27.12.07

Первый в СНГ банк, получивший сертификат соответствия ISO 27001

В декабре этого года АзияУниверсалБанк успешно прошел сертификацию по международному стандарту Системы Управления Информационной Безопасностью (СУИБ) - ISO/IEC 27001:2005. Он стал первым банком в СНГ, получившим сертификат по информационной безопасности Британского института стандартов.

Детали: http://www.aub.kg/ru/news/?news=1034

25.12.07

Первый в России CSO Summit

Ну вот мы и дожили до того, что у нас стали что-то делать не только для технических специалистов, но и для CISO. 24-25 марта в Москве пройдет первый CSO Summit.

Организаторы национально известного Russian CIO Summit – маркетинговое агентство "Форт-Росс" - представляют Первый Съезд Директоров по Информационной Безопасности. CSO Summit – мероприятие, ориентированное на руководителей подразделений по информационной безопасности компаний крупного и среднего бизнеса. Мероприятие, которое призвано помочь разобраться в решениях, представленных на рынке и выбрать стратегию по формированию и поддержанию Информационной Безопасности в компании.

Ключевые тематики:

  • Тенденции развития информационной безопасности в мире
  • Лучшие примеры внедрения информационной безопасности в российских компаниях
  • Мобильная безопасность – пути достижения и основные угрозы
  • Международный опыт в решении вопроса безопасности
  • Инновации в сфере информационной безопасности

Одна из особенностей мероприятия в том, что выступать на ней будут преимущественно руководители подразделений по ИБ. Т.е. рекламных докладов будет минимум, что не может не радовать.

Адрес сайта саммита: www.cso-summit.ru

23.12.07

Какого СМИ по ИБ нам не хватает?

На днях задался вопросом, а какой бы Интернет-ресурс (или журнал) по ИБ я бы посещал (читал)? Среди существующих таковых нет ;-( Есть множество ресурсов для администраторов, есть рекламные площадки, есть сайты-форумы или редко обновляемые порталы...

Вот список тем, которые были бы мне интересны:
  • разработка политик, стандартов, инструкций, процедур, планов по безопасности и их интеграция в планы BCP, DR и другие
  • security compliance и его связь с различными высокоуровневыми требованиями (корпоративное поведение, внутренний контроль, ИТ и т.д.)
  • security governance (именно governance, а не management)
  • управление рисками
  • архитектура информационной безопасности
  • разработка целей ИБ, направлений и стратегии развития
  • бюджетирование ИБ
  • внутренний маркетинг ИБ
  • измерение эффективности ИБ, метрики ИБ

Думаю, что такие темы были бы интересны не только мне, но и любому специалисту по безопасности, который "вырос" за пределы только технологического понимания тематики ИБ.

Новый журнал "Риск-менеджмент"

На днях открыл для себя новый журнал "Риск-менеджмент". Не могу сказать, что он совсем новый, т.к. сейчас вышел уже сдвоенный 11-12-ый номер, но я на него наткнулся только недавно. Журнал действительно интересный и рассматривает различные риски, присущие компаниям, а также меры по управлению ими - обеспечение непрерывности бизнеса, внутренний контроль/аудит, страхование и т.д.

Сайт издания - www.riskm.ru

Безопасность в России и в мире: очередная разница

Консалтинговая компания "Грант Торнтон Интернешнл" провела исследование, основная цель которого- выявить стратегический взгляд руководителей предприятий на перспективы их компаний. Были опрошены 7200 владельцев в 32 странах мира, включая Россию.

Согласно одному из разделов этого отчета, российские компании не готовы к кризисным ситуациям так, как их западные коллеги. У нас очень слабо развит учет текущих и будущих рисков, а также меры по управлению ими. Только 20% компаний имеют топ-менеджера, ответственнго за управление рисками. План действий в кризисной ситуацией, связанной с


  • нарушением конфиденциальности, есть у 53% компаний

  • нарушением безопасности информации, есть у 42% компаний

  • сбоем компьютерных сетей, есть у 35% компаний

  • и т.д.

У западных предпринимателей эти показатели существенно выше.


Что заставляет компании создавать план восстановления работоспособности?

Согласно результатам исследования, проведенного Dynamics Market совместно с Symantec, 3 самых важных риска, которые и приводят компании к созданию плана восстановления работоспособноссти (Disaster Recovery Plan). Это стихийные бедствия, терроризм и вирусные атаки. На четвертом месте - риск потери информации. Иными словами инциденты с ИБ становятся катализаторами, которые и позволяют вынести тему обеспечения информационной безопасности на более высокий уровень. Главное, чтобы специалистов ИБ пригласили к участию в рабочей группе по созданию плана обеспечения непрерывности.

20.12.07

Безопасность с человеческим лицом

Давно хотел обратиться к теме usability в безопасности. Особенно после дискуссии на seclab'е по поводу решений "НПП БИТ". И вот родилась статья, которую я сначала опубликовал в журнале "ИТ Спец", а по истечении трех месяцев и на секлабе.

Даже первые отзывы уже пошли. Негативные ;-) Например, "То уродство, что Ваша компания продает за немалые деньги, для профи Ставит жирный крест, на Ваших разглагольствованиях о "конечном пользователе" и его удобствах" (пунктуация автора сохранена).

ЗЫ. Интересно, что меня многие по-прежнему олицетворяют с компанией, в которой я работаю. Но это не так. Я - это я. Неся благую весть про безопасность, я не всегда делаю это от имени своего работодателя. А значит и не надо все мои статьи считать рекламой b пропагандой Cisco ;-)

ЗЗЫ. Гендиректор на одном из предыдущих мест работ даже запретил мне публиковаться под своим именем. Он посчитал, что я известен более, чем сама компания. А поэтому все статьи всех сотрудников должны публиковаться под маркой "По материалам <имя работодателя>".

ЗЗЗЫ. Опубликовав статью "Западный или российский производитель ИБ: кого выбрать?" я по привычке подписал ее своей должностью. Через пару часов гендиректор одного из российских разработчиков написал к нам в компанию письмо. Мол, это что, официальная позиция Cisco?!

15.12.07

О понимании истинной роли безопасности в бизнесе

Часто читая в последнее время курсы и презентации по связи безопасности и бизнеса я столкнулся с интересным парадоксом. Потребность со стороны заказчиков в такой информации есть и она огромна. После презентаций я слышу очень много высказываний о том, что эта информация позволяет по новому взглянуть на роль ИБ в компании и что она действительно позволяет вывести ИБ на качественно новый уровень. И это не голословно... На одном из курсов представители крупнейшего отечественного оператора связи многое из того, что я рассказывал уже внедрили у себя в компании. Я и раньше считал, что безопасность у них выстроена очень грамотно, а тут лишний раз в этом убедился. Да и бизнес у них растет очень нехилыми темпами, опережая ближайших конкурентов (про инциденты с ними я не слышал в последние годы).

Но... вакуум в этой области как был, так и остается. Производители и разработчики просто не понимают эту тему ;-( Уж так случилось. Интеграторы занимаются интеграцией продуктов. Консультанты предлагают технический консалтинг по ИБ. Бизнес-консалтинг в области ИБ не предлагает практически никто. Справедливости ради надо заметить, что и в ИТ бизнес-консалтинг пока предлагают немногие.

Учебные центры не учат этой теме, ограничиваясь темой compliance и интеграцией ИБ и ИТ в рамках COBIT и других стандартов. Пресса тоже не готова воспринимать это направление - все статьи, что заказывают сегодня, мусолят одни и те же темы - антивирусы, МСЭ, IPS, управление, стандарты... Итак по кругу.

Все игроки рынка жалуются, что заказчик не готов тратить много денег на безопасность. При этом они сами не в состоянии предложить потребителю решение его проблем. Недавно я прочитал статью, написанную сотрудником одной именитой компании, который озаглавил ее примерно так "Мы сами знаем, что нужно клиенту"... Такое "знание" обычно завершается на поставке большой партии железа и софта и подведение под имеющийся бюджет некоего обоснования ;-(

Я прекрасно понимаю, что это нормальный эволюционный процесс, но хотелось бы уж поскорее придти к правильному пониманию роли ИБ в бизнесе. Надеюсь, что грядущий 2008-ой год поспособствует этому ;-)

Новый ресурс по ИБ. Нужен ли?

Недавно на bankir.ru была дискуссия на тему создания очередного ресурса по информационной безопасности. Члены форума высказывали логичные мысли на тему существующих ресурсов. Одни рассчитаны на хакеров-подростков. Другие продвигают конкретные компании. И ни те, ни другие не дают никакой полезной в реальной жизни информации. Новости, статьи, утилиты... Нет "рыб" документов, нет возможности обмена опытом...

И действительно. Ресурсов казалось бы много, в т.ч. и по системам управления ИБ, стандартам ISO 2700x, но действительно полезного Интернет-инструмента в Рунете так и нет. На Западе есть sans.org, securityfocus.com, csoonline.com. А потребность в таком сайте велика. Даже не в одном. Нужен ресурс для CISO, нужен для ведущих специалистов (не администраторов).

Я знаю о трех попытках создания таких ресурсов. Ни одна пока не увенчалась успехом. В одном случае идея заглохла еще на стадии обсуждения. Во втором - сайт ограничился форумом и рекламой курсов и семинаров по ИБ. Только третья попытка пока не стала достоянием гласности, но работы по ней ведутся. Посмотрим, что получится. Но есть подозрение, что и она не сможет удовлетворить все потребности. А жаль ;-(

12.12.07

Новые поглощения на рынке ИБ

Не прошло и месяца, как вновь на рынке ИБ произошло уплотнение и укрупнение. Сразу две сделки были зафиксированы аналитиками. Первая - покупка малоизвестным (хотя число его клиентов превышает 60 миллионов) антивирусным производителем Grisoft (http://www.grisoft.com/) разработчика системы обнаружения Web-угроз LinkScanner - компании Exploit Prevention Lab.

Второе поглощение более интересно - компания IBM купила компанию Arsenal Digital Solution, которая работала в сегменте защиты, резервирования и восстановления данных на ПК и серверах (http://www-03.ibm.com/press/us/en/pressrelease/22778.wss). В ноябре IBM уже заявляла, что в 2008 году она потратит 1,5 миллиарда (!) на безопасность и вот первое подтверждение ее слов. Однако не все аналитики позитивно смотрят на вступление IBM на рынок безопасности. Например, эксперты Gartner считают, что умелая работа в сегменте ИТ-инфраструктуры еще не означает, что IBM примут с распростертыми объятиями на рынке ИБ (http://www.networkworld.com/news/2007/120607-ibm-network-security.html). Но и сбрасывать со счетов "голубого гиганта" не стоит. Достаточно вспомнить экспансию Microsoft на этот рынок. Аггресивная маркетинговая политика и наличие больших финансовых возможностей может существенно изменить ситуацию на рынке безопасности и подвинуть других игроков.

10.12.07

Бизнес без опасности

30-го ноября, в международный день защиты информации мы провели в Киеве конференцию "Бизнес без опасности". Было организовано два потока - технический и бизнес. На бизнес-потоке я читал 5 презентаций, 4 из которых могут быть интересны многим:
- Как связать безопасность с бизнес-стратегией предприятия? Как оценить безопасность в понятных бизнесу метриках?
- Архитектура ИБ и ее место в архитектуре предприятия и ИТ-архитектуре
- Обеспечение информационной безопасности в контексте стандартов ITIL и CoBIT
- Как решения Cisco по информационной безопасности реализуют требования стандартов PCI DSS и ISO 17799.

Все презентации выложены по адресу: http://www.cisco-events.ru/SecurityDay30Nov2007/download.html

ЗЫ. Первая презентация является сильно укороченной версией "тайландского" курса.

Как организовать выездное мероприятие по безопасности?

Как человеку, часто участвующему во всяких выездных мероприятиях, у меня сложилось несколько наблюдений, которые могут быть полезны тем, кто только планирует вывозить специалистов по безопасности заграницу или хочет улучшить уже существующую практику.

Итак, 3 составляющих хорошей поездки:

  • Деловая программа
  • Культурная программа
  • Организация.

Разумеется, все эти ингредиенты должны начинаться с прилагательного "хорошая". Если мы хотим организовать отличную поездку, о которой потом будут слагать легенды, то вместо "хороший" используем "отличный" ;-) И конечно же нельзя забывать о том, что все эти составляющие должны быть подобраны в идеальной пропорции. Перекос в одну их сторон скажется на всем мероприятии.

Например, отличная деловая программа при полном отсутствии организации приведет к тому, что многие попросту пропустят интересные доклады. А отсутствие и культурной программы при этом заставит людей искать интересные туры самостоятельно. И опять в ущерб деловой программе. Другой пример. Организация на высоте, но деловая программа ограничивается голой рекламой каких-то продуктов. Результат тоже будет негативным. Люди скажут спасибо за то, что их вывезли, но эффекта с точки зрения поставленных целей не будет. А конце концов ваша задача сделать так, что поездка запомнилась на долго и участники вспоминали ее, хотели ее повторить и рекомендовали вас своим друзьям и коллегам. Если же поездка вызывает негативные или абсолютно нейтральные ассоциации, то это скажется и на отношении к самим организаторам, которое улучшить будет непросто (а ресурсов это потребует гораздо больше, чем вы сэкономили).

Насчет места проведения. Не стоит такие мероприятия проводить на пляжах. Тем самым вы выбиваете почву у себя из под ног. Многие участники будут проводить время на пляже, а не в конференц-зале. Или самостоятельно ездить по экскурсиям, если вы не предоставили им такой возможности. Кстати, если вы отдаете культурную программу (совместное распитие водки в баре отеля я за культурную программу не считаю) на откуп самим участникам, то будьте готовы к тому, что вас они не запомнят, т.к. у них будет отсутствовать ассоциативная связь между именем вашей компании и хорошим отдыхом. Вы для них станете обычным туроператором. Хотя нет. Обычный туроператор для них будет даже больше знаком, т.к. именно он позаботится об отдыхе ваших людей.

Не советую проводить мероприятия в заезженных местах типа Турции и Египта. Они уже порядком всем надоели и заманить туда кого-нибудь будет сложно. Даже потрясающая культурная и деловая программа не изменит сложившегося у многих мнения об этих местах массового отдыха соотечественников.

Но самое главное, в любой такой поездке - это цель. Отсутствие цели или неправильное целеполагание сводит на нет все усилия. Допустим, мы хотим просто повысить лояльность клиентов и для этого вывозим их за пределы нашей необъятной Родины. Цель ли это? Повышение лояльности? Безусловно. Формирование вокруг организаторов сообщества профессионалов тоже цель. Последующий рост продаж тоже цель. Все, что мы делаем в рамках конференции должно следовать этой цели. Анархии и хаоса быть не должно.

Организация таких поездок - это то, что необходимо отдавать на аутсорсинг. Даже если у вас в отделе маркетинга есть молодая девочка, на которую взваливается весь груз по ведению вашего мероприятия, то все равно помните, что специализированное агентство сделает все гораздо лучше и профессиональнее. Экономить тут не следует. К сожалению мне не раз приходилось видеть, когда попытка "снизить косты" (reduce costs) и сделать все своими силами оборачивалась нулевым эффектом. Почему? Потому что, сотрудник, взваливший на плечи груз организации выездного мероприятия, тоже человек. Он хочет гулять со всеми, спать со всеми, ездить на экскурсии со всеми и пить тоже со всеми. А он вынужден следить за нетрезвыми участниками группы, вовремя их будить, разбираться с отсутствием проектора в конференц-зале, позаботиться о том, чтобы у каждого была и программа мероприятия, и карта того места, куда все приехали, и взять на себя общение с шеф-поваром ресторана, и даже распечатать бейджик с названием и адресом отеля (на всякий случай ;-). Специализированное агентство сделает это гораздо лучше, сделав вашу поездку многократно приятнее.

Но специализированное, не значит туристическое. Организация пляжных туров и деловых поездок - это небо и земля. В конце концов вы вывозите не непознавших мир жителей глубинки, которые до сих пор максимум где отдыхали, это в Сочи или в Крыму. Вы вывозите людей, облеченных влиянием в своей компании, не раз бывавших за границей и живших в пятизвездочных отелях. Они ценят комфорт во всех проявлениях. Пример из жизни. Вот ездил я с таким вот туроператором заграницу. Поселил он нас в прибрежном отеле 3*, который ориентирован на то, что люди все время проводят не в номере, а на пляже. Так вот в номере была всего одна электрическая розетка и та, в ванне (видимо для бритвы). Ни Wi-Fi, ни ADSL/Ethernet в отеле не было в принципе. Зато телефонная розетка, через которую я подключался к Интернет по модему (такой архаикой я давно не пользовался), была только в комнате. Вот так и бегал из ванны в комнату и обратно. В ванне заряжал лэптоп, а в комнате работал по модему. Классические туроператоры рассчитаны на ПОТОК. Более того. Они справедливо полагают, что большинство людей в одно и тоже место ездят отдыхать не так часто. Поэтому вы можете высказывать свои претензии, но проверить их выполнение сможете врядли. А значит можно не напрягаться ;-( Из тех агентств, которые мне понравились, могу назвать только одно - ATH (http://www.ath.ru/).

А теперь несколько примеров того, как надо и не надо проводить мероприятия для специалистов по информационной безопасности.

Место: Сан-Сити, ЮАР. Однодневая деловая программа включает рассказы о тенденциях в мире ИБ, подходах в борьбе с ключевыми угрозами, рекламное выступление спонсора (но включающее не только описание продуктов, но и некоторую аналитику) и выступление заказчика. Потом круглый стол для обмена мнениями. Идеальное сочетание, позволяющее послушать, позадавать вопросы и поговорить.

Культурная программа включает поездку всей группы на крокодилью ферму, сафари, африканскую деревню, а также на мыс Доброй Надежды около Кейптауна. Интересно и незаезженно. Никто не отказался, никто не потерялся. А в результате большая сплоченность группы и возможность обсудить многие вопросы между собой, поделиться опытом и т.д. Организаторы всегда с вами. Вечера тоже вместе. Они знают вас, вы лучше познаете их. Из box mover'ов они превращаются в trusted advisor'ов.

Организация со стороны ATH тоже на высоте. Координаты для экстренной связи, описание места для мероприятия в раздатке (с указанием всех близлежащих достопримечательностей), консультации по возможным дополнительным экскурсиям, помощь в их заказе, рассказ о скользких моментах, опасностях и т.д. К слову сказать, менеджер ATH всегда с вами - днем и ночью. Он выделен для сопровождения именно вашей группы. Никаких "я буду отвечать на все вопросы в холле отеля каждый день с 17.00 до 18.30". Интернет в отеле представлен Wi-Fi'ем в каждом номере.

Общая оценка: 5+

Место: Канарские острова. Деловая программа рассчитана на 3 дня и включает много очень интересной и полезной информации, как с точки зрения продуктов, так и с точки зрения тенденций, аналитики и т.д. Идеального сочетания не получается, т.к. программа избыточна на мой взгляд. Слишком много информации - голова пухнет.

Культурная программа хоть и предусмотрена, но она не отличается оригинальностью - поездка в парк кактусов и обзорная экскурсия по острову. Учитывая отсутствия какой-либо истории и архитектуры на Канарах, культурная программа подкачала и ее отсутствие многие компенсировали в баре. К слову сказать, до пляжа идти было минут 15-20, что немного подпортило впечатление. Опять же если человек выбирается на пляж, то его уже не стоит ожидать на семинаре, т.к. это вам не 2 минуты добежать от моря до номера. Тут надо потратить полчаса, на что многие неготовы.

Организация своими силами, что с одной стороны и неплохо (знание отрасли, знание аудитории и т.д.), а с другой - незнание многих специфических особенностей этого места приводило к достаточно комичным, а иногда и просто стремным ситуациям. Интернет в отеле ограничивается 3-мя компьютерами в "бизнес-центре" (при полном отсутствии русской раскладки и клавиатуры). Свой компьютер подключить нельзя. Горничные по английски не понимают и приходится общаться только через reception! Для крупного заграничного отеля просто нонсенс.

Общая оценка: 4

Место: Турция. 3-хдневная деловая программа разбита на 2 параллельных потока и включает как продуктовые доклады, так и различную аналитику. Из неудачных моментов - параллелизм, который заставляет вас делать выбор между двумя интересными докладами, выступление иностранных спикеров (найти хорошего переводчика "в теме" и в Москве проблема, а уж заграницей и подавно). Из положительного - круглые столы (но было их многовато и на каждый выделялось не больше 40-60 минут, что недостаточно для эффективного обмена мнениями).

Культурная программа отсутствует как класс - каждый ищет приключения на свой вкус. Кто-то поехал на массаж, кто-то в общественные турецкие бани, но большинство склонялось по пляжу или сидело в баре.

Организация на троечку. Попытка сэкономить и провести все своими силами привела к тому, что отель не был заранее проверен. И хотя он был заявлен как 5* (All Inclusive), он не дотягивал и 4-х. Прокуренные номера, наличие в номерах неэлектронных сейфов, ключи для которых надо получать и сдавать (!) на reception и т.д. Интернет в отеле ограничивается 2-мя компьютерами в "бизнес-центре". Свой компьютер подключить нельзя.

Общая оценка: 3

Вот примерно такие впечатления/рекомендации получились. Не могу сказать, что я написал все, что хотел. Просто нахожусь под "ярким" впечатлением нескольких поездок, произошедших за последний месяц.

ЗЫ. В киевском Radisson SAS, откуда я вернулся на днях, учитывая канун новогодних праздников, каждый день на входе раздавали мандарины и миндаль, поили глинтвейном, а 6-го числа (день св.Николая) на ручку двери повесили рождественский носок с подарками ;-) Моя лояльность к этому отелю возросла многократно.

Чем протирают очки в Cisco?

Несмотря на обещание прислать пилотку и галстук (http://lukatsky.blogspot.com/2007/08/microsoft.html), Microsoft меня "кинула" ;-( Вот уж декабрь, а этих средств повышения осведомленности так и нет. Но зато я вспомнил, что совершенно забыл рассказать про очередной вариант повышения осведомленности, который принят у нас в компании. Так часто им пользуюсь, что вошло в привычку ;-) Итак, речь идет о тряпочке для протирки очков! Очень полезная вещь в хозяйстве. Спрятана в небольшой чехольчик размером 3 на 2 см, который вешается к поясу. На самой микрофайберной салфетке надпись "I'm, Security Champion!" Просто и со вкусом. Для людей, постоянно носящих очки, лучше и не придумаешь - напоминание про безопасность постоянно перед глазами.

О безопасности бизнеса среди тайских красот - 2

Ну вот и закончились все командировки, в которых я провел почти месяц (завтра было бы ровно 30 дней). Достаточно интересной оказалась поездка в Тайланд, о которой я уже писал (http://lukatsky.blogspot.com/2007/09/blog-post_1730.html). Арканоид был прав, для многих это оказалось непосильной задачей. Учиться среди тайских красот... Из почти 25 человек все дни обучения отсидели только две компании (не считая организаторов), одной из которых многое из мной рассказаного было знакомо на практике. Другие же "участники" занимались посещением достопримечательностей и принятием водных процедур, в т.ч. и внутрь себя ;-)

С другой стороны, мне удалось "добить" вторую версию этого курса ;-) Теперь готовлю третью версию - многое еще что можно сказать по теме связи безопасности и бизнеса.

ЗЫ. Самому мне тоже удалось выкроить последний день на экскурсии - фото тут - http://imgsrc.ru/akul/a183883.html

ЗЗЫ. Оказалось, что в отеле, где мы жили в Паттайе, не было Интернета ;-( Пришлось звонить на модемный пул в Чонбури (соседний с Паттаей город), а затем подключаться к VPN-шлюзу в Бангалоре. И все это на 28К. Давно с такими скоростями не работал ;-) Но ничего, все прошло "на ура".