Tags: Рабочее

tupaya

Покупайте наших слонов...

Уже завтра вечером я буду рассказывать про информационную безопасность. :)
И на сей раз не студентам, а, надеюсь, более заинтересованной аудитории.
И у вас есть возможность к ней присоединиться. ;)

О чем мы будем говорить?
•Что такое «информационная безопасность» и чем она отличается от «защиты информации». Для чего необходимо обеспечивать информационную безопасность, как правильно определить цели этой деятельности.
•Значение информационной безопасности. К чему может привести незащищенность информационных ресурсов и как найти «золотую середину» между их защитой и удобством использования.
•Что такое система обеспечения информационной безопасности, значение системности в процессах защиты информации. Взаимосвязь стадий создания системы обеспечения информационной безопасности и жизненного цикла защищаемого объекта.
•Основные вопросы, которые стоят перед разработчиком систем обеспечения информационной безопасности: «что защищать?», «от чего защищать?», «как защищать?».
•«Что защищать?» — основные виды защищаемых информационных ресурсов, объекты защиты.
•«От чего защищать?» — основные виды угроз, модель угроз и ее назначение, принципы формирования организационных и технических требований к системе обеспечения информационной безопасности для информационных систем.
•«Как защищать?» — рассмотрение основных направлений основных направлений защиты, состав подсистем комплексной системы обеспечения информационной безопасности.

Подробности и регистрация тут.
katana

"В интернете вся правда написана!"

Пока прогрессивная общественность борется за права толстячков быть непонятыми эльфами, я в очередной раз впадаю в когнитивный диссонанс от отсутствия когнитивных способностей у большинства людей.
Нет, толстячки тут вовсе ни при чем, на сей раз меня "приподняло и подбросило" в профессиональной сфере.
В минувший четверг я посетила конференцию "Актуальные вопросы защиты информации".
Мероприятие сие было интересно и многочисленно, в основном потому, что организаторами и значительной частью докладчиков были представители "регуляторов". Ну есть у нас такая Федеральная служба по техническому и экспортному контролю, которая генерит бОльшую часть нормативных документов, рассказывающих нам, простым смертным о том, как правильно защищать информацию.
Докладчики от ФСТЭК рассказали о том, какие документы они собираются выпустить, как пользоваться теми, что они уже успели навыпускать и ответили на массу, гм... странных вопросов.
Меня еще при чтении программы конференции позабавил тот факт, что большинство их докладов было на темы типа "типичные ошибки, допускаемые при...". Ну то есть, видимо, у товарищей накипело. И я таки могу их понять!
В частности, зал с удивлением воспринял тот факт, что если вы пишете документ под названием "Модель угроз", то, оказывается, там надо описывать только угрозы! А не требования и меры по защите! Сюрпра-а-айз! Причем, судя по репликам, доносившихся из задних рядов, для многих сей факт реально стал откровением. Равно как и то, что если ты анализируешь угрозы для какого-то объекта/информационной системы, то будь добр - напиши краткое описание этого объекта/системы. Краткое! А не "Ну иногда нам присылают отчеты об обследовании на 500 листов... Мы их, конечно, тоже прочитаем...".
Когда же зал начал задавать вопросы, то у меня сложилось полное ощущение, что вокруг сидит 300 человек моих студентов. Потому как на подавляющее большинство их вопросов можно было дать два универсальных ответа: "Я только что об этом говорил(а) в докладе" или "Когда читаете документы, то читайте их целиком. Все слова, которые там написаны. Вообще все. Каждое. А не только те, которые вам кажутся важными/понятными". Я вообще искренне поразилась терпению докладчиков и ведущего конференции, который спокойно отвечал в пятый раз "Нет" на вопросы "А обязательно с вами согласовывать документы? А если заказчик хочет? А если вышестоящая организация хочет? А модель угроз тоже не надо? И техническое задание не надо? А у нас потом лицензию не отнимут?" и далее в таком же ключе.
Впрочем на вопросе какого-то представителя "пишущей братии" - вот не запомнила наименовании журнала - даже "чекистская выдержка" подвела, потому как это чудное создание даже в формулировке вопроса умудрилось дважды наврать исказить информацию, которую вот буквально несколько минут назад услышало в докладе.
Но доконало меня, собственно, даже не это!
Среднестатистический срез аудитории из 300 человек в общем-то и не предполагает досконального знания и умения применять положения нормативных актов.
НО!
Помимо некоего среднестатистического участника/слушателя там присутствовало некоторое количество "признанных экспертов". Ну то есть я не знаю, кто именно и каким образом их признавал, но эти господа, как правило, довольно активно консультируют, проводят семинары и... "барабанная дробь" - ведут тематические блоги!
И вот тут начинается полнейшая феерия идиотизма!
Потому что соединение классического "Рабинович напел" и "в интернете же вся правда написана" приводит к тому, что некто не будем показывать пальцем, хотя это был мой коллега читает в авторитетном для него блоге высказывание типа "ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды". и начинает нести эту херню в массы. На резонный вопрос "WTF??" получаем гениальный ответ "Ну это сказали в устной форме на конференции!". Нет, ну если бы меня там не было, я бы может посомневалась чуть дольше - ну ровно столько, чтобы хватило переварить всю правовую бредовость фразы "зарегистрированный в юстиции договор". Но засада в том, что я там была и слушала ушами и смотрела глазами. Своими. Ну и еще немного шевелила мозгами. Тоже, о ужас, своими. И могу с полной уверенностью утверждать, что ничего подобного озвучено не было.
А на просьбу "пруфлинка" на официальный документ получаем... правильно - ссылку все на тот же "авторитетный блог"!
Не, ну я понимаю, что мое мнение против авторитетного блоггера не канает. Равно как и мнение еще минимум одного присутствовавшего там же специалиста, также сильно удивившегося выводам. И, честно говоря, меня это не сильно беспокоит, т.к. не затрагивает моей непосредственной деятельности. Затронуло бы - разговор был бы иным. Тут же мне было просто любопытно.
И вот эта вот тенденция "в интернете же написано" она меня просто искренне поражает! Сами не слышали, документы не читали, но - это же ВАСЯ и ВАСЯ сказал! Это феерично, господа... Зачем читать первоисточники, т.е. нормативные документы (а на месте их разработчиков я бы задалась и вопросом, зачем их вообще писать), если с одной стороны есть масса "толкователей священного писания", а с другой - еще более многочисленная "армия" тех, кто жаждет их великих откровений... И откровения не замедляют появляться, адепты - претворять их в жизнь, а "регуляторы" хвататься за голову от "нам консультанты сказали, что если мы не хотим разрабатывать модель угроз, то нужно просто признать актуальными их ВСЕ..."
А выводов, как обычно, не будет...
katana

Свобода слова...

Так получилось, что на работе мне платят за то, что я умею читать и писать. :)
Ну и еще немножко думать. Но читать и писать - это все же основное.
Читаю и пишу я нормативные и технические документы. Читаю - законы, указы, стандарты. Пишу - "локальную" нормативку для отдельных контор и систем.
И вот, положа руку на рабочий мозоль на филее сердце, могу сказать, что не считаю эту деятельность чем-то, требующим большого напряжения ума. Задницы, глаз и рук - да. Но для того, чтобы транслировать нормы одного документа в другие, особо думать не надо. Надо уметь найти нужную информацию, вычленить то, что нужно конкретно тебе, и дальше работа превращается в механическую.
Чуть сложнее с техническими текстами и с теми, где нужно описать "своими словами" какой-то процесс или последовательность действий. Но в целом тоже невелика проблема.
И до недавнего времени я была практически уверена, что выполнять данную работу может любой человек, закончивший среднюю школу. Потому что читать и писать учат именно там.
Но... Да-да, как всегда оно - "но"... :)
В последнее время я действительно начинаю понимать, за что мне платят деньги.
Потому что сталкиваюсь с каким-то тотальным неумением, во-первых, излагать свои мысли, а во-вторых, читать то, что написано в "чужих" текстах.
Давайте по пунктам...
1. Неумение найти нужную информацию, что-то из серии старого анекдота, где "на "Ф" только фуфайка и флаг". Причем сейчас уже, например, совершенно четко видно, что интернет-поисковики подстраивают свои алгоритмы под это неумение, выдавая не прямой ответ на запрос, а "ассоциативный". Попробуйте как-нибудь на досуге поискать тем же яндексом какую-нибудь стихотворную цитату не из "классиков"...
2. Неспособность воспринимать сложные предложения и объемные тексты - "я не читал этот закон, я начал, но он слишком большой и там предложения длинные".
3. "Выбрасывание" из читаемого текста "лишних слов" - "а что, "функции защиты информации" и "функции службы защиты информации" - это не одно и то же?" - как логичное следствие предыдущего пункта.
4. Аналогичное "сокращение" того текста, который пишется - предложения, описывающие, что должен делать тот или иной субъект, без указания этого субъекта, а зачастую и содержания действия. Т.е. вместо, например, "Секретарь передает документ работнику под подпись" мы получаем "Передает документ". Все. Точка. На вопрос о том, почему так сократили "басню" - полный недоумения взгляд и: "Ну и так же понятно!".
5. Использование нереального количества сокращений. Причем одно и то же слово может на разных страницах одного документа сокращенно именоваться в трех разных вариантах. Перечень сокращений с расшифровками? См. п.4.
6. "Реквизиты документа"? А что это? Не, не слышали - "Почему я не могу написать "утверждаю" посередине страницы рядом с названием? Так же красиво!".
7. Обычная банальная и уже практически привычная безграмотность - "специалистов, имеющие", "документы, относящихся", "бесперебойный питальник" и прочая, и прочая.
Ну то есть полная свобода слова - что хочу, то и несу. А если кто-то меня не понимает, то это не мои проблемы.
P.S. Пока писала этот пост прислали замечания из учебно-методического управления родного ВУЗа по программе читаемого мной курса. Замечания следующие: "Компетенции не соответствуют. Семестр не соответствует". Все. Точка. Чему не соответствует? Ответ очевиден: "И так же понятно!". Пойду выяснять, что именно мне понятно...
tupaya

Занимательная палеонтология...

В нашем доме, то есть офисе, вот уже где-то с месяц как поселился "замечательный сосед", он же Вася, он же алКозавр.
Вася анфас:
image
Вася в профиль
image
Еще у Васи есть длинный хвост, но хвост ни в один из кадров не влез.
Кто и зачем привез и смонтировал Васю - загадкО, хотя все подозревают корейцев. :))
tupaya

Всяческие небезопасные интернетики...

Натыкаясь в очередной раз на разнообразные дискуссии типа "нашу электронную переписку читают спецслужбы!", "у меня взломали пароль "1111"!" и тому подобное, все больше склоняюсь к мысли, что уже настал тот момент, когда для того, чтобы людей допускать к работе со "всяческими интернетиками", необходимо обязать их проходить обучение в неком аналоге автошкол, но по компьютерной грамотности и безопасности. И только после получения "прав" выпускать в интернетики.
Потому что большая часть народу сейчас, сами того не понимая, рьяно воплощают в жизнь принцип "навреди себе сам".
И ключевое слово здесь - "не понимая". Получая по-сути в свои руки ядрёную бомбу программное средство повышенной опасности, все радостно пользуются предоставляемыми им удобствами и преимуществами, совершенно не задумываясь о возможных опасностях. До первого жареного петуха. А уж каким он будет - пропавший файл с важным отчетом или пропавшие "миллионы" с банковской карточки - ну это уж как повезет.
У меня это невольно вызывает ассоциации с впервые севшим за руль автолюбителем, выехавшим на скоростную магистраль и несущемся по ней с радостной улыбкой - до первого столба.
Но вот если пример с автомобилем нагляден, то с компьютерами все более абстрактно. А с абстрактным мышлением в нашем мире аквариумных рыбок ой, печалька...
А учитывая, как настырно и неспросясь информационные технологии влезают во все сферы нашей жизни, это уже беда-печаль прямо-таки...
tupaya

И снова про работу...

- А я - вишенка! А я - яблочко! А я - томат!
- А я - дол-бо-еб...
- Мальчик !!! Повторяю, ты - бак-ла-жан!!!
- А я - вишенка! А я - яблочко!
- А я - баклажан!
- Мальчик!!! Ты долбоеб!!! Сначала идет томат!!!


Если вместо "баклажан" подставить, например, "руководитель проектов", то будет в точности оно...