tag:blogger.com,1999:blog-4065770693499115314.post7700534892355578382..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Почему ваша защита неэффективна, несмотря на миллионные инвестиции в ИБ?Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-4065770693499115314.post-76688781472601085082013-04-11T08:02:35.460+04:002013-04-11T08:02:35.460+04:00Странно, при наличии и завершении внедрения (по вс...Странно, при наличии и завершении внедрения (по всей стране) всех решений которые вы указали и перестройке уже в течении 5 лет инфраструктуры (и даже более) Алексей, мы уже начали давно выстраивать процессы по контролю и анализу ПО при его внедрении. <br /><br />Более того эксперт по ИБ должен иметь системное (архитектурное) мышление (навыки), даже на уровне участия в контроле за развитием архитектуры информационных систем и обладать компетенциями, позволяющими на уровне здравого смысла аргументированно показать специалистам и организациям, внедряющим ИТ как это правильно сделать в условиях (и с учетом) окружающей ИТ среды при этом учитывая вопросы не только безопасности обеспечения заданного уровня функционирования ИТ сервисов.<br /><br />По сути в российской практике от бардака в ИТ хозяйстве может спасти только архитектор (мне кажется что он все таки должен быть от ИБ, посколько при всей совокупности знаний ИТ он должен в голове постоянно решать задачу "как разрушить карточный домик").<br /><br />К сожалению, в том что вы написали отчасти виновата компания Cisco, специалисты по ИБ выросшие на защите периметра долго "курили" Cisco SAFE которая до недавнего времени только периметром и немного инфраструктурой и занималась (и продолжает кстати потому как верхний уровень, защиты свойств самой информации и информационных систем не охватывает своими решениями, соответственно эти вопросы в Cisco SAFE никогда не попадут поскольку бизнес Cisco никак не связан с ними в части решений).<br /><br />В остальном виноваты сами спецы по ИБ:<br /><br />Остальная большая часть кагорты спецов по ИБ в курпных компаниях это устроенные по знакомству (никак не на основе проф навыков) неквалифицированные кадры которых обсуждать не хочу даже, потому как им тема ИБ даже не интересна.<br /><br />Оставшаяся часть это "сертифицированные специалисты", работающие или поработавшие в компаниях интеграторах, может среди них и есть нормальные специалисты, но поработав с топ 10 с ними из россии не увидел, людей способных комплексно подходить к вопросам по ИБ, но они есть я уверен!<br /><br />И еще совсем маленькая часть это, простите за немодное слово "хакеры", которые зачастую очень узко специализированы (неважно где работая, как на себя, так и на дядю) и не могут также комплексно охватить взором большое ИТ хозяйство (потому как задачи другие), хотелось бы чтобы их было как можно больше как на темной стороне так и на другой.<br /><br />Ну и остаются ГИПы опытные товарищи которые могут посмотреть на все свысока, при этом им всегда понятно где и в какой части косяки в любой архитектуре.<br /><br />Порой посмотрев какие ужасы творятся в ныне модной (для всех почему то только сейчас она стала модной) теме АСУТП удивляешься почему до сих пор не происходит крупных технологических катастроф, поскольку проблемы там такие какие способен релизовать даже школьник.Void Z7https://www.blogger.com/profile/01975362922750354962noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-84694196865766955212013-04-11T08:02:22.241+04:002013-04-11T08:02:22.241+04:00Странно, при наличии и завершении внедрения (по вс...Странно, при наличии и завершении внедрения (по всей стране) всех решений которые вы указали и перестройке уже в течении 5 лет инфраструктуры (и даже более) Алексей, мы уже начали давно выстраивать процессы по контролю и анализу ПО при его внедрении. <br /><br />Более того эксперт по ИБ должен иметь системное (архитектурное) мышление (навыки), даже на уровне участия в контроле за развитием архитектуры информационных систем и обладать компетенциями, позволяющими на уровне здравого смысла аргументированно показать специалистам и организациям, внедряющим ИТ как это правильно сделать в условиях (и с учетом) окружающей ИТ среды при этом учитывая вопросы не только безопасности обеспечения заданного уровня функционирования ИТ сервисов.<br /><br />По сути в российской практике от бардака в ИТ хозяйстве может спасти только архитектор (мне кажется что он все таки должен быть от ИБ, посколько при всей совокупности знаний ИТ он должен в голове постоянно решать задачу "как разрушить карточный домик").<br /><br />К сожалению, в том что вы написали отчасти виновата компания Cisco, специалисты по ИБ выросшие на защите периметра долго "курили" Cisco SAFE которая до недавнего времени только периметром и немного инфраструктурой и занималась (и продолжает кстати потому как верхний уровень, защиты свойств самой информации и информационных систем не охватывает своими решениями, соответственно эти вопросы в Cisco SAFE никогда не попадут поскольку бизнес Cisco никак не связан с ними в части решений).<br /><br />В остальном виноваты сами спецы по ИБ:<br /><br />Остальная большая часть кагорты спецов по ИБ в курпных компаниях это устроенные по знакомству (никак не на основе проф навыков) неквалифицированные кадры которых обсуждать не хочу даже, потому как им тема ИБ даже не интересна.<br /><br />Оставшаяся часть это "сертифицированные специалисты", работающие или поработавшие в компаниях интеграторах, может среди них и есть нормальные специалисты, но поработав с топ 10 с ними из россии не увидел, людей способных комплексно подходить к вопросам по ИБ, но они есть я уверен!<br /><br />И еще совсем маленькая часть это, простите за немодное слово "хакеры", которые зачастую очень узко специализированы (неважно где работая, как на себя, так и на дядю) и не могут также комплексно охватить взором большое ИТ хозяйство (потому как задачи другие), хотелось бы чтобы их было как можно больше как на темной стороне так и на другой.<br /><br />Ну и остаются ГИПы опытные товарищи которые могут посмотреть на все свысока, при этом им всегда понятно где и в какой части косяки в любой архитектуре.<br /><br />Порой посмотрев какие ужасы творятся в ныне модной (для всех почему то только сейчас она стала модной) теме АСУТП удивляешься почему до сих пор не происходит крупных технологических катастроф, поскольку проблемы там такие какие способен релизовать даже школьник.Void Z7https://www.blogger.com/profile/01975362922750354962noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35916626535587898912013-04-09T19:01:15.040+04:002013-04-09T19:01:15.040+04:00На каждом следующем уровне представления информаци...На каждом следующем уровне представления информации и данных число каналов и возможных состояний растет в геометрической прогрессии. Контроль конечно осуществляется там, где легче его осуществлять. (с) КЭП...<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-58482437255246809812013-04-09T13:49:38.590+04:002013-04-09T13:49:38.590+04:00+1+1Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-62221487330492146452013-04-09T12:16:44.228+04:002013-04-09T12:16:44.228+04:00Наверное, Алексей имел в виду что при выборе контр...Наверное, Алексей имел в виду что при выборе контрмер незаслуженно отдается предпочтение только мерам защиты периметра, хотя они могут неэффективно снижать риски связанные непосредственно с информацией. <br /><br />То есть некое заключение типа: раз почти никто не занимается защитой инфраструктуры и защитой информации -> очень может быть что неправильно проводится анализ рисков <br />и надо обратить на это внимание.<br /><br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37238148466936376402013-04-09T10:25:55.458+04:002013-04-09T10:25:55.458+04:00Последний абзацПоследний абзацАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25508218656125947182013-04-09T09:27:11.221+04:002013-04-09T09:27:11.221+04:00В стандарте iso 27001 говориться об определении зо...В стандарте iso 27001 говориться об определении зоны ответственности СУИБ и об оценке рисков безопасности при принятии решений ИБ, что вполне считаю оправданным и грамотным. <br /><br />Почему в статье не упоминается об этом основополагающем подходе при построении системы защиты?<br />Anonymoushttps://www.blogger.com/profile/11388386199757023724noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37090929200569576932013-04-09T09:14:06.500+04:002013-04-09T09:14:06.500+04:00Звучит красиво. Вот только как к этому прийти?
Во...Звучит красиво. Вот только как к этому прийти?<br /><br />Вот я - специалист по ИБ. Умею защищать что-то из инфраструктуры. В части защиты именно информации в прикладных ИС (аналитика, архитектура, роли, бизнес-логика) - на самом начале пути.<br />И как поднять уровень?<br /><br />Даже если удастся убедить руководство, дадут мне доступ к системе - я по неопытности приму неэффективное решение, усложню работу кому-то - и меня к системе больше не допустят. Опыта набрать не получится.<br /><br />Но самое интересное, едва я попрошу доступ к системе, меня спросят "А зачем там информацию защищать?" И спросит именно что владелец системы - тот, у кого и должна болеть голова как бы все это защитить. Получается, что больше всех нужно мне, а не тому, кто в итоге будет принимать работу.<br /><br />Есть выход?Черный Шершень Злаhttps://www.blogger.com/profile/10342037514613073853noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-35056359952396939052013-04-08T23:29:31.399+04:002013-04-08T23:29:31.399+04:00"... по настройке приложений с точки зрения б..."... по настройке приложений с точки зрения безопасности. Дыры в них искать умеют многие ..."<br /><br />Многие?<br />А я думал у нас таких компаний раз два и обчелся на всю нашу необъятную.ilyahttps://www.blogger.com/profile/03725968169477739298noreply@blogger.com