Архив метки: Евгений Бабицкий

СМИ по информационной безопасности, или «глубина 12000 м, спуск нормальный»

Вот и закончились праздники, все неспешно вышли на работу. Хотя какая сейчас работа? Некоторые еще в отпусках, остальные плавно входят в новый год. И только я вынужден херачить заявки на конкурсы :) Но я о другом. Аккурат 31 декабря посмотрел я в нашу песочницу (которая информационная безопасность) и понял, что все грустно.

kladbishche_11

Вообще, печаль моя велика. Но особое место в ней занимают СМИ по информационной безопасности, или говоря обще – наше инфополе. Что это такое? Это некий набор тем (мемов, паттернов, называйте, как хотите), которые позволяют отличить одну группу профессионалов от другой. Если вы попадете на медицинскую выставку (даже если она будет по ИТ или ИБ), вы заметите это. Специфические темы, проблемы, термины. И так у всех: у бухгалтеров, строителей, даже у ичаров. А у безопасников нет. Конечно, это уже более глобальная проблема для отдельного разбирательства, но посмотрите на частности. Нам банально нечего почитать, все темы заезжены, жизнь теплится лишь в социальных сетях вокруг небольшой стайки. Не согласны? Смотрите, что получается.

Телевидение и видео-блоги

Этого у нас нет. Были отдельные попытки «показать про безопасность», но все они упирались в одно – деньги. Делать это на энтузиазме некому – студенты не тянут по уровню, а старикам не хватает времени.

Подкасты

Тут признаки жизни все же есть. Например, вот список от Андрея Прозорова по Подкастам.

  1. Securit13 Podcast (жив)
  2. Диалоги #поИБэ (1 год был в коме, обновился вчера на «модную тему» SOC – как будто других тем нету)
  3. Открытая безопасность (умер. Аркадий!!)
  4. Радио-Т (про ИТ)
  5. Noise Security Bit (скорее умер – 5 выпусков за прошлый год, причем 4 из них с января по апрель).
  6. Kaspersky Lab (про вирусы и не обновляется)
  7. 100% Virus Free Podcast (умер).

Итого 1 из 7. Есть еще «Квант Безопасности», где Евгений Бабицкий и Никита Ремезов пытаются обсуждать новости в два голоса. Но я про подкаст узнал случайно, потому что Никита упомянул меня в фейсбуке, а потом Евгений ринулся защищать PCI DSS. 24 выпуска за полгода – отличный результат. Но подкастер – это не спринтер, а марафонец.

Можно сказать, что и тут по нулям. Все обсуждают новости и всякие избитые темы, подхватывая что-нибудь модное, чтобы «быть в тренде».

Журналы

Журналов по информационной безопасности всегда было достаточно, штук 5 точно. Я и сам больше года печатался в «Information Security/Информационная безопасность». Есть и электронные журналы, и по подписке (например, «Проблемы информационной безопасности. Компьютерные системы»). Но у них всех две проблемы:

  1. «Кошмар Алексея Лукацкого». Это журналы, размещающие статьи в рекламных целях. Кто-то больше, кто-то меньше. У кого-то это завуалировано, а кто-то лупит в каждой фразе название своей компании или продукта. Как жбахнул кризис, так доля коммерческих материалов резко выросла.
  2. «Академичность». Пишутся как диссертации в миниатюре. С тоже структурой, тем же языком. На тысячи и тысячи знаков…

И знаете что? У нас нет ИБ-журналистики. У нас не задают острых вопросов, у нас на круглых столах все друг другу улыбаются, подтрунивая друг над другом в кулуарах. Все эти статьи пресны, как манка без сгущенки.

T_intro1

Блоги

Блоги вообще странно относить к СМИ. Блог — это личная площадка, где автор куражится в меру сил и способностей. Но именно блоги (твитеры, фейсбуки и т.п.), двигают все инфополе «по ИБ». У нас это удел каких-то одиночек, которые создают инфоповоды. Посмотрите на блог Алексей Лукацкого: даже такому титану шибко не о чем писать, если новостей нет. Отсюда значительное количество постов «по мотивам вчерашних твитов».

И комьюнити, которое хотя бы комментарии пишет, довольно небольшое. У Алексея на 20 последних постов в среднем 3,5 комментария. Это у топ1 блогера. Я думаю, есть большой пласт безопасников, которым некогда читать все подряд, чтобы найти интересное. А когда они попадают на конференцию, их ждет куча рекламы

Так и живем. Всего вам доброго.

 

Что делать, если вы специалист по персональным данным, или услуги, вышедшие в тираж

Недавно я писал про средства защиты, вышедшие в тираж. Сегодня поговорим об услугах. Сподвиг меня на это Евгений Бабицкий, который подумал, что я «наехал» на его любимый PCI DSS, назвав его вышедшей в тираж услугой. О чем мне сразу и написал. Евгений, как бы это было не прискорбно, но это факт. И вы, и я в одинаковом положении. В чем суть?

Услуги вышедшие в тираж

В отличие от средств защиты, услуги, вышедшие в тираж, определяются несколько иначе:

1. Это услуги, которые предоставляют все.

2. Это услуги, на которых уже так просто не заработаешь. Т.е. можно, но сложно. В отличие от тех же антивирусов.

Как и Евгений, я тоже это прошел с персональными данными, но раньше. Когда-то я сделал методические рекомендации минздравсоцразвития, потом сразу – для образования и Росатома. Помогал проходить проверки, читал кучу лекций и обучений. Если переводить на язык денег, я обладал экспертными знаниями и опытом по теме, и это позволяло мне оказывать качественный сервис за хорошие деньги.

Но время шло, подтянулись новые игроки, открылось много небольших интеграторов – и на рынке стало много предложений по персональным данным. Например, сейчас можно найти конторки, которые сделают это за 100 тысяч рублей. Проблема усугубляется тем, что зачастую важна цена услуги, а не ее качество.

Помню, как-то в одном казанском банке наше предложение было на 200 тысяч дороже, но гораздо качественней. Функциональный заказчик это понимал, но он же знал и своего директора, которому надо было подешевле. В итоге я услышал – либо падаете на 200 тысяч, либо не работаем.

То же самое происходило и с PCI DSS. Я помню те благословенные времена, когда у нас было всего две компании со статусом PCI QSA (ох, какие они чудесные срачи устраивали между собой на форумах). Когда-то обследование по PCI DSS можно было продать за 400 тысяч долларов. И это не какой-то удачный случай, это поголовно так было. Именно с того времени тянется большинство внедрение ArcSight, который ставили в сегмент PCI DSS и больше не трогали. Сейчас эти времена прошли, ASV-сканирование сейчас можно взять за 100 тысяч рублей, внешний аудит и комплект документов за 500. Печалька :(

Назовем их всех

1. Персональные данные. Как уже говорил, сейчас только ленивый не занимается этим. На рынке полно небольших конторок и фрилансеров, которые готовы сделать проект за любые деньги.

<реклама>

Обратившись сегодня, вы получите исчерпывающую консультацию по защите персональных данных от профессионалов, съевших на этом стаю собак. Проекты любой сложности за вменяемые деньги. Пишите! :)

<реклама>

2. СТО БР и НПС. СТО БР был с самого начала мертворожденным. Отличный стандарт, огромная работа, но легкость присоединения к нему убила этот рынок. Плюс к этому узкая отрасль, на которой уже все сделано. НПС примерно такой же.

3. PCI DSS. Все крупное сделано, осталась лишь поддержка. Если вам это надо, обращайтесь в Compliance Control, они давно этим занимаются (Евгений, с тебя причитается :)).

4. Pen-test. Тут ситуация двоякая. Есть два вида: просканировать сканером (так называемый assessment) или реально поломать. Не знаю, как со вторым, а вот с первым просто швах. Помню, разговаривал с директором ИБ топ-3 банка, он рассказывал, как сделал запрос нескольким интеграторам на пентест, и один подмосковный интегратор ему предложил это сделать за 35 т.р. С поправкой на желание «зайти в клиента» это стоит те же 100-200 т.р.

5. Аттестации. Как по конфиденциалке и персональным данным, так и по гостайне. Лицензиатов много, ценники мизерные и зависят только от количества компьютеров.

Все так плохо?

Конечно, нет. На рынке с таким количеством игроков вступают в действие уже обычные законы любого потребительского рынка. Изменяется состав услуг и позиционирование. И это реально работает. В моей квоте персональные данные все еще занимают 60%, хотя многие интеграторы уже махнули на ЗПД рукой. Так что не отчаивайтесь, если ваши услуги вышли в тираж.

Всего вам доброго.