Комментарии 18
Это всё, конечно, классно, но дальше болталогии, с высокой долей вероятности, не уйдёт, ибо создавать агрегатор ИБ услуг требуется максимально полно понимая техпроцесс изнутри, значит комьюнити ИБ должно самоорганизоваться и запустить подобный стартап. А с самоорганизацией сейчас тяжко
А вот это вот "чего хочет заказчик" как-то на настоящих заказчиках верифицировалось? А то я вот например напрочь не вижу одного пункта - гарантии.
Кривые, косые, ограниченные кучей сносок мелким шрифтом в договорах - но они должны быть, с конкретными ответственными за весь комплекс работ. Подход "я пуговицы пришивал - к пуговицам претензии есть?" заказчиков не устроит.
Собственно, именно поэтому площадки для IT вообще есть, а для ИБ с этим пока туго.
Наличие гарантий - красной линией проходит через все повествование, так что выносить эти общие слова в таблицу посчитал уже излишним.
Без реальных гарантий, а не на уровне лишь строчек договора - никак.
Это всё слова. Вот прямой вопрос - я хочу комплексную услугу. Не отдельно пентест, а и аудит дыр, и инструкции по исправлению, и реализацию этих инструкций.
Если у меня есть крутые спецы по ИБ, которые сами в состоянии этот комплекс спланировать, и им просто дополнительные руки нужны - то вопросов нет, достаточно квалифицированных исполнителей найти. А отвечать будет мой внутренний отдел.
Но это уже достаточно специфические и не самые частые навыки. Без внутренней экспертизы же придётся привлекать тех самых подрядчиков, со всеми вытекающими. Вот основная боль рынка, и если её не прикрыть, никакие биржи не помогут.
Созданный новый рынок услуг по информационной безопасности должен сломать, наконец, порочную схему “делают 1000, а их продают 10 000"
Никак не могу согласиться. Человеческая натура такова, что даже если появятся определённые авторитетные монополисты, то рядом с ними тут же начнут кормиться другие, поняв что это "вкусно". Тут же со стороны появится ещё больше всякого рода посреднических и других альтернатив. Но это неизбежное зло, потому что (мнение) "монополия" - зло куда большее.
Я знаю примеры, когда нет этих восьми пунктов "со стороны Заказчика". Просто у Заказчика работает адекватный CISO, а не руководит подразделением по ИБ "бумажник"|руководитель ИТ|знакомый генеральному пенсионер МВД|etc
имхо проблема глубже, иб делится на два направления - как должно быть и как есть, если первое регламентируется разрешительными и контролирующими органами, потому и тз там проще и выбор исполнителя из списка/бюджета, то второе в текущих реалиях ни сформулировать ни реализовать никак нельзя, только как в режиме всё носить на руках, а это битва меча и щита. полагаю в таких условиях агрегатор не взлетит
3. Кто именно будет выполнять вашу работу? Субподрядчик известной фирмы? Или субподрядчик субподрядчика, о котором вам предпочтут не говорить вовсе? Внештатник субсубподрядчика субподрядчика, которого представят сотрудником первой фирмы, или вовсе вы его не увидите? Такие цепочки могут быть очень длинными, я лично встречал аж 5 звеньев — посредников.
Вот этот пункт и далее по списку лично меня ставят в тупик.
Работаю много лет в ИБ (исполнитель).
Где территориально сейчас такое встречается?
Что мешает заказчику заранее узнать, кто реально будет выполнять работы и какой у них есть опыт (ответ из пункта 1 не подходит)?
Москва, Санкт-Петербург.
Все эти проблемы из многолетнего опыта работы в ИБ и Исполнителем, и со стороны Заказчика.
Какие-то Заказчики пытались их решать, и у некоторых даже получалось, но общая тенденция такова.
Результаты большинства наших работ кроме заказчика уходят на проверку к регуляторам и тут особо хвостом не покрутишь, можно без лицензии остаться.
Цепочки подрядов снижают качество. На 3-4 ступени оно должно быть полный хлам, как мне кажется.
Могу предположить, что в Мск и Спб не хватка кадров значительно выше (хотя и у нас заметна).
В общем статья вызывает много вопросов. Кто заказчики? Цель работ видимо для галочки.
Да по моему у автора ИБ=пентест :) Какой то лоуэнд рынка, даже не SMB а SB, у которого рынка ИБ то никогда и не было. У нормальных заказчиков и договор висит на торговой площадке, всему миру видимый, и субподрядчиков пускают по официальному письму и списком поименно. И все остальные утверждения так же говорят только о дремучей некомпетентности целевой аудитории. Не дает людям покоя идея уберизации =) ТО в ИТ ее суют, то в ИБ.
Это, простите какая-то утопия. По, ка минимум, двум причинам:
1. все, что автор перечислил в примерах - это retail. Простая, атомизированная, размножаемая услуга с понятными параметрами для клиентов частных лиц. Даже в обычном ИТ - идея уже становится профанацией. Невозможно сделать "простое КП", если нужно сделать сложную услугу.
Например из первого примера - в результате пентеста выяснится, что
- у заказчика есть недокументированные сервисы. Нужно документировать. Заранее неизвестен объем работы
- у заказчика не установлены апдейты безопасности. Админы есть и должны ставить - но не поставили. При глубоком копании выясняется, что с апдейтами не совместимо что-то из ПО заказчика. А доработать ПО не позволяют, например, бюджетные ограничения
и т.д.
т.е. огромное количество параметров необходимо обсуждать до старта проекта.
2. Что значит гарантии?
Такси или приехало, или нет. Система или работает, или нет (и то - может же глючить). А в ИБ? Гарантии в смысле =- не взломают клиента? Так во первых - невзламываемых систем не бывает, во вторых - защита это процесс. много процессов. и вы хотите, что бы команда подрядчиков за один раз сделала что-то, что будет само работать вечно?) Так не бывает.
Можно нанять свою сильную свою команду (и так мало кто делает - дорого).
Есть вот прекрасные практики систем управления ИБ: с метриками, внутренним аудитом, мониторингом защищенности, постоянным контролем, и высокими требованиями к численности собственного ИБ - тоже можно внедрить. Только так же тоже мало кто делает.
Интеграторы могут давать сервис (непрерывный, с кучей ограничений в сторону заказчика), и на этих условиях давать гарантии защиты - и страховать свои риски. Только это тоже увеличит стоимость услуги для заказчика.
И что-то как-то я не вижу, чтобы массовые заказчики были готовы хоть что-то из этого оплачивать.
PS ну и ТЗ все-таки ДОЛЖЕН формулировать заказчик. кто его пишет-оформляет - дело десятое. Но если не хочется попадать в ситуацию "я не этого хотел", то надо хотя бы представлять "чего хотел".
Основное - что ИБ это лицензируемая деятельность, могут и лицензии лишить и в суд подать, а кто прав окажется не очень ясно.
Второе - то что компании пока не готовы собираться в сообщества, даже ГОСТы пока под себя еще почти никто не написал.
Третье - это должен быть очень высококлассный специалист по ИБ и услуги будут дороги, а покупатели не готовы столько платить. Например 1С не работает в таком режиме для физлиц (по типу такси), для организации всегда договор. Хотя формат торговли 1С можно немного соотнести с нововведениями по заказу такси через агрегатора.
ИБ как и торговля золотом и валютой в государстве, только под зорким контролем государства.
Если снимут лицензирование для личной информации или конфиденциальной, персональной (кроме госструктур), то будет свобода рынка.
Фраза «может и в лес» не заканчивается точкой. Это хорошо или плохо?
Александр — Penetration Tester с хорошим бекграундом, он получает заработную плату в 200 тысяч рублей, и за месяц делает 2-3 проекта в уважаемой компании. Сама же компания продает эти проекты по 1,2-1,5 миллиона для крупных Заказчиков.
ИМХО, это дно. Реальное время на такие проекты - неделя. Какой пентест можно провести в одиночку за неделю? Просканировать диапазоны из договора, найти то, что там установлено, использовать готовые эксплоиты, вскрыть пару сервисов и написать отчёт? А кому он нужен? Тем, кто хочет просто красивую бумажку от уважаемой компании? Так биржа не решит эту задачу, бумажка от лидера рынка и от Александра - это совершенно разные вещи, как был крут Александр не был.
Правильно выбранная компания - это экспертиза разных людей и возможность нанимать кого-то ещё (отдельных специалистов или подрядчиков), если они нужны. Что будет делать Александр, если не будет знать, что делать с этой системой? Или если окажется, что в рамках аудита надо будет работать с технологиями, которые он не любит и не понимает?
С точки зрения заказчика - это дно, если ты не умеешь выбирать и искать подрядчиков, то биржа не поможет. А с точки зрения исполнителя такая биржа - прикольная штука, можно взять пару заказов тысяч на 300-400, запустить сканеры и за месяц накопить на отпуск. А небольшие заказчики без своих ИБ-специалистов даже не смогут понять, было ли что-то действительно сделано. Но оставят хорошие отзывы, ведь отчёт на русском, понятен, горы задач для не было, кайф.
Hackerone сделал "убер" для ИБ, если для ваших задач это слишком "убер", есть куча более стройных вариантов Crowdsourced Penetration Testing типо Synack red team или Cobalt.
P.S. В РФ после известных событий, правда, с этими сервисами все плохо.
Манифест информационной безопасности