Архив метки: СТО БР

Новые способы заработка для информационных безопасников

Это первый пост в 2017 году, и я несказанно рад, что столько подписчиков поддержали мою ежегодную традицию. Я получил  определенное количество вопросов и один интересный запрос на версус. Но об этом завтра. А сегодня о другом. Троих читателей интересовало, что же я делал весь прошлый год. Об этом и расскажу.

Если вы вдруг следите за моей карьерой (а если нет, то узнаете сейчас), что 29 февраля 2016 года я уволился из компании АйТи по причинам несовместимости по этическим вопросам между мной и акционерами компании и бедственном положении оного интегратора. Т.к. с бонусами меня прокинули через мужской половой орган, передо мной в полный рост встал вопрос о заработке хлеба насущного.

Как может заработать информационный безопасник, да еще и занимавшийся пресейлом?

Загнать все, что можно было, с последнего места работы? Так все уже украдено до нас, да и не надо это никому.

Можно устроиться на другую работу. Но, оказалось, это не вариант, никому не сдались блогеры, не берут даже за еду.

Можно давать мега-консультации за деньги, но топ нашего комплайнс-сообщества доказал несостоятельность этой идее. И даже у Максима не получилось.

Можно было бы продавать мега аналитику. Но кто б ее еще взял, да и место было уже занято. Да и не мое это, высасывать из пальца очередной мега-отчет на никому не нужную тему, вроде «особенности использования проприетарных антивирусов на рынке ДБО в первом полугодии 2016 года». Бррр.

Куда не кинь, всюду клин… В результате долгих и тщетных поисков я нашел решение. И даже в области безопасности.

Дегустатор дошираков

Многие улыбаются, когда я говорю о своем занятии. Но на самом деле безопасность питания — одна из основ человеческой жизни. Вот если ваш сертифицированный специалист траванется и будет обниматься с белым другом, а в это время вас начнут ломать – кто отразит нападение? Да вас за таблеточку активируемого угля продадут.

Как я к этому пришел? Очень просто — любая продукция в нашей стране должна быть сертифицирована. Можно и не сертифицировать, но это уже области, граничащие с контрафактом, поэтому об этом не будем.

В области сертификации пищевых продуктов, лекарств и потребительских товаров есть свои сертифицированные лаборатории. Все, как в нашей поибэ. Правда, их поменьше, и конкуренция пожиже. Например, у меня есть подруга, их лаборатория занимается только мороженным. Баскин Робинс их обеспечивает работой уже пару десятков лет.

Экспертиза есть лабораторная и потребительская. Понятно, что я со своим рабочим рылом в лабораторную не тянул никак. А вот в потребительскую – самое оно. Один из краеугольных камней потребительской сертификации – дегустация. Об этом практически невозможно найти информацию в открытых источниках, но у нас дегустируются вообще все продукты питания.

Понятно, что на вершине этой цепочки – дегустаторы вин. Они же самые дорогие, мажорные и раскрученные. Поинтересуетесь (если найдете, конечно) экзаменационными вопросами на дегустатора. Да и навыки нужны соответствующие, плюс вкусовые рецепторы и обоняние.

Но это совсем космос для простых смертных. Надо было выбрать что-то попроще. Изучив ГОСТ 31749-2012, мой выбор пал на лапшу быстрого приготовления (или сублимированную). Довольно востребованный продукт, где с помощью демпинга можно не умереть с голоду.

Лапша сублимированная (недоваренная)

Изучив матчасть и организовав свою потребительскую лабораторию (ИП, конечно, без этого никуда), начался процесс активного пиара. Все по заветам ИБ-стартапов, но в реальном секторе экономики. Два месяца рекламы и активных продаж — и вот, у меня потребительская лаборатория топ-20 в Москве с упором в макаронные изделия. А там и госаккредитация подоспела. Дальше уже дело техники.

Собственно дегустация

Сама по себе работа довольно скучная. Основных марок доширака у нас 7, в регионах больше, но там свои игроки. У каждого 3-5 вкусов, итого, все разнообразие ограничивается 35 позициями. Сертификацию обычно проводят для каждой партии по позициям (например, фуры или контейнера). А т.к. дошиков в фуру влезает дофига, вы не будете сильно напрягаться. Но доход стабильный.

Рабочее место

Привозят тебе образцы, и ты должен их проверить. Кстати, образцы можно натурально съесть, так что голодать не будете в любом случае. :) Часто производители просят еще провести и дополнительный выходной контроль партии, по рынку это стоит 100 т.р., я делаю за 5.

И вот перед тобой заветные пачечки. Тут главное не бросаться сразу открывать и пробовать. Надо провести кучу предварительных тестов, ну, словно самооценку по СТО БР заполняешь. Галочки, галочки, тут упаковка, комплектность, срок годности и т.п.

Дальше уже начинаешь пробовать. Тут главное все правильно заварить. Кстати, пиздеж, что дошики завариваются за 2-5 минут. Чтобы лапша напиталась водой/влагой, контейнер или тарелку надо закрыть, чтобы она немного потомилась в кипятке. Если у вас в бульоне плавают жидкие макаронины, вы едите гнусный полуфабрикат. Готовая лапша должна занимать весь доступный объем (например, весь контейнер Биг Ланча), это именно лапша, а не макаронной суп.

С опытом вы уже не будете съедать все позиции. У меня, например, есть стойкое отвращение к некоторым вкусам. Поэтому их я не глотаю, а выплевываю – это допускается процедурой.

Работа в комфортных условиях

В сущности, в лапше ничего вредного нет. И можно ее вполне использовать в качестве гарнира, когда готовить лень. Правда, если есть каждый день – можно потолстеть. 99,99% сублимированной лапши – яичная. Самый калорийные вид.

Все марки примерно на одном уровне. Отличаются всякими фишками. Например, дают вилки (которые ломаются в 4 случаях из 5). Лично мне нравится Биг Ланч.

Вот так я провел прошлый год.

Ну, и на этом, пожалуй, все.

За все хорошее, против всего плохого

Фух, вернулся я с Infosec. Надо сказать, что занесло меня туда случайно. Тем из вас, кто смотрит сериалы (или аниме), должно быть знакомо понятие филера. Это серии, не двигающие основной сюжет, и созданные, чтобы забить время. Я и был таким филером :) Заполнил собой 20 минут, как мог.

Приехал я раньше, чем планировал, и больше общался с коллегами. Идем мы с одним таким коллегой (а он, надо сказать, человек тонко чувствующий), а он говорит: «Посмотри, как на этой выставке все ненавидят друг друга. Они же все прямые конкуренты. В лицо улыбаются, а сами бы разорвали оппонентов на куски».

apocalypse_vasnetsov

Я удивился. Сам-то я абстрагируюсь от этого, по большому счету мне нет дела до мнения окружающих. Бывает, конечно, у меня бомбит на какую-нибудь крайнюю несправедливость, но в целом я глух ко всяким иммонациям и всем этим «веяниям злобы».

И тут у Александра Бондаренко (R-Vision) бомбануло не на шутку. Сам R-Vision участия в выставке не принимал, но по стендам конкурентов прошелся.

Надо сказать, что это обычное явление. У меня на первом ряду сидел Андрей Прозоров и задавал наводящие вопросы.  Андрей сам пробует заниматься расчетами в ИБ, а значит — конкурент. Зачем же мне ему секреты рассказывать, да еще и бесплатно? :)

Но вернемся к R-Vison. Александр написал следующий пост:

bondarenko

Это Александр зашел на стенд Security Vision, видимо, в очередной раз что-нибудь скопировать (кстати, мои поздравления, R-Vision теперь умеет автоматически регистрировать инциденты – редкий функционал в 2016 году).

Там в комментариях Александру пояснили его ошибку. Понятно, что если у вас решение-клон экселя с методикой СТО БР и ручным заведением инцидентов, вы можете его запустить на ноутбуке. А все более или менее сложные решения демонстрируются на слайдах, т.к. для демонстрации той же генерации и обработки инцидентов хорошо бы еще и стенд развернуть. Я был в демо Security Vision – там развернуто 12 источников событий с кучей всяких интересных штук. Везти это все на выставку крайне нецелесообразно. А интернет на выставках всегда нестабильный.

А знаете, что меня поразило? Видимо, мой друг прав. Как-то неуютно стало в нашем поибэ. Кризис что-ли так влияет на всех? Фбешечку вообще невозможно читать, все друг на друга наезжают, ругаются, обижают и обижаются. Как-то не сформировалось у нас единства в комьюнити, этакой профессиональной солидарности. Вот у врачей есть профессиональная солидарность. Наглядней всего она проявляется, если захотите доказать врачебную ошибку. Своих сдают со скрипом.

У нас же каждый сидит на своем суку и смотрит на всех злыми глазами, будто у него кусок хлеба отнимают. Все ненавидят всех, начиная с блогеров и заканчивая ассоциациями и выставками.

Того же Александра можно упрекнуть в лукавстве. Александр! Наверняка, отсутствие стенда на этой конференции перечеркивает наличие решения, которое вы уже видели на всех прошлых конференциях, где мы были! Да и про образование R-Vision говорят много разного, что-то там крайне темное. Но ведь это все не так важно. Конкурируйте в заказчиках, а не постами в твиттере.

Сегодня я встретился с человеком, который уже три года занимается числовой оценкой рисков. И стартом к этому послужило мое выступление 3 года назад. Хотя за 20 минут мы серьезно поспорили о методике, было чертовски здорово (хотя весь спор возник лишь из-за неустоявшихся терминов). Круто, что кто-то встал рядом с тобой и идет схожей дорогой. Именно в объединении лежит залог выздоровления нашей профессии.

Посмотрите, уже идут разговоры о смерти специальности по ИБ, некоторые эксперты уже седлают волну – куда уходить ИБэшникам. Происходит все большее отдаление от задач бизнеса. Отрасль больна, и вместо того, чтобы решать общие для всех проблемы – мы вырываем кусок друг у друга. Окей, ты усидел, твой враг отвалился. С ним отвалились его клиенты и партнеры, и далеко не факт, что они придут тебе. Скорее бизнес забьет на ИБ, и передаст это в ИТ, где другие игроки, и вопросы решаются совершенно иначе.

«Граждане, любите друг дружку! Уважайте друг дружку! О, как заносит» (с) Бургомистр.

Поодиночке потонем все, а выплыть можно только вместе. Надо больше хороших решений, вместе решать жизненно важные вопросы, и выступать единым фронтом перед остальными. А то так и останемся с «рисками неотказуемости».

На этом все. До новых встреч.

Стандарты по ИБ – лучше ли книга?

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений, основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, всех проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Что делать, если вы специалист по персональным данным, или услуги, вышедшие в тираж

Недавно я писал про средства защиты, вышедшие в тираж. Сегодня поговорим об услугах. Сподвиг меня на это Евгений Бабицкий, который подумал, что я «наехал» на его любимый PCI DSS, назвав его вышедшей в тираж услугой. О чем мне сразу и написал. Евгений, как бы это было не прискорбно, но это факт. И вы, и я в одинаковом положении. В чем суть?

Услуги вышедшие в тираж

В отличие от средств защиты, услуги, вышедшие в тираж, определяются несколько иначе:

1. Это услуги, которые предоставляют все.

2. Это услуги, на которых уже так просто не заработаешь. Т.е. можно, но сложно. В отличие от тех же антивирусов.

Как и Евгений, я тоже это прошел с персональными данными, но раньше. Когда-то я сделал методические рекомендации минздравсоцразвития, потом сразу – для образования и Росатома. Помогал проходить проверки, читал кучу лекций и обучений. Если переводить на язык денег, я обладал экспертными знаниями и опытом по теме, и это позволяло мне оказывать качественный сервис за хорошие деньги.

Но время шло, подтянулись новые игроки, открылось много небольших интеграторов – и на рынке стало много предложений по персональным данным. Например, сейчас можно найти конторки, которые сделают это за 100 тысяч рублей. Проблема усугубляется тем, что зачастую важна цена услуги, а не ее качество.

Помню, как-то в одном казанском банке наше предложение было на 200 тысяч дороже, но гораздо качественней. Функциональный заказчик это понимал, но он же знал и своего директора, которому надо было подешевле. В итоге я услышал – либо падаете на 200 тысяч, либо не работаем.

То же самое происходило и с PCI DSS. Я помню те благословенные времена, когда у нас было всего две компании со статусом PCI QSA (ох, какие они чудесные срачи устраивали между собой на форумах). Когда-то обследование по PCI DSS можно было продать за 400 тысяч долларов. И это не какой-то удачный случай, это поголовно так было. Именно с того времени тянется большинство внедрение ArcSight, который ставили в сегмент PCI DSS и больше не трогали. Сейчас эти времена прошли, ASV-сканирование сейчас можно взять за 100 тысяч рублей, внешний аудит и комплект документов за 500. Печалька :(

Назовем их всех

1. Персональные данные. Как уже говорил, сейчас только ленивый не занимается этим. На рынке полно небольших конторок и фрилансеров, которые готовы сделать проект за любые деньги.

<реклама>

Обратившись сегодня, вы получите исчерпывающую консультацию по защите персональных данных от профессионалов, съевших на этом стаю собак. Проекты любой сложности за вменяемые деньги. Пишите! :)

<реклама>

2. СТО БР и НПС. СТО БР был с самого начала мертворожденным. Отличный стандарт, огромная работа, но легкость присоединения к нему убила этот рынок. Плюс к этому узкая отрасль, на которой уже все сделано. НПС примерно такой же.

3. PCI DSS. Все крупное сделано, осталась лишь поддержка. Если вам это надо, обращайтесь в Compliance Control, они давно этим занимаются (Евгений, с тебя причитается :)).

4. Pen-test. Тут ситуация двоякая. Есть два вида: просканировать сканером (так называемый assessment) или реально поломать. Не знаю, как со вторым, а вот с первым просто швах. Помню, разговаривал с директором ИБ топ-3 банка, он рассказывал, как сделал запрос нескольким интеграторам на пентест, и один подмосковный интегратор ему предложил это сделать за 35 т.р. С поправкой на желание «зайти в клиента» это стоит те же 100-200 т.р.

5. Аттестации. Как по конфиденциалке и персональным данным, так и по гостайне. Лицензиатов много, ценники мизерные и зависят только от количества компьютеров.

Все так плохо?

Конечно, нет. На рынке с таким количеством игроков вступают в действие уже обычные законы любого потребительского рынка. Изменяется состав услуг и позиционирование. И это реально работает. В моей квоте персональные данные все еще занимают 60%, хотя многие интеграторы уже махнули на ЗПД рукой. Так что не отчаивайтесь, если ваши услуги вышли в тираж.

Всего вам доброго.