27.10.09
Подписаться на:
Комментарии к сообщению (Atom)
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Архив блога
-
▼
2009
(300)
-
▼
октября
(35)
- Автоматизация работы по персданным
- Продажа золота из запасов Гохрана не состоится из-...
- Стандарт ISO 29100
- ФАС опять на коне
- Cisco покупает ScanSafe
- История с ESET NOD32 продолжается
- И вновь о психологии
- Наказание за неисполнение ФЗ-152
- Сертификат ФСТЭК высшего класса К1
- Как РКН будет пасти своих овец
- Результат парламентских слушаний
- О парламентских слушаниях по ПДн
- Новая версия курса по модели угроз
- Новая версия курса по персональным данным
- Barracuda покупает Purewire
- Электронный бордель
- Прикольная реклама Cisco на тему русских хакеров
- Результаты посещения круглого стола по персданным
- Назначен день Х, когда начнут штрафовать за несоот...
- Соответствие классов ИСПДн и АС
- Новый приказ Минсвязи по безопасности
- Cisco и отечественные разработчики ИБ - 2
- Шаблоны документов по персданным
- ФСТЭК выложил документы по персданным в открытый д...
- Карикатура на меня ;-)
- Новый учебник по аутентификации
- Впечатления от InfoSecurity Russia 2009
- ФСТЭК начинает бороться с коррупцией в своих рядах
- ФСТЭК выпустил методические рекомендации по методи...
- AT&T покупает консалтинговый бизнес Verisign
- Cisco и отечественные разработчики ИБ
- Роскомнадзор запускает портал по ПДн
- Энциклопедия по ИБ по-русски
- Применение DLP с точки зрения российского и междун...
- Что думает ФСТЭК о своих документах по ПДн
-
▼
октября
(35)
Категории
- законодательство (633)
- персональные данные (435)
- ФСТЭК (343)
- тенденции (322)
- консолидация (250)
- поглощения (247)
- ФСБ (234)
- выставки (214)
- угрозы (201)
- Банк России (150)
- SCADA (146)
- Россия (141)
- стандарты (137)
- обучение (129)
- SOC (124)
- криптография (121)
- оценка соответствия (109)
- управление инцидентами (104)
- метрики (98)
- стратегия (84)
- цена безопасности (82)
- Роскомнадзор (78)
- НПС (77)
- Разное (75)
- Интернет-ресурсы (74)
- безопасность бизнеса (62)
- Юмор (61)
- проблемы ИБ-компаний (60)
- психология (60)
- экономика (59)
- Threat Intelligence (58)
- философия (56)
- заблуждения (51)
- Минкомсвязь (48)
- наука (48)
- геймификация (47)
- облачная безопасность (47)
- cloud (42)
- повышение осведомленности (41)
- CISO (40)
- SIEM (39)
- аутентификация (38)
- риски (35)
- лицензирование (34)
- антивирус (32)
- SDLC (31)
- DLP (30)
- архитектура (30)
- PCI DSS (28)
- аутсорсинг (27)
- кибервойна (25)
- международная ИБ (25)
- хакеры (25)
- мобильный офис (24)
- APT (23)
- BYOD (22)
- кибербезопасность (22)
- IPS (21)
- ISO 27001 (19)
- электронные платежи (19)
- США (18)
- киберпреступность (18)
- NIST (17)
- Web (17)
- маркетинг (17)
- видео (16)
- кризис (16)
- CERT (15)
- ДБО (15)
- дашборд (15)
- история (14)
- классификация (14)
- аудит (13)
- виртуализация (13)
- госорганы (13)
- атрибуция (12)
- биометрия (12)
- внутренние угрозы (12)
- стартап (12)
- Интернет (11)
- ЭЦП (11)
- книги (11)
- IoT (10)
- NBAD (10)
- Social Media (10)
- open source (10)
- кредитные карты (10)
- культура ИБ (10)
- терминология (10)
- троян (10)
- МинОбороны (9)
- спам (9)
- статьи (9)
- уязвимости (9)
- AI (8)
- Usability (8)
- ВТО (8)
- аналогии (8)
- опыт (8)
- foresight (7)
- Совет Безопасности (7)
- блокчейн (7)
- кадры (7)
- поибешечки (7)
- ООН (6)
- СУБД (6)
- непрерывность бизнеса (6)
- ОДКБ (5)
- ФАИТ (5)
- страхование (5)
- таможенный союз (5)
- этика (5)
- M2M (4)
- МВД (4)
- Олимпиада (4)
- СНГ (4)
- СОРМ (4)
- мошенничество (4)
- перлюстрация (4)
- политика ИБ (4)
- прорывные технологии (4)
- русский язык (4)
- сканеры безопасности (4)
- DNS (3)
- NGFW (3)
- UTM (3)
- VoIP (3)
- Wi-Fi (3)
- ГосСОПКА (3)
- Интернет-маньяки (3)
- женщины (3)
- кибертерроризм (3)
- коронавирус (3)
- мобильные платежи (3)
- служебная тайна (3)
- тендер (3)
- фишинг (3)
- CIP (2)
- GDPR (2)
- ISACA (2)
- RFID (2)
- SECaaS (2)
- UEBA (2)
- resilience (2)
- БРИКС (2)
- ЕАЭС (2)
- УЭК (2)
- ЦОД (2)
- безопасность (2)
- визуализация (2)
- карьера (2)
- NIAC (1)
- RPA (1)
- SDN (1)
- zero trust (1)
- Время (1)
- ШОС (1)
- искусственный интеллект (1)
- киберустойчивость (1)
- терминальный доступ (1)
- транспорт (1)
- управление потоками (1)
- электронное правительство (1)
Следить за мной
Категории
- аналогии
- антивирус
- архитектура
- атрибуция
- аудит
- аутентификация
- аутсорсинг
- Банк России
- безопасность
- безопасность бизнеса
- биометрия
- блокчейн
- БРИКС
- видео
- визуализация
- виртуализация
- внутренние угрозы
- Время
- ВТО
- выставки
- геймификация
- госорганы
- ГосСОПКА
- дашборд
- ДБО
- ЕАЭС
- женщины
- заблуждения
- законодательство
- Интернет
- Интернет-маньяки
- Интернет-ресурсы
- искусственный интеллект
- история
- кадры
- карьера
- кибербезопасность
- кибервойна
- киберпреступность
- кибертерроризм
- киберустойчивость
- классификация
- книги
- консолидация
- коронавирус
- кредитные карты
- кризис
- криптография
- культура ИБ
- лицензирование
- маркетинг
- МВД
- международная ИБ
- метрики
- Минкомсвязь
- МинОбороны
- мобильные платежи
- мобильный офис
- мошенничество
- наука
- непрерывность бизнеса
- НПС
- облачная безопасность
- обучение
- ОДКБ
- Олимпиада
- ООН
- опыт
- оценка соответствия
- перлюстрация
- персональные данные
- повышение осведомленности
- поглощения
- поибешечки
- политика ИБ
- проблемы ИБ-компаний
- прорывные технологии
- психология
- Разное
- риски
- Роскомнадзор
- Россия
- русский язык
- сканеры безопасности
- служебная тайна
- СНГ
- Совет Безопасности
- СОРМ
- спам
- стандарты
- стартап
- статьи
- стратегия
- страхование
- СУБД
- США
- таможенный союз
- тенденции
- тендер
- терминальный доступ
- терминология
- транспорт
- троян
- угрозы
- управление инцидентами
- управление потоками
- УЭК
- уязвимости
- ФАИТ
- философия
- фишинг
- ФСБ
- ФСТЭК
- хакеры
- цена безопасности
- ЦОД
- ШОС
- экономика
- электронное правительство
- электронные платежи
- этика
- ЭЦП
- Юмор
- AI
- APT
- BYOD
- CERT
- CIP
- CISO
- cloud
- DLP
- DNS
- foresight
- GDPR
- IoT
- IPS
- ISACA
- ISO 27001
- M2M
- NBAD
- NGFW
- NIAC
- NIST
- open source
- PCI DSS
- resilience
- RFID
- RPA
- SCADA
- SDLC
- SDN
- SECaaS
- SIEM
- SOC
- Social Media
- Threat Intelligence
- UEBA
- Usability
- UTM
- VoIP
- Web
- Wi-Fi
- zero trust
Архив блога
-
▼
2009
(300)
-
▼
октября
(35)
- Автоматизация работы по персданным
- Продажа золота из запасов Гохрана не состоится из-...
- Стандарт ISO 29100
- ФАС опять на коне
- Cisco покупает ScanSafe
- История с ESET NOD32 продолжается
- И вновь о психологии
- Наказание за неисполнение ФЗ-152
- Сертификат ФСТЭК высшего класса К1
- Как РКН будет пасти своих овец
- Результат парламентских слушаний
- О парламентских слушаниях по ПДн
- Новая версия курса по модели угроз
- Новая версия курса по персональным данным
- Barracuda покупает Purewire
- Электронный бордель
- Прикольная реклама Cisco на тему русских хакеров
- Результаты посещения круглого стола по персданным
- Назначен день Х, когда начнут штрафовать за несоот...
- Соответствие классов ИСПДн и АС
- Новый приказ Минсвязи по безопасности
- Cisco и отечественные разработчики ИБ - 2
- Шаблоны документов по персданным
- ФСТЭК выложил документы по персданным в открытый д...
- Карикатура на меня ;-)
- Новый учебник по аутентификации
- Впечатления от InfoSecurity Russia 2009
- ФСТЭК начинает бороться с коррупцией в своих рядах
- ФСТЭК выпустил методические рекомендации по методи...
- AT&T покупает консалтинговый бизнес Verisign
- Cisco и отечественные разработчики ИБ
- Роскомнадзор запускает портал по ПДн
- Энциклопедия по ИБ по-русски
- Применение DLP с точки зрения российского и междун...
- Что думает ФСТЭК о своих документах по ПДн
-
▼
октября
(35)
Copyright ©
Бизнес без опасности | Powered by Blogger
19 коммент.:
Мне понравилось. И тема, и содержание, и свежий взгляд ... . Молодец!
Спасибо
Применение психологии в ИБ безусловно важно и нужно.
Однако некоторые вопросы подняты и оставлены без ответа
Сложные пароли и токены - это сложно и неудобно. Это призыв к тому чтоб вообще не применять пароли или свести их к самому популярному 1..5?
Хотя не Вам мне говорить, что ИБ и удобство вещи связанные в обратной пропорциональности.
Или скажем..
>На малых предприятиях (до 150 >сотрудников) формализация правил >информационной безопасности и >наказания за их невыполнение >является зачастую излишней и даже >неработающей практикой. >Достаточно просто несколько раз >сообщить всему коллективу о >нарушителях ИБ-распорядка
Так для того чтоб сказать коллективу о нарушителях ИБ-распорядка и нарушениях нужно сначала этот распорядок установить, т.е. правила формализовать.
А вот направления последнего абзаца действительно крайне важны.
А я не ставил перед собой задачу ответить на все вопросы в одной заметке. Наметить проблему? Да. Но не более.
Срочно открываю производство гламурных токенов !!! ;-)
Правильно. Я давно про это писал ;-)
>А я не ставил перед собой задачу >ответить на все вопросы в одной >заметке. Наметить проблему? Да. Но >не более.
А жаль. От таких признанных специалистов как Вы хотелось бы увидеть именно конкретное решение хоть некоторых поставленных вопросов.
Это не только касательно этой статьи, но и других тем.. Те же Пдн.
НАчало статьи почему-то настроило на продолжение "Россия, вперед!". Но чем дальше читал, тем интереснее становилось. Хорошая статья, заставляет действительно задуматься о главных приоритетах безопасности - работе с людьми. Ведь на самом деле практически любые технические меры могут быть обоснованно заменены на организационные, но без организационных мер любые технические меры бесполезны. Технические меры - это как раз "бизнес". ;-)
Еще 5 копеек - про ФСТЭК в точку попали - подход был "раз проблема поднята на таком уровне, надо отнестись со всей ответственностью". Раздули щеки не думая о последствиях. А когда поняли последствия, никто не захотел (или не смог) признать ошибки.
"У них нет карманов, куда токен можно положить. И в руке его не понесешь как телефон"
В большинстве организации доступ в помещения организуется с помощью карт с меткой, что мешает этим прелестным созданиям носить токен вместе с картой? )) Либо в организации использовать токены с RFID-меткой
>"У них нет карманов, куда токен >можно положить. И в руке его не >понесешь как телефон"
Ну это вообще тонкое знания.. хм.. строения.. женской одежды))
Проблема особенно актуальная для госучреждений.
Когда речь заходит об "информционной безопасности вообще" все (в т.ч. и руководство) единогласно за то, чтобы эту самую безопасность обеспечивать.
Но когда дело доходит до конкретных действий со стороны конкретных людей (не ИБшников и не ITшников) вот тут-то и начинается саоме интересное. Денег на обеспечение всех требований вышестоящего органа исполнительной власти нет. Приказы по введению организационных мер ИБ если и вводятся, то не исполняются. В этой ситуации ответственному за Иб (коим я у себя в оргинизации и являюсь) категорически сложно хоть как-то убедить руководство в необходимости этих мер.
И никакие запугивания грядущими проверками и федеральными законами тут не помогают. Всё руководство это как правило люди советской закалки с чугунными лбами.
А когда проверка всё-таки придёт крайним сделают ответственного за ИБ в конторе.
Личное моё мнение, что обучение по ИБ в госорганах надо начинать не с исполнителей, которые всё и так прекрасно знают а с руководства, чтобы оно имело хоть превильное представление о защите информации.
to Александр
замечено очень верно, то не соглашусь что
>Проблема особенно актуальная для >госучреждений
По моему актуальней именно для коммерческих организаций. Над руководством госучреждений хоть есть какие то верхние руководители.. министерств и т.п.
А в коммерческих гендиректора во главе всего.И над ними никого.
И кто его заставит обучаться? И зачем ему ИБ? Его волнует прибыль и все!
Ну вот тут не соглашусь я)))
Коммерческому руководству объяснить проще, что от его бездействия пострадает оно же само, причём финансово (обожаю пугать людей суммами возможных штрафов).
Руководству госконтор от этого ни холодно, ни жарко. В госорганизации даже легче найти виновного, его обычно назначают виновным прямо на месте.
Ещё более это усугубляется тем, что в госорганах в большинстве своём нет спецов по безопасности как таковых, соответственно некому правильно с точки зрения ИБ объяснить руководству все его (руководства) просчёты.
>to Александр Шелипов
А какие штрафы??
Позиция РСН по ПДн к примеру вот:
Позиция Службы заключается в том, что вводя для себя некоторое самоограничение, мы не будем применять крайних мер, установленных законом. Выявляя нарушения установленных законом требований, в первую очередь, мы будем применять меры профилактического характера, предлагая операторам в разумный срок устранить эти нарушения.
А сколько требуется затрат на приведение в соответствие систем ЗПДн? По разным оценкам не менее 1 млн. руб! И что выберет ваш директор?
Подождём 1 января и посмотрим какая будет реальная практика применения санкций по отношению к операторам.
Я всё-таки надеюсь что будут реальные штрафы, и причём не маленькие. Может хоть тогда к ИБ начнут относиться более вдумчиво и станут ценить специалистов.
насчет госучреждений верно, сам там работаю, так что Александр верно излагает.
С 1-го января штрафов больше не будет, если РКН не добьется внесения нового состава в 13.11. Сейчас суды избегают заниматься такими делами - мелочи это все. Сам РКН это признает.
Ну вот я и надеюсь, что это перестанет быть мелочами;)
Отправить комментарий