06.04.2009

Теория организации применительно к информационной безопасности

Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.

Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны - на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking - во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.

Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам - не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.

К чему я, собственно, это написал? Просто близится курс "ИБ и теория организации", который я читаю в ИБД АРБ, и я активно готовлюсь к нему ;-)

ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса - очно (7500 руб.) и онлайн (5000 руб).

16 коммент.:

Ригель комментирует...

О, это хорошая тема - наконец-то до нее кто-то добрался. До сих пор ни у кого не хватало ума даже ввести поправку на тип структуры управления (это где две линейных и три или четырые дивизионных), а ты сразу так глубоко. Но, может, излишне глубоко, а? Может, к черту теоретическое многообразие, а рассматривать варианты реализации, которые все-же сводятся к нескольким понятным моделькам - так оно и людям удобнее.

Ригель комментирует...

Блин, ты же об этом и говоришь. Я, значит, спросонья невнимательно прочитал - как увидел словосочетание "теория организации", так сразу камент строчить.

Olgert комментирует...

Коснувшись большинства факторов, влияющих на организацию и состояние ИБ, Автор не указал два главных - профессиональный и человеческий. Удивительного в этом ничего нет, ибо тема очень непростая. Но любые методики и схемы летят к чёртовой матери, когда "рулить" ИБ дают людям без оной подготовки или просто бездарям. Собственно, в данном случае ИБ - лишь частное проявление общей картины...

infowatch комментирует...

Есть мнение, что не существует никакого разнообразия условий, уровней зрелости, отраслевой специфики и т.д. Существует лишь разнообразие руководящих кадров - каждый со своей собственной "школой жизни".

Вот когда к руководству ИБ придут кадры, обучавшиеся в молодости по единым программам - вмиг всю "специфику" как рукой снимет.

Алексей Лукацкий комментирует...

Ригелю: Ну, учитывая, что курс не большой - меньше полного дня, то глубоко и не получится влезать.

Olgert'у: Автор это учел ;-) В разделе про руководителей будет идти речь не только о тех, с кем приходится общаться, но и о тех, кто будет общаться ;-)

infowatch'у: Специфику снимет ПОД CISO, а не НАД! Вот когда ИБ начнут на MBA/EMBA преподавать по более менее адекватным программам и в ВУЗах начнут учить не неприменимой на практике теории криптографии, а бизнесу, то тогда специфики почти не будет. Только вот всех "под горшок" у нас давно перестали стричь ;-)

Maria Sidorova комментирует...

Тема действительно очень хорошая, с удовольствием приду послушать! Вопросов по этой теме мнООООго:)

Алексей, за что же вы так криптографию то не любите? Криптография ведь это база, на ее основе существует невероятно интересная наука - криптология:)

Алексей Лукацкий комментирует...

Мария, криптология - это основа криптографии ;-) От криптологии два ответвления - криптография и криптоанализ. В ВУЗах преподают первое, напрочь забывая о втором. Но даже первое преподавать в том объеме, как это делают, никому не нужно в нашей стране.

Вы не можете и не будете на практике разрабатывать свои алгоритмы, анализировать чужие или высказывать замечания на выбираемые продукты. Все что можно с нашим законодательством делать - использовать ГОТОВЫЕ сертифицированные и не очень продукты. И все знание криптографии может быть ограничено только темой законодательства и темой управления ключами. Все остальное - бесполезная трата времени.

ЗЫ. Это не касается криптографов, которые затем пойдут в "контору", но таких единицы и учатся они далеко не всегда в обычных ВУЗах.

Maria Sidorova комментирует...

Алексей, определения мне известны, спасибо:)
Но в том, что касается криптоанализа могу с вами поспорить..не везде, но преподают и в очень большом объеме..даже нам читали криптографию 2 года и криптоанализ 2, 5 и пусть мы не разрабатывали своих алгоритмов, но
зато анализировать чужие и писать дешифраторы нас научили, и вот даже по себе могу сказать, что когда ты реализуешь самостоятельно тот же алгоритм ГОСТа, то ты только тогда понимаешь все его слабые места.

Я не считаю это бесполезной тратой времени, по крайне мере для себя:)

Анонимный комментирует...

Развели демагогию.Нафиг никому не нужна ваша крипторафия.

Алексей Лукацкий комментирует...

Мария, а на практике вы эти знания используете?

Maria Sidorova комментирует...

Да,но не в рабочее время, больше для себя и для научных статей, и сразу оговорюсь, под вашу категорию "ЗЫ" я не попадаю:):):)

Алексей Лукацкий комментирует...

Ну тогда вопросов нет. Но все-таки ВУЗы у нас готовят специалистов для дальнейшей работы, а не только для использования полученных знаний "для себя" ;-)

Maria Sidorova комментирует...

090102
090103
090104
090105
090106

Большая часть изучаемой программы во всех 5 случаях не пригодится в работе по специальности...кого бы попросить их пересмотреть:)

Алексей Лукацкий комментирует...

Золотые слова ;-) Я об этом уже говорил много раз. Только вот никому это особо не нужно, исключая парочку продвинутых ВУЗов, которые ведут платное обучение и заинтересованы в том, чтобы дать студентам применимое на практике образование. А остальным по барабану, т.к. они не несут ответственности за качество обучения и студент к ним не может предъявить претензии.

Анонимный комментирует...

мы не платный ВУЗ (какой не скажу но в Томске)))- тему применения теории менеджмента и теории организации стараемся студентам безопасникам дать уже давно...да и если почитать ОСТ по их специальностям, то там есть такое требование....то что другие ВУЗы этого не дают - нарушение стандарта

Алексей Лукацкий комментирует...

Приятно слышать