Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.
Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны - на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking - во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.
Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам - не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.
К чему я, собственно, это написал? Просто близится курс "ИБ и теория организации", который я читаю в ИБД АРБ, и я активно готовлюсь к нему ;-)
ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса - очно (7500 руб.) и онлайн (5000 руб).
О, это хорошая тема - наконец-то до нее кто-то добрался. До сих пор ни у кого не хватало ума даже ввести поправку на тип структуры управления (это где две линейных и три или четырые дивизионных), а ты сразу так глубоко. Но, может, излишне глубоко, а? Может, к черту теоретическое многообразие, а рассматривать варианты реализации, которые все-же сводятся к нескольким понятным моделькам - так оно и людям удобнее.
ОтветитьУдалитьБлин, ты же об этом и говоришь. Я, значит, спросонья невнимательно прочитал - как увидел словосочетание "теория организации", так сразу камент строчить.
ОтветитьУдалитьКоснувшись большинства факторов, влияющих на организацию и состояние ИБ, Автор не указал два главных - профессиональный и человеческий. Удивительного в этом ничего нет, ибо тема очень непростая. Но любые методики и схемы летят к чёртовой матери, когда "рулить" ИБ дают людям без оной подготовки или просто бездарям. Собственно, в данном случае ИБ - лишь частное проявление общей картины...
ОтветитьУдалитьЕсть мнение, что не существует никакого разнообразия условий, уровней зрелости, отраслевой специфики и т.д. Существует лишь разнообразие руководящих кадров - каждый со своей собственной "школой жизни".
ОтветитьУдалитьВот когда к руководству ИБ придут кадры, обучавшиеся в молодости по единым программам - вмиг всю "специфику" как рукой снимет.
Ригелю: Ну, учитывая, что курс не большой - меньше полного дня, то глубоко и не получится влезать.
ОтветитьУдалитьOlgert'у: Автор это учел ;-) В разделе про руководителей будет идти речь не только о тех, с кем приходится общаться, но и о тех, кто будет общаться ;-)
infowatch'у: Специфику снимет ПОД CISO, а не НАД! Вот когда ИБ начнут на MBA/EMBA преподавать по более менее адекватным программам и в ВУЗах начнут учить не неприменимой на практике теории криптографии, а бизнесу, то тогда специфики почти не будет. Только вот всех "под горшок" у нас давно перестали стричь ;-)
Тема действительно очень хорошая, с удовольствием приду послушать! Вопросов по этой теме мнООООго:)
ОтветитьУдалитьАлексей, за что же вы так криптографию то не любите? Криптография ведь это база, на ее основе существует невероятно интересная наука - криптология:)
Мария, криптология - это основа криптографии ;-) От криптологии два ответвления - криптография и криптоанализ. В ВУЗах преподают первое, напрочь забывая о втором. Но даже первое преподавать в том объеме, как это делают, никому не нужно в нашей стране.
ОтветитьУдалитьВы не можете и не будете на практике разрабатывать свои алгоритмы, анализировать чужие или высказывать замечания на выбираемые продукты. Все что можно с нашим законодательством делать - использовать ГОТОВЫЕ сертифицированные и не очень продукты. И все знание криптографии может быть ограничено только темой законодательства и темой управления ключами. Все остальное - бесполезная трата времени.
ЗЫ. Это не касается криптографов, которые затем пойдут в "контору", но таких единицы и учатся они далеко не всегда в обычных ВУЗах.
Алексей, определения мне известны, спасибо:)
ОтветитьУдалитьНо в том, что касается криптоанализа могу с вами поспорить..не везде, но преподают и в очень большом объеме..даже нам читали криптографию 2 года и криптоанализ 2, 5 и пусть мы не разрабатывали своих алгоритмов, но
зато анализировать чужие и писать дешифраторы нас научили, и вот даже по себе могу сказать, что когда ты реализуешь самостоятельно тот же алгоритм ГОСТа, то ты только тогда понимаешь все его слабые места.
Я не считаю это бесполезной тратой времени, по крайне мере для себя:)
Развели демагогию.Нафиг никому не нужна ваша крипторафия.
ОтветитьУдалитьМария, а на практике вы эти знания используете?
ОтветитьУдалитьДа,но не в рабочее время, больше для себя и для научных статей, и сразу оговорюсь, под вашу категорию "ЗЫ" я не попадаю:):):)
ОтветитьУдалитьНу тогда вопросов нет. Но все-таки ВУЗы у нас готовят специалистов для дальнейшей работы, а не только для использования полученных знаний "для себя" ;-)
ОтветитьУдалить090102
ОтветитьУдалить090103
090104
090105
090106
Большая часть изучаемой программы во всех 5 случаях не пригодится в работе по специальности...кого бы попросить их пересмотреть:)
Золотые слова ;-) Я об этом уже говорил много раз. Только вот никому это особо не нужно, исключая парочку продвинутых ВУЗов, которые ведут платное обучение и заинтересованы в том, чтобы дать студентам применимое на практике образование. А остальным по барабану, т.к. они не несут ответственности за качество обучения и студент к ним не может предъявить претензии.
ОтветитьУдалитьмы не платный ВУЗ (какой не скажу но в Томске)))- тему применения теории менеджмента и теории организации стараемся студентам безопасникам дать уже давно...да и если почитать ОСТ по их специальностям, то там есть такое требование....то что другие ВУЗы этого не дают - нарушение стандарта
ОтветитьУдалитьПриятно слышать
ОтветитьУдалить