Comments 14
Собственно статья очень правильный акцент ставит на том, что очень часто, вместо обеспечения информационной безопасности, инфо безопасники в компаниях занимаются прожиганием денег, действуя согласно культу карго. Они блокируют usb, не потому что на компьютерах сотрудников есть ценная инфа, а чтобы показать — могём! И в сбертехе так делают, мы следуем лучшим практикам. А потом выясняется, что самое ценное хранилось в личном облаке руководителя отдела, с паролем почты, на мэйл ру. И дело не в том, что облака запретить нужно, нужно запрещать чувствительную к утечке информацию туда сохранять.
UFO just landed and posted this here
Согласен с reskator, нужно исходить из модели угроз и потребностей бизнеса. Если объективной необходимости использования съемных носителей не было, тогда, конечно, можно блокировать. А если была, тогда пляшем от модели угроз. Если мы защищаемся от «общего вредоносного фона», то достаточно установить антивирус и выполнить рекомендации по базовой защите рабочего места (права доступа, бэкапы, патчменеджмент и т.д.). Если мы видим себя мишенью APT с недетектируемой малварью, это уже другая песня с выделенными рабочими местами для работы с флешками, проверкой целостности и прочими прелестями.
Но всё это предполагает деятельность мыслительную. А вот тупое следование инструкциям — просто деятельность (и её имитацию). Второй путь, разумеется, проще. Особенно для тех «безопасников», которые после муштры силовых структур пришли доживать свой век в корпорации.
Но всё это предполагает деятельность мыслительную. А вот тупое следование инструкциям — просто деятельность (и её имитацию). Второй путь, разумеется, проще. Особенно для тех «безопасников», которые после муштры силовых структур пришли доживать свой век в корпорации.
UFO just landed and posted this here
это сложно объяснить клиентам и партнёрам
Тут согласен. И хотя я также скептически отношусь к продаже мнений «экспертов» в виде красивых сертификатов в качестве подтверждений чего бы то ни было, в части ИБ альтернатив не так чтобы много. Участие в багбаунти и конференциях, да, пожалуй, и всё, что можно сходу вспомнить. Нам всем как безопасникам сто́ит крепко подумать в этом направлении.
всегда можно ошибиться и что-то не учесть
А вот тут не соглашусь. Не в том смысле, что нет места ошибкам, конечно. А в том, что инструкции и регламенты от этого не защитят. Они нужны, когда деятельность лишена творческой составляющей. Там люди вынуждены действовать, как роботы, «на автомате». И чтобы они не отвлекались на мыслительную деятельность, для них составлены инструкции, и реализован контроль их исполнения. Такая деятельность, я очень надеюсь, рано или поздно будет автоматизирована. Но ИБ при всей «техноёмкости» всё-таки находится в контексте человеческих отношений, а значит предполагает творческую и интеллектуальную составляющую в работе. Бумажки не могут отразить всё многообразие и динамичность этой сферы, а ошибки скорее будут спокойно жить в формально соответствующей всем требованиям среде, чем там, где люди вынуждены постоянно думать о текущем состоянии инфраструктуры, рисках и угрозах.
Все это есть в iso:20000 для ИТ и для IS iso:27001, если в статье под активами подразумевается понятие процесс то да, необходимо чтобы каждый департамент ответил вопрос: Какую услугу мы предоставляем? и раздробить на информационные системы которые поддерживает эту услугу, держать список активов в инвентаре и делать риск анализ, принять соглашение между бизнесом и ИТ SLA.
Какого рода данные у каких производителей
Это что вообще значит?
Осмелюсь предположить, что речь идёт о различных типах сервисов, будь то VPN или почта или что-то бизнесовое.
Да нет, скорее всего, речь идёт о вендорах, просто так совсем неправильно переводить, IMHO
P.S. Хотя, возможно, речь о генераторах или источниках (данных), но, в любом случае, слово «производитель» без пояснений здесь совсем неумесно
P.S. Хотя, возможно, речь о генераторах или источниках (данных), но, в любом случае, слово «производитель» без пояснений здесь совсем неумесно
Речь, как Вы можете убедиться, взглянув на оригинал, конечно, идёт о вендорах. Мне тоже эта фраза не очень понравилась, но ничего лучше и понятнее придумать не получилось. Подскажите, как Вы её видите?
Вендор или разработчик
Вот вопросы из оригинала и более-менее адекватный перевод (к сожалению, в английском можно в двух словах выразить мысль очень общего плана, что в русском сделать гораздо сложнее):
How many vendors do you have?
Сколько у вас поставщиков (оборудования, ПО, программных продуктов и решений, программно-аппаратных комплексов и решений, в общем, в самом широком смысле)?
Which vendors have what kind of your data?
Какие вендоры владеют какого рода вашими данными? (как в смысле того, что у вендора как субъекта непосредственно есть ваши данные, так и в том смысле, оборудованием и/или ПО какого вендора контролируются те или иные ваши данные)
How many vendors do you have?
Сколько у вас поставщиков (оборудования, ПО, программных продуктов и решений, программно-аппаратных комплексов и решений, в общем, в самом широком смысле)?
Which vendors have what kind of your data?
Какие вендоры владеют какого рода вашими данными? (как в смысле того, что у вендора как субъекта непосредственно есть ваши данные, так и в том смысле, оборудованием и/или ПО какого вендора контролируются те или иные ваши данные)
Я всё же думаю, что автор имел ввиду зоопарк программного обеспечения, которое обрабатывает различные данные и разнообразие самих данных. Ведь это не менее важно, при выстраивании процессов безопасности.
По-большому счёту я согласен с вами, речь о понимании типов данных из различных источников (вендоров), но это же четвертый пункт «Сколько производителей у вас?», а дальше «Какого рода данные у каких производителей?», это уже дальнейшее дробление, т.к. данные могут быть как бизнеса, так и безопасности или чего-то другого. На мой взгляд, бессмысленно строить «ИБ» в отдалении от бизнеса.
К сожалению промахнулся и ответил не тому. Я согласен с maxzhurkin. :)
По-большому счёту я согласен с вами, речь о понимании типов данных из различных источников (вендоров), но это же четвертый пункт «Сколько производителей у вас?», а дальше «Какого рода данные у каких производителей?», это уже дальнейшее дробление, т.к. данные могут быть как бизнеса, так и безопасности или чего-то другого. На мой взгляд, бессмысленно строить «ИБ» в отдалении от бизнеса.
К сожалению промахнулся и ответил не тому. Я согласен с maxzhurkin. :)
Sign up to leave a comment.
Если вы не занимаетесь управлением активами, у вас нет информационной безопасности