Как меня развели или об очередном творении в моей библиотеке

Разное
Предыстория… Наткнулся на Озоне на книжку «Экономика защиты информации» некоего Шепитько Г.Е.

Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ
должны прочесть, и про возможность общаться с бизнесом после прочтения
книжки, и про многое другое. Потом, правда, я обнаружил, что все
рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое.

Начал читать. Вообще автор местами просто удивлял. Начиная от предложения использовать методы страхования информационных рисков, опираясь на статистику, которой в нашей сфере просто нет. А как вам практическое задание по теме экономики защиты информации: «Период работы гражданина до пенсии составляет 40 лет, возраст его дожится после пенсии — 20 лет, причем размер пенсии не превышает 50% от его средней зарплаты. Сколько процентов от зарплаты он должен накапливать на банковском счету, чтобы получать 50% надбавку к пенсии при таком способе самофинансирования пенсии?» И причем тут защита информации спрашивается?

Раздел оценки информационных ресурсов тоже требует отдельного упоминания. Автор не знаком с методикой оценки нематериальных активов, утвержденных постановлением Правительства. Поэтому он предлагает свои вариант. Один из них просто донельзя — стоимость информационного ресурса равна стоимости лицензии на покупаемый продукт, который и называется информационным ресурсом. Дальше автор приводит свой метод расчета стоимости уникальной разработки и делает вывод, что такая стоимость не превышает единиц процентов от стоимости фонда заработной платы. Кстати, про стоимость самой информации, а не ПО автор вообще не пишет ни слова. Дальше больше. Автор дает методику расчета ущерба от инцидентов. Выводы следующие — стоимость прямого и косвенного ущерба соизмеримы, а стоимость потенциального ущерба на порядок меньше. Вот так — ни больше ни меньше. И плевать, что на практике размер прямого ущерба от утечки информации составляет копейки по сравнению с косвенным ущербом от ухода клиентов, размера исков, удара по репутации и т.д. Вообще автор под инцидентом, похоже, понимает только выведение из строя какого-либо узла сети в результате чего сотрудники простаивают и не работают.

Потом автор начинает вычислять интенсивность инцидентов. Ну тут я вновь умолкаю. «Теорема 2. При воздействии пуассоновского потока инцидентов внутренних преднамеренных нарушителей с переменным ресурсом поведения автономной линейной системы защиты первого порядка с переменными параметрами описывается вторым уравнением безопасности вида <две строки непонятных мне букв греческого и латинского алфавитов, цифр, знаков препинания и еще чего-то>«. Дальше две практических задачки. Первая — «Системный администратор вуза получает ежемесячно 15 тысяч рублей. Чему равен его вклад в годовую чистую прибыль такого учреждения по оказанию образовательных услуг?«. Вторая — «Оператор ввода информации на ПК стоимостью 10 тысяч рублей получает такую же месячную зарплату. Какова стоимость нового информационного ресурса созданного им в течение месяца?«.

Третий раздел труда Шепитько Г.Е. посвящен категорированию объектов информатизации. Зачем-то он полез в тему персданных. Мало того, что он вводит новый гриф «персонально» и перевирает ФЗ-152, т.к. он еще накрутил там столько формул. Я, например, узнал, что то, что в «приказе трех» по классификации определялось как 3 значения объема ПДн (до 1000, от 1000 до 100000, и больше 100000 субъектов), на самом деле является «логарифмической интервальной шкалой измерений количества субъектов персональных данных«. И если в обычной жизни я просто беру одно из трех значений данного показателя, то автор даже предлагает особую формулу для расчета этого значения (результаты, правда, получаются те же). А еще я не вкурил, зачем нужно рассчитывать зависимость значения категории объема ПДн Xнпд от их объема Vнпд по формуле Xнпд=3,5 — 0,217 * lnVнпд.

Потом идет много-много формул и таблиц расчета нелинейных скалярных показателей категорирования степени защиты ПДн. Я так и не вкурил. Видимо моего диплома прикладного математика не хватает для оценки глубины исследования. Но вывод, сделанный автором, меня зацепил. Оказывается, причин слабости защиты ПДн (выведено на основе формул) всего 4:

  • слишком большой перечень лиц, допущенных ко всем записям базы ПДн
  • низкая заработная плата допущенных лиц
  • большая доля устаревшего оборудования с малой остаточной стоимостью
  • отказы устаревшей техники и отсутствие резервирования.

Практическое задание в этом разделе такое: «В ИТ-подразделении коммерческого вуза находятся 4 компьютерных класса по 25 компьютеров каждый. Срок службы компьютеров — более трех лет, поэтому наблюдается ежемесячно более трех мелких компьютерных нарушений с ущербом не более 3 тыс.руб. Определите категорию важности такого объекта информатизации, содержашего коммерческую тайну«.

В разделе про оценку рисков и эффективности системы защиты я узнал, что для оценки эффективности защиты недостаточно знания только экономического риска. Необходимо принять во внимание дополнительную «социальную нагрузку» на нее со стороны общества для одобрения им уровня допустимого риска в соответствии с ФЗ «О техническом регулировании». Также я узнал, что интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.

Дальше автор, попутно опустив Эйнштейна и назвав его «известный из газет А.Эйнштейн», утверждает, что вероятности ущерба от последствий инцидентов ИБ описываются логарифмически нормальным распределением. И на этом сей опус завершается. Из заданий этого раздела: «Оцените стоимость базы паспортных данных предпринимателей московского региона, если их количество не превышает 1 миллиона человек«.

Потом обратил внимание на то, что на каждой странице от руки написан экземпляр книги. Вдумайтесь только. На каждой странице и от руки.

Я решил было посмотреть выходные данные, ан нет. Нет их. Тираж определить невозможно. Мне сразу подумалось, что речь идет о печати под заказ. Заказали книжку — напечатали; не заказали — не напечатали. Ну а как еще объяснить от руки подписанные номера экземпляров? Дальше больше. На первой странице предупреждение о контроле каждого экземпляра и ссылка на отмененный закон об авторских правах.

Но и это не все. В книгу был вложен вот такой листочек! Я его даже не буду комментировать — просто читайте и ужасайтесь.

ЗЫ. Не рассматривайте заметку, как рекламу книги!

ЗЗЫ. И ведь не первое апреля вроде. Но ржал наш офис, когда я читал выдержки, в течение пары часов. Массу удовольствия доставило это чтиво.

ЗЗЗЫ. Данное пособие планируется к включению в государственный образовательный стандарт третьего поколения. Мне жаль студентов, которые будут учиться по этой х..не.

ЗЗЗЗЫ. На форзаце висит гриф «Для внутреннего пользования». Хорошо что не для наружного применения.

ЗЗЗЗЗЫ. Книга посвящена светлой памяти резидента русской разведки Полежаева А.П., награжденного «За выдающийся вклад в информатизацию мирового сообщества». Билл Гейтс или Стив Джоббс отдыхают.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. StiON

    Вопрос только один: Под какими грибами находился автор сея опуса, когда его писал??? Если ЭТО и вправду будет включено в программу образования… о_О Сразу вспоминаются студенческие годы и мой первый курс — была у нас такая дисциплина — "Концептуальные основы информатики" — содержание весьма напоминает положения данной книги…))

    Ответить
  2. Unknown

    Хорошая книга, чего Вы? Вон как настроение поднимает. Автор неадекватный оптимист — 50% одни чего стоят ))

    Ответить
  3. Алексей

    Пока читал находил каждой новой цитате хоть какие-то объяснения, но на последнем "Соглашении о соблюдении авторского права" сдался…

    Мне что-то подсказывает что такие творения — это результат чьего-то желания защитить докторскую, для которой нужны публикации. Писали, возможно, вообще сторонние люди.

    А можете дать ссылку или номер/дату Методики оценки нематериальных активов, утвержденной постановлением Правительства?

    Ответить
  4. Cug

    Алексей Лукацкий, ну Вы уже поняли, что попали на не хилые бабки? 🙂

    Ответить
  5. Vi0lat0r

    Бред конечно, но есть и другое мнение, доктора наук например, читайте комментарий к сему труду http://www.ozon.ru/context/detail/id/6282814/

    Ответить
  6. Vi0lat0r

    Еще
    http://www.ozon.ru/context/detail/id/2481349/ отзывы положительные )))
    http://www.ozon.ru/context/detail/id/2483622/

    Ответить
  7. Vi0lat0r

    МФЮА д.т.н., профессор
    http://ukbibirevo.narod.ru/prepodavatelivuz.htm

    Ответить
  8. Unknown

    Да, отзывов таких на Озоне можно нагенерить… Лишь бы купили. А вот про постановление правительства об оценке НМА — хороший кстати вопрос. Алексей, ты какой документ имеешь в виду? Если ПП-767, то оно с 2008 г. не действительно, вместе с ФСО. Минэконом, насколько мне известно, методику оценки НМА не разработало.

    Ответить
  9. Peter Lyapin

    Алексей, работа в подразделение сорвана 🙂 бизнес теперь в опасности.
    Это из серии "no comment…", однозначно.

    Из последних строк, как юриста по второму образованию, не могло не зацепить:
    "… к нарушителю будут приняты правовые и другие меры воздействия"

    Иными словами, " ПлакалЪ"

    Ответить
  10. Сергей

    Ну что вы набросились на автора 🙂 Решил товарисчЪ остепениться, вряд ли кто из членов ученого совета сможет понять, что там наваял автор. Непонятное = новое = степень.

    Ответить
  11. Евгений III

    А интересно, можно ли этот 58-й экземпляр сдать обратно аффтору и получить moneyback.

    Ответить
  12. Анонимный

    Автор явно подошел к написанию книги творческий.

    Ответить
  13. Анонимный

    Кстати, болшинство комментариев к продуктам оставляют фрилансеры, которые на это зарабатывают (сам этим одно время занимался).

    Ответить
  14. Tiger

    >>Если ЭТО и вправду будет включено в программу образования

    Ничего удивительно. Братья фурсенки планомерно разваливают каждый свою область деятельности (

    Ответить
  15. Tiger

    я в восхищении )

    >>интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.

    Ответить
  16. Сергей

    "Учебное пособие представляет собой обобщение многолетних результатов научно-исследовательской, учебно-методической и практической деятельности автора и предназначено для продвинутых студентов старших курсов, аспирантов и преподавателей, ищущих новые подходы в области обеспечения информационной безопасности объектов."
    А кто сказал что НОВЫЕ подходы должны быть правильными 🙂

    Ответить
  17. ansv

    Автор — Выбегалло А.А.?

    Не думаю, что это включат в программу образования — понадобится больше 50 экземпляров, у автора рука отвалится подписывать… К тому же студенты любят делать копии, попирая авторское право, а это недопустимо >_<

    Ответить
  18. Алексей Лукацкий

    Автор уже д.т.н., профессор и член-корреспондент РАЕН. Так что степениться ему некуда. Только если в ествественные академики

    Ответить
  19. Анонимный

    Из разряда "и смех, и грех". Автор хочет применить свои "знания" в области экономике к области, видимо чуждой для него. А как он заботится об авторском праве))

    Ответить
  20. vtomilin

    всё-таки талант не пропьёшь.
    мы мучаемся с идеями первоапрельских публикаций, а у человека цельный печатный труд…

    Ответить
  21. Oleg Boyko

    Наш герой-то ещё и футуролог http://www.maib.ru/about/news/2010/06/10/news_197.html и фотошоп ему идёт. Многогранная личность!

    Ответить
  22. Алексей Лукацкий

    Я фигею, дорогая редакция. Такой труд такого гуру станет бриллиантом моей библиотеки.

    Ответить
  23. Алексей Лукацкий

    Как он в 2010-м году стал полицейским?

    Ответить
  24. Oleg Boyko

    Не смог удержаться: http://forum.starominskaja.ru/showthread.php?t=515
    http://dailyold.sec.ru/dailypblshow.cfm?rid=17&pid=16144&pos=4&stp=50&cd=1&cm=4&cy=2011 нижний комментарий…
    Так Никитин или Шепитько?
    Г.Е. или Сергей Николаевич?
    Однозначно няшка!

    Ответить
  25. Fedia

    Моего высшего математического наверно тоже не хватит 🙂

    ШедеРВ !

    Ответить
  26. dynax60

    Алексей, тогда еще одну книгу в свою коллекцию срочно покупайте: http://www.chaconne.ru/viewitem.php?id=2430193&ref=fb
    ("Защита конфиденциальной информации в акционерных обществах"). Было бы интересно услышать и на неё вашу рецензию.

    Ответить