Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.
Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны — на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking — во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.
Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам — не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.
К чему я, собственно, это написал? Просто близится курс «ИБ и теория организации», который я читаю в ИБД АРБ, и я активно готовлюсь к нему 😉
ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса — очно (7500 руб.) и онлайн (5000 руб).
О, это хорошая тема — наконец-то до нее кто-то добрался. До сих пор ни у кого не хватало ума даже ввести поправку на тип структуры управления (это где две линейных и три или четырые дивизионных), а ты сразу так глубоко. Но, может, излишне глубоко, а? Может, к черту теоретическое многообразие, а рассматривать варианты реализации, которые все-же сводятся к нескольким понятным моделькам — так оно и людям удобнее.
Блин, ты же об этом и говоришь. Я, значит, спросонья невнимательно прочитал — как увидел словосочетание «теория организации», так сразу камент строчить.
Коснувшись большинства факторов, влияющих на организацию и состояние ИБ, Автор не указал два главных — профессиональный и человеческий. Удивительного в этом ничего нет, ибо тема очень непростая. Но любые методики и схемы летят к чёртовой матери, когда «рулить» ИБ дают людям без оной подготовки или просто бездарям. Собственно, в данном случае ИБ — лишь частное проявление общей картины…
Есть мнение, что не существует никакого разнообразия условий, уровней зрелости, отраслевой специфики и т.д. Существует лишь разнообразие руководящих кадров — каждый со своей собственной «школой жизни».
Вот когда к руководству ИБ придут кадры, обучавшиеся в молодости по единым программам — вмиг всю «специфику» как рукой снимет.
Ригелю: Ну, учитывая, что курс не большой — меньше полного дня, то глубоко и не получится влезать.
Olgert’у: Автор это учел 😉 В разделе про руководителей будет идти речь не только о тех, с кем приходится общаться, но и о тех, кто будет общаться 😉
infowatch’у: Специфику снимет ПОД CISO, а не НАД! Вот когда ИБ начнут на MBA/EMBA преподавать по более менее адекватным программам и в ВУЗах начнут учить не неприменимой на практике теории криптографии, а бизнесу, то тогда специфики почти не будет. Только вот всех «под горшок» у нас давно перестали стричь 😉
Тема действительно очень хорошая, с удовольствием приду послушать! Вопросов по этой теме мнООООго:)
Алексей, за что же вы так криптографию то не любите? Криптография ведь это база, на ее основе существует невероятно интересная наука — криптология:)
Мария, криптология — это основа криптографии 😉 От криптологии два ответвления — криптография и криптоанализ. В ВУЗах преподают первое, напрочь забывая о втором. Но даже первое преподавать в том объеме, как это делают, никому не нужно в нашей стране.
Вы не можете и не будете на практике разрабатывать свои алгоритмы, анализировать чужие или высказывать замечания на выбираемые продукты. Все что можно с нашим законодательством делать — использовать ГОТОВЫЕ сертифицированные и не очень продукты. И все знание криптографии может быть ограничено только темой законодательства и темой управления ключами. Все остальное — бесполезная трата времени.
ЗЫ. Это не касается криптографов, которые затем пойдут в «контору», но таких единицы и учатся они далеко не всегда в обычных ВУЗах.
Алексей, определения мне известны, спасибо:)
Но в том, что касается криптоанализа могу с вами поспорить..не везде, но преподают и в очень большом объеме..даже нам читали криптографию 2 года и криптоанализ 2, 5 и пусть мы не разрабатывали своих алгоритмов, но
зато анализировать чужие и писать дешифраторы нас научили, и вот даже по себе могу сказать, что когда ты реализуешь самостоятельно тот же алгоритм ГОСТа, то ты только тогда понимаешь все его слабые места.
Я не считаю это бесполезной тратой времени, по крайне мере для себя:)
Развели демагогию.Нафиг никому не нужна ваша крипторафия.
Мария, а на практике вы эти знания используете?
Да,но не в рабочее время, больше для себя и для научных статей, и сразу оговорюсь, под вашу категорию «ЗЫ» я не попадаю:):):)
Ну тогда вопросов нет. Но все-таки ВУЗы у нас готовят специалистов для дальнейшей работы, а не только для использования полученных знаний «для себя» 😉
090102
090103
090104
090105
090106
Большая часть изучаемой программы во всех 5 случаях не пригодится в работе по специальности…кого бы попросить их пересмотреть:)
Золотые слова 😉 Я об этом уже говорил много раз. Только вот никому это особо не нужно, исключая парочку продвинутых ВУЗов, которые ведут платное обучение и заинтересованы в том, чтобы дать студентам применимое на практике образование. А остальным по барабану, т.к. они не несут ответственности за качество обучения и студент к ним не может предъявить претензии.
мы не платный ВУЗ (какой не скажу но в Томске)))- тему применения теории менеджмента и теории организации стараемся студентам безопасникам дать уже давно…да и если почитать ОСТ по их специальностям, то там есть такое требование….то что другие ВУЗы этого не дают — нарушение стандарта
Приятно слышать