Перейти к содержанию

Iq против Iq.


_  

17 проголосовавших

  1. 1. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника?

    • Да.
      15
    • Нет.
      2


Рекомендуемые сообщения

Уважаемые посетители форума, разговаривал с одним ССБ, который жаловался (!), что приходится работать в высоких технологиях. Он сказал приблизительно следующее: "Они там все - вундеркинды, и при желании обойдут любое ограничение. Сами говорили. Несколько раз неприятно шутили. Не понимаю - что там делаю".

 

Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

 

Предполагаю, что если обсуждение пойдет, мы обязательно коснемся и международных стандартов безопасности, сертификации и т.д. Это, конечно, здорово, и их наличие для судов - очень веский аргумент. Только ведь ISO - не гарант безошибочности.

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Ответ напрашивается сам собой, но на деле - все наоборот. Например, многим известно насмешливо-презрительное отношение к сотрудникам СБ в "высокоинтеллектуальных" отделах предприятий - конструкторских бюро, испытательных центрах, лабораториях, др. Обычно оно основано на осознании IQ-превосходства, которое при определенных обстоятельствах вполне может быть использовано во вред. С другой стороны, делать из рядового безопасника "академика" никто не будет - это невозможно.

 

Существуют варианты, когда для контроля над "сложными" объектами в службу СБ приглашается специалист, реально разбирающийся с тонкостях, не понятных "рядовым" сотрудникам. Но хорошо ли это? Кажется, есть масса причин не делать этого.

Есть варианты "изоляции" такого персонала. И тоже - далеко не безгрешная схема. Особенно если речь идет не о кремниевой долине, а о реальном "ученом" преимуществе сотрудника перед безопасником, в некоторых вопросах, которые могут играть важную роль в системе безопасности всего предприятия.

 

Какие мнения, примеры организации СБ в подобных ситуациях?

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 35
  • Создана
  • Последний ответ
Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Однозначно, да.

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

Почитайте в ФЗ "О коммерческой тайне" определение "режима коммерческой тайны". Если владелец его не реализовал, все его претензии по краже информации не принимаются :smile14:

 

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

Если есть некое требование, зафиксированное во внутренних нормативных документах компании или в других нормативных документах (СТР-К и т.д.), которое по жизни не выполняется, то фиксация должна производиться в лучших традициях внутреннего аудита (свидетели, объяснительные, журналы, отчеты средств контроля защищенности и т.д.)

 

Встречный вопрос - кто и зачем собирается фиксировать эти ошибки? :smile10:

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Однозначно, должна. Говорю это, исходя из многолетних интеллектуальных поединков с ИТ-шниками :smile17:

Побочное следствие - необходимость постоянного самообразования. :smile16: :smile16: :smile16:

 

Ссылка на комментарий
Поделиться на другие сайты

Добавлю банальность.

Нарушения безопасности носят вероятностный характер, наличие системы ИБ только снижает эту вероятность до уровня, который условлено считать приемлемым. Поэтому гарантии от инцидента и компрометации СИБ нет.

Ляпы и проколы будут обязательно. Это практически нормальная ситуация :-))))))

Поэтому система должна строиться именно исходя из этого. Задача 1)получить инфу для расследования инцидента 2)минимизировать ущерб при нарушении работы системы защиты информации.

 

Ссылка на комментарий
Поделиться на другие сайты

Поиск ошибок в конфигурации безопасности обычно автоматизируется сканерами защищенности (или сетевого аудита). Только я видел в одном месте, как сами безопасники контролировали ИТ-шников с помощью регулярного запуска XSpider-а :smile3:

Плюс есть методички NIST-а (csrc.nist.gov) по организации расследований инцидентов и сканированию сети, чтоб не положить что-то (ИТ-шники пытаются противостоять таким сканированиям, пугая, что все ляжет :smile10: )

 

Ссылка на комментарий
Поделиться на другие сайты

А вообще...

Зашел седня на переговоры в одну ОЧЕНЬ крупную компанию.

Вообще была большая тусовка - все функциональные директора. Решали вопрос общих рисков.

Ни хрена не решили. Из-за одного тупого безопасника с их стороны, все достоинства которого заключаются в большой телефонной книжке, набитой номерами людей с Житной и Лубянки.

Вот такая вот фигня, малята.

Специалисты по безопасности должны быть умнее, опытнее, грамотнее сотрудников компании.

А руководители СБ должны быть менеджерами в полном смысле этого слова, способными понимать бизнес - процесс в любом структурном подразделении компании.

И задачи перед ними стоят зачастую более широкие, чем перед каждым функциональным топом в отдельности.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый MOS.

По моим наблюдениям, лучше всего в СБ иметь стабильно среднеинтеллектуальный коллектив. Настоящий опер ни когда не дает почувствовать собеседнику свое интеллектуальное превосходство, ибо это может помешать установлению психологического контакта. Более того, для целей СБ полезно, когда ее сотрудники, прикидываясь "шлангами" целый день морочат голову интеллектуалам (глядишь те чего нибудь ценного и ляпнут). Тот, факт, что кто-то чувствует себя не на своем месте в кругу интеллектуалов, это на мой взгляд частность, а не закономерность, более того, нормальный человек в такой ситуации имеет сильный стимул для самообразования, а это стоит только приветствовать. :smile14:

Ссылка на комментарий
Поделиться на другие сайты

Не претендую на истину, тем более, что я все же не специалист СБ. Просто выскажу свои соображения и постараюсь их аргументировать.

 

Хотел бы спросить у сообщества на этом фоне - считаете ли вы промышленным шпионажем утечку информации, которая фактически, благодаря недостаточно грамотной организации средств защиты информации, или по недосмотру (ошибке) СБ, бывает, просто лежит на поверхности. На форуме где-то было несколько примеров, когда целые директории с документами доступны в открытой сети. Или есть многочисленные примеры проведения "текущих" переговоров в одних и тех же заведениях безо всяких средств защиты. И т.д.

Нет, не считаю.

Промышленный шпионаж - противозаконные действия. Закон защищает лишь тех, кто соблюдает определенный законом же официоз. Если этот официоз не соблюден, никакой защиты законом не будет, а значит, не будет и противозаконных действий.

 

Пример, ставший хрестоматийным - трэшдайвинг (копание в мусоре) в США. Суд постановил, что коммерческая тайна должна охраняться. А помойка - место публичное. Если НЕЧТО выносится на помойку, оно перестает быть коммерческой тайной и его присвоение перестает быть кражей. Правда, в США трэшдайвинг считается нарушением "этики", но это уже совсем другая история, не подпадающая под Закон о промышленном шпионаже.

 

Аналогичная ситуация - с подслушиванием ушами. если я ни от кого не скрываюсь, ем нехрустящую пищу, никуда не торопясь, и при этом до моего слуха долетают слова, произносимые за соседним столиком, это не моя проблема. И не промышленный шпионаж.

 

Аналогично - с ситуацией, когда я "просто спросил" то, что меня интересует. Не хотят - пусть не рассказывают, я никого не принуждаю и не коррумпирую, а просто интересуюсь. Я же не могу знать их отношения к тайне. Знать это - их задача, а не моя.

 

Другими словами, теряет ли информация статус секретной, если ее владелец не способен ее защитить, или делает это "макулатурным" методом (пометками секретности и расписками о неразглашении среди собственных сотрудников?)

Да, теряет. Тайна должна быть защищена. "Не могут" = "Не удосужились". Никто им не мешал защищать.

 

Сомневаюсь, что скажете "Да". В противном случае, можно было бы составить секретный документ, проставить на нем соответствующий штампик, погрозить пальчиком сотрудникам, а затем взять в руки мегафон, выйти на площадь и зачитать его, с выражением.

А штампика недостаточно :) Там процедура несколько сложнее - и не только об издании документа, но и о его хранении. И нарушение этих правил при определенных обстоятельствах может привести к тому, что секретность исчезнет не только де-факто, но и де-юре (по крайней мере, когда информация присваивается несекретоносителем, будучи полученной из открытых источников, куда она перед этим утекла). ИМХО.

 

 

Предполагаю, что если обсуждение пойдет, мы обязательно коснемся и международных стандартов безопасности, сертификации и т.д. Это, конечно, здорово, и их наличие для судов - очень веский аргумент. Только ведь ISO - не гарант безошибочности.

Поэтому поднимаю следующий вопрос - каким образом лучше всего фиксировать ошибку, допущенную СБ? Ведь безопасник никогда не признает ее, тем более "сертифицированный".

Я не совсем понял вопрос в этой части. Попробую ответить, исходя из того, что понял. Фиксировать надо так, чтобы было явно видно, что мы ничего не взламывали, а шли мимо - смотрим: интересная вещь лежит. Наклонились, подняли, рассмотрели - и правда интересная. Положили на место и пошли дальше. Способ фиксации при этом непринципиален и зависит от конкретной ситуации.

 

И последнее. Должна ли СБ организации иметь образовательно-интеллектуальный уровень "не ниже" любого сотрудника, чтобы быть способной обеспечивать режим безопасности?

Ответ напрашивается сам собой, но на деле - все наоборот. Например, многим известно насмешливо-презрительное отношение к сотрудникам СБ в "высокоинтеллектуальных" отделах предприятий - конструкторских бюро, испытательных центрах, лабораториях, др. Обычно оно основано на осознании IQ-превосходства, которое при определенных обстоятельствах вполне может быть использовано во вред. С другой стороны, делать из рядового безопасника "академика" никто не будет - это невозможно.

Нет. Точнее, это желательно, но неосуществимо. На мой взгляд, практика показывает, что работа в системе позволяет в некоторых пределах компенсировать отсутствие "продвинутости" сотрудников. Примером может служить полицейский аппарат практически любой страны. ОРМ могут позволить поймать даже достаточно умного преступника, хотя уровень IQ каждого отдельного участника ОРМ может быть ниже, чем у того, кого ловят.

 

Существуют варианты, когда для контроля над "сложными" объектами в службу СБ приглашается специалист, реально разбирающийся с тонкостях, не понятных "рядовым" сотрудникам. Но хорошо ли это? Кажется, есть масса причин не делать этого.

Иногда без этого обойтись невозможно. Тогда, как я понимаю, и начинается либо использование "втемную", либо постановка десяти задач, из которых лишь одна - насоящая.

Есть также вариант специального доучивание кого-то из СБ до нужного уровня под конкретную задачу. А есть вариант приглашения стороннего специалиста не в качестве консультанта, а в штат СБ. Это во многом вопрос цены и интересности работы.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

А вообще...

Зашел седня на переговоры в одну ОЧЕНЬ крупную компанию.

Вообще была большая тусовка - все функциональные директора. Решали вопрос общих рисков.

Ни хрена не решили. Из-за одного тупого безопасника с их стороны, все достоинства которого заключаются в большой телефонной книжке, набитой номерами людей с Житной и Лубянки.

Вот такая вот фигня, малята.

Дык вы наверно и не задумались, что самый "опасный риск" и сидел на переговорах с толстой телефонной книжкой!

Ссылка на комментарий
Поделиться на другие сайты

Самый опасный риск- неадекватность. У меня это юристы, которым сказали слово "риск". И испугали.

Вчера с меня потребовали обоснование использования термина "база знаний". Нет, говорят, таково в ГК.

Чем отличается роль от должности - не знают. Что такое неисключительное право- увы, тоже.

До этого финансовому директору пришлось с месяц объяснять, что дисконты можно расчитывать по формуле, а не функцией подбора в экселе. Хотя как он это дело считал подбором! Хотел купить ему счеты, не успел, финдиректор уволился.

Объяснять. Пусть даже руки тянутся к чему-то стреляющему. Убеждать. Делать свое дело. Хотя иногда очень хочется всё послать -)

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...