Показать сообщение отдельно
Старый 23.02.2009, 07:38 Вверх   #12
cybercop
Эксперт
MVP Consumer Security

 
Аватар для cybercop
 
Киев
Сообщения: 190
Репутация: 34
Пол: Мужской
По умолчанию

Цитата:
Сообщение от garran Посмотреть сообщение
1. А я и не вел речь ни об ИТ-отделе, ни об отделе ИБ. Повторю свою фразу:
"Если кто полагает, что к функциям СА относятся и разработка и реализация политики ИБ в предприятии то, IMHO, сильно ошибается."
Это раз. А два:
"... коль скоро предприятие заинтересовано в некой политике ИБ то должны формулироваться некие цели ИБ и задачи реализуемые этой политикой."
Попытаюсь еще раз прояснить свою мысль:
Первично - заинтересованность предприятия в ИБ. Для этого, как минимум, должно присутствовать осознание необходимости в ИБ. Далее - оценка знАчимости этого вопроса и потребностей предприятия, выработка политик и т.п. Во многих случаях, на предприятиях с продвинутой реазизацией политик ИБ работа СА в этой части абсолютна тупа - выполнять некие требования и условия. И в этом, ИМХО, замечательный позитив.
СА заинтересован в эффективной работе той части ИТ инфраструктуры, за которую он отвечает. Не более.
Да, можно говорить о том, что существуют угрозы внешнего влияния на работоспособность этой инфраструктуры, особенно при условии активного телеком взаимодействия с внешней средой. Но подразумевает ли наличие таких угроз обязанность для СА самостоятельно разрабатывать и реализовывать элементы ИБ ? На практике мы видим что да. И, опять же на практике, я вижу что чем в большей степени этот вопрос интересует только СА - тем меньше шансов иметь хоть сколько-нибудь реальную защищенность.
Можно много говорить о небольшом бизнесе, о невозможности значительных вложений в ИБ ... но можно и строить политику ИБ исходя из имеющихся возможностей. Для этого нужно всего лишь подумать... например, стоит ли на единственный не личный ПК использовать в качестве сервера СУБД, сервера приложений, прокси- принт- и файл сервера одновременно

2. Не в курсе
На самом деле, в чем-то вы правы, в чем-то я не соглашусь с вами.
Самостоятельно СА не имеет права разрабатывать то что относится к безопасности, впрочем, как и вообще НИЧЕГО!
Разработка идет ведь согласно некоторых правил. В случае ИБ согласно политики безопасности. А это уже уровень не СА, верно?
И вообще, пора понмать, что есть СА, который обязан строго следовать правилам и есть то что назывется на Западе SЕ (системный инженер, системный архитектор, назовите как хотите), который и определяет вместе с службой ИБ как и куда мы развиваемся, а СА просто выполняет то о чем ему приказано. Я понимаю, что для маленьких предприятий это не реально. Но тут функции и службы ИБ и SE должен брать на себя внешний фактор, т.е. обслуживающая фирма. Но это на мой взгляд. А СА будет просто заниматься поддержкой сети и пользователей. Это не более чем квалифицированнный рабочий. И не нужно начинать меня ругать. Просто задумайтесь и вы поймете что я прав
Для того чтобы продумывать ИТ и ИБ стратегию у него нет ни знаний, ни квалификации ни опыта. И это ФАКТ!
__________________
MVP Consumer Security
Microsoft Security Trusted Advisor
cybercop вне форума   Ответить с цитированием