Обсуждение статьи
Кто такой «настоящий безопасник»?
|
12.12.2005 00:46:25
|
|
|
|
|
|
12.12.2005 00:50:01
Эту статью я уже вижу здесь в третий раз :ban:
|
|
|
|
|
|
12.12.2005 01:38:57
Но статейка полезная!
|
|
|
|
|
|
12.12.2005 03:25:24
Респект!!!
|
|
|
|
|
|
12.12.2005 05:55:26
Respect Лукацкому. Очень лаконично.
Фу to Гостть. "Настоящий безопасник" занимается этим как раз 8 часов в день за зарплату. Только в этом случае можно верно расставить приоритеты. А по моему мнению, умение писать exploits вообще не является важным. Достаточно понимания базовых идей. |
|
|
|
|
|
12.12.2005 06:06:11
 |
|||||
|
|
|
|
12.12.2005 06:17:40
> Сейчас их головы заняты гораздо более важной задачей – объяснением для
> руководства всей важности задачи обеспечения защиты и выделения на нее > денег. болтать языком - гораздо более важная задача чем получать реальные результаты ??? #$%#$ !!! > И эта работа тоже важна, т.к. без нее отделу информационной безопасности > будет не на что существовать и даже самые «крутые» админы будут никому не > нужны. "крутые" администарторы безопасности могут легко перейти на другую сторону Силы.  а корпоративыне буллшитчики - обломятся. |
|
|
|
|
|
12.12.2005 08:01:03
Мое личное ИМХО.
Каждый безопасник должен знать общий принцип работы всей системы безопасности в целом. А то, что это должна быть система - думается понятно. У нормального предприятия должен быть штат службы безопасности, в который должны входить отдел физической охраны, аналитики, технари, аудиторы. Хотя бы 1-2 человека по всем направлениям. Каждый должен заниматься своим делом - быть очень хорошим специалистом в своем направлении, но иметь общее представление о работе службы безопасности в целом, тон и смысл работы которой должен задавать руководитель этой самой службы. На мой взгляд, именно руководитель должен быть наиболее квалифицирован по всем направлениям. Он не может знать все, но должен хорошо разбираться в тонкостях работы его подчиненных. Добавим сюда аппаратно-программные средства и мы получим нормальную реально работающую устойчивую систему безопасности. Админы серверов - это отдельные штатные единицы, которые не должны работать в службе безопасности. Это в чистом виде подразделение центра АСУ. Задача "безопасников" проверять как эти самые админы заботятся о безопасности. Задача админов - чтобы работало, задача "безопасников" - чтобы работало безопасно и эффективно. Лет 5 назад о безопасности информации думали гораздо меньше. Сейчас, к счастью, админы стали куда сознательнее. |
|
|
|
|
|
12.12.2005 09:21:04
Хорошая статья поясняющая важный аспект работы жаль что многие не понимают или не хотят понимать этого ....и лиш когда что то происходит потом ищут виноватого например с вирусами и тп.
|
|
|
|
|
|
12.12.2005 09:23:58
Автору большой респект !!! Честно говоря не думал что Алекандр снизойдет дообычных читателей секлаба, еще раз спасибо.
|
|
|
|
|
|
12.12.2005 09:48:17
Уважаемые читатели и автор.
Что такое специалист по информационной безопасности - это человек способный разработать систему для защиты информации, и суда нужно отнести- определение рисков, аудит, написание политики безопасности в соответствии со стандартами, разбирающиеся в ОС не зависимо какая и т.д. Одним словом это инженер, не путайте спеца из Европы, у них отучившись две недели можно получить статус инженера, а у нас отбарабанить 5 или 6 лет нужно. |
|
|
|
|
|
12.12.2005 09:51:50
Если фирма состоит из 5 человек куда им еще штат специалистов по безопасности. Отдельные, разовые услуги фирм занимающихся безопасностью смогут ли помочь? Куда там. Послушать "безопасников" так им день и ночь нужно охранять инфомационную безопасность фирмы. И меньше чем втроем никак. Странная складывается ситуация...
|
|
|
|
|
|
12.12.2005 09:56:24
А что такое безопасность ?
Знаю много подобных афторофф у которых всё не в порядке :funny: как гритца старую собаку новым фокусам .. |
|
|
|
|
|
12.12.2005 10:23:09
Статья понравилась.Автору-респект..Только я бы еще добавил,так сказать четвертый пункт.
4.Безопасник,освоивший все три предыдущие ступени, и понявший,что с менталитетом российского бизнеса-надо уходить "на другую сторону баррикады"..  И что жизнь заключается не только в защите чужой инфы. Если начальству наплевать не безопасность (на деле,а не на словах)-то сам бог велел.. |
|
|
|
|
|
12.12.2005 10:42:13
Складывается такое чувство, что все ранее высказавшиеся пытаются "грести под одну гребенку" все, что есть в сфере IT-бизнеса: и огромные корпорации, и фирмы-однодневки, и госучреждения вне зависимости от штата, степени развитости телекоммуникационной инфраструктуры итд итп. ИМХО, при решении подобного рода вопросов первый принцип, которым необходимо руководствоваться - необходимость и достаточность мер по обеспечению безопасности. Второй - дифференцированный подход (как говорит Президент Путин, "по Сеньке и шапка"). Безусловно, "настоящий безопасник" не может быть профессионалом во всем. Вообще трудно быть универсальным профи ))
 Nero, согласен.
|
|||||
|
|
|
|
12.12.2005 11:23:33
о чем эта заметка?
в организациях, где на ключевых местах работают вменяемые люди, и так уже все ясно как и что, а там где вменяемых людей не работает, она будет тока солью на душевные раны сись-админа... |
|
|
|
|
|
12.12.2005 11:35:11
Да? А я ее только в пятницу написал. Завидую людям, умеющим видеть будущее
Ну потому что сайт ориентирован на ИБ, а не на просто Б
В ряде случаев да. Т.к. только "болтая" можно выбить деньги на зарплату "крутым" админам, а также на всякие "игрушки", что админы стали на них "крутыми". И вообще. Чтобы большой босс не разогнал ОТЗИ тоже надо уметь чесать языком, а не настраивать МСЭ.
И стоклнется с тем же самым. При достижении определенного масштаба любая компания сталкивается с одними и теми же проблемами.
Статус инженера, особенно сертифицированного, и у нас можно получить за 2 недели.
Ну парадокс в том, что именно так дело и обстоит. Информацию защищать надо? Надо. Делать это должен как минимум один человек. Но учитывая 8- часовой рабочий день и необходимость круглосуточной работы, как раз и получается 3 человека
Luka
|
|||||||||||||
|
|
|
|
12.12.2005 12:38:03
Или все таки построить систему которая отслеживает рядовые ситуации и начинает пинать народ когда чего выходит за дозволенные рамки, а в этом случае как показывает практика в большинстве случаев (в большинстве случаев это для тех кто не понял означает что мелких контор все таки больше чем крупных (это к вопросу размера шапки для Сеньки)) достаточно всего одного человека, причем совершенно необязательно его присутствие на рабочем месте, главное как быстро он сможет среагировать на ситуацию |
|||
|
|
|
|
12.12.2005 13:14:03
Опять же мое личное ИМХО.
Мелким конторам, штат которых не превышает 200 человек держать отдельно штат асушников и безопасников будет явно накладно. Поэтому, подчиняясь законам рыночной экономики и здравого смысла в качестве и того и другого берут, как правило, одного человека. При небольшом парке компьютеров, у админа достаточно времени и квалификации для того, чтобы выполнять функции и того и другого. Но когда речь встает о функционировании большой сети (>500 компьютеров), да еще и территориально распределенной - тут возникают проблемы нехватки времени, кадров, квалификации. Поэтому на первых этапах приглашают сторонних "безопасников", пока до начальства не доходит, что информационная безопасность - это не просто проверка наличия дырок и соответствующих нормативных документов (коих еще может и не быть). Это система, как правило с наличием определенных программно-аппаратных средств (особенно актуальных в свете последних веяний социальной инженерии и пересмотра отношения к внутренним угрозам), установление и проверка выполнения определенных правил, выявления нарушений, реагирование на инциденты, проведение служебных расследований и т.п. Много ли человек из здесь присутствующих хоть раз проводили подобное расследование в своей организации ? А ведь это делать нужно, и мало того, нужно об этом рассказывать, чтобы остальным неповадно было. Кроме того, на мой взгляд, в большой сети обязательно должен быть интранет-ресурс - сайт, портал, форум, да что угодно, где можно каким-то образом доносить до людей те или иные требования, узнавать их мнение. Обратная связь обязательно должна быть. Кстати, организация тематического форума в стандарте ISO 17799 идет одним из требований. Так что, иногда, стандарты тоже полезно почитать. Там много интересного написано - и что такое безопасность, и зачем вообще все это нужно. Рекомендую. |
||||
|
|
|
|||
Читают тему