среда, 13 мая 2009 г.

ISSP \ Введение

Некоторое время назад начал на досуге читать книгу Shon Harris “CISSP All-in-One Exam Guide” (подготовка к сдаче экзамена на получения сертификата CISSP). Книга, на мой взгляд, крайне интересная и полезная для любого защитника информации. Несмотря на некоторый имеющийся у меня опыт (все-таки я работаю в направлении ИБ уже около 10 лет), я нашел для себя много интересного и полезного. Рекомендую к обязательному прочтению всем профессионально занимающимся вопросом ИБ и до сих пор не ознакомившимся :)

Однако для тех, кто страдает повышенной тягой к знаниям, но английский пока изучить не успел, я буду выкладывать слегка сокращенный русский перевод книги. Заодно это позволит мне попрактиковаться с английским, что будет не лишним (ведь делать перевод, да еще и более-менее литературный, совсем не то же самое, что просто читать английский текст). Надеюсь что затраченное на перевод время принесет пользу кому-нибудь из коллег и сделает информацию в этом мире чуточку безопаснее :)

Так как чтение представленного в блоге материала без дополнительной подготовки вряд ли позволит сдать экзамен CISSP, то первый раздел моего блога я назову ISSP ;)

Предупреждение:
Если Вы намерены получить сертификат CISSP, представленные в этом блоге части перевода книги
Shon Harris “CISSP All-in-One Exam Guide” ни в коей мере не заменят для Вас чтение оригинала и обучение на подготовительных курсах. Подробнее узнать о сертификации, проведении курсов и экзаменов можно на сайтах RISSPA и Микроинформ.

9 комментариев:

Вячеслав К. комментирует...

Дима, ты ли это??)

eagle комментирует...

Я :)
Велкам!

Анонимный комментирует...

Все средства безопасности работают в силу глупости и неразвитости юзерской массы. Goldpsy
з.ы. Автору респект =)

Анонимный комментирует...

Хорошее начало. Очень хороший блог, достойный настоящего специалиста по ИБ.
milovidoff

eagle комментирует...

Средства безопасности должны как раз минимизировать ущерб, являющийся следствием влияния человеческого фактора ;) А в остальном сильную поддержку в данном вопросе оказывает кадровая политика и корпоративная культура компании...

Анонимный комментирует...

To GoldPsy:
Развитость юзерской массы - это утопическое понятие. Этого никогда не будет. Поэтому у нас всегда будет работа.
P.S. Дима привет. Блог отличный. Будем образовываться. =)

Илья Г.

eagle комментирует...

To Илья, GoldPsy:
Юзеры - это тоже люди... А значит они подвержены влиянию. А здесь написано, как на них надо влиять: http://dorlov.blogspot.com/2009/06/issp-01-12.html

Идея в том, чтобы они действительно поняли, что соблюдение хотя бы базового набора элементарных правил безопасности поможет им самим. Именно им.

А чтобы они это поняли, нужно их учить и мотивировать. А без поддержки руководства это невозможно.

Вобщем вывод такой - эффективно влиять на пользователей можно и нужно. Но компания (а в первую очередь ее руководители) должны до этого дорасти... А когда навести порядок захочет топ-менеджмент, а не какие-то безопасники, многое сразу встанет на свои места ;)
Первый домен CISSP-а как раз об этом.

Вячеслав К. комментирует...

Любой безопасник должен обладать смачным банхаммером))) В этой стране иной подход с большой вероятнотью обречен на провал. Чтобы обладать банхаммером нужно убедить в этом руководство, тогда в принципе и будет счастье)) Опять Дима прав))
П.С. Блог шикарный, монументальный) В принципе по этому автора и опознал)))

eagle комментирует...

Друзья мои! Дифирамбы - вещь прекрасная. Но давайте чуточку конструктивнее :)

Попробуйте вот лучше на вопросы ответить http://dorlov.blogspot.com/2009/06/issp-01_23.html

Помню, как я, просмотрев по диагонали первый домен и думая, что уж в этой-то теме я хорошо разбираюсь, сразу стал отвечать на вопросы... Вобщем едва 60% набрал...

To Вячеслав К.:
Знаешь, Слава, а вот я, пожалуй, с тобой не соглашусь... ;) Я последнее время склоняюсь к мысли, что убеждать руководство - бесполезно. Оно само должно дорасти и понять, что безопасность дает бизнесу уверенность в завтрашнем дне. Не больше и не меньше. И если владельцы хотят получать стабильную прибыль (а топы - стабильные бонусы) и иметь представление какие максимальные убытки они могут понести в короткой перспективе, им нужна безопасность. Именно им. Они должны понять, что в обеспечении безопасности их роль - ключевая. Что им нужно теперь работать по-другому, в чем-то немного усложнить свою жизнь, переделать работу всей компании... Внешними воздействиями мотивировать их на это, имхо, архисложно...

Безопасник должен обязательно понимать, как работает бизнес компании, как думают руководители, что для них важно. Если он все это понимает, и может представить свои предложения в бизнес-терминах - шанс есть. А если нет, то и шансов тоже нет.
Вспоминается мой первый тендер, на закупку софта по безопасности... Сумма была небольшая, особых проблем не предвиделось. Я рассказал вкратце, что такое, зачем это нужно. Но вот фин.директор возьми, да и спроси - а зачем нам это нужно? Я поехал по второму кругу, какая это классная и важная вещь, но он меня тормознул и говорит - "ты не понял, я спрашиваю, зачем это нужно банку, а не вашей безопасности? почему, если мы купим это сейчас, мы сэкономим что-то в будущем? мы разве что-то теряли в прошлом?"... И я понял, что он прав. Мне нечего было сказать. Общаться на таком уровне я был не готов. Я что-то пробубнил, но сумма действительно была небольшая и он махнул рукой и все согласовал. :)
Вечером того дня я стал потихоньку учить экономику... ;)