Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Почему НЕПОФИГ...

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()
Опубликовано в:
Сейчас я постараюсь показать уважаемым коллегам - разработчикам средств защиты информации или информационных систем с встроенными механизмами защиты информации, почему им может быть важно, чтобы их продукция была сертифицирована качественно, полноценно и дорого.
Начну с того, что в отрасли ИБ в России сложилось мнение о том, что Сертификат соответствия это никому не нужная бумажка, которая открывает дополнительные двери для продаж продукции и носит формальный характер. С частью этого мнения можно согласиться. 
Однако, нужно учесть, что сертифицированная продукция фактически имеет дополнительные конкурентные преимущества. При этом, большинство разработчиков СрЗИ и Заявителей сертификации считают конкурентным преимуществом только наличие сертификата соответствия и не видят дополнительные бонусы, а потому при сертификации продукции считают целью только получение непосредственно сертификата. Спрос рождает предложение, которое привело к тому, что качество сертификации иногда отсутствует как понятие. Заявитель  представляет халтуру (при том, что продукт может быть отличным), испытательная лаборатория формирует халтуру и так далее. Далее я попробую показать в чем, с моей точки зрения, подвох подобной сертификации.
Рассмотрим на примере абстрактного продукта иностранного вендора. Итак, продукт обладает функционалом, который можно разделить на три составляющие:
Каждый из этих уровней функционала документируется, представляется на рынке и рассматривается архитекторами целевых систем в защищенном исполнении. 
Теперь я попробую показать, как данный продукт может выглядеть в глазах потребителя (архитектора целевой системы в защищенном исполнении) когда его адаптация и сертификация проводится качественно и другой случай, когда проводится "специалистами" быстро, дешево, халтурно.
Качественная адаптация и сертификация учитывает все вложения вендора в продукт:
Теперь рассмотрим второй случай, когда адаптация и сертификация проводится "специалистами" быстро, дешево, халтурно:
Теперь давайте разберемся в чем разница.
В первом случае учтены все особенности и преимущества продукта. Он адаптирован, его защитные механизмы сертифицированы, потребитель может ознакомиться с конструкторской/программной и эксплуатационной документацией, провести анализ возможности применения сертифицированных механизмов в сложной целевой системе и так далее. Вендор в свою очередь вышел на российский рынок с сертифицированным функционалом, который является конкурентным преимуществом! Он не просто получил сертификат, он получил и дополнительные преимущества, которые закладывал в продукт!
Во втором случае необходимо пояснить отмеченные нумерованными стрелками зоны.
(1) - сертифицированные механизмы, адаптированные только для того, чтобы попасть в зону требований национального регулятора. Не более того...
(2) - сертифицированные механизмы частично адаптированные. В части неадаптированных механизмов потребитель не может разобраться. Нельзя, например в неадаптированной конструкторской/программной или эксплуатационной документации найти внятных ответов на необходимые архитектору вопросы. Это отталкивает потребителя от продукта. Потребитель должен прилагать самостоятельные усилия по адаптации продукта только для того, чтобы оценить возможность безопасного его применения в целевой системе! Потребитель не видит зону, отмеченную стрелкой (3).
(3) - ввиду отсутствия адаптации и соответственно сертификации функций продукта и Вендор и потребитель теряют самое вкусное! Вендор не может выйти на рынок сертифицированных средств со своими преимуществами, в которые он вложил не мало ресурсов и сил! Потребитель если и знает про эти функции, то не может их применять, включать в состав средств защиты и пользоваться всеми достижениями Вендора!

Думаю, что можно будет продолжить эту тему и дальше. Остается много не раскрытых вопросов, связанных с правовыми вопросами, взаимоотношениями участников, скрытыми рисками и так далее.

Совет Вендорам: будьте бдительны, от Вас часто скрывают не только риски "легкого выхода на российский рынок средств защиты информации" но и Ваши возможности!
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.