Свежие посты   По годам   По датам
  • 21 Декабря 2012 » Назад в будущее или Вперёд в прошлое?
    "Декабрь полон новостей об изменениях в топ-менеджменте ИБ-компаний! В Коде Безопасности сменился гендиректор!"- написал Алексей Лукацкий в своём твитере позавчера. Так, с его лёгкой руки, новость стала публично известной ещё до выхода официального пресс-релиза. Вообще, смены генеральных директоров в группе компаний Информзащита в последние годы не столько даже частые, сколько интересные с точки зрения тенденции. Судите сами. ЗАО НИП Информзащита ("НИП" - системный интегратор в составе холдинга) и "прародитель" всей ГК. В настоящее время генеральным директором является Сергей Шерстобитов, ранее также работавший в НИПе. "Варяг" Павел Караулов не проработал на этой должности и полгода. Учебный центр Иформзащита (УЦ). Генеральным директором является Михаил Савельев, ранее (до 2007 года) также работавший в НИПе. TrustVerse (Трастверс - вендор в составе ГК). Генеральным директором является Герман Батасов, бывший сотрудник того же НИПа. Сегодня под "натиском" НИПовцев "пал" предпоследний оплот - вендор в составе Информзащиты - Код Безопасности (КБ), на должность генерального директора которого был назначен Андрей Голов, работавший до КБ опять-таки в НИПе. Только в SafeLine (Сейфлайн - дистрибутор Информзащиты) генеральный директор (пока ?) не из НИПа, ну и историю Национального Аттестационного Центра (НАЦ) под эту тенденцию не подстроить. Складывается ощущение, что выбранная несколько лет назад стратегия на построение холдинга скатывается к обратной централизации всех рычагов управления. Хотя, быть может, это просто ощущение... Таблица с публично доступными датами работы генеральных директоров всей ГК: здесь.

  • 19 Декабря 2012 » Ду ю спик русский?
    В пылу традиционно горячей предновогодней поры не могу всё же не найти время на этот пост. На переговорах с представителями западных вендоров, планирующих выйти на российский рынок, вопрос русификации сайта, маркетинговых материалов, технической документации и техподдержки обсуждается практически всегда, но вот на практике именно до последнего руки почти никогда и не доходят. А жаль. Так получилось, что за последние несколько недель мне пришлось пообщаться с несколькими западными компаниями сегмента B2B, работающими в России. Пару из них хотелось бы "отметить особо". Компания Citrix. Русскоязычной поддержки обнаружено не было. Сам интерфейс их сервиса GoToWebinar тоже локализации не предполагает. Ну, да ладно, это - мелочи. А вот путаница с часовыми поясами - это уже серьёзно. Запланированный на 11:00 утра вебинар при добавлении в календарь Outlook самопроизвольно смещается на 12:00. Соответственно, все уведомления зарегистрировавшимся участникам о грядущем мероприятии тоже на час сдвигаются. Рассылка напоминания о предстоящем через час вебинаре (исключительно на английском языке, к сожалению) приходит тогда, когда он уже начался. Наши ли президенты со своей чехардой принятий/отмен зимнего времени виноваты или программисты Citrix - не знаю. Знаю только, что мой запрос принят был в работу службой поддержки ещё 4 декабря (дату его первоначального отправления им сейчас уже и не припомню), но, спустя 2 недели, воз и ныне там. Планируя каждый новый вебинар на площадке GoToWebinar, приходится держать в голове эту "особенность" сервиса и принимать какие-то меры, чтобы не потерять слушателей =( Компания Adobe. В свете сложностей с русификацией сервисов GoToWebinar от Citrix пришлось искать альтернативные сервисы. Один из выборов пал на Adobe Connect. А жаль. Какая там техподдержка... Даже получить коммерческое предложение оказалось крайне сложной задачей. Сколько стоит Adobe Connect - знают лишь избранные, тщательно хранящие эту тайну в секрете, ну, по крайней мере, от всех своих потенциальных покупателей из России точно. А при чём здесь русский язык? - спросите вы. Поясню. Формулировать описание проблемы на неродном языке не так просто. Использовать иронию, гиперболы и прочие словесные штуки, (по личному опыту очень) помогающие в общении по электронной почте, на английском языке для большинства пользователей вообще нереально. Позвонить и голосом обсудить проблемы из-за разницы во времени и языкового барьера опять-таки затруднительно. Вот и получается, что даже самые хорошие TechSupport "лажают". Подытожем. Вкладывая деньги в рекламу и продвижение своего продукта в конкретной стране нужно всегда помнить о качестве двух важных вещей: Простота локальной покупки - когда местное "поделие" купить доступнее и понятнее, его и выбрать проще; Постпродажное сопровождение - "сарафанное радио" при выборе решения для покупки или при желании увеличения числа пользователей/расширении функционала играет далеко не последнюю роль. Успешной всем экспансии в Россию и сопредельные русско-понимающие страны! Картинка: http://abunda.ru/29376-nazvaniya-brendov-po-russki-87-shtuk.html

  • 14 Ноября 2012 » Сертифицированные межсетевые экраны (часть 8)
    В сегодняшней завершающей части саги о сертифицированных межсетевых экранах представлены Ideco ICS 3, Трафик Инспектор 2.0, ASTARO, Интернет Контроль Сервер, Juniper NetScreen 5GT и CSP VPN Server и Client v. 3.1 компании S-Terra. Ну а так как реестр ФСТЭК недавно обновился, то дополнят картину свежие сертификаты на СКЗИ Континент-АП 3.6, Cisco CGS 2500 и Altell NEO версии 1.5. Ideco ICS 3 компании Айдеко серьёзно выделяется среди других продуктов на рынке сертифицированных межсетевых экранов. Вернее, наоборот, выделяется своей «несерьёзностью». Судите сами: «Любая новая функция, кнопочка и вкладочка интерфейса появляется…», « …воплотить наши задумки в этом гениальном продукте», «Наши планы на будущее? Держать нос по ветру и интегрировать новые технологии». Апофеозом всей этой веселушности является, конечно же мультиблокбастер «Добрыня Сисадминыч и Айдеко-кладенец». Нестандартные и свежие подходы – это само по себе хорошо, конечно, но есть всё же свои устоявшиеся правила игры, так что каким ветром Айдеко занесло именно в этот сегмент рынка – остаётся только гадать. Возможно, это было желание заработать немного на модной теме защиты персональных данных, возможно, что-то иное. Об успехах сертифицированного решения косвенно можно судить по тому, что сертифицирована третья версия Ideco ICS, а актуальной является уже пятая. Вообще, данный продукт очень мне напомнил UserGate Proxy & Firewall 5.2.F от Entensys из одного из прошлых обзоров, с той лишь разницей, что заявителем для Ideco ICS выступило не ЗАО «АЛТЭКС-СОФТ», а другое юрлицо из холдинга ЦБИ-Сервис - ЗАО «Профиль Защиты». Трафик Инспектор 2.0 разработки Смарт-Софт тоже радует креативом в духе «Конкурс Лучший Админ» и «Собирай GOLDы». По ощущениям, этот участник обзора даже ещё больше похож на UserGate Proxy & Firewall, чем Ideco ICS, хотя заявителем разработчик выступил самостоятельно и текущая не сертифицированная версия не так далеко ушла от той, контрольная сумма которой зафиксирована в соответствующих документах. Идём дальше. Интернет Контроль Сервер как будто специально назван ООО “А-Реал Консалтинг” так, чтобы затруднить поиск на сайте госзакупок конкурсов, объявленных на его приобретение: все три слова из названия легко можно встретить в конкурсной документации на самый широкий спектр оборудования и программного обеспечения. Разработчики «Интернет Контроль Сервер» сами сравнивают себя с Ideco ICS и UserGate и не будем им в этом мешать (странно, правда, что Трафик Инспектор не указали). Вообще говоря, до этой части обзора я даже и не подозревал, что существует такое количество межсетевых экранов (малознакомые названия всё старался на потом отложить), которые жили себе в своём отдельном мире, конкурировали сами с собой, но в погоне за модной темой стали дружно получать сертификаты, не особо даже понимая этот рынок и его механизмы. Например, в А-Реал Консалтинг всерьёз полагают, что участие в Infosecurity 2012 “оправдает все ожидания и принесет реальный результат”. Представить же себе уровень погружения в тему персональных данных можно, например, просмотрев вот эту запись вебинара «Сертифицированный ФСТЭК межсетевой экран ИКС». Участников, кстати, в пике было 15 человек, включая докладчика. Интересно, сколько ещё разработчиков стоят в очередь на получение сертификатов ФСТЭК, открывающих им дорогу в новый прекрасный и полный богатств, как им кажется, мир сертифицированных продуктов? Продолжим. Межсетевой экран ASTARO был разработан одноимённой компанией, которую в мае 2011 купила SOPHOS. Дистрибутором ASTARO на территории России было ЗАО “ФАКТОР ГРУП” и SOPHOS, судя по всему, менять этого не стал, так что сертификат на Программное обеспечение ASTARO Security Gateway Software Network Appliance 8 был благополучно в ноябре 2011 выдан заявителю ЗАО «Фактор груп». По данной ссылке можно познакомится с документацией на продукт более детально. С меня же хватило фразы об ограничении по применению: «При использовании изделия для обеспечения безопасного взаимодействия защищаемой сети с сетями общего пользования необходимо обеспечить аутентификацию запросов из сети общего пользования методами устойчивыми к активному прослушиванию». Juniper NetScreen 5GT используется в банке Русский Стандарт в количестве 331 экземпляр, - гласит очередной сертификат. Так что, если нравится оборудование этого производителя, то можно купить и сертифицировать требуемую вам партию, что, правда, увеличит стоимость. Естественно, что сертифицировать по запросу можно, если и не любое решение, то достаточно широкий спектр. А вообще странно, что у Juniper нет в России сертифицированного производства. Наконец, заслуженный боец игрок рынка сертифицированных решений – компания ЗАО «С-Терра СиЭсПи» и её сертифицированные Сервер безопасности CSP VPN Server. Версия 3.1, Шлюз безопасности CSP VPN Gate. Версия 3.1 и Клиент безопасности CSP VPN Client. Версия 3.1. S-Terra - извечный конкурент Кода Безопасности и Инфотекса (теперь ещё и STONESOFT), на немного другом, правда, сегменте. Как чисто межсетевые экраны решения S-Terra не так популярны, взлёт компании в своё время обеспечило технологическое сотрудничество с компанией Cisco, а в особенности - знаменитый модуль NME-RVPN, который позволяет использовать ГОСТ-шифрование совместно с оборудованием Cisco 2800/3800 и 2900/3900 ISR. Но это, всё же, немного другая история и про криптошлюзы с поддержкой российских алгоритмов говорить надо отдельно. В заключительную (до очередного обновления реестра ФСТЭК) версию таблицы со всеми рассмотренными сертифицированными межсетевыми экранами также включены: СКЗИ Континент-АП 3.6 - клиент, дополняющий экосистму криптошлюза АПКШ «Континент» 3.6 Cisco CGS 2500 - более старшая модель, чем уже рассмотренный ранее «теперь банановый» Cisco CGS 2000 Altell NEO версии 1.5, сертифицированный теперь на соответствие МЭ2. Класс высокий, о чём косвенно можно судить по тому, что даже отечественных продуктов с таким классом мало, а из не отечественных таковым обладает вообще только один - StoneGate Firewall. На этом затянувшийся на полгода обзор временно можно считать законченным. На 14 ноября 2012 года других сертифицированных в значительных количествах актуальных межсетевых экранов в реестре ФСТЭК пока не значится.

  • 14 Ноября 2012 » Как защитить свой аккаунт Skype от взлома?
    Новость об уязвимости Skype сегодня разлетелась по блогам, соцсетям и даже новостным агентствам. Для меня всё началось вот с этой публикации на Хабрахабр: http://habrahabr.ru/post/158545/ (картинка взята оттуда же). Если ещё не в курсе - почитайте, там всё подробно расписано. В этом посте хочу в двух слова рассказать о том, что делать, чтобы никто не угнал ваш аккаунт, пока уязвимость не исправлена и нет официальных комментариев от владеющей Skype компании Miscrosoft. Суть уязвимости ("дыры") заключается в том, что зная логин Skype и адрес электронной почты, на который этот логин зарегистрирован, можно получить доступ к этому аккаунту. Соответственно, адрес нужно поменять, но я бы рекомендовал задуматься над другим первым шагом. 1. Сотрите историю сообщений. Сделать это можно из интерфейса самой программы: Инструменты -> Настройки -> Чаты и SMS -> Открыть дополнительные настройки -> Очистить историю. Это позволит сохранить в тайне от потенциального злоумышленника прошлую историю переписки, пока вы меняете свой адрес электронной почты и вообще разбираетесь в происходящем. Конечно, стирать историю нужно только в том случае, если последствия от того, что кто-то её прочтёт, для вас будут хуже, чем от того, что вы сами утратите всю свою переписку. Если переписка стёрта или вы решили, что в ней ничего нет секретного, - переходите ко второму шагу. 2. Выберите новый адрес электронной почты в качестве основного (Primary email) для аккаунта Skype. У каждого из нас адресов может быть много, но для гарантированной защиты нужно использовать тот, который никому неизвестен. Лучше всего зарегистрировать новый, который логически никак не связан с текущим. что-то вроде 7AhknX8o@gmail.com (заглавные буквы на самом деле не имеют значения, просто я использовал генератор паролей для выбора имени). 3. Смените основной адрес электронной почты (Primary email) для аккаунта Skype на новый. Через интерфейс приложения этого сделать не получится. Нужно зайти на web-сайт Skype в настройки своего профиля https://secure.skype.com/portal/profile и отредактировать Контактные данные (Contact Details), добавить новый адрес электронной почты (Add email address) и нажать Сохранить (Save). Теперь выберите Редактировать (Edit) и укажите новый адрес в качестве основного. После сохранения и ввода пароля вы увидите сообщение "Your profile has been updated.", а на электронную почту (на оба адреса) придёт соответствующее уведомление. Всё, теперь ваш аккаунт привязан к адресу, который никто не знает. Можно спокойно ожидать исправления уязвимости, после чего при желании перейти обратно на старый адрес электронной почты таким же способом. Если вы получили уведомление об изменении адреса электронной почты Skype до того, как начали делать это самостоятельно, значит вы уже стали жертвой мошенничества и нужно срочно восстанавливать свои права доступа. P.S. К Skype у меня и так доверия было не много (Что не так со Skype?), а после сегодняшнего ещё сильнее захотелось всерьёз задуматься об альтернативе.

  • 08 Ноября 2012 » Анатомия распила-2
    Нет, меня пока не посадили и даже обвинения в краже СаратовЛеса (я оттуда родом) пока не предъявили. Прошлый пост (Анатомия распила) про методы, используемые для организации распильных конкурсов с заранее известным победителем большинству моих знакомых открыто комментировать трудно, потому отдельное большое спасибо всем, кто свои комментарии всё же оставил. В частных беседах коллеги со мной соглашаются на все 100%, но… Но… Одно большое НО… Мне тоже, к счастью, есть что терять, НО я продолжу. Представим себя на месте порядочного человека, обнаружившего явные признаки нарушения в закупке, размещённой очередным госзаказчиком на соответствующем сайте. Кстати, реально оказаться на этом месте довольно просто - сделайте на сайте Госзакупок поиск по хорошо вам знакомым названиям продуктов или ключевым словам, имеющим отношение к близкой вам тематике, а ещё лучше - подпишитесь на RSS-рассылку автоматических результатов такого поиска (сайт Госзакупки это позволяет) и всего одну неделю просто в фоновом режиме помониторьте происходящее. Время сейчас подходящие - конец года. Распил  Освоение бюджета идёт полным ходом и материала для анализа у вас будет предостаточно. При правильных ключевых словах в попадающих в вашу выборку закупках вы без труда разглядите нарушения, описанные в прошлом посте. Нарушение обнаружено - что дальше? А дальше давайте определимся, от чьего имени вы действуете. По большому счёту - варианта два: гражданин, не желающий, чтобы уплачиваемые им налоги шли в карман вороватых чинуш, или представитель юридического лица, чьи интересы нарушаются в ходе данной госзакупки. Сразу скажу, что у гражданина, действующего в одиночку шансов на успех (отмена неправильной закупки, привлечение к ответственности виновных и т.п.) практически нет. К сожалению, так говорить могу опираясь на свой собственный опыт: обнаружив ту самую нахальную попытку попилить вкусную сумму, я отправил по электронной почте письмо в ФАС и самому организатору конкурса, заполнил на сайте ФАС форму обратной связи и даже отправил по факсу собственноручно подписанное заявление. На сайте ФАС такой способ подачи жалобы обозначен как вполне легитимный, потому отправлять запрос почтой или лично обращаться в канцелярию я не стал, а зря… По сей день (с 24 августа) абсолютно никакого ответа я не получил. Вот, кстати, текст моего обращения: В Федеральную антимонопольную службу России. Мои обращения просто проигнорировали. Как я понимаю - чтобы не создавать прецедент. Вы только представьте себе ситуацию, когда ФАС по заявлениям отдельных граждан, не обладающих таким числом читателей их ЖЖ/блога, как, например, Алексей Навальный, начнёт реально наказывать организаторов конкурса или, хотя бы, эти конкурсы отменять… Госзакупки просто встанут. Не буду спорить, что существуют специальные “аукционные тролли”, цель работы которых - “докопаться” до организатора и сорвать конкурс любой ценой. Боитесь троллей? - наймите нормальных специалистов, умеющих отличать бредовые требования ТЗ от реальных, но не позволяйте превращать госзакупки в посмешище. В конце концов, на гражданина, обратившегося в ФАС первый раз в своей жизни не надо сразу ставить клеймо “кляузника” и отправлять его письма в корзину, даже не читая. Переходим ко второму варианту: юрлицо. Ваша компания оказалась “за бортом” крупного госконтракта, так как разрабатываемые/поставляемые ею продукты имеют на 1 Кбайт меньше памяти или на 2 МГц большую частоту? Что ж, три раза вы можете подать запрос на разъяснение. Вы можете указать, что подсемейство микросхемы или поддержку устаревшей файловой системы FAT16 нельзя вносить в техническое задание, и потребовать внесение изменений в ТЗ, но знайте, что на каждое из трёх ваших максимально разрешённых запросов ответят примерно так: “бла-бла-бла это не имеет значения” “бла-бла-бла внесём изменения” и впишут новые требования “бла-бла-бла мы вспомнили, почему эта фишка важна” В данном случае “лезть на рожон” - это фактически подставлять свою компанию. Выиграть и не суметь заключить контракт - вполне реальный сценарий. Вас могут не допускать до выполнения работ по самым нелепым поводам, затягивать подписание актов и любыми иными способами мешать. Вы готовы к такому? А ваш работодатель? А, так вы сами работодатель? И что, думаете, хоть одна продажная чинуша после такого вашего поведения захочет с вами иметь дело? Вы ведь честный и весь в белом, а ему детей за границей учить надо, да и джипчик поистрепался - пора новый закупать покупать. По итогу. Даже в рамках действующего законодательства бороться с распилом можно. Но для такой борьбы нужна железная воля и поддержка общественности. Одному человеку сделать что-то практически не реально. Владельцу бизнеса вмешиваться в происходящее - рисковать своим бизнесом. Нужны другие формы и стратегии. Есть идеи? - подключайтесь. На фото: Ты кто такой? Читай техзаданье!! Изображение: http://art.mau.ru/foto/kids/031.jpg

  • 22 Октября 2012 » Анатомия распила
    Скоро представилось Чичикову поле гораздо пространнее: образовалась комиссия для построения какого-то казенного весьма капитального строения. В эту комиссию пристроился и он, и оказался одним из деятельнейших членов. Комиссия немедленно приступила к делу. Шесть лет возилась около здания; но климат, что ли, мешал или материал уже был такой, только никак не шло казенное здание выше фундамента. А между тем в других концах города очутилось у каждого из членов по красивому дому гражданской архитектуры: видно, грунт земли был там получше. Н.В.Гоголь, «Мертвые души» Уверен, что не буду далёк от истины, сказав, что если вы хоть раз сталкивались с госзакупками, то прекрасно представляете масштабы коррупции в этой системе, хотя, может, точнее будет сказать, что всех масштабов вы себе даже и не представляете. Не берусь давать точную количественную оценку этим масштабам ни при закупках решений и услуг в области информационной безопасности, ни, тем более, в целом по стране. Скажу только, что за несколько месяцев мониторинга государственных закупок сертифицированных средств защиты информации сколько-нибудь значительного по бюджету заказа, не содержащего нарушения, мне так и не удалось встретить. Другой вопрос, что использовать эти нарушения для отмены или другого влияния на ход закупки, как правило, практически нереально. Система госзакупок у нас прежде всего регулируется Федеральным Законом № 94 "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд", и этот закон неспроста является рекордсменом по количеству поправок и многими юристами признаётся одним из самых коррупционных законов в отечественном законодательстве. Даже прямое следование букве закона (при наличии, конечно, определённой поддержки со стороны определённых же лиц), позволяет безнаказанно распоряжаться госбюджетом как своим собственным. Но, про методы и трудности борьбы с распилом поговорим отдельно (Анатомия распила-2), а пока же вернёмся к нему самому. Просматривая в последнее время десятки конкурсных документаций ежедневно, получил определённое представление о тех методах, которые наиболее часто используются нечестными на руку заказчиками и хотел бы поделится именно ими, рассказать о самих механизмах – так сказать, об анатомии распила. Начать, пожалуй, стоит с того, что упомянутый уже ФЗ-94 предполагает несколько способов размещения государственного заказа: путём проведения торгов: - конкурс - аукцион - аукцион в электронной форме без проведения торгов: - запрос котировок - у единственного поставщика (исполнителя, подрядчика) - на товарных биржах В интересовавшей меня сфере поставки сертифицированных средств защиты информации самыми распространёнными были варианты: открытый аукцион в электронной форме (ОАЭФ) и запрос котировок, про них и поговорим подробнее. Начнём со второго. Что такое запрос котировок и как он устроен? Достаточно просто. Госзаказчик публикует конкурсную документацию, в которой указывает цену, содержание и сроки исполнения контракта. Все желающие принять участие – потенциальные подрядчики – направляют свои ценовые предложения. Победителем объявляется предложивший наиболее низкую цену. Всё предельно просто, единственный критерий оценки котировочных заявок – их цена. Казалось бы… На практике же госзаказчики, просто информируют «своего» подрядчика о ценовых предложениях других участников с тем, чтобы он мог хоть на рубль, но установить цену ниже и победить. Доказать такой сговор трудно, если не сказать «невозможно», сама процедура запроса котировок отличается оперативностью и простотой, но, к сожалению для мошенников, для размещения заказа методом запроса котировок цена контракта не должна превышать 500 000 рублей в квартал по одной группе товаров. Поэтому и стараются как можно больше закупок провести на суммы, недотягивающие до этого рубежа буквально чуть-чуть. Например, по состоянию на 18 октября: в диапазоне от 475 000 до 500 000 на этапах Подача заявки и Работа комиссии находилось 7122 заказа; в диапазоне от 500 001 до 525 000 на тех же этапах только 809 заказов, т.е. почти в 9 (!) раз меньше. Быстро и с минимумом усилий освоить 500 000 – это хорошо, но аппетиты у чинуш ныне уже не настолько скромные, чтобы довольствоваться такой суммой, поэтому научились они получать желаемый результат и при проведении более сложных типов закупок. Обычные оффлайновые аукционы и конкурсы (ещё иногда употребляют слово «тендер»), постепенно уходят в прошлое. Сейчас уже не надо готовить пачки документов («Акакий, ты опять забыл приложить нашу лицензию?!»), запечатывать их в конверты, доставлять по указанному адресу, а потом ещё присутствовать на церемонии вскрытия. Открытый аукцион в электронной форме (ОАЭФ) существенно сокращает время подрядчиков на подготовку к торгам и, по идее, должен серьёзно повышать прозрачность и открытость закупок – ведь всё совершается на электронных торговых площадках, удостоверяется ЭЦП и автоматически протоколируется. Казалось бы… Но пытливые умы, жаждущие наживы, и тут изобрели варианты. Основных подходов два: скрыть заказ от конкурентов («несвоих» подрядчиков) или недопустить их до участия. Итог один: аукцион признают несостоявшимся и контракт заключают с единственным участником, да ещё и по начальной максимальной цене. К слову, при проведении запросов котировок оба этих метода (скрыть и недопустить) тоже повсеместно используются. Заказы публикуются на сайте госзакупок и просто так их не спрятать, поэтому для сокрытия заказа в ход идут: неинформативные наименования заказов (чтобы из названия нельзя было понять, о чём вообще речь); умышленные искажения документации (опечатки, подмена русских букв латинскими и пр.); использование неиндексируемых форматов файлов (размещение архивов, скан-копий или фотографий документов и т.п.); размещение заказа в максимально неудобное время (вечер пятницы или конец сокращённого рабочего дня накануне праздников). Таким образом, ещё на самом первом этапе минимизируется число потенциальных участников: конкуренты просто могут не узнать о существовании самого заказа или узнать слишком поздно. Вариантов же недопущения участников гораздо больше. При этом часто конкуренты «недопускают себя сами», т.е. отказываются от участия, потому что анализ документации явно показывает: конкурс распильный и выполнить его требования невозможно. К тому же, выигрыш в чьём-то чужом распильном конкурсе часто вообще может обернуться серьёзными проблемами (про это тоже в Анатомии распила-2). Чтобы не допустить возможности участия других поставщиков, в конкурсной документации, например: указываются нереальные сроки исполнения контракта, которые под силу только тем, кто узнал о нём заранее; поставка товара сочетается с оказанием специализированных услуг (например, аттестация объектов информатизации), для исполнения которых требуется наличие редкой лицензии; объединяются разнородные товары от значительного числа производителей, не оставляя шансов «чужим» компаниям даже просто успеть узнать цены, не то что договориться с вендорами/дистрибуторами об условиях и сроках поставки. Самый же наглый на мой взгляд способ (он же и один из самых распространённых) – это, конечно, указание характеристик конкретного товара с тем, чтобы аналоги хоть по одному пункту, но не прошли. При сочетании наглости и сговора получаем шаблонное описание товара в техническом задании (ТЗ). Например, такое описание-заготовка есть почти у каждого производителя СЗИ от НСД (средства защиты информации от несанкционированного доступа), но благое желание вендора помочь в составлении ТЗ на практике выливается в то, что шаблоны без малейших изменений кочуют из документации в документацию. Кстати, не советую в такие шаблоны включать вариативность: могут всем на посмешище просто вставить оба взаимоисключающих варианта =) При сочетании наглости, сговора и глупости получаем описание, скопированное один в один с сайта разработчика. Звучит смешно и нелепо, но это правда, и прецедентов таких не мало. Все указываемые, свойственные только одному продукту характеристики, никакой реальной полезности, как правило, не несут и служат только для ограничения конкуренции. Любые же попытки докопаться до истины и убедить переделать документацию, к сожалению, ни к чему не приводят: извиваясь ужом, подключая технических специалистов, заказчик упорно стоит на своём, заменяя одни липовые требования другими или, припёртый к стенке, внезапно вспоминает (пример этого есть по этой ссылке, которая, заслуживает вообще отдельного поста), что вот-де раньше он какую-то такую штуку закупил, что теперь для совместимости с ней никакие другие товары, кроме одного единственного и неповторимого не подойдут. Наконец, как запасной вариант, в случае несрабатывания всех предыдущих, используется отклонение участника по формальным признакам: мелкая ошибка в поданной заявке; непредоставление малозначительной информации; неправильное истолкование требований конкурсной документации (в требования специально могут включать «логические мины», не вызывающие подозрений, но предполагающие двойное толкование). К сожалению, всё вышеописанное – это не какие-то единичные случаи, хотя я и привёл лишь несколько ссылок, а совершенно обыденные вещи, происходящие каждый день открыто и у всех на глазах. В следующей части (Анатомия распила-2) планирую рассказать о вариантах противодействия распильным и откатным конкурсам и главных проблемах, которые при этом могут возникать. На фото – котэ в шоке: https://fbcdn-sphotos-e-a.akamaihd.net/hphotos-ak-ash3/578565_286605014774595_391965869_n.jpg

  • 17 Октября 2012 » Минус три тысячи сто посетителей в 2013 году
    Подведены итоги обеих выставок: и InfoSecurity (организатор Гротек) и INFOBEZ-EXPO (организатор РЕСТЭК), посмотрим на итоговые результаты и мы. Лично меня результаты поразили ещё в прошлом году, поэтому морально к очередным рекордам был готов, но честное слово - такое ощущение, что в Гротеке считают число посетителей сайта, а не выставки. А как иначе могла получится цифра 5547, если о кризисе говорят практически все? Тем не менее, согласно официальному пресс-релизу, выставка InfoSecurity-2012 благодаря усилиям организатора Гротек, сменившего на этом посту РЕСТЭК в 2010 году, установила абсолютный рекорд числа посетителей с 2005 года: В итоговом пресс-релизе о выставке INFOBEZ-EXPO-2012 общего числа посетителей нет, что, на мой взгляд, честнее (указано только число участников, но этот параметр вообще очень странный и под ним в разные годы, судя по всему, понимались какие-то разные характеристики мероприятия): С одной стороны спад числа посетителей INFOBEZ-EXPO интуитивно ощущался, но с другой - почему бы вдруг одна из двух конкурирующих выставок провалилась, а другая выросла? Ну, а в самом начале этого поста приведена иллюстрация результата полиномиальной экстраполяции шестой степени на один период вперёд общего числа посетителей выставки InfoSecurity за 2005-2012 года. Этот метод из предлагаемых Excel даёт наиболее близкую к единице величину достоверности аппроксимации: R^2 = 0,899. Порядка -3100 (минус трёх тысяч ста) посетителей - вот прогноз Excel на следующий год =) На самом деле, в 2013 году конечно же опять пройдут обе выставки и на одной опять будет больше представителей регулирующих органов и более интересные форматы тематических мероприятий, а на другой - больше западных вендоров, которым ближе мировой бренд, и, как ни крути, больше стендов, ну а все мы так и останемся без одного главного центрального ИБ-мероприятия... Хотя знакомые мне специалисты в области организации крупных мероприятий на смежных рынках и говорят, что самую даже очень большую выставку можно организовать с нуля месяцев за 5, но найдутся ли такие желающие? Все данные о числе участников и посетителей выставок с диаграммами и ссылками на тексты пресс-релизов выложены здесь.

  • 17 Октября 2012 » Сертифицированные межсетевые экраны (часть 7)
    В сегодняшнем обзоре продуктов немало, а производителей всего четверо: STONESOFT, Fortinet, Cisco и Код Безопасности. Начну с наименее мне знакомого решения - Cisco CGR 2000.

  • 16 Октября 2012 » Сертифицированные межсетевые экраны (часть 6)
    После достаточно затянувшегося перерыва возвращаюсь к начатой ещё в мае теме сертифицированных межсетевых экранов. Ссылки на все части этого многосерийного обзора с перечнем упоминаемых продуктов выложены теперь на отдельной странице. Там же описаны и общие критерии отбора, не буду их повторять, а сразу перейду к делу. В сегодняшней части в основном экзотические средства. Нет, они, конечно, наверняка кем-то используются и, быть может, даже в значительных количествах, но разработчики в продвижение этих брендов вкладывают не настолько много сил, чтобы их решения стали широко известны, а информацию о некоторых из продуктов вообще приходится собирать буквально по крупицам. Начнём с межсетевого экрана ССПТ-2 разработки ЗАО НПО РТК. Как утверждают сами представители компании-разработчика, ССПТ-2 представляет собой персональный компьютер специального исполнения с установленной операционной системой FreeBSD. Уникальностью продукта называется его возможность работы в прозрачном режиме. На Youtube есть видеозапись выступления Андрея Новопашенного из ЗАО НПО РТК, в котором продукт рассмотрен подробнее. Выступление достаточно длинное и на мой личный взгляд вполне себе типично-продуктовое, но секция ответов на вопросы из зала (во второй части видео) довольно любопытна. На форуме ИСПДн.ру в обсуждении ССПТ-2 всё не так красиво, как в презентации Андрея Новопашенного, но на то он и форум - жаль только, что никто от лица разработчика ничего не прокомментировал. С другой стороны, мнение потребителя для подобной категории продуктов, видимо, просто не считается важным. Ведь главное конкурентное преимущество ССПТ-2 заключается в сертификатах, особенно том, что в рамках данного обзора не рассматривается - я про сертификат ФСБ на МЭ3, который имеют гораздо меньше продуктов, чем сертификат ФСТЭК. Следующий в списке - программный межсетевой экран «Купол Э». Это ну очень таинственный продукт. Судя по всему (см. новость от 11.11.2010), его разработали в ФГУП «ЗащитаИнфоТранс». Вот, в принципе, и всё, что вообще удалось найти о «Купол Э» в открытых источниках. Теперь пару слов о Diamond VPN/FW. Разработчик – компания ТСС – достаточно новый игрок на рынке. Кто за ними стоит и что они собой представляют – предмет отдельного разговора, но компания любопытная. Взять хотя бы их Средство контроля и разграничения доступа Diamond ACS - крайне интересная разработка. Что же касается межсетевого экрана Diamond VPN/FW, то информации о нём доступно чуть больше, чем о некоторых других участниках данной части обзора, но, судя по всему, в стратегии продвижения в ТСС сделали ставку на своих партнёров – интеграторов и основную информацию о своих решениях до потребителя доводят именно через них. Коммутатор серии РТТ-А311 с программным обеспечением ROS версии 1.0.20 – следующий сегодняшний экспонат. Вроде как разрабатывает его компания ООО «Русьтелетех»: данный коммутатор был представлен на стенде SYRUS SYSTEMS на выставке Связь–Экспокомм–2012 в мае этого года именно этой компанией и именно ООО «Русьтелетех» выступила заявителем при сертификации. Согласно вот этому документу в 2012 году в волгоградской области планировалось строительство завода Русьтелетех по производству «8 типов российского телекоммуникационного оборудования, адаптированных под российские требования информационной безопасности для использования в информационных сетях органов государственной власти» на 480 рабочих мест. Трудно сказать, какова судьба завода, но пока у компании нет даже сайта. В сети разве что генерального директора ООО «Русьтелетех» можно найти: Ким Афанасий Моисеевич. С другой стороны, сертификат ФСТЭК был получен не так уж и давно (в конце прошлого года), а Афанасий Моисеевич личность очень разносторонняя (обладатель патента на производство сахара, действительный академический советник Академии инженерных наук и даже автор стихов), так что вполне может быть, что у РТТ-А311 всё ещё только впереди. Идём дальше. Комплекс РУБИКОН позиционируется компанией Эшелон не только как сертифицированный межсетевой экран, но и как система обнаружения вторжений (СОВ или IPS). Сертификат РУБИКОН получил буквально в феврале, так что экзотикой он является возможно только из-за того, что просто пока не раскручен. С функционалом межсетевого экранирования всё более-менее ясно, а вот заявленное обнаружение вторжений - уже интересней. Например, интересно, как часто происходит обновление сигнатур IPS? И, кстати, по какому каналу скачиваются эти обновления – по доверенному или как получится? Отдельный вопрос с качеством самой базы сигнатур. С другой стороны, если межсетевой экран ещё пытается от вторжений хоть как-то защитить, то почему бы и нет? Особенно, если цена в 150 тысяч рублей за устройство с никак не анонсированной на сайте вендора производительностью устраивает. Формально, но всё же подходит под ранее введённые ограничения (действующий сертификат ФСТЭК и партия от 300 экземпляров) межсетевой экран Vyatta. Сертифицирован он МИКРОТЕСТом для Муниципального бюджетного учреждения «Центр Мединком» как раз в количестве 300 штук. Наверное, для выбора именно такого решения при всём многообразии сертифицированных межсетевых экранов на нашем рынке у Микротеста и его заказчика были свои основания. Сама компания Vyatta Inc, кстати, позиционирует своё решение (если верить Википедии) как конкурента продуктам Cisco уровня ISR 1800 — VXR 7200. Завершим сегодняшнюю часть обзора IP маршрутизатором серии RSOA700. Производит его ЗАО «Российская корпорация средств связи», уже знакомая по ранее описанному маршрутизатору RSOS6850, схожему до степени смешения с Alcatel-Lucent OmniSwitch 6850. Что за зверь RSOA700 – не ясно, но он сертифицирован в Газпромсерте (сертифкат ГО00.RU.1313.Н00164) и за пределами Газпрома, пожалуй, мало кому интересен. Сводная таблица со всеми рассмотренными сертифицированными межсетевыми экранами доступна в сервисе Scribd. Продолжение следует

  • 10 Октября 2012 » Сертифицированные решения для iPad
    Победное шествие iPad по столам наших госчиновников, пожалуй, уже не остановить, а значит – надо как-то подводить стихийно закупаемые устройства под соответствие требованиям регулирующих органов. Давайте посмотрим, какие вообще для этого существуют варианты. Аббревиатуры BYOD, MDM и прочие заграничные понятия нас сейчас интересовать не будут – речь пойдёт исключительно о «бумажной» защите, т.е. о формальном выполнении требований руководящих и прочих документов. Основная сложность с сертифицированными решениями для платформы iOS заключается, конечно, в закрытости этой операционной системы и невозможности по умолчанию работать в ней с правами администратора. Разработчики представленных на рынке решений идут по одному из двух путей: создание некоей защищённой области, в рамках которой осуществляется работа с конфиденциальными данными jailbreak, т.е. искусственный обход ограничений операционной системы с целью повышения полномочий пользователя Первым путём пошли компании ВолгаБлоб и Digital Design. Вторым - Код Безопасности и Инфотекс. Отдельно упомяну и про Stonesoft. ВоглаБлоб поставляет средство защиты информации для iPad под названием iBlob. iBlob представляет собой защищённый почтовый клиент, в котором для шифрования и подписи электронных писем используются российские криптографические алгоритмы. Канал связи с почтовым сервером тоже защищается ГОСТом. Специализированной серверной части решение не требует и прекрасно работает, например, с тем же Exchange. Насколько мне известно, в ближайших планах компании реализация интеграции с торговыми площадками и госпорталами, где также востребована поддержка российской ЭЦП. Digital Design предлагает «Планшет Руководителя» на iPad. К почтовому клиенту добавлен функционал работы с документами в системе документооборота (DocsVision) и файловом хранилище (в т.ч. MS Office SharePoint), а также модуль визуализации показателей, выгружаемых из аналитической системы типа BI. Обязательным элементом системы является специализированный сервер системы Планшет Руководителя. Оба решения не претендуют на шифрование всего трафика планшета, а защищают только то, что действительно является критическим. Отечественные же вендоры, специализирующиеся на создании защищённых сетей, Код Безопасности и Инфотекс пошли путём создания VPN-клиентов для платформы iOS, ну а так как для перехвата и шифрования всего трафика требуются права администратора,то джейлбрейк обязателен. Клиент ViPNet Client iOS компании Инфотекс уже сертифицирован в ФСБ. После включения клиента устройство сможет соединиться только с корпоративным ViPNet Coordinator, а уже через него с остальными публичными сетевыми ресурсами или сервисами внутри организации. Аналогичное решение компания Код Безопасности анонсировала ещё в июне 2011 и даже дала по поводу этого анонса дополнительное разъяснение, но с тех пор что-то всё стихло. Даже в своей группе в Google представители компании сроки назвать не берутся. С планшетами от Apple Коду Безопасности вообще как-то не везёт – чего только стоит их «история неуспеха». Быть может потому и было принято решение о концентрации усилий на разработке решения на платформе Android. Будем надеяться, что по итогу Континент Т-10 будет всё же отличаться от того, что представлено на дружеском шарже, иллюстрирующем этот пост =) Что же касается Stonesoft, то несмотря на то, что их решение StoneGate SSL VPN поддерживает ГОСТ и было сертифицировано в ФСБ, текущая версия VPN-клиента для iOS тоже требует jailbreak, если нужна поддержка ГОСТа. В ходе своего выступления на "Львах и Гладиаторах" (INFOBEZ-EXPO 2012) глава представительства Stonesoft в России Михаил Романов рассказал, что в их компании пока окончательной надежды на достижение договорённостей с Apple не потеряли, но не исключено, что для ускорения сертифицируют всё же вариант с джейлбрейком. В сухом остатке имеем: непривязанный ни к каким серверам и шлюзам продукт iBlob, который можно купить и использовать хоть в единичном экземпляре, чуть более сложный в установке (и, видимо, более дорогой), но зато и с большим функционалом "Планшет для руководителя", уже сертифицированный ФСБ, но завязанный на инфраструктуру, клиент от Инфотекс, требующий jailbreak, аналогичный, с теми же ограничениями, без сертификата и, что печальнее, с неясной судьбой продукт от Кода Безопасности, и, наконец, временно не сертифицированный западный вариант решения от компании Stonesoft. Полноты картины ради отмечу, что на рынке присутствует также решение от компании Аладдин Р.Д., позволяющее подключать смарт-карты с поддержкой ГОСТ (та самая JaCarta) к iPad, но для его работы всё равно нужно какое-то прикладное ПО: iBlob, Планшет руководителя или что-то аналогичное.