Снова мысли вслух…

Раздел форума: 

Аватар пользователя VladB

В очередной раз задумался о том, что большинство руководителей, начиная работу по обеспечению информационной безопасности на своих предприятиях, начинают ее с внедрения антивирусных средств, файерволов. Затем идет внедрение средств антиспама и других технологий безопасности. В лучшем случае после этого появляется в составе подразделения ИТ должность сотрудника, отвечающего за ИБ или даже целого подразделения. Правильно ли это?

На мой взгляд – нет.

Почему?

Да потому что в таком случае все ваше внимание посвящено технологиям безопасности. И не более того, а ведь безопасность это единство процессов, людей и технологий.

Почему я бы начал с процессов? Да потому что никогда ни ИТ ни ИБ не знает точно, а что же именно нужно защищать

Согласитесь, какой документ из состава бухгалтерских документов является просто документом для внутреннего пользования, а какой конфиденциальным – лучше всего знает главный бухгалтер. Более того, согласно закона «степень конфиденциальности документа определяет его владелец», а уж никак не ИТ и не ИБ. Т.е. до тех пор пока в организации не определены критерии отнесения документа к тому или иному грифу, никто толком не знает что же защищать, а главное – какие потери несет за собой утрата (модификация, разглашение) его содержания. Верно? Верно!

А не зная сумму потерь, весьма сложно доказать почему документ (файл, хранилище 1) нуждается в средствах ИБ на сумму в 10 000, а не 100 000. Согласны? Ведь сумма средств, потраченных на ИБ не должна превышать сумму потерь в случае взлома.

Далее. Самое интересное, на мой взгляд, сотрудники.

Как давно вы обучали своих сотрудников основам ИБ? Скорее всего либо очень давно либо, что еще вероятнее, никогда.

Либо процесс обучения был настолько формальным что свелся к зачитыванию простых инструкций со строгим словом «НИЗЗЯ!»

Толку от такого обучения – никакого! Если уж учить, то тому почему вашим сотрудникам, каждому из них в отдельности, ВЫГОДНО соблюдать ваши инструкции. Что им самим несут те или иные опасности.

Живой пример, надоевший нам всем. Пароли. Почему нельзя использовать слабые? Поясните им на примере их же паролей от домашнего e-mail, от аккаунта социальной сети. Вам же спасибо скажут да еще и будут говорить какой у них безопасник умный и понятливый. Ваши требования будут выполняться не потому что боятся, а потому что выгодно!

Естественно это не исключает необходимость строгого контроля. Но это тема отдельного разговора.

Я думаю так, а как думаете вы?

Аватар пользователя savely

И мы. Если есть возможность сделать проект и откатать его, а не лепить "по ходу" дела - надо делать проект. Если нет - надо стараться, чтобы была. 

Меня бесит в интеграторах такой момент - вот они все слепили, железо, софт, почти отчитались. И тут им показывают на пункт в ТЗ насчет ИБ. И начинается... 

Или даже они сами знают про пункт в ТЗ, но АС почему-то проектируется как бы без учета средств ИБ. Точнее они вписываются в прайс, потом закупается все-все-все, а потом оказывается - железо несовместимо, нагрузка запредельная, средства ИБ банально не умеют того, на что их подписывали в проекте. 

 

Аватар пользователя VladB

Вот-вот! Это бесит не только вас. Для этого существует такая профессия - архитектор безопасности. Но вот людей, по ней работающих я могу посчитать на пальцах.

Есть стандарт ISO 27001 и 27002 там все сказано. 

При построении системы безопасности сначала определяются т.н. "драйвера бизнеса", затем, в их числе, информационные активы. Далее принимается комплекс мер по защите информационных активов. Если руководство наняло сисадмина на должность ИБ, это проблемы руководства, а не мои или ваши. :)

Примерно подход красиво нарисован тут http://dorlov.blogspot.com/2011/05/issp-cissp-all-in-one-exam-guide.html#more

 

 

Аватар пользователя Limete

Привет !

И я о том же

Аватар пользователя leo3

ЭТО ПРИКОЛ!? или серьезно:)))))) Явно нехватает аналитика по безопасности аналитической деятельности аналитика управления изменениями в процессе анализа данных аналитиком данных для обеспечения безопасности поставляемых решений для владельца процессом банкротства компании:)))))))

Аватар пользователя leo3

Обязательно нужно вводить в штат аналитика по борьбе с идиотизмом

>Обязательно нужно вводить в штат аналитика по борьбе с идиотизмом

Не поможет. имхо.