вторник, 9 июля 2013 г.

Антисистемность в отрасли

   Если кто уже успел ознакомиться с ISC2 CBKv3 (вышел в конце 2012), то заметил что родовая болезнь информационной безопасности пока никуда не делась. Она зародилась в тот день, когда червь Моррис бессмысленно и беспощадно атаковал сети США. В ответ ему были предприняты такие же хаотичные действия, вызванные испугом и паникой. В итоге мы получили первый CERT, т.е. набор экспертов пытавшихся защититься от конкретной угрозы и уязвимостей.

   Вроде бы прогресс, но почему то пошел он с конца. Т.е. вместо реализации федеральной программы безопасности, с конкретными требованиями, механизмами контроля и метриками эффективности получилась команда "пожарников" (к слову, США все таки реализовали эту идею, но лишь в 2002 - акт FISMA, т.е. 14 лет спустя).
   И эта родовая болезнь (назовем ее "антисистемность") до сих пор не искоренена. Почему в ISO 27001\2 указаны именно такие процессы? Почему вместо системных НИРов в свое время ФСТЭК просто перевел Оранжевую книгу? Почему вместо классических people, process, product & partner мы наблюдаем кашу в интеграторских головах презентациях о комплексных решениях ИБ?..
   В ИБ не видно научно выведенных методологий, очень мало действительно общепринятых стандартов и проблема с системностью в целом. Поэтому предлагаю каждого следующего кандидата на вакансию спросить - а что у вас в вузе было по логике?... Глядишь, через улучшение человеческого потенциала и прибавится порядка хотя бы в российской части отрасли;)

Комментариев нет:

Отправить комментарий