Перейти к содержанию

Iq против Iq.


_  

17 проголосовавших

  1. 1. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника?

    • Да.
      15
    • Нет.
      2


Рекомендуемые сообщения

Уважаемые посетители форума, разговаривал с одним ССБ, который жаловался (!), что приходится работать в высоких технологиях. Он сказал приблизительно следующее: "Они там все - вундеркинды, и при желании обойдут любое ограничение. Сами говорили. Несколько раз неприятно шутили. Не понимаю - что там делаю".

 

Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

 

Предполагаю, что если обсуждение пойдет, мы обязательно коснемся и международных стандартов безопасности, сертификации и т.д. Это, конечно, здорово, и их наличие для судов - очень веский аргумент. Только ведь ISO - не гарант безошибочности.

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Ответ напрашивается сам собой, но на деле - все наоборот. Например, многим известно насмешливо-презрительное отношение к сотрудникам СБ в "высокоинтеллектуальных" отделах предприятий - конструкторских бюро, испытательных центрах, лабораториях, др. Обычно оно основано на осознании IQ-превосходства, которое при определенных обстоятельствах вполне может быть использовано во вред. С другой стороны, делать из рядового безопасника "академика" никто не будет - это невозможно.

 

Существуют варианты, когда для контроля над "сложными" объектами в службу СБ приглашается специалист, реально разбирающийся с тонкостях, не понятных "рядовым" сотрудникам. Но хорошо ли это? Кажется, есть масса причин не делать этого.

Есть варианты "изоляции" такого персонала. И тоже - далеко не безгрешная схема. Особенно если речь идет не о кремниевой долине, а о реальном "ученом" преимуществе сотрудника перед безопасником, в некоторых вопросах, которые могут играть важную роль в системе безопасности всего предприятия.

 

Какие мнения, примеры организации СБ в подобных ситуациях?

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 35
  • Создана
  • Последний ответ
Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Однозначно, да.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

Почитайте в ФЗ "О коммерческой тайне" определение "режима коммерческой тайны". Если владелец его не реализовал, все его претензии по краже информации не принимаются :smile14:

 

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

Если есть некое требование, зафиксированное во внутренних нормативных документах компании или в других нормативных документах (СТР-К и т.д.), которое по жизни не выполняется, то фиксация должна производиться в лучших традициях внутреннего аудита (свидетели, объяснительные, журналы, отчеты средств контроля защищенности и т.д.)

 

Встречный вопрос - кто и зачем собирается фиксировать эти ошибки? :smile10:

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Однозначно, должна. Говорю это, исходя из многолетних интеллектуальных поединков с ИТ-шниками :smile17:

Побочное следствие - необходимость постоянного самообразования. :smile16: :smile16: :smile16:

 

Ссылка на комментарий
Поделиться на другие сайты

Добавлю банальность.

Нарушения безопасности носят вероятностный характер, наличие системы ИБ только снижает эту вероятность до уровня, который условлено считать приемлемым. Поэтому гарантии от инцидента и компрометации СИБ нет.

Ляпы и проколы будут обязательно. Это практически нормальная ситуация :-))))))

Поэтому система должна строиться именно исходя из этого. Задача 1)получить инфу для расследования инцидента 2)минимизировать ущерб при нарушении работы системы защиты информации.

 

Ссылка на комментарий
Поделиться на другие сайты

Поиск ошибок в конфигурации безопасности обычно автоматизируется сканерами защищенности (или сетевого аудита). Только я видел в одном месте, как сами безопасники контролировали ИТ-шников с помощью регулярного запуска XSpider-а :smile3:

Плюс есть методички NIST-а (csrc.nist.gov) по организации расследований инцидентов и сканированию сети, чтоб не положить что-то (ИТ-шники пытаются противостоять таким сканированиям, пугая, что все ляжет :smile10: )

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...