Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 След.
RSS
О бесполезности информационной безопасности
 
Цитата
Как вариант - построить мегакорабль который выдерживает один рейс. С вероятностью 0,5 он доплывет (либо не доплывет) .
В первом случае - прибыли - огромны.

Затраты на постройку новго судна, получения флага, класса (кстати при несоответствии безопасности международным стандартам с флагом и классом пудет аааааагромнейший геморрой. Арестуют в первом же порту даже если подкупить регистрационное общество и флаг.) и ты ды за 1 рейс не окупятся. Даже покупка старого балкера делается с надеждой окупить его за 3-5 лет эксплуатации. С новым судном срок окупаемости больше.

Да и не стоит думать что грузообладатели - идиоты. Заключать договор на чартер или фрахт судна, которое рискует утонуть выйдя из порта никто не будет.

С ИБ все тоже самое. Не защищать системы просто невозможно, бизнес не сможет существовать. Даже если хакеры про вас никада не вспомнят, вполне хватит вирусов. Как почтовых, так и использующих уязвимости сетевых приложений для распостранения. Минимум безопасности в виде АВ и фаерволлов уже необходим чтобы элементарно обеспечить работоспособность системы.
Любое усложнение системы ведет к повышению требований к ИБ. Безусловно прибыли оно не несет, но ведь и потребляемые электричество / вода / аренда помещения / связь тоже прибыли не несут. А без них - никак. И довольно глупо рассуждать что может быть обойтись без электричества раз оно прибыли не приносит.
 
Зачем защищать президента - захотят завалят.
Зачем тормоза на автомобиле - все равно отказывают.
Зачем дополнительный парашют - есть же основной.
Автор хиппи.
 
Цитата
Ser9a пишет:
Зачем защищать президента - захотят завалят. Зачем тормоза на автомобиле - все равно отказывают. Зачем дополнительный парашют - есть же основной. Автор хиппи.

Даже хиппи запасаются лишним косяком, пузырем портвейна и булкою на всякий случай. Автор - панк!
 
ИМХО - просто нормальных админов надо в такой конторе держать. И платить им нормальные деньги, чтобы оные админы мониторили данную отрасль перманентно без перерывов на обед и покурить :)
 
Мне кажется автор все-таки где-то прав и объясню почему

Надо сначала разделить работы по ИБ на 2 части
1 - это стандартные работы требующих минимальных скажем так затрат
      Стандартный антивирус
      Стандартная процедура установки патчей
      Стандартная процедура архивирования
      Стандартная процедура паролей
      Стандартная процедура обучения пользователей
      Стандартная процедура фильтрации WEB трафика
      Стандартная процедура разделения доступа
и кое что по мелочи .....
согласитесь что данные меры смогут защитить МИНИМАЛЬНЫМИ затратами  обеспечить достаточный уровень безопасности  или скажем так приемлемый уровень безопасности
Но видимо автор имел ввиду 2 тип работ предназначенных для покупки систем для:
     Нахождения специально написанных для данной компании вирусов которые не  находят  известные антивирусы
     Нахождения всяких жучков и подслушивающих устройств
     Фильтрация всего и вся .....
     Регистрация всего и вся .....
     Нахождения специальных багов через Пен-тест и платя  специализированным фирмам .....
     всяких програмулек игрушек для ИБ.......


Ну думаю идея понятна
 
еще добавлю к второму типу работ
.  выявление слива информации через пинги (где-то была статья про это )
.  выявление  троянцев в кернеле операционных систем
.  выявление к примеру  скрытых  пользователей в  базах данных путем изменения системных таблиц
  И.т.д  (это относится именно к работам в компании где зарабатывают деньги а не к научным работам в области ИБ)
 
Читал и плакаль...

Автор совершенно не разбирается в вопросах ИБ. Помойму человек просто научился делать попытку взлома...

Не буду приводить сотни примеров, их и так тут очень много привели. Просто вспомню про фрод.

А внедрение ИБ приносит прибыль здесь и сейчас для некоторых просто коллосальную. Сокращение by-pass периода в биллинг. Незабываем про доступность - это один из аспектов ИБ.

Роман, когда приводите пример политик, процедур, стандартов - или приводите полный список самых важных или просто пишите, что вот некоторые примеры.
 
Начал за здравие, кончил за упокой. Бре-е-е-д!
 
Советую автору не запирать входную двень в квартиру или прикрепить на двери записку о том, где лежит ключ. Вдруг обворуют не его, а соседа. Будет повод еще раз подтвердить бесполезность мер безопасности.
 
1. Автору респект за ЗДРАВЫЙ МЫСЛИ. Как говориться то что мы давно хотели сказать о "науке продавайств", но боялись :)
2. Есть попутно некоторые соображения:
- Возможно не верно утверждение №1, поэтому выводы не столь очевидны. (С утверждениями 2,3,4 - согласен, с 4-м два раза :))
Если что то выглядит, как кошка и мяукает как кошка - это кошка :) Так и с ИБ - то как ИБ практически трактуется, то что для ИБ используется (сиречь покупается и продается), то как проблемы, задачи ИБ обсуждаются говорт о том, что ИБ - это инженерная задача. Может конечно с точки зрения философии называть ее не Информационной Безопасностью, а Безопасностью Данных, но уж так сложилось. ИБ могла бы быть например юридической задачей и тогда бы мы обсуждали бы совсем другое. Что такое спросите в моем понимании ИБ, как юридическая задача - это например случай закрытия инет-издания за якобы размещенные там "богохульные карикатуры". Ну мы же не ЭТО обсуждаем ?! Я лично ЭТО обсуждать совершенно не компетентен.
Так вот если ИБ - это инженерная задача и связанная на 99.999(9) со средствами вычислительной техники (кстати это я считаю нормальное допущение, т.к. ИБ в организации НЕ имеющей компьютеров - вообще обрабатывающих информацию без компьютеров - в таком ключе я рассмотрения ИБ не видел), то и рассматривать ее нужно как инженерную задачу. Теперь, что такое в моем понимании инженерная задача - ну это например задача полета человека в космос. Полезны или не полезны полеты в космос - гхм ... видимо они просто неизбежны. Накладывает ограничение (уродует) ли любая политически-экономическая система на решение инжереных задач. А то!!!! Поэтому я думаю, если в каком то случае можно плюнуть, что первичен капитализм (или там социализм и роль КПСС), то ИБ можно обеспечить - ну хотя бы для себя лично :)))
- По поводу ИБ - может когда нибудь начнет что то меняться в написание ПО? Хотя конечно для продаж средств ИБ вообще паралельно конечно, что переполнение буфера термин, которому  в обед 100-лет будет, а буфера все переполняются и переполняются.
Паралельно это в лучшем случае :)
Кстати хотябы стремиться писать софт безопасно можно ... Опенка (тобишь OpenBSD) И не надо говорить, что такой софт никому не нужен.
 
Много умных слов+ни одной умной мысли = словоблудие!!!
Господин Циберман вас сократили а на ваше место взяли специалиста по ИБ, так как у вас пользователи унесли HDD со всей информацией за последнии 10 лет работы? - мои соболезнования.
 
LAG ну ты лаг... ИБ - это техника... Учите мат часть.
 
Ок - есть терминологическая путаница. Т.е. разные люди оперируют неким (варьируемым) набором слов - каждый понимая что-то свое, и не понимя чужого. Наверное верно сказано - что когда люди строили Вавилонскую башню, бог посмотрел на это и сотворил то с чем мы до сих пор не можем справиться. Но да не будем об этом.

1. Утверждение первое - ПЕРВИЧЕН ЛИ БИЗНЕС?
А если так - ВСЕГДА ЛИ первичен бизнес?
А можно ли считать бизнесом - просмотр порно, скачку халявной музыки, онлайновые игры ?

2. Можешь - ЗНАЧИТ ДОЛЖЕН (известная цитата). А вообщем случае - по крайней мере за пределами РФ - можешь не синоним слову ДОЛЖЕН. Т.е. Утверждение 2. Внедрение ИТ может приносить прибыль  - так же верно как: Внедрение ИТ может приносить убытки.

3. Внедрение ИТ, как правило снижает уровень безопасности информации.

Очень интересно - А ГДЕ ЭТО АВТОР ВВЕЛ ПОНЯТИЕ безопасности информации. И уж тем более НЕПОНЯТНО - что есть УРОВНИ безопасности информации. По этому - увы принять подобное утверждение не возможно - по причине НЕЯСНОСТИ того что автор утверждает.
Можно конечно говорить так - было рождение - значит мы движемся к концу света. Ну что - точка зрения. НО КТО ОБЪЯСНИЛ почему мы движемся?

4. Своя информационная безопасность не может приносить прибыль.
Опять таки см. пункт 2 нет определения к термину.
Равно как может - не может - не более чем игра слов (см. пункт 3).
А можно так сформулировать - своя информационная безопасность - поможет избежать убытков (а возможно и не поможет). Убытки - ести противоположное прибыли. Дальше по аналогии.

Больше утверждений у автора нет.
Итого в сухом остатке - имеем пункт 1. Который под вопросом.
Результат - имеет ли смысл обсуждать статью?

Автор высказал свое мнение и нужно выразить ему благодарность, потому как он написал этот текст для нас, увы не все могут правильно оценить - что хотел сказать автор, но это не вина автора. Возможно, после прочтения данной статьи найдутся другие, кто более корректно сформулирует проблемы в данной области - и это (Т.е. постановка задачи) будет способствовать тому что третьи найдут решение.
 
А если уж покритиковать - то тогда только на цитатах.

В современном капиталистическом обществе первичен бизнес.
Это в равной степени относится к отдельным индивидуумам
в сухом остатке останутся деньги
Нарушить информационную безопасность гораздо дешевле, чем защитить.
многие из современных атак практически не прокрываются инструментарием в области безопасности.
от глупости нет патчей, и социоинженерия - верный путь к взлому самой защищенной сети.

в сухом остатке останутся деньги

ЭТО ОТДЕЛЬНОЙ СТРОКОЙ
Тем более в такой специфичной области как безопасность.

в ответ другая цитата - другого автора.
"КАКАЯ КАКАЯ ОБЛАСТЬ - СПЕЦИФИЧЕСКАЯ?????" - цитата одного уважаемого доктора технических наук (члена совета, в прошлом ректора одного из ВУЗов России на протяжении минимум 10 лет), произнесенная на защите кандидатской диссертации (сезон зима 2004- весна 2005).
 
LAG понаписал кучу букв и смайликов, смысл = 0.  
ИБ это не только от злых хацкеров инфу караулить, ИБ - это еще и думать, думать и еще раз думать
как не дать топ менеджерам базы на флешках домой таскать.
как сквозь верещание недовольных экономить рабочее время за счет удаления игрушек и болтовни в местном чате, сэкономленный миллион это заработанный миллион.
еще на ИБ в 99 процентов вешают все админские задачи, даже более того, просто на админов дополнительно навешивают задачи ИБ.
 
Цитата

у меня критическая инфа ценна которой ой-ой какая... я даже представить боюсь, что будет если пройзойдет утечка....

Тогда зачем вы Роберт, а не Гость? =)
Утечка произошла...
 
У Роберта есть ценная информация - налетай! =)
 
Автору:

Честно говоря в твоих идеях виден огромный писсемизм...
Неужели ты считаешь, что раз всё так плохо (по твоим рассчётам), то и хрен с ним с безопасностью...
Если ты занимаешься безопасностью, то тебе бы побольше уверенности... Если же нет, то это похоже на то, как преподносят новости по TV... Так же писсемистично, и по каждой причине...

А вообще давай мыслить логично:

1. Не верю, чтобы у тебя не стояло на машине ни одного средства защиты, и оно к тому же ни разу не показывало обнаруженные атаки...
Наверно, тебе, если и нечего защищать, то покрайней мере не хочется чтобы комп навернулся... Я понимаю, что ты скажешь, что средства защиты для персоналки редко покупают=), чаще так сказать используют с :)... Но всё таки ты это делаешь...
Так же и в многих компаниях....

2. Никто не может гарантировать защиту от механизмов, которые ещё не придуманы... НИКОГДА И НИГДЕ... И это факт... Но что на этом складывать голову???...
Каждая уважающая себя большая компания (особенно занимающаяся компьютерными технологиями), хотя и небольшие тоже этим занимаются, формируют целые отделы по ИБ (у маленьких всё попроще=)), и не просто так...  Во-первых это помогает защититься от множества атак, пусть и тривиальных, или давно известных... Во-вторых, если тебе не известно, то защитная система характеризуется не только надёжностью, но и вероятностным временем вскрытия... А пока систему вскрывают, задача успеть поймать взломщика... Или же отследить после... Но отследить...  В-третьих, надо учитывать, что системы взламываются всегда, и главное при этом сколько ты максимально потеряешь... Имея защиту ты можешь сократить вероятность того, что тебя взломают, и что ты потеряешь денег... В-четвёртых, если уж совсем не серьёзно, то борьба умов идёт полным ходом, и будет продолжаться всегда... По аналогии борьбы света с тьмой:)))... Она тоже не скончаема, так что теперь сдаться и ползти на кладбище=)
И главное помнить, они зарабатывают не маленькие деньги, и потерять их будет очень плачевно... И таких "в-N-х" можно продолжать...

Вообщем будь пооптиместичнее...
 
Согласен с автором что любую систему даже самую защищённую можно взломать, но всё зависит от квалификации взломщика. К примеру если дверь открыта то войти может любой желающий, если дверь закрыта то её сможет отрыть начинающий вор, если это дверь железная то её начинающий вор открыть не сможет тут нужна квалификация повыше, если это сейф то его открыть сможет только опытный медвежатник. Поэтому оставлять свой компьютер совершенно без защиты тоже не стоит, что бы хотябы снизить процент вероятного взлома. А вобще компаниям стоит больше обращать внимание на квалификацию IT специалиста и на его зарплату. А то работал я тут на одном заводе, вроде некупили всеких там опаратных брендмаурев, крутых прог поставили по безопасности, а тольку ноль, я там имел нелегальный доступ практически к любому компьюеру, а я далеко не хакер, а так продвинутый юзер. А всё потому что админы были ламеры, да и какой нормальный специалист пойдёт работать за зарплату 200 баксов в месяц.
 
Данная статья является отображением фактического состояния между ИТ и ИБ (причем вне зависимости от места приложения - США, Германия, Швеция, Россия, Украина, Узбекистан... (нужное вписать). В статье изложена классическая точка зрения "автоматизатора" на средства защиты информации и ИБ в целом. Заключается она в том, что занятие ИБ суть вопрос "веры", которая, как известно, не обсуждается ;).
На самом деле автор имеет средства обеспечения безопасности информации и пользуется ими, но он, как классиченский представитель "автоматизаторов" считает, что он эту отрасль знает лучше, чем приходящие с предложениями менеджеры по продажам. Это таки да, но он забывает, что менеджеры не явялются "специалистами по ИБ", а лучшем случае - просто ориентируются в состоянии дел на основе знаний 2-10 продуктов разных компаний. А специалисты по ИБ живут и работают в ином месте, редко доходя до конкретного админа.
Суть конфликта ИТ/ИБ в том, что ИТ признает только те решения, которые "работают" на функциональность, а средства безопасности должны "не мешать". А то, что можно "поставить в моей системе" они и сами знают "лучче всех". При этом подразумевается, что иное мнение - суть ложь, бред или провокация, направленная на "стыренье денег".
Сами по себе ИТ (или как они любят именоваться - админы) ребята грамотные, но в узкой области. Ну не воспринимают они ИБ во всей полноте - не успевают за мыслью и реализациями. Часто считая (анализ основывается на собственном опыте и опыте окружения), что все необходимые меры они приняли, а то что не приняли - излишества, которые следует отнести к классу "тюнинга" системы зеркальцами и цепями 4-х гранного сечения. Только после "аварий", "мошенничеств", "краж" и последующих "разборок" они начинают задумываться и учиться. Кстати, то же самое часто относится и к "спеуциалистам" по ИБ, выпущенных из ВУЗов - эту глину надо месить, варить и обжигать еще как минимум 5 лет, чтобы добиться приемлемого уровня. Учиться надо автору!! (у Лукацкого, Медведовского и пр. "авторитетов")
На самом деле (и это уже стало общим местом ИБ и ИТ неразделимы, НО сама ИТ должна строиться на правилах ИБ для бизнеса). Только вот такие правила в 99% НЕ СУЩЕСТВУЮТ по причине отсуствия у высшего менеджмента нужды в них.
Замечание+: Часто бизнес возглавляют ребята моложые и принимают на работу таких же молодых. При этом и для старого и для молодого менеджмента всякие "заморочки" с ИБ совершенно непонятны по причине твердого подхода: "нас не интересует, как ты это сделаешь, но все должно быть в ажуре!" - в итоге админ становится похожим и на старух, плетущиих нить судеб и местной Сивиллой, откликающейся на "Эй, человек! Два борща, и быстро!", ився ИБ/ИТ/АС... передается в безраздельное владение.  В то время как классика твердит : высшее руководство ОБЯЗАНО участвовать во ВСЕХ ИТ/ИБ мероприятиях.
Страницы: Пред. 1 2 3 4 5 След.
Читают тему