Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Российские феномены информационной безопасности (продолжение)
Protectiva Compliance Manager    Типовые документы по ИБ


 

Российские феномены информационной безопасности (продолжение)

Автор: Александр Астахов опубликовано: 20-03-2013 последнее изменение: 20-03-2013

В продолжении классификации российских феноменов ИБ, рассмотрим следующие важнейшие особенности российского рынка: государственное регулирование и бюрократизация отрасли, защита сделок и борьба с конкуренцией, государственные закупки продуктов и услуг в области защиты информации, 94-ФЗ и электронные торги.

Первые 8 российских феноменов ИБ ...

Феномен 9. Государственное регулирование и бюрократизация отрасли

Бюрократизация - это болезнь в той или иной степени свойственная любому обществу, устройство которого основано на насилии, т.е. любому современному государству. (Существуют духоборческие, толстовские и аналогичные им общины, в достаточной степени обособленные от государства. Религиозное сознание людей, живущих в таких сообществах,  не допускает проявления насилия. И в таких общинах нет насилия и нет бюрократии, но это пока редкие исключения). Бюрократия не занимается производительным трудом на благо общества и не обеспечивает сама своей жизнедеятельности. Вместо этого, она берет на себя управленческие, законотворческие и распределительные функции. На практике это приносит значительно большую материальную выгоду, чем созидательный труд. Поэтому бюрократический класс разрастается, а нагрузка на население, задействованное в созидательном труде (производстве материальных, интеллектуальных и духовных ценностей) возрастает.

Деятельность бюрократа на практике сводится к следующим трем составляющим:

1) разговоры (обсуждения, совещания, выступления, дискуссии) о том, как улучшить жизнь общества (это официоз)

2) бумаготворчество и бумагообмен (Это материальная составляющая деятельности. На разговорах денег не заработаешь, если только это не концерт. Для формирования денежного потока и соответствующих бюрократических рабочих мест необходим бумагообмен)

3) распределение денежных средств и товарно-материальных ценностей, создаваемых трудящимися массами (это смысл деятельности)

Бюрократизация отрасли ИБ стартовала в начале девяностых годов выпуском первых руководящих документов Гостехкомиссии по защите от НСД к информации. Основой такой бюрократизации является распространение методов и подходов, используемых государственными органами для защиты государственной тайны, сначала на защиту государственных информационных ресурсов в целом (СТР-К в 1999 г.), а затем и на защиту вообще любой информации, включая персональные данные граждан (152-ФЗ в 2006 г.). К настоящему времени бюрократизация отрасли ИБ достигла впечатляющих масштабов. Образовалась надстройка над отраслью ИБ, превышающая размеры самой отрасли, в которой осуществляется формирование бумагооборота (нормативные документы, лицензии, сертификаты, аттестаты и сопутствующие им горы бумажной документации) и связанных с этим восходящих денежных потоков. Это означает, что преобладающая часть денег почти уже миллиардного (в долларах) российского рынка ИБ осваивается в этой бюрократической надстройке. 

Проявляется бюрократизация возрастанием гос. регулирования, выпуском большого количества нормативных документов, устанавливающих новые требования по защите информации и ужесточающих существующие. Вокруг этих документов и требований формируется целая отрасль продуктов и услуг, контролирующих органов и общественных организаций. Нормативные требования по защите информации имеют следующие особенности:

  • носят обязательный характер вне зависимости от особенностей организации, существующих рисков, потребностей бизнеса или граждан (вопрос применимости не рассматривается)
  • устанавливаются "сверху" и не требуют технико-экономических обоснований
  • не могут быть полностью реализованы в большинстве организаций и не связаны с бизнес-процессами
  • носят слишком общий и неопределенный характер, оставляя вопрос об их трактовке на усмотрение контролирующего органа
  • требуют обязательного формального подтверждения (обязательное условие для формирования бумагообмена и восходящего денежного потока)

Можно взять практически любое требование любого нормативного документа по защите информации и показать либо его абсурдность, либо его неприменимость к конкретным организациям, либо его необоснованность, либо доказать экономическую нецелесообразность и невозможность реализации данного требования. Это делается на многих сайтах, в статьях и блогах различными авторами. Если бы это были не обязательные требования, а рекомендации, подобные тем, которые содержаться в международных стандартах, то и проблемы бы для бизнеса не было. Прочитал, принял к сведению, взял что тебе нужно, интерпретировал применительно к конкретной ситуации, выразил благодарность авторам за систематизацию данной области знаний. С обязательными требованиями ситуация совершенно иная. Специалист понимает, что требование не обосновано, не проработано, противоречиво, не применимо, не целесообразно, не улучшает защищенности информационных активов и т.д., и по этим причинам не может быть реализовано на практике, но на бумаге надо показать, что требование выполняется. Тут и возникает бумагооборот, не связанный с реальной практикой и забирающий деньги с рынка ИБ.

Феномен 10. Защита сделок и борьба с конкуренцией

Механизм защиты сделок сейчас имеется практически у любого вендора. Данный механизм используется для того, чтобы стимулировать поставщиков СЗИ активно заниматься продажами продуктов данного вендора, т.е. общаться с клиентами, продвигать именно эти продукты, делать презентации, устраивать поощрительные мероприятия для клиента и т.д. Действительно, кому захочется тратиться на рекламу и пресейл, если в результате всех усилий по убеждению клиента в том, что он не сможет дальше жить без вашего продукта, клиент, в конечном счете, приобретет продукт не у вас, а у кого-нибудь из сотни других поставщиков, в зависимости от того, кто больше скинет или больше откатит. Поэтому как только продавцу становятся известны координаты потенциального клиента, имеющего интерес к продукту, продавец сражу же регистрирует данного клиента у вендора. В дальнейшем, когда клиент соберется приобретать продукт, вендор будет создавать преференции для того продавца, за которым данный клиент зарегистрирован. Преференции эти выражаются в том, что другим поставщикам либо вообще не дадут скидки на данную поставку, либо эта скидка будет мизерной, либо вендор вообще может отказаться продавать поставщику продукт для передачи данному клиенту, который ранее был зарегистрирован за другим поставщиком.

На практике, с учетом неразвитости российского антимонопольного законодательства, а также отсутствия контроля со стороны ФАС такого "незначительного" рынка, как рынок ИБ, механизм защиты сделок срабатывает следующим образом:

Правило 1. Все заказчики уже за кем-то закреплены

Правило 2. Все заказчики получают продукт с минимальной скидкой и/или максимальным откатом

Правило 3. Не имеет смысла участвовать в тендере или аукционе на поставку СЗИ, который ты сам не подготовил и не согласовал с вендором

Феномен 11. Государственные закупки продуктов и услуг в области защиты информации, 94-ФЗ и электронные торги

Электронные торги по закупке СЗИ гос. заказчиками (а также открытые и закрытые тендеры по закупке СЗИ коммерческими организациями) проводятся чисто формально, поскольку все клиенты, хотя могут и не подозревать об этом, уже зарегистрированы у вендора за конкретным поставщиком. Даже если предположить, что идея закупки продукта рождается у заказчика спонтанно и он сразу же объявляет аукцион, то и в этом случае, клиент будет зарегистрирован за тем поставщиком, который первый узнает об аукционе и дозвонится до вендора. У остальных поставщиков шансов получить прибыль от сделки не будет. А заказчик получит продукт не по минимальной, а по максимально возможной цене.

94-ФЗ о гос. закупках в данном случае по другому работать и не может. Клиент уже выбрал вполне определенное СЗИ и объявляет по нему открытый аукцион - кто дешевле продаст. Очевидно, что в этом случае цена будет стремиться к той входящей цене, которую вендор дает поставщикам и аукцион выиграет тот поставщик у кого эта цена ниже (больше скидка от вендора), либо (если вендор предоставляет всем поставщикам одинаковую скидку) тот, кто демпингует и будет согласен продать без прибыли (в этом случае маржа стремится к нулю). При таком раскладе реальный аукцион и не может состоятся. 

Аукцион - это кто больше даст за мой товар (вспомним классический аукцион в 12 стульях), а не кто дешевле мне его продаст (представьте себе если бы Остап выбирал на аукционе, кто из продавцов дешевле продаст ему один из 12 идентичных стульев). На таком аукционе никакой конкуренции быть не может. Через какого поставщика пойдет поставка и по какой цене - будет решать вендор (реальный обладатель всех 12 идентичных стульев). Другими словами эффект 94-ФЗ прямо противоположен декларируемому.

Электронные аукционы не работают не только при поставке СЗИ, но при поставке услуг в области защиты информации. Например, объявляется аукцион на выполнение комплекса работ по защите персональных данных. На электронной площадке регистрируются штук 20 компаний, из которых 18 никакого отношения к защите персональных данных никогда не имели. Но в аукционе учитывается только цена и формальные требования к поставщикам по наличию лицензии ФСТЭК. В результате аукцион выигрывает компания из региона, которая никогда раньше не имела отношения к защите информации и ПДн, предложившая цену в 50 т.р. за работы, включающие в себя обследование и классификацию ИСПДн и процессов обработки ПДн, моделирование угроз, анализ защищенности, разработку ТЗ на создание СЗПДн, техническое проектирование СЗПДн, разработку всего комплекса ОРД по обработке и защите ПДн и т.д. Очевидно, что цена контракта в данном случае едва ли может покрыть командировочные расходы данной компании, если бы работы реально проводились. И столь же очевидно, что никакие работы проводиться не будут (все останется на бумаге), а также то, что реальная защита ПДн и соблюдение прав субъектов ПДн ни заказчика ни исполнителя не интересуют.

Кроме этого, электронные торги, в отличие от традиционных способов закупки продуктов и услуг, предоставляют дополнительные уникальные возможности для недобросовестной конкуренции. Лишних участников за 5-10 минут до окончания торгов просто отключают от электронной площадки посредством DoS-атаки. Очень эффективно и недорого. Могу предположить, что раскрываемость таких дел нулевая.

Comments (4)

Посетитель 05-04-2013 05:24

у каждого своя точка зрения

Трудно согласиться, в основном от вольного - ничем не подтвержденная информация.
Практически с каждым утверждением я готов поспорить!
Да что говорить, банально, вот это вы откуда взяли: Нормативные требования по защите информации имеют следующие особенности: •носят обязательный характер вне зависимости от особенностей организации, существующих рисков, потребностей бизнеса или граждан (вопрос применимости не рассматривается)
 
При этом приводится в пример СРК-К. Автор, вы ГОСТ и СТР-К не поняли, если заявляете такое.
Александр Астахов 08-04-2013 11:59

у каждого своя точка зрения

Спорьте, конечно. Тема весьма дискуссионная. Только спорьте с аргументами. Вы не согласны с тем, что требования СТР-К обязательно применять в гос. организациях при защите конфиденциальной информации? Или что понятие риска ИБ в нормативных документах даже не упомянается? или с тем, что официальной методики оценки ущерба субъектам ПДн не существует, но существуют обязательные для операторов требования по предотвращению такого ущерба? и при чем здесь ГОСТ, если мы говорим о нормативных требованиях?
Посетитель 20-04-2013 04:52

О зрении и точках

Автор обладает гражданской смелостью и свободным оригинальным мышлением, что становиться большой редкостью. Выскажу свои соображения, их немного.

1. "документов Гостехкомиссии"
Документы были не очень прямо скажем хорошие, но время их выпуска было такое же. Государство как могло защищало "свою" информацию. Вроде как успешно.

2. ''152-ФЗ"
Нет большого секрета в том, почему возник этот документ - требования государств-партнеров (кстати, по аналогии возникли требования по запрету курения - в стране, в отдельных регионах которой курит 65% мужского населения и примерно по 35% женщин и молодежи, я имею ввиду, что этот запрет, это подписать себе приговор, но так хочет ООН и ВОЗ).

"либо доказать экономическую нецелесообразность"
Есть еще Государственная целесообразность, например в том, чтобы рос рынок ИБ и отчислялись налоги.

"Защита сделок и борьба с конкуренцией", "Государственные закупки"
Если конкурс объявляется на конкретный продукт (кроме поддержки, обновления, лицензий), то это уже не правильно. Нормальный конкурс проводиться по желаемым характеристикам, причем если они уникальны, то это предмет интереса (для коммерческих структур - сл.эконом.безопасности, для крупных гос.-соотв.гос.стуктур, мелкие гос.структуры выпадают, но контролируются общественностью).

Чтобы что-то изменилось, Вы можете высказать свои пожелания на:
- сайте общественного обсуждения законодательства (в разделе 94-ФЗ) http://zakonoproekt2012.ru
- на сайте электронных торгов
- направить протест в конкурсную комиссию
- обратиться в арбитражный суд
- написать в РосПил
Александр Астахов 21-04-2013 09:36

чтобы что-то изменилось

Чтобы жизнь изменялась не как-нибудь, а к лучшему, от каждого члена общества требуется всего три простых вещи: не быть дармоедом (т.е. стараться отдавать обществу больше, чем ты от него берешь), не врать и не воровать. Не буду отрицать возможной полезности приведенных вами примеров гражданского самовыражения, но по большому счету, это не более чем возня, направленная на отстаивание интересов одних членов общества против других.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex