Давно заметил, что война борьбы и снаряда в информационной безопасности по сути завершена. Это касается не только российских бюджетных учреждений, не только объектов КИИ, а частных контор в том числе. При этом так во всём мире.
Есть сертификации. Они сложные, они требуют больших денежных вложений, требуеют аудита от сторонних фирм. Это здорово, но именно технических защит по колличеству очень много, но по качеству слабо связаны с безопасностью реальной. И точно не гарантируют отсутствие взлома. Зато бумажных документов, которые должен вести информационный безопасник дофига.
И вот бумажки и выполнение по инструкции значительно важнее, чем какая то реальная безопасность. Если будет инциндент, который перерастёт в дело, вас допросит следователь и передаст запросы экспертам. Эксперты целиком ориентируются по тому было всё выполнено по инструкциям или нет. При этом бумажные инструкции значительно легче проверять, поэтому сайт защищённый по бумагам значительно важнее, чем сайт защищённый электронно, например.
Очень важный момент (слухи), что от многих организаций прямо требуют давать полный доступ к данным или сливать данные на определённые адреса. Что как бы "анонимность" данных сводят на нет. Куда сливаете, кто потом это видит -- вы не знаете.
Результат.
Очень частые новости о взломе. Со стороны они подчас кажутся дикостью. Ничего не обнолялось, ничего не закрывалось, пароли на доступ простые, пароли пользователей не зашифрованы. Но по факту все инструкции выполнялись и для специалистов по ИБ последствий чаще всего нет.
Вопрос.
Я прав или нет? Может вы знаете множество гос. фирм и частников, которые наоборот вкладывают кучу денег в аудиты и требуют именно реальную безопасность, а не соблюдение бумажной безопасности?
Борьба брони и снаряда в ИБ
Модератор: Модераторы разделов