6 Сентября, 2012

О доверии на рынке информационной безопасности

Александр Бондаренко
Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.

Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:

Сертификация. Почему по моему мнению это не работает я уже писал тут . В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).

Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).

Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым.  Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.

Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант. 

Вот выдержка из Wikipedia:

It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers.    ( полный текст )
 
Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует. 

Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.

Каков же вывод ?  На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.
или введите имя

CAPTCHA
7 Сентября, 2012
А это наша такая типичная родная ситуация, когда "умом не понять". Все через одно место. Основная задача, и это не секрет, впарить бизнесу что угодно в каком угодно виде побольше и за большие деньги. Дальше хоть трава не расти. И в техсуппорт можно дальше не пытаться обращаться. Даже мысль пришла такая - сотрудники техсуппорта существуют для того, чтобы оправдываться и извиняться, а не для решения неразрешимых проблем (продукт-то нерабочий). Потому наверно и нет у нас той самой площадки.... Безопасник честно бы признался "такой-то продавец впарил девайс такого вендора за такие-то средства, а в результате средства в трубу, ничего не работает". И все вокруг такие - ха ха ха и комментов на 100500 страниц. А продажи как шли, так и будут идти, потому как реестр серт.средств, и дальше не разбежишься.
0 |
  • Поделиться
  • Ссылка