среда, 3 июля 2013 г.

WHO AM I? или осознание своего места в мире ИБ.


На написание этого поста меня сподвиг заданный недавно вопрос, - А вот если ты уедешь из России, чем будешь заниматься?. И я задумался... А, действительно, чем? Поступая в университет на кафедру информационной безопасности в моей голове рисовались яркие картины из фильмов про хакеров, шпионов, црушников и прочей ерунды американского кинематографа.


Учась в университете я долго метался от одной темы к другой и в итоге понял, что мне интересны 2 темы, это техническая защита информации и документационное обеспечение ИБ. Если первое у нас больше связано с государственными организациями и слабо распространено, то второе встречается сплошь и рядом. Итак, в настоящее время я в основном занимаюсь написанием нормодоков по разным темам (СТО БР, ПДН, НПС, 27001 и так далее). Постепенно пришло осознание того, что основной моей функцией стала не защита информации, нет-нет, а защита различных организаций от бредовых требований различных опусов, выпущенных нашими бравыми регуляторами. Никого не волнует, что написано в документе, всех волнует, что бы в случае, если к ним придут, до них не докопались. Встречаются редкие экземпляры, которые пытаются именно защищать информацию а не защищаться от назойливых комаров, но это скорее исключение из правил. Тяжелое наследие ГТ и люди, которые на ней выросли, не дают развиваться направлению ИБ в нормальном русле, основанном на оценке рисков организации. Это все похоже на раковую опухоль, которая не только сама отравляет организм но и дает метастазы в виде сидящих везде бывших, которые кроме зашитой в голову установки ничего выдать не могут. Все сводится к возможности "решать вопросы", защита информации никого не волнует. Можно долго разглагольствовать на данную тематику, можно ставить в пример недавние приказы нашего любимого регулятора, которые, вроде как, разрабатывались при участии "экспертов", но вылились в виде "Родила царица в ночь Не то сына, не то дочь; Не мышонка, не лягушку, А неведому зверюшку»". В итоге, для решения этой проблемы необходимо принимать жесткие меры. Я понимаю, что это утопия, но первое, с чего надо начать, это снять с ФСТЭК функции регулятора по защите информации и предать их организации, не имеющей такого тяжелого наследия из бывших. Второе, это запретить брать бывших на посты, связанные с развитием ИБ, тк дворник оттуда, тоже бывший). Разрабатывать политику развития отрасли ИБ в стране должны люди с профильным образованием, богатым опытом работы в различных организациях и тд. а не чекисты с продажниками.

2 комментария:

  1. Вообще постепенные улучшения есть - и со стороны регуляторов - уход от старых требований к СЗИ, написанных еще Гостехкомиссией, в сторону 15408, распространение 27001 и других международных стандартов. И со стороны заказчиков - я всё чаще сталкиваюсь с ситуациями, когда безопасники интересуются реальными функциями СЗИ, а не бумажками ФСТЭК, и требуют проектирование реальной защиты.
    Но весь этот процесс очень медленный, что печалит.

    ОтветитьУдалить
    Ответы
    1. Иван, ну старая гвардия уходит на пенсию, а новая понимает, что не все ГТ) Но это так) крик души). На счет улучшений согласен, иначе все было бы совсем печально.

      Удалить