Некоторое время назад начал на досуге читать книгу Shon Harris “CISSP All-in-One Exam Guide” (подготовка к сдаче экзамена на получения сертификата CISSP). Книга, на мой взгляд, крайне интересная и полезная для любого защитника информации. Несмотря на некоторый имеющийся у меня опыт (все-таки я работаю в направлении ИБ уже около 10 лет), я нашел для себя много интересного и полезного. Рекомендую к обязательному прочтению всем профессионально занимающимся вопросом ИБ и до сих пор не ознакомившимся :)
Однако для тех, кто страдает повышенной тягой к знаниям, но английский пока изучить не успел, я буду выкладывать слегка сокращенный русский перевод книги. Заодно это позволит мне попрактиковаться с английским, что будет не лишним (ведь делать перевод, да еще и более-менее литературный, совсем не то же самое, что просто читать английский текст). Надеюсь что затраченное на перевод время принесет пользу кому-нибудь из коллег и сделает информацию в этом мире чуточку безопаснее :)
Так как чтение представленного в блоге материала без дополнительной подготовки вряд ли позволит сдать экзамен CISSP, то первый раздел моего блога я назову ISSP ;)
Предупреждение:
Если Вы намерены получить сертификат CISSP, представленные в этом блоге части перевода книги Shon Harris “CISSP All-in-One Exam Guide” ни в коей мере не заменят для Вас чтение оригинала и обучение на подготовительных курсах. Подробнее узнать о сертификации, проведении курсов и экзаменов можно на сайтах RISSPA и Микроинформ.
Дима, ты ли это??)
ОтветитьУдалитьЯ :)
ОтветитьУдалитьВелкам!
Все средства безопасности работают в силу глупости и неразвитости юзерской массы. Goldpsy
ОтветитьУдалитьз.ы. Автору респект =)
Хорошее начало. Очень хороший блог, достойный настоящего специалиста по ИБ.
ОтветитьУдалитьmilovidoff
Средства безопасности должны как раз минимизировать ущерб, являющийся следствием влияния человеческого фактора ;) А в остальном сильную поддержку в данном вопросе оказывает кадровая политика и корпоративная культура компании...
ОтветитьУдалитьTo GoldPsy:
ОтветитьУдалитьРазвитость юзерской массы - это утопическое понятие. Этого никогда не будет. Поэтому у нас всегда будет работа.
P.S. Дима привет. Блог отличный. Будем образовываться. =)
Илья Г.
To Илья, GoldPsy:
ОтветитьУдалитьЮзеры - это тоже люди... А значит они подвержены влиянию. А здесь написано, как на них надо влиять: http://dorlov.blogspot.com/2009/06/issp-01-12.html
Идея в том, чтобы они действительно поняли, что соблюдение хотя бы базового набора элементарных правил безопасности поможет им самим. Именно им.
А чтобы они это поняли, нужно их учить и мотивировать. А без поддержки руководства это невозможно.
Вобщем вывод такой - эффективно влиять на пользователей можно и нужно. Но компания (а в первую очередь ее руководители) должны до этого дорасти... А когда навести порядок захочет топ-менеджмент, а не какие-то безопасники, многое сразу встанет на свои места ;)
Первый домен CISSP-а как раз об этом.
Любой безопасник должен обладать смачным банхаммером))) В этой стране иной подход с большой вероятнотью обречен на провал. Чтобы обладать банхаммером нужно убедить в этом руководство, тогда в принципе и будет счастье)) Опять Дима прав))
ОтветитьУдалитьП.С. Блог шикарный, монументальный) В принципе по этому автора и опознал)))
Друзья мои! Дифирамбы - вещь прекрасная. Но давайте чуточку конструктивнее :)
ОтветитьУдалитьПопробуйте вот лучше на вопросы ответить http://dorlov.blogspot.com/2009/06/issp-01_23.html
Помню, как я, просмотрев по диагонали первый домен и думая, что уж в этой-то теме я хорошо разбираюсь, сразу стал отвечать на вопросы... Вобщем едва 60% набрал...
To Вячеслав К.:
Знаешь, Слава, а вот я, пожалуй, с тобой не соглашусь... ;) Я последнее время склоняюсь к мысли, что убеждать руководство - бесполезно. Оно само должно дорасти и понять, что безопасность дает бизнесу уверенность в завтрашнем дне. Не больше и не меньше. И если владельцы хотят получать стабильную прибыль (а топы - стабильные бонусы) и иметь представление какие максимальные убытки они могут понести в короткой перспективе, им нужна безопасность. Именно им. Они должны понять, что в обеспечении безопасности их роль - ключевая. Что им нужно теперь работать по-другому, в чем-то немного усложнить свою жизнь, переделать работу всей компании... Внешними воздействиями мотивировать их на это, имхо, архисложно...
Безопасник должен обязательно понимать, как работает бизнес компании, как думают руководители, что для них важно. Если он все это понимает, и может представить свои предложения в бизнес-терминах - шанс есть. А если нет, то и шансов тоже нет.
Вспоминается мой первый тендер, на закупку софта по безопасности... Сумма была небольшая, особых проблем не предвиделось. Я рассказал вкратце, что такое, зачем это нужно. Но вот фин.директор возьми, да и спроси - а зачем нам это нужно? Я поехал по второму кругу, какая это классная и важная вещь, но он меня тормознул и говорит - "ты не понял, я спрашиваю, зачем это нужно банку, а не вашей безопасности? почему, если мы купим это сейчас, мы сэкономим что-то в будущем? мы разве что-то теряли в прошлом?"... И я понял, что он прав. Мне нечего было сказать. Общаться на таком уровне я был не готов. Я что-то пробубнил, но сумма действительно была небольшая и он махнул рукой и все согласовал. :)
Вечером того дня я стал потихоньку учить экономику... ;)