SOCи набирают популярность (надо похвалиться – я приложил руку к одному из крупнейших SOCов в Восточной Европе). Но ввиду масштабности проектов это могут потянуть не все интеграторы.

3. Анализ рисков – тема, о которой все говорят, но мало кто хочет за нее платить. Во всяком случае в отрыве от других работ. А с другими работами — это, скорее всего, с персональными данными.

4. Количество проектов мало влияет на выполнение квоты (но об этом как-нибудь в другой раз). С 2011 по 2014 – личное выполнение плана.

5. В основном ЗПД заказывают или те, кого обязали (госы), или те, кто под прицелом (образование, медицина).

Я знаю, в среде многих известных блоггеров принято ругать защиту персональных данных. Но надо понимать, что это хлеб всего интеграторского бизнеса по информационной безопасности (да и у заказчиков). В 2008 году я ставил CheckPoint и XSpider и выступал с презентациями, как круто аттестоваться по ISO 27001.

Всего вам доброго.

Пролез: ЗПД — Защита персональных данных, ФЗ152

Пролез: Открытая безопасностьВ четвертом выпуске программы мы обсуждаем Защиту персональных данных (ЗПД).
Темы, поднятые в подкасте:
1) История ЗПД в мире (Европа и США).
2) История ЗПД в России.
3) Что мы имеем сегодня в России?
4) Какие санкции за невыполнение требований ФЗ-152?
5) Опыт прохождения проверок Роскомнадзором.
6) Подводные камни в исполнении Российского законодательства в части ЗПД.
7) Какие грядут поправки и изменения?

На эти и другие вопросы мне помогли найти ответы старший аналитик компании Айти Кириллов Павел и руководитель проектов по защите информации компании Айти Дудко Дмитрий.

Старикам здесь не место, или средства защиты информации, на которых не заработаешь

Как-то неожиданно все друзья и коллеги узнали об этом блоге, и настала популярность :) Самый популярный вопрос – зачем? Ответ: конечно, дикий и бешеный самопиар, чем я хуже.:) И, к тому же, я – графоман.

Но перейдем от личной популярности к популярности в информационной безопасности. А именно о средствах информационной безопасности, вышедших «в тираж». Что это?

Устаревшие средства защиты

С точки зрения интегратора (продаж) – это средства защиты, на которых уже нельзя заработать. Рынок этого насыщен и/или это уже у всех есть. Этим нельзя удивить, на этом не сделать квоту, это вышло в тираж.

С точки зрения заказчика – это уже ставшее чем-то обыденным, чем-то являющимся само собой разумеющимся. Тем, о чем знает даже собственник бизнеса, который может говорить лишь о яхтах и сигарах.

— Имя, сестра, имя!

Возглавляют список антивирусы. Вот уж точно о них слышали все. Если его у вас нет, вы, скорее всего, сидите на линуксе. Интегратору здесь практически не заработать, особенно с нуля. Да, если у вас в пуле есть заказчик с 10 000+ станциями, вы получите 1 млн. маржи.

Касперский, ESET, Symantec и остальные — извините.

Следующие в списке – межсетевые экраны и VPN. Тут все разнообразней, ведь даже на Cisco можно включить ACL и получить простенький фаервол. Если в штате есть безопасник, то можно увидеть фаервол сертифицированный и с гостовым VPN. Но если его нет, любой айтишник ограждает свою вотчину извне. Заработать еще можно: при поставке сертифицированных решений (желательно с гостом), а также при расширении филиальных структур и постройке чего-нибудь нового. Один минус: фаервол — это надолго, на второй год, в лучшем случае, техподдержку продашь.

Тройку замыкают системы анализа защищенности. Этих уже поменьше, но если есть безопасник – значит в 90% случаев есть XSpider. Что может быть более любо, чем посканить и принести красивый отчет? Сейчас все больше разрастается Qualys. Ну, и старший брат паука – MaxPatrol. Интеграторы чаще всего закладывают сканеры для выполнения требований по защите персональных данных. Если деньги есть – MaxPatrol, если нет – Xspider.

Это были старички. Есть и потенциальный новичок – DLP. Если раньше можно было продать 1000 лицензий за 20 млн., теперь уже нет такой роскоши. Все, кому нужно было купить — купили. Подтянулись новые игроки, сбросили с себя пыль старички – и пошла заруба, кто меньше даст цену. Еще пара лет, и будет как с антивирусами.

И, чтобы уж было ровно пять, внесем в список IPS/IDS. Скажу честно, продавал я их только для персданных. Решение это не самостоятельное, и всегда берется в нагрузку к фаерволу. Купили Cisco или Check Point, и IPS там же купите. Со смертью StoneSoft и разнообразие ушло – либо безумно дорого, либо snort под разными соусами.

Не обижайте стариков. Всего вам доброго.

Профессиональный рост специалистов по информационной безопасности

Помниться любил я сцепиться в словесной дуэли с Андреем Янкиным (человеком высокопрофессиональным в нашем деле, если Анрюха чего-то не знает, значит этого и нет) на тему профессионального роста безопасника.

Женская дружба, мужская дружба

Андрей к тому времени возглавлял группу исполнения в Компании АйТи, а я – руководил проектами по информационной безопасности. Если по-простому, я выявлял потребности, продавал и рулил процессом исполнения (продавайка (с) Янкин), а Андрюха – рулил инженерами и аналитиками, а так же разруливал совсем уж сложные рабочие проблемы (исполняйка).

Суть наших дуэлей крутилась вокруг вектора движения. Откуда и куда он идет – от исполняйки к продавайке, или наоборот? Андрей считал, что от продавайки к исполняйке.

Рассмотрим мой тезис на примере.

Пример

В бытность, когда персональные данные еще только становились драйвером рынка, и на дворе был приказ трех, я был аналитиком и работал по специальности «защита персональных данных». Вначале просто делал, потом уже руководил группой аналитиков. И был 2010 год, и за этот год я сделал просто ТЬМУ!!!!!11111 проектов по персональным данным (когда-нибудь, исключительно для жесткого пиара, я сделаю табличку по всем своим проектам). Эти проекты лезли из всех щелей, и, как любого профессионала от этой темы, меня стало немного подташнивать (что наблюдается в среде аналитиков любого интегратора)

Уже к концу 2010 года, я стал больше заниматься пресейлом, и уже с 2011 года окончательно занялся этим пагубным делом. Я все еще был играющим тренером, но занимался этим все меньше и меньше. Сделав все в ЗПД, я уже мог рассказать об этом заказчикам и проконтролировать исполнителей.

Т.е. можно условно выделить три стадии взросления:

  • Инженер – умеют что-то делать руками, не умею писать документы и общаться с заказчиком.
  • Аналитик – умею делать руками и писать документы, не хочу (не умею, не нравиться) общаться с заказчиком.
  • Пресейл/аккаунт – умею делать руками, писать документы, хочу (умею, нравиться) общаться с заказчиком.

Блоггер – вырастает где-то между этими стадиями :)

Таким образом естественный процесс развития профессионала: инженер – аналитик – продажи. Разумеется, есть люди, у которых душа не лежит к аналитике или продажам, как у уважаемого Михаила Кадера, который инженер от бога.

Согласны, со мной?

0-day запись

Приветствую.

Меня зовут Дудко Дмитрий, и я занимаюсь безопасностью. А если быть точнее, то информационной безопасностью. Делаю я это давно и в ближайшее время не собираюсь останавливаться. А уж в последнее время, как стал оценивать риски и факторы безопасности с точки зрения эффективности и денег, то «туши свет, кидай гранату» — с этого мне уже не свернуть. :)

Как что бывает у специалистов, со временем накапливается объем знаний, требующий систематизации. И уже на базе данных знаний производить синтез нового. Именно для этого и будет данный сайт. Думаю, это сможет помочь молодым людям, которые решили выбрать информационную безопасность своей специальностью.

Здесь вы не найдете самых последних новостей. Здесь не об этом, новости выходят каждый день, и есть специальные люди, которым платят за их ретрансляцию.

Этот сайт обо мне, информационной безопасности и персональных данных, экономической оценки и операционных рисках.

Надеюсь, мы станем добрыми друзьями.