?

Log in

No account? Create an account

Previous Entry | Next Entry

Защита информации на 80% сводится к защите конфиденциальности. Однако конфиденциальность защитных мер обычно играет против конфиденциальности данных. Ибо чаще всего покрывает бардак; иногда – опасный для жизни. Один из инсайдеров, видимо, отчаявшись преодолеть бардак в рамках субординации, вынес сор из избы: рассказал общественности, как хреново обстоят дела с ИБ на предприятии, изготовливающем ядерное топливо.

Некоторые демагоги употребляют фразу "нехорошо считать деньги в чужом кармане". Но вся теория и практика государственного строительства утверждает обратное: ради обложения установленными налогами можно хоть куда, в самые интимные места залезть и всё там пересчитать. Другие демагоги пытаются объявить мероприятия по информационной безопасности внутренним делом предприятия. Дадим правым оппортунистам решительный отпор! Защита на опасном производстве – никак не внутреннее, а очень даже всенародное дело. Рискуем-то мы все.

Впрочем, совсем безопасных производств в наше время не бывает.

Никто из прокомментировавших эту утечку на Хабре не умеет смотреть на факты системно. А мы – посмотрим. Дело, конечно же, не в Винде. И не в дешёвых кадрах. Информационной безопасности там нет, потому что её не заказывали. Очевидно, что ИБ попросту отсутствовала в техзадании. Ну и кто же её будет делать? Нет заказа, нет ассигнований, нет спроса – не будет и результата. Это был epic fail не айтишников, даже не менеджеров. Виновен тот, кто не выделил бюджет и не отдал приказ включить в проект средства защиты информации.

Comments

( 15 comments — Leave a comment )
pascendi
Nov. 20th, 2010 03:55 pm (UTC)
Защита информации в России действительно на 80% сводится к защите конфиденциальности.

А должна -- на 75% сводиться к защите целостности и доступности.

Кстати, в упомянутом Вами случае наибольшие риски -- как раз в области целостности и доступности.
infowatch
Nov. 20th, 2010 04:03 pm (UTC)
Ну, что ж. Конфиденциальность целостности - тоже зло.
swan_lj
Nov. 20th, 2010 04:16 pm (UTC)
Вот интересный вопрос...
Конфиденциальной информацией называют ту "разглашение которой может принести ущерб" и чем больше ущерб тем типа она конфиденциальней...
Я не участник группы "12 обезьян" но задумываюсь о природе такого подхода...

1 - разглашение само по себе может принести ущерб ?
2 - может быть ущерб нанесет не разглашение информации а использование информации при устранении недостатков которые открываются с ее раскрытием...?

Куда проще (а проще ли?) скрыть недостаток чем его устранить...
infowatch
Nov. 21st, 2010 02:19 am (UTC)
Иногда можно и скрыть. А можно - сделать информацию трудноиспользуемой, неликвидной. Тогда и посягательств не будет.
arkanoid
Nov. 20th, 2010 06:27 pm (UTC)
Позволю себе не согласиться. Проблема в том, что там с IT натуральнейший ад вообще, а ИБ -- частный аспект. Ну включили бы. Поставили бы "сертифицированное средство от утечек по электромагнитным каналам Упырь-Ы", антивирус без обновлений и фаервол в режиме маршрутизатора. Под шумок бы попилили и откатили, сколько надо. И все.
infowatch
Nov. 21st, 2010 02:24 am (UTC)
Уважаемый Арканоид смешивает две проблемы: отсутствие подсистемы безопасности и коррупционный подход к построению ИТ (ИБ). Обе они имеют место. Но отказываться браться за одну из них, ссылаясь на вторую - это неконструктивный подход.

Если уж совсем никак не сдвинуть с места, то лучше обойтись без компьютеров вообще - управлять как управляли в 1960-е.
arkanoid
Nov. 21st, 2010 12:19 pm (UTC)
Я видел много компаний, где ИБ не выделяется в отдельную сущность, оставаясь полностью на совести ИТ и у которых все, конечно, неидеально, но более-менее в рамках здравого смысла. А вот отсутствие здравого смысла, и самое главное -- мотивации делать что-то им руководствуясь, ничем не исправишь, потому что рыба гниет с головы.
(Deleted comment)
(Anonymous)
Nov. 21st, 2010 06:05 am (UTC)
"А не ёбнет?"
golomidov.blogspot.com
Nov. 22nd, 2010 04:53 am (UTC)
"Не должно" http://infowatch.livejournal.com/170598.html?thread=2611558#t2611558
(Anonymous)
Nov. 21st, 2010 11:12 am (UTC)
> Очевидно, что ИБ попросту отсутствовала в техзадании.

Убили напрочь. Еще скажите, что название "АтомЗащитаИнформ" никогда не слышали. Уж кто-кто, а головная организация по обеспечению ИБ атомпрома такцб сироку бюджета. А что результат такой - так про проблемы в консерватоии всем давно известно.
infowatch
Nov. 21st, 2010 11:21 am (UTC)
"АтомЗащитаИнформ"? Первый раз слышу про сие богоугодное заведение. И этот факт о многом говорит.
golomidov.blogspot.com
Nov. 22nd, 2010 04:52 am (UTC)
Сдаётся мне, что вы недооцениваете всё же состояние ИБ на указанном предприятии. Т.е. вы, как обычно, проблему подняли, действительно, существующую, но к данному случаю, я считаю, неприменимую.
Далее мои предположения. "Инсайдер" этот, скорее всего, обиженный вовсе не отсутствием справедливости в мире, а иными, более приземлёнными фактами типа недооценённости его, такого классного. А классность его очевидна - настройка вверенной ему системы, действительно, поражает. Дальнейшие его повествования предлагаю читать с учётом этой точки зрения.
infowatch
Nov. 22nd, 2010 06:51 am (UTC)
Обиженный или не обиженный - а факты весьма красноречивые. Думаете, он преувеличивает? Даже если так, ситуация всё равно опасная.
sergey_cheban
Dec. 5th, 2010 06:19 pm (UTC)
Не удивлюсь, если помимо информационно-компьютерной составляющей, у них найдётся и чисто механический рычаг или вентиль, переключив который не вовремя, можно устроить второй Чернобыль. И автологон везде именно потому, что при наличии рычага секретить пароли бессмысленно.
perepertoz
Nov. 22nd, 2010 10:09 am (UTC)
и этих тоже в обиженных записывайте ;)
http://habrahabr.ru/blogs/infosecurity/108464/#comment_3436382
( 15 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow