Ну для начала им в сетку доступ надо будет получить, если не физический, то еще и прокидывать машину туда. Это атаки направлены на развитие, а не на непосредственное проникновение.
shop.camelbak.com/Military-Tactical/urban-transport/d/50141_c_3370_cl_2625 — только черного цвета.
В отделении для ноутбука собственно ноут — Zenbook UX32VD и некоторые бумаги в папке, в основном отделении в сетке — мышь, зарядка и патчкорд. В основном отделении иногда свитер, обед, что-нибудь еще. когда нужно что-то перевезти с собой.
В переднем кармане-органайзере — пара ручек, кошелек, блокнот, переходник для ноута (USB-LAN) в кармане с замком — автодокументы, паспорт, военник и тд.
хожу так около года и целиком всем доволен, кроме цвета — черный очень маркий.
У меня забирали кабель питания от монитора (почему-то), прятали клавиатуру и мышь, когда не было компа но была приставка (денди), просто забирали саму приставку, благо она была небольшая и лёгкая :-)
Не всегда, зависит от модели банкомата. Более-менее новые у федеральных крупных банков делают именно так. Старые винкоры у местных регионалов — не пускают без пина никуда.
Ну вот у нас в конторе совмещенный отдел экономической и информационной безопасности и подчиняемся напрямую директору.
Конечно, если аспектов много, то зам. по безопасности должен быть, но опять же, 99,99% что это будет бывший полицейский/фсбшник/военный и проблемы описанные в разделе ИБ, как часть СБ — останутся.
На тот момент не опытен был, недавно только диплом получил и был еще слабо знаком с реалиями. Тем более что как раз таки собрал совещание на этапе согласования, еще не так болезненно и долго сделать изменения.
Сейчас да, сначала долго общаюсь с руководством организации, ком блоком, ит-отделом, потом потихоньку начинаю предлагать, писать и тд
Спасибо за столь развернутый комментарий.
Про подчинение — это понятно и ясно нам с вами, понятно по логике и best practice. К сожалению, пока ИБ остаётся модной фишкой, её будут задвигать.
А про общение с руководством, это практически пример из жизни. В идеале, конечно, это отдел, состоящий из руководителя — ИБ-манагера, и нескольких довольно узких спецов. И тут если у манагера язык подвешен (а иначе он и не манагер вовсе) и связи налажены, то работа будет идти, как по маслу.
Про аналогии, я тоже люблю их использовать, к примеру в ликбезах для юзеров, свойства информации я приравниваю к банковскому счёту, а пароли — к нижнему белью :-)
Про начальство расскажу один случай из моей практики: работал я в одной группе компаний, как раз-таки начальником у меня был начальник СБ, бывший полицейский. Я долгое время клепал СУИБ, писал документы, всё это в плотной связке с начальником, потому как он тоже был заинтересован в хороших показателях работы. Подошёл момент, когда основные документы пошли на согласование наверх, мы собрали верхушку конторы, дабы я всё в деталях разжевал что и как, для чего и тд. И в самом начале мой начальник изрек: а я вообще не понимаю, нафига нам эта система управления нужна. После этих слов у меня просто всё упало.
Если взять безопасность персданных, то там есть только либо ответственный сотрудник либо отдел. О подчиненности ни слова.
Вообще с отраслевыми стандартами у нас всё гораздо лучше, чем в целом по больнице, но сколько отраслевиков на общем рынке ИБ?
Про «военное» руководство проблема усугубляется некими стереотипами, типа ну раз в компьютерах шарит, значит задрот, значит можно подкалывать и он ничего не сделает.
У вас ужасная каша в голове, от этого идёт подмена понятий. Почитайте, что такое SLA, Business Continuity, Risk Management и тд.
Как правило в SLA указывается, что датацентр делает, если не может выдержать сроки по каким-либо причинам. И ваш пример с таксопарком еще более некорректен, ведь если вы арендуете сервер у датацентра и он внезапно отрубился, они не включат еще один с вашей информацией, а будут либо бекапы восстанавливать, либо старый поднимать. Тут совершенно разные процессы.
Хорошо, такой пример: вы страхуете своё здание, с таким расчётом, что в случае пожара/наводнения/обрушения, получите компенсацию, покрывающую расходы на поиск/аренду нового и упущенную прибыль за вынужденный простой. Это более правильно?
попробую еще раз и на пальцах: при передаче серверов в дата-центр вы, фактически, передаете обязанность по снижению риска отказа питания (к примеру) на датацентр. С момента передачи, датацентр обязуется обеспечить бесперебойное питание с заданным уровнем. Снижение риска, это если бы мы закупали упсы, генераторы и подводили вторую линию электропитания.
Это уже вопрос SLA с датацентром. Фактически датацентр дает гарантию, что сервер будет доступен 99,9% времени, указывают максимальное время восстановления питания и связи. И данный пример самый удачный как раз, потому как именно для передачи риска отказа связи и питания многие компании передают сервера датацентрам. Советую почитать про управление рисками и непрерывностью
Почему неудачный пример? Как раз-таки самый распространенный. Ведь проще заплатить кому-то, кто обязуется 24/7 поддерживать физически ваши сервера, чем самому городить отказоустойчивость.
В отделении для ноутбука собственно ноут — Zenbook UX32VD и некоторые бумаги в папке, в основном отделении в сетке — мышь, зарядка и патчкорд. В основном отделении иногда свитер, обед, что-нибудь еще. когда нужно что-то перевезти с собой.
В переднем кармане-органайзере — пара ручек, кошелек, блокнот, переходник для ноута (USB-LAN) в кармане с замком — автодокументы, паспорт, военник и тд.
хожу так около года и целиком всем доволен, кроме цвета — черный очень маркий.
Небольшой вопрос — вы ранжируете инциденты только по 2-м уровням или это просто для примера?
Жду следующих выпусков!
Конечно, если аспектов много, то зам. по безопасности должен быть, но опять же, 99,99% что это будет бывший полицейский/фсбшник/военный и проблемы описанные в разделе ИБ, как часть СБ — останутся.
Сейчас да, сначала долго общаюсь с руководством организации, ком блоком, ит-отделом, потом потихоньку начинаю предлагать, писать и тд
Про подчинение — это понятно и ясно нам с вами, понятно по логике и best practice. К сожалению, пока ИБ остаётся модной фишкой, её будут задвигать.
А про общение с руководством, это практически пример из жизни. В идеале, конечно, это отдел, состоящий из руководителя — ИБ-манагера, и нескольких довольно узких спецов. И тут если у манагера язык подвешен (а иначе он и не манагер вовсе) и связи налажены, то работа будет идти, как по маслу.
Про аналогии, я тоже люблю их использовать, к примеру в ликбезах для юзеров, свойства информации я приравниваю к банковскому счёту, а пароли — к нижнему белью :-)
Про начальство расскажу один случай из моей практики: работал я в одной группе компаний, как раз-таки начальником у меня был начальник СБ, бывший полицейский. Я долгое время клепал СУИБ, писал документы, всё это в плотной связке с начальником, потому как он тоже был заинтересован в хороших показателях работы. Подошёл момент, когда основные документы пошли на согласование наверх, мы собрали верхушку конторы, дабы я всё в деталях разжевал что и как, для чего и тд. И в самом начале мой начальник изрек: а я вообще не понимаю, нафига нам эта система управления нужна. После этих слов у меня просто всё упало.
Вообще с отраслевыми стандартами у нас всё гораздо лучше, чем в целом по больнице, но сколько отраслевиков на общем рынке ИБ?
Про «военное» руководство проблема усугубляется некими стереотипами, типа ну раз в компьютерах шарит, значит задрот, значит можно подкалывать и он ничего не сделает.
Как правило в SLA указывается, что датацентр делает, если не может выдержать сроки по каким-либо причинам. И ваш пример с таксопарком еще более некорректен, ведь если вы арендуете сервер у датацентра и он внезапно отрубился, они не включат еще один с вашей информацией, а будут либо бекапы восстанавливать, либо старый поднимать. Тут совершенно разные процессы.
Хорошо, такой пример: вы страхуете своё здание, с таким расчётом, что в случае пожара/наводнения/обрушения, получите компенсацию, покрывающую расходы на поиск/аренду нового и упущенную прибыль за вынужденный простой. Это более правильно?