27.04.2016

22 коммент.:

Евгения Незговорова комментирует...

Спасибо! Очень интересная презентация, разносторонняя, да и примеры как всегда - самые убедительные :)

Атаманов Г. А. комментирует...

Про примеры сказать ничего не могу: нет и не было ни секс-робота, ни дрона. А вот про определения могу сказать однозначно: НЕУБЕДИТЕЛЬНО!

Слайд 5: Я уже как-то писал про определение ИБ, которое приведено на слайде №5, но Вы видимо не читали моего комментария. Напишу ещё раз: это определение не выдерживает никакой критики! Кроме того, оно не имеет ёмкости, потому что понятия имеют объём. Но у этого понятия объём равен НУЛЮ! Это - нулевое понятие! «Безопасность» не есть «состояние»! «Состояние защищённости» - это эзотерика. И уровней у этого определения нет! Уровни есть у субъектов, но ни личность, ни общество, ни бизнес не являются субъектами! И потому применять данное определение нельзя нигде и никогда!

Слайд 6: Регуляторы – они где? Они что, не снаружи предприятия? А главный стейкхолдер – ИТ? Вы это владельцу предприятия скажите. Регуляторы – стейкхолдеры ИБ? Ну, это вообще …. Я понимаю, что коррупция у нас везде, но зачем же так? Не все же регуляторы коррупционеры! Или все? Но я знаю порядочных людей среди регуляторов. Они точно не коррупированы. Я против того, чтобы их тоже в стейкхолдеры! Кстати, а акционеры – это не «снаружи предприятия», а что ни на есть внутри. Это – верхний уровень управления предприятием.

Слайд 7: Определение понятия «информационная сфера» - это нечто! А с учётом п.2, что-то вроде «воздушный шар включает в себя и способ его накачивания»! Абсурд, да и только!

Слайд 8: Прочитал, прослезился. Надо же такое навыдумывать. А если спросить? У тех же стейкхолдеров. Думаю, картинка будет совсем другая. Но и она не нужна. Никто и никогда не защищал интересы! Защита интересов – это от безграмотности! Или дипломатичности. Дипломаты защищают интересы, а секьюрити – защищают объекты!

Дальше анализировать не буду. И так понятно: не то пальто. Да и время тратить впустую не хочу: писал ведь уже, что подход не верный, а тут опять … на те и же грабли.

Сергей Городилов комментирует...

Презентация хороша тем, что в ней имеется точка зрения, способная взбодрить академический ум. Путем коротенького тренинга. Самое главное, что в последовательности интересов на первом месте интересы бизнеса.
Эту логику господин Атаманов Г.А. видимо не распознал и не стал смотреть дальше, хотя дальше было и по его теме - по защите "объектов". При том, что с законом ФЗ-152 он видимо не знаком и статьей 2, в которой говорится, что защищать следует не ПДн, а права и интересы личности....... И ФЗ-149 причем о том же...
При этом к слайду 5 у меня есть претензия. Верно подмечено в предыдущем комментарии. Я бы изменил совокупность "личности, общества, государства и бизнеса". Что-то мало отраслей здесь перечислено. Не правильнее ли писать так: "участников общего дела"? Стейкхолдеров тоже менять на "участников общего дела"? Больно уж режет слух это бизнесовое понятие. Вот.

Алексей Лукацкий комментирует...

Геннадий, если бы я попытался удовлетворить вас хотя бы одной своей заметкой, то я бы всю свою жизнь потратил на эту заметку и все равно не достиг бы результата.

Атаманов Г. А. комментирует...

Сергей, если Вы хотите что-то понять про 152-ФЗ, то Вам сюда: http://gatamanov.blogspot.ru/2014/05/n-152-1.html. Достаточно даже просто посмотреть, чтобы понять, кто есть кто и кто знаком со 152-ФЗ, а кто его как облупленный знает.

Алексей, ну не надо переходить на личности. Ведь проходили уже и не единожды. И удовлетворять меня не надо, я сам найду с кем и как. По делу: Вы же не перед регуляторами выступали, где надо было придерживаться конституированной ахинеи. Как я понимаю, бизнесу нужна эффективность. И говорить им нужно реальные вещи, а не эзотерику и то, что им понятно и приятно (секс-машины и дроны). Ну не является безопасность состоянием и, тем более, состоянием защищённости. Вы-то должны это понимать. И это не просто прихоть какого-то сумасброда. Есть масса научных работ на эту тему. Я никак не могу понять, почему вы все не приемлете научного (именно научного, а не квазинаучного) подхода? Может быть Вы мне объясните? Почему все с таким остервенелым фанатизмом отстаивают ахинею и отвергают истину? Только правильное формулирование проблемы выводит на её правильное решение. Неправильные формулировки - неправильные решения. Это же прописные истины!
А что касается Ваших статей, то я их читаю, практически, все. И к Вам отношусь с уважением. Но это не значит, что я должен принимать всё, что Вы пишите, на "УРА"? Или Вы пишите, чтобы писать и Вам чужие мнения по барабану? Вы ничего не собираетесь менять, даже если это, мягко говоря, неправильно? Напишите здесь и поставим точку. Если это так, то я не буду больше писать комменты к Вашим статьям. Разойдёмся, как в анекдоте про Вовочку, Машу, бабушку, аиста и капусту.

Евгения Незговорова комментирует...

Уважаемые коллеги! Я крайне надеюсь, что это не мой комментарий вызвал подобную реакцию. На всякий случай, объяснюсь - думаю для тех, кто уже работает в безопасности не первый год, а тем более разработал не одну модель угроз с нуля - данная презентация не введет в заблуждение. Я высказала свою благодарность, потому что данная презентация вдохновила на рассмотрение модели с других точек зрения и подняла настроение.

Алексей Лукацкий комментирует...

Евгения, безусловно не ваш комментарий вызвал пока еще не бурную, но все-же дискуссию :-) Просто у Геннадия фирменная стратегия такая - критиковать все и всех. Я не встречал еще ни одной одобренной им презентации или нормативного акта или статьи. Везде одна критика и никакой конкретики - одна философия. Все сводится к тому, что написанное неверно. Неверно потому, что у Геннадия в блоге написано по-другому. А по-другому написано потому, что только Геннадий один в этой стране знает как защищать информацию и обеспечивать информационную безопасность (хотя и это тоже по его мнению безграмотно).

Атаманов Г. А. комментирует...

Алексей, ну зачем же так? Зачем передёргивать и вешать ярлыки? Откуда Вы взяли про мою стратегию? Мы что, с Вами её обсуждали? Спросите, я отвечу. Я ведь не написал, что Ваша стратегия состоит в том-то и том-то, хотя догадываюсь, в чём она состоит. Но я спросил и ответа не получил. Кроме того, я никого не критикую! Я критикую только то, что написано. Найдите и приведите хоть один пример из моих статей и комментариев, где я перешёл бы на личности. Если такое найдётся, прилюдно извинюсь. Это первое. Второе: критерий истинности – не мой блог и не то, что у меня написано. Об этом я тоже неоднократно писал. Есть два критерия – логика и здравый смысл. Сам сверяю свои работы с этими критериями и другим советую. Или я не прав? Третье: про философию и исключительную критику тоже всё подробно разъяснил: это не более чем миф. Это тест на осведомлённость – читал человек статью или нет и что понял, если читал. Те, кто читал, знают, что там только практика и её обоснование. Практика верхнего уровня – уровня управления. К чему приводит неправильное управление при наличии хорошей техники? Наглядный тому пример – ДТП в Кемеровской области с участием бывшего начальника управления ГИБДД Ю.Мовшина на автомобиле Toyota Land Cruiser 200. Четыре трупа и неизвестно, выживет ли пятый. Это – трагический, но частный случай, а здесь речь идёт о судьбах миллионов. Или Вы считаете иначе? Разве не стоит ради этого докапываться до истины? И начинать нужно с фундамента – с философии и методологии. Практика без правильной методологии – «корабль без руля» или «тойота с мовшиным».

Сергей Городилов комментирует...

Геннадий, есть еще и такой критерий кроме Ваших двух: "спросить эксперта". Как правило очень хорошую поправку вносит в точку зрения. Почему? Потому что консалтинг, имеет дело не только с логикой и здравым смыслом, но и когнитивной и политической составляющей. Вот в примере с Лэнд Крузером какое решение Ваше методология предлагает?

Атаманов Г. А. комментирует...

Сергей, только, пожалуйста, без обид, я не придираюсь (как некоторые считают), а просто уточняю: "спросить эксперта" - это не критерий, это - метод. Основа когниции - логика, политические моменты учитываются здравым смыслом. Кстати, здравый смысл в определении ИБ, приведенном в презентации, отчасти присутствует, а вот логика - извините.
По сути: моя методология предполагает наличие ответственности индивида, корпорации, государства.
Индивид - нарушил грубо правила! Его (с учётом социального статуса - сотрудник МВД, хоть и бывший, тяжести содеянного и неоднократности нарушения)- к расстрелу.
Корпорация - изготовила добротный, но небезопасный автомобиль, поэтому ей надлежит рекомендовать оснастить автомобиль средствами безопасности не только пассажиров, но и тех, кто находится снаружи. Самое простое - установить предел скорости (например, 120 км/ч) или систему снижения скорости при наличии впереди препятствий. Откажутся - запретить продажи на территории РФ.
Государство - допустило подобное на подконтрольной территории и потому обязано взять на себя все расходы по ликвидации последствий катастрофы: похороны погибших, лечение (пожизненное) пострадавших, пенсии (не единовременные выплаты, а именно - пенсии, и достойные) семьям потерпевших.
Это, если коротко, без детализации.

Сергей Городилов комментирует...

Геннадий, не совсем. "Спросите эксперта" и он развернет Вашу логику на 180 градусов. Вы же ведь в некоторых случаях не можете знать, под каким углом смотреть. Не, в большинстве случаев. Конечно, если вы учтете все когнитивные моменты и политические, то в итоге всё придет к логике! Согласен на 100%. Но не надо говорить, что у Вас это учтено уже в методологии в фундаменте - это не возможно. Каждый объект заведомо имеет субъективных индивидуумов и интересы разных сторон общего дела. И на каждом объекте их совокупность абсолютно разная. Учесть Вы их в фундаменте не сможете. Только прийдя на объект, и если Вас пустили, то Вы всё поймете. Но я уверен, что этого не пройзойдет до тех пор, пока Вы не станете Топ-менеджером объекта, или как минимум доверенным лицом топ-менеджмента. Всё равно всё приходит к интересам бизнеса, то есть политике.

Сергей Городилов комментирует...

Геннадий, а почему тогда скорость не ограничивают законодательно, как Вы думаете? Может риск-ориентированный подход работает?

Атаманов Г. А. комментирует...

Сергей, логику нельзя развернуть. Эксперта - можно, а логику - нельзя. Она либо есть, либо её нет. Закон исключённого третьего.
Я спрашиваю, но пока пытающихся развернуть или даже повернуть мой подход к трактовке безопасности нет. Есть согласные и следующие ему, но противников нет. Наверняка есть те, кто с ним не знаком. И таких, полагаю, большинство. Если вы с чем-то не согласны, напишите. Обсудим. Если я где-то и в чём-то не прав, учту, исправлю, приму с благодарностью. Кстати, я нигде и никогда не утверждал, что в моей теории всё учтено. Напротив, я утверждал и утверждаю, что мой подход на сегодня - единственно правильный, а детали требуют проработки и уточнения. Это всё есть в моих ранее напечатанных комментариях на BISA, в открытом письме научному сообществу на Наука-XXI и других.
И топ-менеджером я был, а ещё больше топ-регулятором, и опыта у меня более, чем достаточно, чтобы судить о тех вещах, о которых я пишу. И на объектах бывал разных и многое про них понимаю того, что их топ-менеджерам и не снилось. И про отношение фундаментальной науки и прикладной писал много раз. Хотите это обсудить? Я готов, но не здесь: не та тема и не то место.
Про ограничение скорости: для большинства стран (особенно т.н. цивилизованных) это не актуально. Там все, включая президентов и премьер-министров, стараются соблюдать ПДД. А у нас всё с точностью до наоборот. Правовой нигилизм называется. А уж начальники, да ещё и в погонах (соответствующих), те, вообще, наплеванто на законто. Поэтому, если нет внутренних "тормозов", нужно делать внешние. Внутренние, конечно же, надёжнее, но их формировать сложнее и, главное, никто не собирается это делать. Собственно, как и вводить технические ограничения. Поэтому люди как гибли на дорогах, так и будут. Вот только кризис может быть немного поможет: "крутые ребята" будут меньше покупать "крутых" машин? :))

Сергей Городилов комментирует...

Геннадий, Джордано Бруно был сожжен, до Эйнштейна физика была другой, а до эпохи просвещения 99% народа историю знало по Библии. В фундаментальной науке физике, математике, химии, биологии и других масса примеров кардинального изменения подходов, то есть логики. Так что не соглашусь с Вами в этой части.
Развернуть Ваш подход только в Ваших силах. Я попробую с ним ознакомиться, и если что-то пригодится, то, если позволите, то применю. Однако вот тут уже возникло ряд точек или приоритетов или трактовок даже имеющегося закона, в которых мы расходимся. Ну эксперты имеют право расходиться. Хуже когда сами регуляторы расходятся во менях внутри себя, а такое не редкость.
Про Ваш опыт. Приятно познакомиться. Я видимо больше теоретик тогда :) Хотя, ознакомившись с Вашими статьями и комментариями, пока не могу сказать, кто из нас больше теоретик. Конкретных внедрений или книг Ваших не видел.

Про безопасность на дорогах: я вообще в другом аспекте эту проблему воспринимаю - это проблема РОСТА. Любой индивидуум вырастает и перестает толкаться локтями.
В конкретном случае с ЛэндКрузером объяснение другое - психологическое. А в целом это проблема роста. Слишком он быстрый. Культура растет не так быстро. Вот сейчас рост меньше стал и безопасность может улучшиться.

Атаманов Г. А. комментирует...

1. Сергей, сейчас не средние века, но мракобесия не стало меньше. Скорее наоборот. На кострах не сжигают, но убивают и уже убили многих. Наберите в поисковике "как убивали российских ученых" и почитайте то, что он выдаст.
2. Логика - это инструмент и его нельзя развернуть. Его можно применить или неприменить. Можно применить частично, что с точки зрения той же логики будет означать "неприменить".
3. Мой подход ни разворачивать, ни менять не нужно. Его нужно ПРИменять! Это - научный и единственно верный подход.
4. Когда-то я был практиком. Сегодня я - теоретик с большим опытом работы. И моя теория - единственно правильная. Изложена она в цикле статей в "Инсайд. Защита информации" под рубрикой "Азбука безопасности". Меня подвигали и докторскую писать, и монографию, и учебные пособия, но я не вижу в этом необходимости при наличии журнала и Интернета. Кому нужно - всё есть в открытом доступе.
5. Про "рост": культура и её наличие/отсутствие - не аспект возраста, а аспект воспитания. И я ровно об этом в своём предыдущем комментарии и написал.

Сергей Городилов комментирует...

Геннадий,
1,2. У любого инцидента всегда есть несколько сторон, как минимум две. У каждой своя логика. Какую из них Вы выберете единственно верной? СВОЮ?
Отмечу, что менеджмент ИБ, к которому и управление рисками относится - это наукой назвать НЕЛЬЗЯ. Это НЕ НАУКА. Нет у неё духа, присущего Математике, Физике. Где тут аксиомы и теоремы. Ни одной. Есть только хорошо показавшие себя предположения, типа AAA. Менеджмент ИБ - это профессиональная сфера с огромным количеством неопределённостей. В их присутствии говорить о всеобщей логике, как у математики, не приходится. Говорить следует о КВАЛИФИКАЦИИ ИБ-шников. О их КВАЛИФИЦИРОВАНИИ. И всё. Это главная проблема. Я считаю, что большой проблемы в теории НЕТ. Нет необходимости изобретать колесо и противопоставлять его другому колесу. У Алексея Лукацкого СПЛОШЬ и рядом именно об этом говорится.
3. Ваше дело. Один из принципов ISO 27001, над которым работали тысячи экспертов в области менеджмента ИБ - открытость к внешнему опыту.
4. Я сторонник объединения теории и практики. Вот у нас есть вуз, выпускающий студентов по специальности "ИБ". Так они ВООБЩЕ не знают, как оно на практике бывает.
5. Человек в 10 лет, 14 лет, 20 лет и 30 лет - совсем разные люди. Некоторые свойства характера имеют свойство вырождаться. С воспитанием согласен, но оно половина дела. Есть еще эмоции, утомляемость, болезни, среда общения, авторитеты и другие факторы.

Алексей Лукацкий комментирует...

Сергей, не соглашусь. ИБ построена на математике. Модель Белла-ЛаПадуллы, Кларка и Вильсона, Биба... Криптография, машинное обучение, нейросети, матстатистика и т.п.

Сергей Городилов комментирует...

Алексей, а где тут анализ рисков? Эти математические методы - только инструмент, дающий ряд методов защиты, а также дающих мозгу человека обработанную пищу. А дальше мозг уже принимает решения. Всё без исключения вероятностное. Тем более, я не о методах защиты информации говорю, а о менеджменте ИБ, как управленческой науке.

Сергей Городилов комментирует...

Сам сказал "науке" :(

Конечно не "науке", а сфере деятельности!

Алексей Лукацкий комментирует...

А психология или социология - это наука?

Сергей Городилов комментирует...

Социальные науки.

Алексей Лукацкий комментирует...

А они составляют часть ИБ ;-)