Продолжая тему предыдущего поста, сегодня хотелось бы коснуться вопроса доверия на рынке товаров и услуг по информационной безопасности.
Дело в том, что в настоящий момент, на мой взгляд, у потребителя (заказчика), нуждающегося в решении какой-то своей прикладной задачи за счет закупки какого-то технического средства или консалтинговой услуги нет совершенно никаких механизмов, которое обеспечат его гарантией, что товар или услуга будут качественными и подходящими для решения его задач. Давайте рассмотрим какие механизмы в принципе сейчас существуют:
Сертификация. Почему по моему мнению это не работает я уже писал тут . В дополнение к сказанному добавлю, что сертификация не проверяет качество исполнения продукта и среди сертифицированных СЗИ хватает таких, которые совершенно не приспособлены для нормальной работы в современной ИТ-инфраструктуре, хотя и выполняют все формальные требования. А во-вторых, есть еще один минус, который на самом свойствинен и другим существущим механизмам, это наличие финансовых взаимоотношений между тем, кто выдает сертификат (сертифицирующая лаборатория) и тем, кто его получает. Т.е. в данном случае клиентами таких лабораторий являются не потребители продукта, а его изготовители. А кто платит, тот в конечном итоге ожидает, что получит заветную бумажку. Теряется элемент непредвзятости и независимости (кто бы мне что не говорил, до тех пор пока будут прямые бизнес-взаимоотношения между этими сторонами я не готов поверить в непредвзятость сертификации).
Органы по аккредитации/аудиторы. Что я здесь имею ввиду. Это разного рода внешние аудиторы, к которым можно отнести аудиторов по ISO-сертификации (9001, 27001 и проч.), а также аудиторы внутри определенных сообществ, к примеру, проверяющие по качеству исполнения услуг со стороны PCI Council или НП АБИСС. При том что этот механизм работает, я тем не менее считаю, что наличие финансовых взаимоотношений (компания, получающая сертификат ISO платит тем, кто этот сертификат выдает, а PCI Council и НП АБИСС живет за счет взносов своих членов) и здесь не позволяет судить о полной независимости суждения проверяющего (предполагаю, что меня попытаются переубедить, но пока достойных аргументов я не встречал).
Обзоры и отчеты от независимых лабораторий/агенств. Ну на примере отчетов AV Test можно было посмотреть, что и здесь бывает такое, что спонсорами каких-то исследований выступают компании-разработчики, а значит опять появляется элемент денежных взаимоотношений между оценщиком и оцениваемым. Но по сравнению с вышеперечисленными механизмами здесь можно сказать, что все же в мире есть примеры независимых лабораторий, но чаще всего они занимаются проверкой и сравнением антивирусов. Отчетов по системам класса IDM или, например, DLP я что-то не припомню.
Есть еще конечно же знаменитые квадранты фирмы Gartner и надо сказать многие на них ориентируются. Единственное, что меня (и не только меня) смущает в этих отчетах, это непрозрачность методики, по которой продукт попадает в тот или иной квадрант.
Вот выдержка из Wikipedia:
It has been pointed out that the criteria for the Magic Quadrant cater more towards investors and large vendors than towards buyers. ( полный текст )
Обмен мнениями среди специалистов. Это уже из разряда неформальных механизмов, но он работает. Думаю многие из нас сейчас когда выбирают себе новый телефон, плазму, выбирают страховую фирму или заказывают какие-нибудь услуги отправляются в интернет и начинают читают отзывы. Кто и как написал эти отзывы причем не всех интересует.
Такой обмен мнениями в среде безопасников существует, но он довольно скудаен, а кроме того происходит как правило только в форумах и, к сожалению, на таких площадках быстро найти нужную информацию не всегда получается.
Каков же вывод ? На мой взгляд нашему рынку нехватает независимых органов, которые могли бы как в случае с рейтинговыми агенствами S&P или Moody's на финансовом рынке, оценивать качество продуктов и услуг оставаясь независимыми и не боясь в том числе критиковать и снижать рейтинги компаний, которые делают некачественный продукт или оказывают некачественный сервис.
