tag:blogger.com,1999:blog-4065770693499115314.post1437324881605057730..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: 6 аксиом безопасника или опять о реалиях нашей жизниАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger9125tag:blogger.com,1999:blog-4065770693499115314.post-67172598631572628672013-04-15T01:03:17.324+04:002013-04-15T01:03:17.324+04:00Поменяешь мировозрения, заходи ;-)Поменяешь мировозрения, заходи ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34081417745190398442013-04-12T15:39:52.232+04:002013-04-12T15:39:52.232+04:00Хм... таки все согласны? Прикольненько.Хм... таки все согласны? Прикольненько.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26607656109794352892013-04-12T11:42:28.195+04:002013-04-12T11:42:28.195+04:00Новая концепция бизнесориентированной ИБ
(всё на п...Новая концепция бизнесориентированной ИБ<br />(всё на полном серьезе)<br /><br />1. <br />Постулат: все будет взломано.<br />Тактика: что взломают - то закроем<br />Стратегия: скоро все "дешевые" (для взлома) дырки будут закрыты<br />Преимущества: на ИБ тратится столько сколько нужно<br />Недостатки: нет, т.к. см "постулат"<br /><br />2. <br />Постулат: НДВ в конце концов будет найдена.<br />Тактика: выпускать патчи, которые не меняя функциональности меняют структуру, язык и другие составляющие программы<br />Стратегия: вероятность нахождения уязвимости не повышается со временем, а все время в исходном состоянии<br />Преимущества: <br />- можно вообще не искать НДВ при выпуске программы и на этом экономить<br />- писать ПО заново проще, чем вносить изменения<br />- можно менять поставщиков решений, единожды определившись с функционалом <br />Недостатки: <br />- заказчику надо четко и ПОЛНО понимать функционал и задачи ПО<br />- программеру надо понимать функционал ПО и работать на него<br />- надо переходить на "модульное" программирование<br /><br />3.<br />Постулат: люди идут по наименьшему сопротивлению<br />Тактика: не давать человеку иных путей, кроме того, по которому он должен идти<br />Стратегия: не должно быть ни одной организационной меры<br />Преимущества: не надо тратиться на тотальный контроль, за неконтролируемым<br />Недостатки: надо разбираться в психологии и юзабилити<br /><br />4. <br />Постулат: люди нарушают запреты<br />Тактика: <br />- не запрещать<br />- поставить интересы людей выше бизнеса<br />Стратегия: сделать людей частью организации, с точки зрения их самоидентификации<br />Преимущества: самозащищающаяся система не требует внешних вложений<br />Недостатки: <br />- надо разбираться в психологии<br />- руководителям необходимо начать думать не как привыкли<br /><br />5.<br />Постулат: <br />- все уже придумано до нас<br />- изнутри замкнутой системы нельзя изменять внешнюю систему<br />Тактика: искать аналогии<br />Стратегия: не идти против законов природы<br />Преимущества: не тратить деньги на изобретение велосипеда<br />Недостатки: надо менять (!) мировоззрение<br /><br />6.<br />Постулат: <br />- изнутри замкнутой системы нельзя изменять внешнюю систему<br />- все противятся изменениям (рост энтропии ведет к смерти)<br />Тактика: не надо ничего менять, надо подстраиваться<br />Стратегия: адаптация дает жизнь, противление ведет к смерти<br />Преимущества: не надо тратить много сразу<br />Недостатки: надо адаптироваться к окружающим условиям<br /><br />7.<br />Постулат: <br />- люди имеют ограниченные возможности<br />- люди совершают ошибки при превышении их возможностей<br />Тактика: не грузить человека, что бы снизить количество ошибок<br />Стратегия: ошибки исправлять дороже, чем их не совершать<br />Преимущества: меньше ошибок - меньше денег на их исправление<br />Недостатки: надо менять (!) мировоззрение и адаптировать к реалиям жизни, бизнеса и т.п.ZZubrahttps://www.blogger.com/profile/17309887397636383099noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-63480045039982417402013-04-12T11:20:38.481+04:002013-04-12T11:20:38.481+04:00А например безопасность ПДн, о необходимости котор...А например безопасность ПДн, о необходимости которой так много говорили большевики последние годы :), для бизнеса зачастую вообще не нужна, даже мешает.<br /> Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17922732514635663962013-04-12T11:17:40.151+04:002013-04-12T11:17:40.151+04:00Sergey S. "Главная аксиома ИБ: стоимость защи...Sergey S. "Главная аксиома ИБ: стоимость защиты не должна превышать стоимость защищаемой информации."<br />Ошибаетесь, ибо присутствует абстрактное слово "должна". Кому должна?<br /><br />Вот Алексей последнее время постоянно об этом говорит так - стоимость защиты для бизнеса! не должна превышать стоимость ущерба бизнесу от нарушений свойств безопасности защищаемой информации.<br />Как-то так.<br />Евгенийhttps://www.blogger.com/profile/02773605232583360031noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-26334111156137364932013-04-12T10:04:39.911+04:002013-04-12T10:04:39.911+04:00..Dmitry Shponkohttps://www.blogger.com/profile/05504548753296894924noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19501236471913068642013-04-12T10:03:15.155+04:002013-04-12T10:03:15.155+04:00по п.1 есть хороший анекдот, сказанное можно смело...по п.1 есть хороший анекдот, сказанное можно смело отнести и к ИБ :<br />Устроился мужик на работу в пожарную часть. Через месяц встречает друга, тот спрашивает:<br />- Как в "пожарке" работается?<br />- Ты знаешь, неплохо. Зарплата приличная, платят вовремя, паёк, обмундирование.. Опять же, коллектив хороший, в шашки играем.. в домино.. пиво пьём... НО БЛИН, КАК ПОЖАР, ХОТЬ УВОЛЬНЯЙСЯ!!!Dmitry Shponkohttps://www.blogger.com/profile/05504548753296894924noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25018547460897719752013-04-12T08:37:30.965+04:002013-04-12T08:37:30.965+04:00"Преувеличение значимости информационной безо..."Преувеличение значимости информационной безопасности" Согласен со статьей:) Это взгляд реалиста на сферу ИБ. <br />Все направление ИБ это на 100% творческая профессия, как в предвидении угроз, оценке % реализации, ущерба и тп. так и в выбивании из руководства денег на ИБ. Во многих случаях от руководителей бюджетных организаций пройдется слышать "а где это прописано, а на каком основании, можно ли как то это обойти без затрат, тыкните мне пальцем в документ где это прописано и т.д."при том что во многих вопросах регуляторы не способны прописать все дословно это просто невозможно... Да и штрафы 3 копейки в сфере защиты ПДн.<br />В коммерческой сфере эта информация стоит деньги и там намного проще обосновать затраты.<br />Вобщемто у нас в стране, как и во всех сферах "авось повезет", а если не повезет, то знаем кого обвинить:) <br />Anonymoushttps://www.blogger.com/profile/03824410565769916969noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37054683269423526762013-04-12T07:29:49.427+04:002013-04-12T07:29:49.427+04:00Алексей, позвольте немного перефразировать предпос...Алексей, позвольте немного перефразировать предпоследний абзац.<br />Главная аксиома ИБ: стоимость защиты не должна превышать стоимость защищаемой информации. И уже исходя из этого должны приниматься разумные и достаточные меры по защите.Anonymoushttps://www.blogger.com/profile/15134639108621913919noreply@blogger.com