Предыстория... Наткнулся на Озоне на книжку "Экономика защиты информации" некоего Шепитько Г.Е.
Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ должны прочесть, и про возможность общаться с бизнесом после прочтения книжки, и про многое другое. Потом, правда, я обнаружил, что все рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое.
Начал читать. Вообще автор местами просто удивлял. Начиная от предложения использовать методы страхования информационных рисков, опираясь на статистику, которой в нашей сфере просто нет. А как вам практическое задание по теме экономики защиты информации: "Период работы гражданина до пенсии составляет 40 лет, возраст его дожится после пенсии - 20 лет, причем размер пенсии не превышает 50% от его средней зарплаты. Сколько процентов от зарплаты он должен накапливать на банковском счету, чтобы получать 50% надбавку к пенсии при таком способе самофинансирования пенсии?" И причем тут защита информации спрашивается?
Раздел оценки информационных ресурсов тоже требует отдельного упоминания. Автор не знаком с методикой оценки нематериальных активов, утвержденных постановлением Правительства. Поэтому он предлагает свои вариант. Один из них просто донельзя - стоимость информационного ресурса равна стоимости лицензии на покупаемый продукт, который и называется информационным ресурсом. Дальше автор приводит свой метод расчета стоимости уникальной разработки и делает вывод, что такая стоимость не превышает единиц процентов от стоимости фонда заработной платы. Кстати, про стоимость самой информации, а не ПО автор вообще не пишет ни слова. Дальше больше. Автор дает методику расчета ущерба от инцидентов. Выводы следующие - стоимость прямого и косвенного ущерба соизмеримы, а стоимость потенциального ущерба на порядок меньше. Вот так - ни больше ни меньше. И плевать, что на практике размер прямого ущерба от утечки информации составляет копейки по сравнению с косвенным ущербом от ухода клиентов, размера исков, удара по репутации и т.д. Вообще автор под инцидентом, похоже, понимает только выведение из строя какого-либо узла сети в результате чего сотрудники простаивают и не работают.
Потом автор начинает вычислять интенсивность инцидентов. Ну тут я вновь умолкаю. "Теорема 2. При воздействии пуассоновского потока инцидентов внутренних преднамеренных нарушителей с переменным ресурсом поведения автономной линейной системы защиты первого порядка с переменными параметрами описывается вторым уравнением безопасности вида <две строки непонятных мне букв греческого и латинского алфавитов, цифр, знаков препинания и еще чего-то>". Дальше две практических задачки. Первая - "Системный администратор вуза получает ежемесячно 15 тысяч рублей. Чему равен его вклад в годовую чистую прибыль такого учреждения по оказанию образовательных услуг?". Вторая - "Оператор ввода информации на ПК стоимостью 10 тысяч рублей получает такую же месячную зарплату. Какова стоимость нового информационного ресурса созданного им в течение месяца?".
Третий раздел труда Шепитько Г.Е. посвящен категорированию объектов информатизации. Зачем-то он полез в тему персданных. Мало того, что он вводит новый гриф "персонально" и перевирает ФЗ-152, т.к. он еще накрутил там столько формул. Я, например, узнал, что то, что в "приказе трех" по классификации определялось как 3 значения объема ПДн (до 1000, от 1000 до 100000, и больше 100000 субъектов), на самом деле является "логарифмической интервальной шкалой измерений количества субъектов персональных данных". И если в обычной жизни я просто беру одно из трех значений данного показателя, то автор даже предлагает особую формулу для расчета этого значения (результаты, правда, получаются те же). А еще я не вкурил, зачем нужно рассчитывать зависимость значения категории объема ПДн Xнпд от их объема Vнпд по формуле Xнпд=3,5 - 0,217 * lnVнпд.
Потом идет много-много формул и таблиц расчета нелинейных скалярных показателей категорирования степени защиты ПДн. Я так и не вкурил. Видимо моего диплома прикладного математика не хватает для оценки глубины исследования. Но вывод, сделанный автором, меня зацепил. Оказывается, причин слабости защиты ПДн (выведено на основе формул) всего 4:
В разделе про оценку рисков и эффективности системы защиты я узнал, что для оценки эффективности защиты недостаточно знания только экономического риска. Необходимо принять во внимание дополнительную "социальную нагрузку" на нее со стороны общества для одобрения им уровня допустимого риска в соответствии с ФЗ "О техническом регулировании". Также я узнал, что интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.
Дальше автор, попутно опустив Эйнштейна и назвав его "известный из газет А.Эйнштейн", утверждает, что вероятности ущерба от последствий инцидентов ИБ описываются логарифмически нормальным распределением. И на этом сей опус завершается. Из заданий этого раздела: "Оцените стоимость базы паспортных данных предпринимателей московского региона, если их количество не превышает 1 миллиона человек".
Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ должны прочесть, и про возможность общаться с бизнесом после прочтения книжки, и про многое другое. Потом, правда, я обнаружил, что все рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое.
Начал читать. Вообще автор местами просто удивлял. Начиная от предложения использовать методы страхования информационных рисков, опираясь на статистику, которой в нашей сфере просто нет. А как вам практическое задание по теме экономики защиты информации: "Период работы гражданина до пенсии составляет 40 лет, возраст его дожится после пенсии - 20 лет, причем размер пенсии не превышает 50% от его средней зарплаты. Сколько процентов от зарплаты он должен накапливать на банковском счету, чтобы получать 50% надбавку к пенсии при таком способе самофинансирования пенсии?" И причем тут защита информации спрашивается?
Раздел оценки информационных ресурсов тоже требует отдельного упоминания. Автор не знаком с методикой оценки нематериальных активов, утвержденных постановлением Правительства. Поэтому он предлагает свои вариант. Один из них просто донельзя - стоимость информационного ресурса равна стоимости лицензии на покупаемый продукт, который и называется информационным ресурсом. Дальше автор приводит свой метод расчета стоимости уникальной разработки и делает вывод, что такая стоимость не превышает единиц процентов от стоимости фонда заработной платы. Кстати, про стоимость самой информации, а не ПО автор вообще не пишет ни слова. Дальше больше. Автор дает методику расчета ущерба от инцидентов. Выводы следующие - стоимость прямого и косвенного ущерба соизмеримы, а стоимость потенциального ущерба на порядок меньше. Вот так - ни больше ни меньше. И плевать, что на практике размер прямого ущерба от утечки информации составляет копейки по сравнению с косвенным ущербом от ухода клиентов, размера исков, удара по репутации и т.д. Вообще автор под инцидентом, похоже, понимает только выведение из строя какого-либо узла сети в результате чего сотрудники простаивают и не работают.
Потом автор начинает вычислять интенсивность инцидентов. Ну тут я вновь умолкаю. "Теорема 2. При воздействии пуассоновского потока инцидентов внутренних преднамеренных нарушителей с переменным ресурсом поведения автономной линейной системы защиты первого порядка с переменными параметрами описывается вторым уравнением безопасности вида <две строки непонятных мне букв греческого и латинского алфавитов, цифр, знаков препинания и еще чего-то>". Дальше две практических задачки. Первая - "Системный администратор вуза получает ежемесячно 15 тысяч рублей. Чему равен его вклад в годовую чистую прибыль такого учреждения по оказанию образовательных услуг?". Вторая - "Оператор ввода информации на ПК стоимостью 10 тысяч рублей получает такую же месячную зарплату. Какова стоимость нового информационного ресурса созданного им в течение месяца?".
Третий раздел труда Шепитько Г.Е. посвящен категорированию объектов информатизации. Зачем-то он полез в тему персданных. Мало того, что он вводит новый гриф "персонально" и перевирает ФЗ-152, т.к. он еще накрутил там столько формул. Я, например, узнал, что то, что в "приказе трех" по классификации определялось как 3 значения объема ПДн (до 1000, от 1000 до 100000, и больше 100000 субъектов), на самом деле является "логарифмической интервальной шкалой измерений количества субъектов персональных данных". И если в обычной жизни я просто беру одно из трех значений данного показателя, то автор даже предлагает особую формулу для расчета этого значения (результаты, правда, получаются те же). А еще я не вкурил, зачем нужно рассчитывать зависимость значения категории объема ПДн Xнпд от их объема Vнпд по формуле Xнпд=3,5 - 0,217 * lnVнпд.
Потом идет много-много формул и таблиц расчета нелинейных скалярных показателей категорирования степени защиты ПДн. Я так и не вкурил. Видимо моего диплома прикладного математика не хватает для оценки глубины исследования. Но вывод, сделанный автором, меня зацепил. Оказывается, причин слабости защиты ПДн (выведено на основе формул) всего 4:
- слишком большой перечень лиц, допущенных ко всем записям базы ПДн
- низкая заработная плата допущенных лиц
- большая доля устаревшего оборудования с малой остаточной стоимостью
- отказы устаревшей техники и отсутствие резервирования.
В разделе про оценку рисков и эффективности системы защиты я узнал, что для оценки эффективности защиты недостаточно знания только экономического риска. Необходимо принять во внимание дополнительную "социальную нагрузку" на нее со стороны общества для одобрения им уровня допустимого риска в соответствии с ФЗ "О техническом регулировании". Также я узнал, что интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.
Дальше автор, попутно опустив Эйнштейна и назвав его "известный из газет А.Эйнштейн", утверждает, что вероятности ущерба от последствий инцидентов ИБ описываются логарифмически нормальным распределением. И на этом сей опус завершается. Из заданий этого раздела: "Оцените стоимость базы паспортных данных предпринимателей московского региона, если их количество не превышает 1 миллиона человек".
Потом обратил внимание на то, что на каждой странице от руки написан экземпляр книги. Вдумайтесь только. На каждой странице и от руки.
Я решил было посмотреть выходные данные, ан нет. Нет их. Тираж определить невозможно. Мне сразу подумалось, что речь идет о печати под заказ. Заказали книжку - напечатали; не заказали - не напечатали. Ну а как еще объяснить от руки подписанные номера экземпляров? Дальше больше. На первой странице предупреждение о контроле каждого экземпляра и ссылка на отмененный закон об авторских правах.
Но и это не все. В книгу был вложен вот такой листочек! Я его даже не буду комментировать - просто читайте и ужасайтесь.
ЗЫ. Не рассматривайте заметку, как рекламу книги!
ЗЗЫ. И ведь не первое апреля вроде. Но ржал наш офис, когда я читал выдержки, в течение пары часов. Массу удовольствия доставило это чтиво.
ЗЗЗЫ. Данное пособие планируется к включению в государственный образовательный стандарт третьего поколения. Мне жаль студентов, которые будут учиться по этой х..не.
ЗЗЗЗЫ. На форзаце висит гриф "Для внутреннего пользования". Хорошо что не для наружного применения.
ЗЗЗЗЗЫ. Книга посвящена светлой памяти резидента русской разведки Полежаева А.П., награжденного "За выдающийся вклад в информатизацию мирового сообщества". Билл Гейтс или Стив Джоббс отдыхают.
Я решил было посмотреть выходные данные, ан нет. Нет их. Тираж определить невозможно. Мне сразу подумалось, что речь идет о печати под заказ. Заказали книжку - напечатали; не заказали - не напечатали. Ну а как еще объяснить от руки подписанные номера экземпляров? Дальше больше. На первой странице предупреждение о контроле каждого экземпляра и ссылка на отмененный закон об авторских правах.
Но и это не все. В книгу был вложен вот такой листочек! Я его даже не буду комментировать - просто читайте и ужасайтесь.
ЗЫ. Не рассматривайте заметку, как рекламу книги!
ЗЗЫ. И ведь не первое апреля вроде. Но ржал наш офис, когда я читал выдержки, в течение пары часов. Массу удовольствия доставило это чтиво.
ЗЗЗЫ. Данное пособие планируется к включению в государственный образовательный стандарт третьего поколения. Мне жаль студентов, которые будут учиться по этой х..не.
ЗЗЗЗЫ. На форзаце висит гриф "Для внутреннего пользования". Хорошо что не для наружного применения.
ЗЗЗЗЗЫ. Книга посвящена светлой памяти резидента русской разведки Полежаева А.П., награжденного "За выдающийся вклад в информатизацию мирового сообщества". Билл Гейтс или Стив Джоббс отдыхают.
Вопрос только один: Под какими грибами находился автор сея опуса, когда его писал??? Если ЭТО и вправду будет включено в программу образования... о_О Сразу вспоминаются студенческие годы и мой первый курс - была у нас такая дисциплина - "Концептуальные основы информатики" - содержание весьма напоминает положения данной книги...))
ОтветитьУдалитьХорошая книга, чего Вы? Вон как настроение поднимает. Автор неадекватный оптимист - 50% одни чего стоят ))
ОтветитьУдалитьПока читал находил каждой новой цитате хоть какие-то объяснения, но на последнем "Соглашении о соблюдении авторского права" сдался...
ОтветитьУдалитьМне что-то подсказывает что такие творения - это результат чьего-то желания защитить докторскую, для которой нужны публикации. Писали, возможно, вообще сторонние люди.
А можете дать ссылку или номер/дату Методики оценки нематериальных активов, утвержденной постановлением Правительства?
Алексей Лукацкий, ну Вы уже поняли, что попали на не хилые бабки? :)
ОтветитьУдалитьБред конечно, но есть и другое мнение, доктора наук например, читайте комментарий к сему труду http://www.ozon.ru/context/detail/id/6282814/
ОтветитьУдалитьЕще
ОтветитьУдалитьhttp://www.ozon.ru/context/detail/id/2481349/ отзывы положительные )))
http://www.ozon.ru/context/detail/id/2483622/
МФЮА д.т.н., профессор
ОтветитьУдалитьhttp://ukbibirevo.narod.ru/prepodavatelivuz.htm
Да, отзывов таких на Озоне можно нагенерить... Лишь бы купили. А вот про постановление правительства об оценке НМА - хороший кстати вопрос. Алексей, ты какой документ имеешь в виду? Если ПП-767, то оно с 2008 г. не действительно, вместе с ФСО. Минэконом, насколько мне известно, методику оценки НМА не разработало.
ОтветитьУдалитьАлексей, работа в подразделение сорвана :) бизнес теперь в опасности.
ОтветитьУдалитьЭто из серии "no comment...", однозначно.
Из последних строк, как юриста по второму образованию, не могло не зацепить:
"... к нарушителю будут приняты правовые и другие меры воздействия"
Иными словами, " ПлакалЪ"
Ну что вы набросились на автора :) Решил товарисчЪ остепениться, вряд ли кто из членов ученого совета сможет понять, что там наваял автор. Непонятное = новое = степень.
ОтветитьУдалитьА интересно, можно ли этот 58-й экземпляр сдать обратно аффтору и получить moneyback.
ОтветитьУдалитьАвтор явно подошел к написанию книги творческий.
ОтветитьУдалитьКстати, болшинство комментариев к продуктам оставляют фрилансеры, которые на это зарабатывают (сам этим одно время занимался).
ОтветитьУдалить>>Если ЭТО и вправду будет включено в программу образования
ОтветитьУдалитьНичего удивительно. Братья фурсенки планомерно разваливают каждый свою область деятельности (
я в восхищении )
ОтветитьУдалить>>интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.
"Учебное пособие представляет собой обобщение многолетних результатов научно-исследовательской, учебно-методической и практической деятельности автора и предназначено для продвинутых студентов старших курсов, аспирантов и преподавателей, ищущих новые подходы в области обеспечения информационной безопасности объектов."
ОтветитьУдалитьА кто сказал что НОВЫЕ подходы должны быть правильными :)
Автор - Выбегалло А.А.?
ОтветитьУдалитьНе думаю, что это включат в программу образования - понадобится больше 50 экземпляров, у автора рука отвалится подписывать... К тому же студенты любят делать копии, попирая авторское право, а это недопустимо >_<
Автор уже д.т.н., профессор и член-корреспондент РАЕН. Так что степениться ему некуда. Только если в ествественные академики
ОтветитьУдалитьИз разряда "и смех, и грех". Автор хочет применить свои "знания" в области экономике к области, видимо чуждой для него. А как он заботится об авторском праве))
ОтветитьУдалитьвсё-таки талант не пропьёшь.
ОтветитьУдалитьмы мучаемся с идеями первоапрельских публикаций, а у человека цельный печатный труд...
Наш герой-то ещё и футуролог http://www.maib.ru/about/news/2010/06/10/news_197.html и фотошоп ему идёт. Многогранная личность!
ОтветитьУдалитьЯ фигею, дорогая редакция. Такой труд такого гуру станет бриллиантом моей библиотеки.
ОтветитьУдалитьКак он в 2010-м году стал полицейским?
ОтветитьУдалитьНе смог удержаться: http://forum.starominskaja.ru/showthread.php?t=515
ОтветитьУдалитьhttp://dailyold.sec.ru/dailypblshow.cfm?rid=17&pid=16144&pos=4&stp=50&cd=1&cm=4&cy=2011 нижний комментарий...
Так Никитин или Шепитько?
Г.Е. или Сергей Николаевич?
Однозначно няшка!
Моего высшего математического наверно тоже не хватит :)
ОтветитьУдалитьШедеРВ !
Алексей, тогда еще одну книгу в свою коллекцию срочно покупайте: http://www.chaconne.ru/viewitem.php?id=2430193&ref=fb
ОтветитьУдалить("Защита конфиденциальной информации в акционерных обществах"). Было бы интересно услышать и на неё вашу рецензию.