tag:blogger.com,1999:blog-4065770693499115314.post2680653940501597124..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Писателям сплойтов посвящается...Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger38125tag:blogger.com,1999:blog-4065770693499115314.post-48731849189922332652013-07-03T21:57:37.964+04:002013-07-03T21:57:37.964+04:00Вот и учат. Только не штатные преподаватели.
Вот и учат. Только не штатные преподаватели. <br />Anonymoushttps://www.blogger.com/profile/01525358236609359268noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34205736197831358342013-07-03T21:52:17.660+04:002013-07-03T21:52:17.660+04:00Вот и учат. Только не штатные преподаватели.
Вот и учат. Только не штатные преподаватели. <br />Anonymoushttps://www.blogger.com/profile/01525358236609359268noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-91272183001895766602013-03-09T13:04:13.648+04:002013-03-09T13:04:13.648+04:00“Значит все плохо с документацией. Кроме документо...“Значит все плохо с документацией. Кроме документов есть еще записи - это понятие одинаковое, что в ISO 9000, что в 27000 - это как раз некий метод накопления свидетельств выполнения процесса.” <br /><br />Для того чтобы вести подобные записи выполнения процесса – нужен практический мониторинг и контроль. Бумага тут не поможет.<br /><br />“У нас да - распространена ситуация, когда делаются документы для галочки и все на них забивают.” - в точку.<br /><br />“У CISO на это просто нет времени. Даже я уже давно не могу себе позволить приехать на какой-нибудь PHD (а я совсем даже не CISO :) ), а если доберусь, то я знаю, что мне там будет несколько скучновато - ибо у меня нет необходимости настолько детально погружаться в технику.”<br /><br />Тоесть Вы хотите сказать, что на ibbank и прочие infobez тусовки у CISO есть время, а на практические конфы – нет? Очень слабый аргумент. На PHDays, ZN есть не только доклады с углубленным техническим уклоном, но и демонстрации техник, новых продуктов и т.д...<br /><br />“While you do not know life, how can you know about death?” Confucius<br />While you do not know attack, how can you know about defense? ...Anonymoushttps://www.blogger.com/profile/14161434620790693126noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-77573285221514299162013-03-08T11:09:47.979+04:002013-03-08T11:09:47.979+04:00>По факту в некоторых компаниях все неплохо с д...<i>>По факту в некоторых компаниях все неплохо с документацией, но вот порой эта самая документация сильно далека от реальной ситуации, так как отсутствует мониторинг и контроль за ее выполнением.<br /></i><br />Значит все плохо с документацией. Кроме документов есть еще записи - это понятие одинаковое, что в ISO 9000, что в 27000 - это как раз некий метод накопления свидетельств выполнения процесса. <br />У нас да - распространена ситуация, когда делаются документы для галочки и все на них забивают.<br /><br /><i>>Я считаю, что CISO должны быть интересны такие мероприятия как ZN или PHDays и по крайней мере надо выслушивать точку зрения практиков и быть в курсе последних уязвимостей, продуктов, методов противодействия и т.д. Иначе вся эта бумажная работа только и будет оставаться только бумажной и далекой от реальности. По тому как если и есть заинтересованность в реальной ИБ то она должна соответствовать практике.<br /></i><br /><br />У CISO на это просто нет времени. Даже я уже давно не могу себе позволить приехать на какой-нибудь PHD (а я совсем даже не CISO :) ), а если доберусь, то я знаю, что мне там будет несколько скучновато - ибо у меня нет необходимости настолько детально погружаться в технику.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-49710105654180995512013-03-07T22:23:17.790+04:002013-03-07T22:23:17.790+04:002 doom:
“Сочувствую вашему негативному опыту работ...2 doom:<br />“Сочувствую вашему негативному опыту работы на предприятии.”<br />На предприятиях. За 4 года я сменил работу 5 раз! И это были как в небольшие, так и очень крупные компании. Довелось поработать и безопасником и в интеграторе и исследователем. И ситуация я Вам скажу удручающая. <br /><br />“Вообще, тот типаж CISO, что вы описали - это не "бумажный безопасник", а стандартный человек-из-органов-на-пенсии. Именно они себя так ведут. “<br /><br />Не всегда так, но процентов в 80-90, так или иначе связанные со службами или органами. Это касается не только CISO но и РП в интеграторах или некоторых топов, которые порой не просто далеки от infosec или пентеста, но и вообще от IT. Зато у них есть влиятельные друзья или родственники, и сидят они на своих местах только благодаря им. А выбиваются в таких компаниях в начальники отделов или замы не те люди, которые обладают реальными навыками и знаниями, а те кто хорошо умеет работать языком или, простите за выражение, лизать жопу таким руководителям ). <br /><br />“P.S. И мне интересно узнать, что же в вашем понимании Change Management и Patch Management? Как их реализовать без бумаги (точнее без выстраивания самих процессов)? Там технические средства - дело десятое, так-то...”<br /><br />Никто не спорит с тем что должны быть соответствующие документы, но одних документов слишком мало и они должны быть качественными, а не количественными. Их практически никто не читает, кроме самих же безопасников и служат они по большей части для того, чтобы прикрыть “мягкое место” того же бумажного CISO, или служить поводом для увольнения того или иного неугодного сотрудника ). По факту в некоторых компаниях все неплохо с документацией, но вот порой эта самая документация сильно далека от реальной ситуации, так как отсутствует мониторинг и контроль за ее выполнением. Какой толк скажите мне от одного наличия таких документов, кроме как пройти соотв. проверки контролирующих органов? Реально они как то помогают защититься от реальных угроз?<br /><br /><br />“Просто хороших специалистов ооочень мало - надо выстраивать процесс так, чтобы получать удовлетворительный результат с теми, кто есть.” <br /><br />Это точно их оооооочень немного, но они есть, и им не все равно на ИБ в России.А чтобы это не было просто словами, нужен конструктивный диалог (вместо взаимных упреков в твиттерах линкединах и т.д.). <br />Я считаю, что CISO должны быть интересны такие мероприятия как ZN или PHDays и по крайней мере надо выслушивать точку зрения практиков и быть в курсе последних уязвимостей, продуктов, методов противодействия и т.д. Иначе вся эта бумажная работа только и будет оставаться только бумажной и далекой от реальности. По тому как если и есть заинтересованность в реальной ИБ то она должна соответствовать практике.<br />Anonymoushttps://www.blogger.com/profile/14161434620790693126noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-6857767844860224562013-03-07T10:22:54.224+04:002013-03-07T10:22:54.224+04:00Да, в общем-то, никто ж не принижает роль специали...Да, в общем-то, никто ж не принижает роль специалиста... Просто хороших специалистов ооочень мало - надо выстраивать процесс так, чтобы получать удовлетворительный результат с теми, кто есть. <br />doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60369303024563835852013-03-07T09:44:17.743+04:002013-03-07T09:44:17.743+04:00>Как их реализовать без бумаги (точнее без выст...>Как их реализовать без бумаги (точнее без выстраивания самих процессов)?<br /><br />И ведь что интересно, не только их. Любой процесс, который выполняется практически, но не задокументирован - то есть держится только на конкретном специалисте (какой бы уникальный, умный, супер-пупер не был), рушится с уходом этого спеца. Это безопасность?<br /><br />ЗЫ. Вообще малоконструктивный спор получается, впрочем как и всегда между людьми, которые не нацелены на поиск истины, а токмо ради победы/спорта/просто поболтать. Иначе не приводили бы в пример крайние случаи, которые и так всем понятно что плохо для безопасности. Как CISO, который пилит бабло и присваивает идеи подчиненных, так и принижение роли практических навыков и инструментов.Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81467887133424373822013-03-06T14:48:50.637+04:002013-03-06T14:48:50.637+04:002 Andrey Ant
Сочувствую вашему негативному опыту...2 Andrey Ant <br /><br />Сочувствую вашему негативному опыту работы на предприятии. <br /><br />Вообще, тот типаж CISO, что вы описали - это не "бумажный безопасник", а стандартный человек-из-органов-на-пенсии. Именно они себя так ведут. <br /><br />P.S. И мне интересно узнать, что же в вашем понимании Change Management и Patch Management? Как их реализовать без бумаги (точнее без выстраивания самих процессов)? Там технические средства - дело десятое, так-то...<br />doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76093593774714134582013-03-06T13:23:57.809+04:002013-03-06T13:23:57.809+04:00Практически тоже самое из пентестом/ресерчем. Как...Практически тоже самое из пентестом/ресерчем. Как только молодой исследователь понимает, что его идеи, обнаружения или проекты присваиваются его вышестоящим руководством или коллегами, близкими к руководству, либо его инициатива попытка его ресерча или инициатива вываливается в огромную дополнительную работу для самого инициатора без какого либо вознаграждения для него самого(кто снимает сливки уже ясно), у него пропадает всякое желание делать что-то новое и интересное и он уже выполняет свою работу просто чтобы работать до поры до времени пока на его шею не навалятся еще кучка таких “менеджеров”. И конечно же все научились прикрываться NDA, да и сор из избы не принято выносить, вот и приходится “оправдываться” на очередном собеседовании о причинах своего ухода с прошлых мест работы.<br />Но уважаемые, о каких пентестах и аудитах может идти речь когда порой в компании нет ни Patch Management, ни Change Management, ни документации, ни нормальных политик AD и т.д. и т.п.? <br />И дело не в том что “никто не понимает и не ценит, а уж они-то самые крутые в мире безопасники.” Отнюдь нет, думаю что так никто не считает, просто практики в ИБ почти всегда лучше осведомлены о тех или иных уязвимостях, новых интересных продуктах и решениях, так как знают как ломать и что делать, чтобы от этого защититься. Я не говорю, что “Бумажные безопасники” не нужны и их работа бесполезна. Она также важна, только документация должна быть грамотной и лучше, когда она прорабатывается совместно с практиками. ИМХО если в компании все четко документировано, регламентировано, основываясь на лучших практиках, а главное выполняется и контролируется, то это уже большая половина дела.<br /><br />По поводу оценки рисков для бизнеса и измерения всего и вся в деньгах. Бизнес в большинстве случаев не знает какими активами он обладает, и чтобы узнать и оценить в деньгах ту или иную базу и ущерб от ее утраты, кражи и т.д., потребуется очень много усилий и времени если речь идет о крупных компаниях. Интересно, а как оценить в деньгах человеческие судьбы? Как оценить тот риск, когда придя в банк обнаружиться нулевой баланс на счету? Или домой придет штраф о невыплате кредита на огромную сумму, или придут огромные штрафы, о нарушении ПДД, зафиксированной камерами видеонаблюдения? Много будет ли толку от бумаг тогда?<br /><br />По-моему “ограниченность своего взгляда на мир” более присуща “бумажным” безопасникам, и с этим что-то нужно делать, если их цель все таки обеспечение ИБ, а не просто зарабатывание денег.<br />Уважаю ребят из Positive Technologies, Digital Security, onsec и немногих других за их вклад в развитие ИБ, за помощь и учебу молодежи, за отличные конференции PHDays и Zeronights, на всех из которых мне посчастливилось побывать, хотя с некоторыми из них не во всем согласен. К сожалению не слышал, чтобы другие компании читали лекции и проводили практические занятия по безопасности и пентесту в Российских вузах бесплатно.Anonymoushttps://www.blogger.com/profile/14161434620790693126noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76962790050248272472013-03-06T13:23:21.066+04:002013-03-06T13:23:21.066+04:00Алексей, добрый день.
Долго наблюдал за баталиями ...Алексей, добрый день.<br />Долго наблюдал за баталиями развернувшимися в твиттерах и линкединах и очень долго удерживался от написания своей точки зрения. Но вчерашнее собеседование в одном небезызвестном банке просто переполнило чашу моего терпения. Я предполагаю кому предназначался этот пост но хотел бы добавить свои “пять копеек” к этой статье. Меня поразил второй абзац Вашей статьи, так как имею достаточный опыт работы в разных компаниях как безопасник так и исследователь. <br /><br />По поводу “неуживчивости и частой смены работы”. К сожалению, нередко бывают случаи, когда безопасник или исследователь приходит на новую работу и с “горящими” глазами старается показать свои навыки и знания, нередко демонстрируя явные промахи как в документации так и в реализации систем защиты. В ответ Бумажный или околобумажный CISO либо чувствует в таком человеке конкурента, либо просто хочет скрыть эти самые “косяки” от руководства, пытается просто выжить такого человека из компании или даже попытаться его подставить. Ведь только этот CISO вхож в круги руководства и может выставлять ситуацию и положение дел как ему выгодно, а не как обстоят дела на самом деле. Новый человек такого права не имеет, да и не принято “шагать через голову”. Я не против “бумажных безопасников” в целом, но порой их документы настолько абсурдны и не только не делают компанию безопасней, а скорее наоборот. <br />Даже если этот новичок в Компании пытается играть по правилам таких CISO, терпит, и пытается реализовать защиту теми средствами которые уже имеются, у него ничего не получается так как у Бумажного CISO свой интерес на этот счет. Он же должен “выбить” у руководства деньги на покупку “Супер безопасной и Супер дорогой системы”, внедрив которую закроются несколько рисков. Ну или хотя бы просто получить премию за ЕГО же придуманную идею и реализацию проекта. В итоге нередко доходит до смешного. Проводится куча совещаний, определяются сроки, ответственные, исполнители, бюджет и т.д. Проект длится в лучшем случае полгода, CISO получает премию, толку от внедрения системы мало, а наш молодой безопасник – только разочарование. В итоге иллюзии безопасности в некоторых Компаниях живутся очень долго, пока не грянет гром.Anonymoushttps://www.blogger.com/profile/14161434620790693126noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19450529203745108892013-03-05T00:33:58.868+04:002013-03-05T00:33:58.868+04:00Ну что тут сказать ;-) Отвечу также ссылками:
- Ри...Ну что тут сказать ;-) Отвечу также ссылками:<br />- Ригель написал про разность подходов - http://xpomob.blogspot.ru/2013/03/blog-post.html<br />- Рустем написал про обиду: "Оппоненты, гыыы ;-) Чтобы быть оппонентом, мало иметь аккаунт в твиттере и знать матерные слова. У меня таких "оппонентов" у подъезда грызущих семечки..."<br />Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59495065056752840532013-03-05T00:17:13.544+04:002013-03-05T00:17:13.544+04:00Мнение школоты: а по-моему Вас статья задела. Вот ...Мнение школоты: а по-моему Вас <a href="http://habrahabr.ru/post/169491" rel="nofollow">статья</a> задела. Вот Вы и пишите что-то вроде - ну и что, что сайт дырявый, все равно его никто ломать не будет. А если и будет - то ничего страшного. Очень хороший подход. А админ сайта, наверное, очень уработался, бедный. Ему же зарплату платят ни за то, что бы он оперативно баги устранял, а за то, что бы сайт работал.Anonymoushttps://www.blogger.com/profile/18228035629332405194noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81604580574726080832013-03-04T23:43:36.312+04:002013-03-04T23:43:36.312+04:00spewow: Я пишу про законы не потому, что компанию ...spewow: Я пишу про законы не потому, что компанию можно поставить на 100% на бабки. Бабки как раз там небольшие, если вообще есть. Просто потребитель про это постоянно спрашивает.<br /><br />Блог изначально задумывался о другом - об экономике ИБ, измерениях эффективности и т.п. Но так уж получилось, что и 4 года назад (когда блог стартовал) и сейчас - это мало кому нужно. Поэтому пишу про то, что востребовано - про complianceАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-44488884333642311852013-03-04T18:43:35.291+04:002013-03-04T18:43:35.291+04:00>to Евгений
Это нормальный подход. На самом дел...>to Евгений<br />Это нормальный подход. На самом деле истинный безопасник должен делать только одну, но глобальную вещь. Сидеть с Топами компании и думать, как делать бабки. В его конкретном случае, это тема звучит так - «Как не попасть на бабки».<br />Все остальное это несущественные частности.<br />Вы думаете почему Алексей так много пишет про законы РФ касающиеся ИБ?<br />Потому, что по этим законам компанию можно поставить на бабки. Причем не эфемерные, а четко прописанные в КоАП РФ. Не сделал, как по закону, попал на бабки. Это поймет даже ёжик, не говоря уже о CEO.<br />Причем ИБ-ник 1000 уровня, знает как сделать по закону, и не попасть на бабки исполняя этот закон.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-2620059984044202562013-03-04T17:28:53.052+04:002013-03-04T17:28:53.052+04:00to spewow: Вам наверно покажется кощунственным, но...to spewow: Вам наверно покажется кощунственным, но с точки зрения бизнеса это нормально. Скажите, фирма обслуживающая камеры, потеряла на этом деньги? Нет. Значит разово потратятся на лечение и все. При необходимости потом повторят. Зачем им безопасник? :)<br /><br />Золотые слова - "Компании можно делить на крупные, средние, мелкие, гос.структуры и частный сектор, бизнес связан с ИТ или нет".<br />Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50105641509531411642013-03-04T17:01:43.723+04:002013-03-04T17:01:43.723+04:00>Евгений пишет...
>Да пока это не мешает осн...>Евгений пишет...<br />>Да пока это не мешает основной деятельности - зарабатыванию денег, то ради бога.<br /><br />Золотые слова. Они плодились и размножались, пока не положили всю сеть.<br /><br />www.autonews.ru/autobusiness/news/1751447/<br /><br />Но это частности, ведь проработало 5 лет без этих ваших "иб". Касперский почистит разово сетку и еще 5 лет проработает!<br />Бизнес подход наше все! :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-83400991159937731292013-03-04T16:37:22.651+04:002013-03-04T16:37:22.651+04:00>Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскаж...>Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскажите, пожалуйста<br /><br />МИФИ, подытоживали тему по рискам семинаром, где самостоятельно описывали/обрабатывали/оценивали (в том числе и в деньгах) риски.<br /><br />>Вуз должен давать практические знания все же.<br /><br />ВУЗы у нас дают на 90% теоретические знания, что они и должны делать, имхо.Nikitukihttps://www.blogger.com/profile/09803128478155173687noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-22549132676598505992013-03-04T16:30:21.318+04:002013-03-04T16:30:21.318+04:00Влезу в сей жарко-бессмысленный спор, плавно перех...Влезу в сей жарко-бессмысленный спор, плавно переходящий на личности. Итак, для конструктивного решения возникшей проблемы стоит (естественно, на мой провинциальный взгляд) определиться с:<br />1. Кто такой ИБ-шник? Какое у него образование?<br />2. Чему учат ИБ-шников,IT-шников,Программеров и менеджеров?<br />3. Как результаты предыдущих пунктов пересекаются с экономикой?<br />4. Что нужно сделать, чтобы ИБ-шник,IT-шник и Программер прониклись проблемами бизнеса?<br /><br />Собственно, не вижу особого смысла в конкретных ответах на эти вопросы, т.к. считаю, что только правильная постановка вопросов является почти ответом на них(хотя по просьбе желающих могу их и расписать для каждого типа ИБ-шника), но принципиальный подход к решению (по моему мнению) лежит в области "индоктринации" сутью работы ИБ-шника. Боюсь ошибиться, но, кажется, у Шнайдера была статья о том, что ИБ-шника надо учить не конкретным вещам, а "учить думать, как параноик".<br />Ну а связку между бизнесом и ИБ можно делать через цепочки импортных стандартов (еще бы учили им где-нибудь в ВУЗах), например (зависит от исходной подготовки): алгоритм-UML-BPMN-экономика или "С++"-OODA-SOAF-Минцберг-"e-CF"-COBIT-... и т.п.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40547995005652831062013-03-04T16:22:47.022+04:002013-03-04T16:22:47.022+04:00Этот комментарий был удален автором.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63739987333402605982013-03-04T15:09:23.548+04:002013-03-04T15:09:23.548+04:00Кто "они думают"? Не надо всех обобщать....Кто "они думают"? Не надо всех обобщать.<br />И вообще смысла нет говорить о компаниях в целом. Компании можно делить на крупные, средние, мелкие, гос.структуры и частный сектор, бизнес связан с ИТ или нет. И только от этого можно отталкиваться нужны ли там вообще безопасники или нет. <br />Те, у кого бизнес в интернете, им не надо говорить о том, что нужно заказывать услугу пентеста, у них уже наверняка в головах есть этот пунктик, некоторые обращаются вообще до запуска своего ресурса/продукта в продакшн, потому что знают о последствиях, они же риски. Rebzhttps://www.blogger.com/profile/17196826607244939347noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-44082298521878066742013-03-04T14:56:42.600+04:002013-03-04T14:56:42.600+04:00Алексей, мне кажется вы переоцениваете людей :). Д...Алексей, мне кажется вы переоцениваете людей :). Даже если этому учить в вузе, молодость и отсутствие опыта не даст воспринять молодому специалисту эту концепцию. <br />Это как при обучении вождению авто - вначале молодой водитель умеет смотреть только прямо перед машиной и оценивать текущую обстановку в малом радиусе перед авто. Со временем и ростом опыта (навыков) водитель учится просчитывать все дальше и дальше, реагировать не только на непосредственные действия, но и возможное поведение других водителей (так впереди девушка в красном авто, надо осторожнее :)), пешеходов, да просто учет кустов, углов, щитов и прочей нечисти, загораживающей обзор, не дающей возможности оценить дальнюю перспективу.<br /><br />Так и здесь, они почему-то думают, что бизнес должно интересовать наличие и отсутствие дырок на сайте, в программах и т.п. Из опыта внедрения ПДн :) большинство организаций замечательно живут вообще без безопасников и если у них и были проблемы с бизнесом,то уж точно не потому, что сайт дырявый или в сети кто-то шарится. Да пока это не мешает основной деятельности - зарабатыванию денег, то ради бога. :) Этакий симбиоз, ставший возможным когда большинство вирусов перестали пакостить и начали скрываться от обычного пользователя.Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15705906820768815132013-03-04T14:29:45.887+04:002013-03-04T14:29:45.887+04:00И слава Богу, что не учат "показывать деньги&...И слава Богу, что не учат "показывать деньги". Вуз должен давать практические знания все же.<br />Алексей, я вас значит не понял в вашем ответе "этому не учат в ВУЗах". Рискам - учат, а вот перевод из рисков в бабло - этому нигде не научат, только на практике. Rebzhttps://www.blogger.com/profile/17196826607244939347noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57274057010481477732013-03-04T14:20:57.314+04:002013-03-04T14:20:57.314+04:00> Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подска...> Rebz, вас учили ПОКАЗЫВАТЬ ДЕНЬГИ? ВУЗ подскажите, пожалуйста<br /><br />Леш, ясно же, что не понял человек. Вот она, ошибка системы - восприятие всего отличного от техники как "прочая бумажная волокита". Смешались в кучу - риски, деньги:)Юрийhttps://www.blogger.com/profile/09030702648980393831noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56198649882087087622013-03-04T13:56:51.329+04:002013-03-04T13:56:51.329+04:00> стоит всегда помнить, что основой фактор, дв...> стоит всегда помнить, что основой фактор, двигатель любой индустрии безопасности - это фактор страха, хотя об этом и принято стыдливо умалчивать лживой буржуазной прессой<br /><br />Это ты сам себе придумал. По-моему, никто, кроме тебя, с этим никогда не был согласен.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52059044817006926972013-03-04T13:55:38.624+04:002013-03-04T13:55:38.624+04:00> - стоимость любого аудита - это копейки относ...> - стоимость любого аудита - это копейки относительно других расходов на ИБ<br /><br />Затраты оценивают не по абсолютным величинам, а по возвращенной пользе. А отчеты о технических аудитах, чтобы бизнесу была польза, у нас никто делать не умеет, я уже писал об этом http://toxa.livejournal.com/531047.htmlAnonymousnoreply@blogger.com