Почему не стоит ничего ждать от Стратегий и Доктрин ИТ и ИБ?

Аватар пользователя alukatsk
Автор: Лукацкий Алексей, Cisco Systems
(33)
()
Пока специалисты, выйдя из отпусков и выходных, разбирается в WannaCry (вот тут можно про это более подробно почитать), решил я опубликовать философскую заметку. В продолжение темы Стратегии развития информационного общества. На самом деле речь пойдет не только о Стратегии, но и, например, о Доктрине ИБ, в разработке которой мне довелось участвовать и я даже получил благодарность СовБеза, и о проекте Стратегии кибербезопасности РФ, которая писалась в Совете Федерации, и о ряде других доктринальных и стратегических документах.

Начну с банального тезиса - в России нет стратегов в области ИТ и ИБ (или их просто нет у власти) - есть куча приглашенных для работы над "Стратегией/Доктриной" экспертов, решающих свои задачи в меру своего понимания, не видя всей картины (или видя картину, отличную от картин других). У каждого свой опыт, свое образование, свое текущее место работы. И шлют они все свои предложения в одно место. А там (возможно на Старой площади) сидит какой-нибудь ответственный и думает "вот эта идея прикольная, вставлю ее в финальный документ". И получается куча прикольных идей, но нет стратегии. Я так статьи нередко пишу - набросаю кучу мыслей, а потом привожу их в некий удобочитаемый текст, убирая что-то лишнее и связывая несвязанные мысли промежуточными абзацами. Но так то статья, а тут государственная стратегия. Если у ее координатора нет собственного финального видения, то не получится ничего. А тут еще, конечно, вмешивается известный всем принцип Питера, который звучит как "в иерархической системе каждый индивидуум имеет тенденцию подняться до своего уровня некомпетентности". Что мы получаем? Правильно. То, что получили в виде Доктрины ИБ или Стратегии развития информационного общества.

Я всегда считал, что стратегия - это путь к целевой архитектуре, которую и надо построить. А какова она у государства в части ИТ/ИБ? Где она определена? Как можно достичь того, что не определено? Отсюда появляются вот такие перлы: "Надо понимать, что стратегия определяет тактику" С какого перепугу? Стратегия определяет стратегию. А зачем в стратегии констатировать факты? "Пользователями Интернет в 2016-м году стали", "В России с 2014-го осуществляется подключение" и др. Ведь как должно быть? Сначала определили, чего мы хотим достичь, то есть архитектуру. Потом определили наш текущий уровень. Потом оценили разрыв и составили план перехода из состояния "как есть" в состояние "как хочется". Это и будет стратегия. Но у нас все объединяют вместе и получается...

Для любой стратегии важно отслеживать ее достижение, чтобы вовремя понять, что свернули не туда. А где они в текущей Стратегии развития информационного общества? А в Доктрине ИБ? Ни одного показателя оценки эффективности. Когда в СовБезе несколько лет назад писались основы госполитики в области формирования культуры ИБ в Российской Федерации от раздела с конкнертными показателями (метриками) отказались, так как никто не хотел получить измеримый инструмент в руки, за недостижение показателей которого можно было бы и по шапке получить. Вот тут мы видим ровно ту же ситуацию и более того, это считается достижением. Вот, например, Президент Фонда информационной демократии считает, что "отсутствие конкретики и показателей эффективности - это правильно". Если нет измеримой цели, то двигаться можно куда угодно - все направления будут одинаково хороши.

Например, у нас в Cisco, есть такая часто используемая топ-менеджментом аббревиатура - VSE, которая рассшифровывается как "Vision. Strategy. Execution" ("Миссия. Стратегия. Исполнение"). Циничные продавцы превратили ее в "Vision, mission и comission" ("Миссия и комиссия", то есть бонус). Но за юмором скрывается важный момент. В обоих случаях говорится о execution, то есть о конкретных действиях с конкретными ответственными, которые приводят к конкретному результату в виде доходов.

Вспомним прежний вариант Доктрины ИБ от 2000-го года. Насколько она была реализована? Вот то-то и оно. А все потому, что документ был обезличенный. Ни показателей эффективности, ни ответственных, ни сроков реализации (не то что промежуточных, но и финальных). В России работает только прямое указание/распоряжение президента с прямыми ответственными и четкими сроками (и то не всегда). Например, перечень поручений Президента РФ по вопросу совершенствования защиты информации (закрытый). Или поручение Путина Медведеву по персданным в ГИС. Или та же дорожная карта ЦБ по вопросам ИБ. Там везде прописаны и сроки, и ответственные. И их могут спросить. А в Стратегии/Доктрине нет ничего кроме общих фраз, которыми так любят на протяжении последних десятилетий бросаться чиновники всех мастей и которые начинаются с "Россия должна..." или "Россия может...". Я это "должна" и "может" уже устал слышать. Когда же она уже сможет и будет сделано то, что декларируется? Вопрос риторический.

Но если вернуться к тому, с чего я начал, то могу предположить, что родившиеся в последнее время Стратегии и Доктрины опыть не будут реализованы, а то, что будет, уж точно нельзя будет считать заслугой утвержденных документов стратегического уровня.

ЗЫ. Кстати, по поводу неустранения уязвимости ETERNALBLUE, для которой Microsoft выпустил патч еще в марте. Вспомните мою заметку с обзором второй части семинара Gartner, которая была опубликована в день начала эпидемии WannaCry. Там как раз говорится о том, что многие заказчики уже смирились с наличием уязвимостей и даже не имеют процесса их устранения. В крупных компаниях это вполне частая ситуация (все-таки масштаб имеет значение).
Оцените материал:
Total votes: 30
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Про Стратегии - все зависит от:

1.  Заказчика на сколько он может откровенно объяснить чего хочет добиться (цели и критерии успеха);

2.  Адекватного уровня квалификации исполнителей (должны понимать, знать, уметь и иметь опыт успешной реализации);

3. Наличия адекватных активов и воля по их выделению ( в соответствии с уровнем прописанных задач).

Там можно много чего добавить....

Особенность в том, что для государства и для бизнеса, построенных на традициях "советской модели управления" все эти стратегии - только вредны)))) Мы никогда не жили в рамках таких технологий и не скроро это пивьется(((( А отсутствие конкретики (критериев успеха) - это некая страховка от неудач (задачи он не те решают, а при наличии реального KPI будет трудно выдать одно за другое и еще не получить "по шапке"). В противном случае придется отвечать. А поскольку у нас в стране корпус средних и мелких чиновников формируется не по принципу успехов на производстве или реальных внедренных их научных достижений или других полезных знаний, образования и опыта - чему же здесь удивляться....

А вот для тех, кто работает с иностранными партнерами или имеет иностранных владельцев - технология Стратегического управления проходит на ура!!! Там без этого никуда. В этих случаях наличие Стратегии "чего угодно" - это залог стабильного и  гарантированоного финансирования проектв и коллективов на время Стратегии. Понятно, если стратегия сделана правильно (по международным стандартам) и желательно кем-нибудь из большой Четверки)!!

Посему, совершенно очевидно, что все делается очень прагматично и что это не ошибки, а хорошо закамуфлированный конфликт интересов...

А без Стратегий и Доктрин в современном мире просто никуда!!! Только "надо, чтобы воля была - к победе..(@).

 

up
3 users have voted.
Аватар пользователя root

Неожиданно. Когда Атаманов высказывал подобные мысли (например, тут: http://bis-expert.ru/blog/4042/43780) Вы всегда ему оппонировали. И вообще Вы раньше всегда были на стороне законодателя. Что случилось, Алексей?

up
4 users have voted.
Аватар пользователя riskmn

Да, я больше скажу, что самая эффективная система ИБ для бизнеса (не беру государство - это иная тема) - это решение 4-х задач: легальное ПО, КТ, ПДн и ит-ные процедуры.... И все. Остальное - перебор (это в принципе)....

Так кто на чьей стороне - надеюсь понятно.

up
3 users have voted.
Аватар пользователя alukatsk

Я никогда ни на чьей стороне. Атаманов ВСЕГДА против, а я оценивают каждый документ в отдельности. Поэтому могу быть за, против или воздержавшимся

up
4 users have voted.
Аватар пользователя Атаманов Геннадий

Да, действительно я всегда против ГЛУПОСТИ, ЛЖИ И БЕЗГРАМОТНОСТИ. И не меняю своего мнения в зависимости от конъюнктуры. Я всегда на стороне логики и здравого смысла и флюгерализмом мнений не страдаю.

Если я написал:

пять лет назад, что 152-ФЗ антигуманный, антиконституционный, антигосударственный, коррупциогенный, методически и методологически несостоятельный (http://gatamanov.blogspot.ru/2014/04/n-152-3.html );

три года назад, что проект Стратегии методологически несостоятелен (http://gatamanov.blogspot.ru/2014/03/blog-post_17.html );

год назад, что представленный для обсуждения проект Доктрины ИБ построен на устаревшей и ненаучной парадигме, содержит множество методологических ошибок, носит размытый и декларативный характер и в случае принятия в таком виде не будет способствовать улучшению ситуации с обеспечением информационной безопасности государства (http://gatamanov.blogspot.ru/2016/06/blog-post.html );

полгода назад, что общее впечатление от принятой Доктрины удручающее и что в ней тьма логических и стилистических ошибок (http://gatamanov.blogspot.ru/2016/12/blog-post_20.html );

полгода назад, что законопроект № 47571-7 «О безопасности критической информационной инфраструктуры Российской Федерации» неблагоприятно скажется на бизнесе (http://gatamanov.blogspot.ru/2017/01/47571-7.html ) в случае принятия его в том виде, в котором он был представлен,

то и сейчас так считаю.

 И я НИКОГДА НЕ был ПРОТИВ документов, в которых ГРАМОТНО ИЗЛОЖЕНЫ УМНЫЕ МЫСЛИ!

up
8 users have voted.
Аватар пользователя alukatsk

Вся разница в том, что я не только критикую, но и стараюсь по мере сил предлагать авторам какие-то идеи, которые считаю правильным. Что-то принимают, что-то нет. В любом случае я стараюсь найти компромисс и поменять документы. А у вас явное неприятие и нежелание работать с тем, что есть - вы хотите менять сразу все. А так не работает система. Причем удивительно, что это я вам рассказываю, как она работает. Не я служил в госоргане.

up
5 users have voted.
Аватар пользователя Атаманов Геннадий

Алексей, я тоже уже многократно писал, что мнение о том, что я ничего не предлагаю – миф и тест на то, читал человек мои замечания или нет. Я работал в другом госоргане и в другие времена. Тот опыт сейчас, практически, не применим. Тогда я писал тематические отчёты и направлял их по инстанции. Они носили несколько иной характер. В те времена даже в страшном сне нельзя было представить, что из-под пера госоргана могут выйти документы такого низкого качества. Сейчас даже грамматические ошибки – норма. И такие документы я никогда не смогу принять. Мне приходится с ними работать по роду своей деятельности и Вы не представляете какой когнитивный диссонанс я испытываю каждый раз, когда приходится брать в руки эти «опусы». Но при этом я готов работать и работаю. Иначе я не стал бы писать все эти анализы этих «документов». Но я прекрасно понимаю, что косметические правки не помогут. Они только усугубляют ситуацию и заводят во всё более глухой тупик. Это всё потому, что в основе проблемы лежит ложная (эзотерическая) парадигма. Как на гнилом фундаменте нельзя строить дом, так и на гнилой парадигме нельзя строить законодательство. Но я не призываю к немедленной смене законодательства. Начинать нужно с парадигмы и в такой последовательности – Концепция, Доктрина, Стратегия. Но если те же люди будут их писать, то получится то же самое по форме, но гораздо более худшее по содержанию. Что мы все, собственно, и наблюдаем. Без смены курса (тренда, вектора, подхода) выйти из кризиса невозможно.

up
4 users have voted.
Аватар пользователя riskmn

Коллеги, ваш спор не имеет никакого смысла вообще. Каждый стоит на своих позициях и каждый, в неких узких моментах из области ИБ, правее дркгого, причем  именно в той области, в которой долгие годы работал (имеет некий опыт). Никогда тот, кто писал бумаги не поймет того, кто занимается конкретными устройствами - это не реально. Вы оба имеете полное право на предложение своего видения предложений на национальный уровень (документы по безопасности Державы), но, только не забывайте, что стоит творить в рамках своей "песочницы"!!!

Одному - в написании предписаний и разных бумаг среднего уровня по ПДиТР, а другому в тонкостях использования канального оборудовании (мироавого лидера) и теории атак из инета. К сожалению это лишь две малые области ИБ или, если хотите, Безопасности, которые охватывают лишь небольшую часть Проблемы.

Все остальное - у вас обоих, безусловно,  есть некий опыт, а значит и право на высказывание своих мыслей и взглядов, критики и предложений, но только как и у многих обычсных неравнодушных граждан.

Однако в силу сложившихся обстоятельств (вашего профессионального пути) вам не стоит замахиваться на то, что явно больше.... - это исключительно я для Геннадия. Вот именно в этом вы отличаетесь друг от друга. 

Да, самое главное отличие во взглядах, которые формировались в разных условиях  - один из вас смотрит на проблемы ИБ сквозь призму интересов и особенностей бизнеса (лучших мировых коммерческих практик) , другой - адепт перфекционистского подхода "добиться успеха любой ценой".

Вот  главное отличие ваших позиций (это уровень ДНК) и никогда вы не сможете найти общего подхода. А все остальное - это эмоции и пустая трата времени на взаимные уколы.....

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

1. Михаил, а где Вы увидели здесь спор? Мы не спорим, а уточняем свои позиции. 2. Если бы люди творили только в рамках своих «песочниц», то до сих пор ходили бы голыми и даже без каменного топора. Напомню: не боги горшки обжигают. 3. Вывод неверный! Мы оба и писали бумаги, и «занимались конкретными устройствами», только разными и в разной степени, но опыта у обоих предостаточно. 4. Я не замахиваюсь, а констатирую: разработанный мной подход – единственно научный и потому единственно (на данный момент) правильный. 5. Записать меня в перфекционисты – это что-то новенькое. Особенно в части «любой ценой». Не стоит вещать ярлыки людям, которых Вы не знаете. Это некорректно. 6. У нас разные подходы и в этом главная ценность. Когда у всех один подход, это плохо заканчивается. Было уже в истории. 7. Уточнение позиций и выяснение причин никогда не было пустой тратой времени. Без этого невозможно договариваться, а вероятность такого события не равна нулю. Время покажет.

up
3 users have voted.
Аватар пользователя riskmn

1. Это именно  спор, а не уточнение...Просьба об аргументации - признак спора. Но, в нем ничего не рождается - сие просто слова..

2. Это тоже опасно. Это привело к тому "что кухарка может..." сами знаете что из этого вышло. У нас в безопасности все понимают, только получается потом "как обычно...".

3. Да не хватает на Ваш замах - это видно невооруженным глазом. Алексей занимает более разумную позицию. Он комментирует и расматривает официальные документы, представляет множество иностранных методик и наработок  - это полезно и  приносит работающим в ИБ - за это отдельное сапасибо!!! .  Он не говорит, что только он знает как... - польза в его комментариях очевидна.

4. "единственно научный" - ну - ну.. Не все заключается в бумагах (хотя они конечно важны)..., только писарям никогда не понять, что реально " в поле" происходит и посему "штабные" в "гвардии" всегда не в фаворе.

5. А как это иначе назвать. Почитайте свои разработки по структурам ИБ для бизнеса. Эту всю Вашу "теорию" можно внедрять только за немыслимые бабки!! Даже ГАЗПРОМ при всем размахе деятельности такое не потянет))) Это и называется - любой ценой (значит не считаясь с затратами) - а это и есть перфекционизм))) - вполне логично))).

6. Да не подходы у вас разные, а видите вы проблему в разные "замочные скважены", только Алексею хавтает ума и такта не заявлять о своей исключительности, а максимально доводить до людей то, что он понимает и и к чему имеет доступ - а это полезно и достойно уважения...

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

И самое важное: Давно известно, что ПРАКТИКА БЕЗ ТЕОРИИ СЛЕПА, А ТЕОРИЯ БЕЗ ПРАКТИКИ МЕРТВА. А ещё М. Планк сказал: НОВАЯ ТЕОРИЯ НАЧИНАЕТ ГОСПОДСТВОВАТЬ, КОГДА ВЫМРУТ СТОРОННИКИ СТАРОЙ. Не теряю надежды, что Планк неправ. Надеюсь, что есть люди, способные при жизни отказаться от догм ради истины. :)

up
3 users have voted.
Аватар пользователя riskmn

Это очередной увод разговора "....за камень".

!!! Вы можете определиться в своем позиционировании:

1. кем являетесь - теоретиком или практиком? По материалам, высказываемым размышлениям и позиции - явный теоретик с опытом штабной работы среднего уроня (так выглядит),

2. для какого сегмента Вы высказываете рекомендации - коммерческого или государственного? Судя по материалам - явно материалы для государственных документов.

3. какой опыт работы имеете - в бизнесе или государстве? очевидно, что в гос структурах.

Вывод - Вам больше подходит размышления для создания документов общего или прикладного характера для гос структур только в части деятельности ГТК. Это логично.

Но тогда стоит понимать, что это лишь узкая область не надо давать категорические рекомендации для бизнеса (разного масштаба) и не стоит заставлять бизнес решать несвойственные и вредные для него задачи...

И все встанет на свои места..... - все просто))))

 

up
4 users have voted.
Аватар пользователя Атаманов Геннадий

Михаил, задавать вопросы – это у Вас хобби такое или работа? Если хобби, то научитесь читать то, что написано, а не свои мысли по поводу написанного. Многие вопросы отпадут сами собой. Если работа – продолжайте: бизнес есть бизнес. И встречный вопрос: где можно ознакомиться с результатами Вашей деятельности и Вашими наработками (разработками). Хочу понять: может и вправду, Вы уже всё разработали, а я пишу и не так, и не о том. Возьму на вооружение, признаю свои ошибки и заблуждения. Публично. А то как-то не очень здорово получается. Асимметрично.

up
4 users have voted.
Аватар пользователя riskmn

Геннадий, задавать вопросы - это единственный верный путь для того, чтобы мозги у людей от лени не заплывали жиром. Раньше я детально разжевывал разные простые вещи для ленивых и малообразованных "специалистов - экспертов" и таких же бизнесменов. И что? Да просто стало очевидным дурные последствия этого. Ленив человек, не хочет думать и имеет желание получить все и сразу, а потом, в силу своей безграмотности, еще и обвиняет того, кто "не так научил". Больше этим не занимаюсь. Только вопросы. Желающий понять и понимающий написанное - начнет копать и доберется до знания. А халявщику - ничего не обломится.

2. Мои результаты - вот и видно, что Вы абсолютно "гражданский" человек в этом деле. Безопасность не терпит звона. Если по характеру вопросов, по лексике и по используемой терминологии Вы не понимаете с кам дело имеете - это скорее Ваша проблема. Врать мне Вам нет смысла никакого. А уровень квалификации - как его Вам можно объяснить на расстоянии? Вы все равно не поверите. Материалы по моим разработкам Вы не найдете. Это не бумаги - это реальные системы в работающем бизнесе. Доведется встретиться лично - можем переговорить, но, какой разумный автор изящных решений станет их описывать? Здесь стандарты и тиражирование - смерти подобно.  Мои результаты - это несколько моих бывших подчиненных, которые сейчас управляют большими подразделениями ИБ в крупном бизнесе... Есть заключения аудиторов (E&Y например)....Причем это все не в глуши какой-нибудь, а в самом что ни на есть центре всех событий.  Но это особого значения не имеет - учитесь слушать и слышать, а "срезать углы" - это дело мелочное.

 

  

up
3 users have voted.
Аватар пользователя riskmn

Забавно. Для меня г-н Атаманов не принципиальный опонент. Многое из того, оче он говорит - разумно и полезно, но есть принципиальные заблуждения. Я опонирую только тому, что высказывается и имеет, по моему мнению, некио ошибки и неточности. Если заметили - то на указанную ссылку моего комментария нет. Почему - это другая тема... А если хоть кто-то здумается и увидит эти неточности и избежит проблем - это будет хорошо.

2. Я всегда на стороне законодательства и считаю, что его соблюдение - это основа обеспечения любого рода безопасности бизнеса. Но, это можно и нужно сделать малозатратно и высокопрофессионально, а не за счет вбухивания денег в ошибочные решения. А к этим решениям приводят неточности в понимании предметной области, ошибки в понятийном аппарте и низкая квалификация "экспертов"...

up
2 users have voted.
Аватар пользователя Атаманов Геннадий

А как можно мне оппонировать? Ведь это: «Но, это можно и нужно сделать малозатратно и высокопрофессионально, а не за счет вбухивания денег в ошибочные решения. А к этим решениям приводят неточности в понимании предметной области, ошибки в понятийном аппарате и низкая квалификация "экспертов". - почти плагиат, только смысловой (всё это есть в моих статьях, которые написаны ещё 5-10 лет тому назад и ссылки на которые есть в моём комментарии выше). И в моих статьях и комментариях – именно об этом. С той лишь разницей, что в них указана главная причина всего этого – законодательство.

up
5 users have voted.
Аватар пользователя riskmn

А я не говорю, что все написаноное Вам - полная чушь. Смысл именно такой и я на этом стою. Именно такое понимание толкает меня на комментарии , но о другом, об ошибках и неточностях. И прравильно Вы подтверждаете - главное наше разногласие - в главной причине!!! Это не законодательство. Это и есть ошибка. Понимаю, что для Вас это "родная" и обчень удобная тема - в ней Вы имеете некий опыт, больший чем в остальных. Это мне напоминает случай. Два мужика ползают под фонарем. Прохожий спрашивает :

- Что делаете, мужики?

- Ключи от квартиры ищем?

- Зась обронили?

- Нет, там в овраге...

- А ищите почему здесь?

- Так здесьт светлее)))

Законодательство - важная вещь, но не главная проблема. Страшенее невежество и безграмотность участников (здесь я говорю о бизнесе, что главнее для него). Печально то, что все "знают как заниматься безопасностью". Вот и рулят на всех уровнях как могут.

Просвещение / ликвидация безграмотности - вот что главное, но область слишком специфическая и в это огромная проблема. Здесь все наоборот: рекламировать удачные решения нельзя - ошибка, использовать стандартные решения  - плохо, делать все решения публичными - смерти подобно, пиарить свою деятельность - глупо....- короче почти все поперек современным подходам)))) Вот и не понимают это современные "специалисты и бизнесмены".

А текущие законы в этой области, конечно имеют свои недостатки, но не страшнее недостатков в любой другой отрасли. И не стоит делать из этого трагедию как бы этого не хотелось (в этой теме "светлее").

Да, про плагиат - насмешили. Это моя позиция еще с 90-х годов. Посему и бизнес доверял и результаты были. Вы еще себе "Белую книгу" припишите или 7799 - будет еще веселее.

up
4 users have voted.
Аватар пользователя riskmn

Забавно. Для меня г-н Атаманов не принципиальный опонент. Многое из того, оче он говорит - разумно и полезно, но есть принципиальные заблуждения. Я опонирую только тому, что высказывается и имеет, по моему мнению, некио ошибки и неточности. Если заметили - то на указанную ссылку моего комментария нет. Почему - это другая тема... А если хоть кто-то здумается и увидит эти неточности и избежит проблем - это будет хорошо.

2. Я всегда на стороне законодательства и считаю, что его соблюдение - это основа обеспечения любого рода безопасности бизнеса. Но, это можно и нужно сделать малозатратно и высокопрофессионально, а не за счет вбухивания денег в ошибочные решения. А к этим решениям приводят неточности в понимании предметной области, ошибки в понятийном аппарте и низкая квалификация "экспертов"...

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Забавно. Вы позиционируете себя, как практика, но при этом либо забываете, либо игнорируете тот факт, что главный принцип обеспечения ИБ/ЗИ в РФ – законность, а главный критерий оценки СЗИ – соответствие/несоответствие требованиям РД и НМД. Так что в РФ в основе обеспечения ИБ/ЗИ – закон! И пока закон будет таким, какой есть, никаких изменений к лучшему не будет. Именно поэтому, чтобы хоть что-то хоть как-то изменить, нужно изменить закон. И, в первую очередь, узаконить (конституировать) вместо эзотерической научную концепцию безопасности. Во-вторых, поменять критерий оценки на эффективность/стоимость. И, в-третьих, предоставить субъекту (в Вашей терминологии – бизнесу) больше свободы в выборе решений и наказывать только за инциденты (да и то не всегда). А для регуляторов главной задачей должно стать не «проверять», а «помогать». Всё до безобразия просто! И мне жаль, что не только Вы не можете или не хотите понять и ещё больше принять эту очевидную истину, и с упорством, достойным лучшего применения, продолжаете ей оппонировать.

up
9 users have voted.
Аватар пользователя riskmn

Это Вы не понимаете. Перепрыгивание с темы на тему - типичный прием. Странно, что "Войну и мир" себе не приписали. Солнце встает на Востоке - это вообще, видимо, военная тайна и кроме Вас никто до этого не догадался...

Вот и получается, что не зная реалий Вам надо менять законы, а тем, кто реально работает - этого не надо (работать надо сейчас, а не фантазировать или мечтать).  И это действительно просто, и пока Вы это не поймете, так и будете "изменять что-то". Хотя это очень удобно - делать ничего не надо, пока что-то не изменят.

Ладно, это только потеря времени, на вопросы Вам ответить трудно, а мне нехочется воду в ступе толочь.

Вот еще мне интересно - какова вероятность того, что Вы мудрее тех, кто стратегии, доктрины и другие Державные документы готовит? Напомню, вероятность иммеряется в %%,

Считайте как хотите - я свое мнение высказал, о проблемах и ошибках предупредил - а воспользоваться этим или нет - сие Ваше дело, можете вообще забыть. Время рассудит.

Удачи.

up
7 users have voted.
Аватар пользователя Атаманов Геннадий

Тут и забывать нечего, потому что ничего и не было.

up
7 users have voted.
Аватар пользователя riskmn

ЧТД

up
3 users have voted.
Аватар пользователя Атаманов Геннадий

Михаил, я тут упустил один момент, вернее, Ваш вопрос: «какова вероятность того, что Вы мудрее тех, кто стратегии, доктрины и другие Державные документы готовит?». Вопрос риторический, но я отвечу. Если учесть, что они умудрились туда попасть (или кто-то умудрился их туда воткнуть), то, конечно же, они мудрее. Да и вообще, мудрым меня сегодня никто (в том числе и я сам) не считает. Ведь сегодня мудрее не высовываться, хвалить законодательство или предлагать мелкие правки. Мудрее молча не выполнять, чем критиковать. Поэтому однозначно: они мудрее. Не на все 100%, наверное, но почти. Но то, что я умнее и грамотнее – это вне всяких сомнений. Вероятность того, что я умнее – 157%, грамотнее – 156%. :)) Разве можно назвать умными тех, кто защищённость (т.е. категорию психологии) возводит в ранг закона? Они бы ещё (для полноты картины) влюблённость узаконили, категорировали и попытались измерить. А я додумался, что есть безопасность, кто объекты и субъекты безопасности, как её можно и нужно обеспечивать и т.д. Грамотнее – потому что в написанных ими законах нашёл огромное количество логических, стилистических и даже несколько грамматических ошибок. Учитывая, что в школе по русскому языку у меня была тройка, то легко просчитать, какие оценки должны стоять в аттестатах у тех, кто сегодня законы пишет (по факту-то там стоят, скорее всего, пятёрки). Так что, спасибо Вам за Ваш вопрос! Кстати, мой ответ – это ещё одно доказательство того, что меня трудно назвать мудрым. Ведь с точки зрения подавляющего большинства электората мудрее было бы проигнорировать вопрос и промолчать. Последствия вполне предсказуемы. К числу мудрецов меня причислят позже: работы-то мои никуда теперь уже не денутся и умные люди их читают, цитируют, пишут на их базе диссертации. За моими идеями будущее.

up
5 users have voted.
Аватар пользователя riskmn

Много эмоций, но общий смысл понятен. Хотел бы спросить про скромность и адекватность, но есть боле интересный вопрос - что Вы считаете Мудростью?

Только просьба простыми терминами (ведь Вы "умнее и грамотнее") чтобы было понятно о чем речь ведете. А то можем говорить о разном. Только не копироуйте разные чужие (из словарей) мысли)))) Если сможете конечно ответить.

Да, про вклд в теорию безопасности - нет настроения описывать неточности и ошибки - можно было бы конечно пглумиться над некими Вашими "тереотизмами", но уже желания огсобого нет - скажу проще - не обольщайтесь, не все, что против привычного является правдой, многое есть суть гордыни и заблуждения. А пишут у нас диссертации на чам угодно (главное, чтобы список литературы был потолще) , поскольку сами не понимают сути происходящего - это не аргумент))))).

up
2 users have voted.
Аватар пользователя Атаманов Геннадий

Михаил, хочу сделать Вам комплимент: Вы большой мастер по передёргиванию. Я действительно бываю иногда эмоционален, но в моём, комментируемом Вами, комментарии нет эмоций. Он исключительно рационален.
А поглумиться, облить грязью, написать донос или кляузу и т.п. – это сейчас запросто, это такая национальная забава сегодня: кто быстрее и больше. Ведь для этого не нужно иметь ни мозгов, ни совести. Вот помочь, поддержать, поблагодарить – это проблема. Таких слов в лексиконе многих граждан России сегодня уже даже просто нет.
А чтобы указать на неточности и ошибки нужны знания (и немалые), способности (недюжинные) и совесть (хотя бы в зачаточном состоянии).
Что касается определения понятий скромность, адекватность, мудрость, да и многих других, отличных от словарных, т.е. как понимаю их я, то некоторые уже есть в моих работах и на моём блоге, а те, которых ещё нет, скоро будут. Будет желание, пообсуждаем.

up
2 users have voted.
Аватар пользователя riskmn

Все понятно.

1. Этот текст и есть яркий пример эмоций и отсутствия конкретики. Словеса...

2. Жаловаться и скулить - это национальная забава. Поддерживать - это школяров надо и вьюношей, а в серьезном разговоре нечего на это время терять. Дело само не делается.

3. На вопросы Вы не отвечаете - это понятно - больше задавать не буду. Это индикатор уровня понимания предмета и общего развития.

4. Про качества критика - согласен, посему и высказываю мнение, надеялся, не разум, а не обидки мелкие. Тоже больше не буду - дабы не нарушать правила.

5. Нет в блоге ничего подобного, было бы - не спрашивал. А ждать когда появится - это смешно. Дорого яичко ко.....(не знаете как продолжить - посмотрите в инете).

При таких эмоциях  и самости зашкаливаемой Вы никого кроме себя не слышите. Ну это нормально - дело житейское

up
1 user has voted.
Аватар пользователя Атаманов Геннадий

Браво!!! Классный троллинг.

up
2 users have voted.
Аватар пользователя pbzhd

Михаил, извините, я не совсем понял: Вы считаете, что научный подход в принципе неприменим при создании концептуальных документов? Или Вы можете указать на конкретные ошибки в научных рассуждениях Геннадия?

Второе. Мне показалось, что в своих собственных рассуждениях Вы используете дихотомию «государство-бизнес». Но, во-первых, сам по себе бизнес в отношении безопасности неоднороден. Есть вендоры, есть интеграторы. А остальные — потребители. И интересы у всех, мягко говоря, разные. Во-вторых, есть еще бытовой сектор. Домохозяйства. Они в этом дискурсе абсолютно бесправны. Но они, например, могут легко «обеспечить» любому бизнесу любых размеров ботнет, вроде Mirai, если не заниматься вопросами их безопасности. А кто будет выражать их интересы? В первую очередь — Государственные или общественные институты. И вот эти самые доктрины, Стратегии и Концепции должны быть понятны людям. Хотя бы образованным. И, как минимум, они должны быть непротиворечивыми. Если я, например, не понимаю, почему, с одной стороны, «Стратегия основывается на ключевых принципах Федерального закона от…», с другой – ее обеспечение должно предусматривать «системное совершенствование законодательства Российской Федерации...», и мне кажется, что мы вытаскиваем себя за волосы и впадаем в бесконечную рекурсию, то пусть мне это прокомментирует кто-то от науки.

up
4 users have voted.
Аватар пользователя riskmn

вот продолжение не влезло)))

5. И еще о науке. У нас есть несколько крайностей, приведших к такой кривизне, что ужас.

Первая - ИБ ошибочно и до сих пор считается продолжением ИТ. Я застал время формирования этого безумия..... долго описывать, но тогда другого пути не было...Это позорная страница для бизнеса(((

Второе - в противовес ит-кам на рынке появились так называемые "силовики", которые захотели оттянуть ИБ (кусок пирога)  от ИТ. Как оттянуть? Просто - выдвинуть на первый план то, что они знают хорошо, а ит-ки не знают. Но тут другая беда - пришли не те специалисты: МВД, МО, Прокуратура, СК, Приставы, даже большинство представителей ФСБ стали занимать "хлебные" места абсолютно не понимая чем надо заниматься((( - это тоже нанесло ущерб становлению ИБ. Причина - бизнес качнуло в другую крайность....

Третье - себя специалистами / экспертами / учеными объявили все кому не лень и тем самым запутали все еще больше.

..... таких пунктов море)))

Вывод:

- область настолько специфическая, что реальных  ученых на нац уровень в РФ несколько сотен (это для гос уровня) и еще их меньше для коммерческого сектора.

- самозванцев - да большинство в кого не ткни. Сами себя и назначают.

- стоит разделить проблемы гос и бизнеса, не валить в кучу и заниматься своим делом

up
2 users have voted.
Аватар пользователя riskmn

Не стоит извиняться - отвечаю по существу:

1. Научный подход - хорошее дело. Только если его применяют не прочто научные люди (не абстрактные специалисты во всех областях0, а конкретно научные люди из этой предметной области. Командир саперной роты может конечно внести много нового в теорию армейских операций, но....думаю, что Вы понимаете чем это кончается)))

2. Конечно могу указать на ошибки, только здесь формат не тот. Не стоит считать, что у него ВСЕ ошибки. Нет конечно, Многое верно относительно уровня государства - это так, но есть и ошибки, которые порождены однобоким взглядом - только из-за этого (мне так показалось). А вот в отношении бизнеса - там все теоретически красиво (бумага этим отличается), а на практике никто под такой подход перед бизнесом расходы никогда не сможет защитить. А нет бюджета - все пустое(((. Да и после несколиких фрагментов диалога особого желания указывать на них нет.

3. "Государство - бизнес". Я много раз принимал акивное участие в рецензировании концептуальных документов (в силу молодости и ....наивности) всегда писать честные заключения на   них, но прошло время и многое стало понятным..... и перестало быть интересным. Попав в бизнес, начал разрабатывать многостраничные увязанные и системные документы для него и, со временеем понял, что бизнесу это все не надо.....Решения удавалось находить простые и эффективные и не забивать себе голову многими условностями. И все работало. Это для огромного бизнеса. А вот сейчас придумал как решать вопросы для smb и для домохозяйств))) Все просто, дешево и эффективно - самому нравится.

4. Интересы мелких - да не надо их отстаивать!!! Все решить можно в рамках тех правил, что описаны сейчас!!! Нет проблем, только есть малость - знать надо как и уметь. Концепции нужны Державе и безопасность есть только там. Бизнесу максимум ЗИ, а лучше всего - киберустойчивость.

up
2 users have voted.
Аватар пользователя pbzhd

Если кратко: мне довольно близка позиция Геннадия Атаманова. Она сходна с моей собственной.

Я как-то участвовал в обсуждении Концепции информационной безопасности детей. Есть и такая концепция. РКН тогда выложил ее проект у себя на сайте и завел форум. Этот проект занимал сотни страниц текста и был, главным образом, свалкой, в которой валялись ошметки статей, учебников и даже дипломных работ (!) членов авторского коллектива. А коллектив тот состоял из ученых — психологов, педагогов, филологов, юристов. Но никого из ИТ или ИБ!

Ее окончательный вариант

http://government.ru/media/files/mPbAMyJ29uSPhL3p20168GA6hv3CtBxD.pdf

не имеет с первоначальным вариантом ничего общего. Но и в нем, например, в части приоритетных задач трижды указывается воспитание ответственности и ни разу — формирование навыков собственно защиты чего либо (информации, информационных систем, маленьких, но гордых), да и сами угрозы не выделены.

Так вот. Во-первых, наличие «особых» регалий и крупных звезд на погонах не гарантирует качества документа. Там были и профессора из МГУ и др.

Во-вторых, критиковать можно и нужно. Что же касается предложений — а с какой бы стати? Это не моя война. Там коллектив уже сформировали, им заплатили, в конце концов. А я, хоть и не считаю себя «фигурой, равной Черчиллю», но и у меня своих дел хватает. А вот ткнуть носом в полную ахинею, даже не будучи именитым ученым — да святое дело! Может, кому стыдно станет…

Впрочем, я-то предлагал конкретные изменения. Но они, разумеется, никуда не вошли, как и оригинальные сотни страниц высоконаучного сленга.

up
3 users have voted.
Аватар пользователя riskmn

Ой много, много букв, опять в один ответ не влезло((((

5. Критикуйте - согласен, полезное возьмут, что не понравится или не поймут - не возьмут. Это нормально. Критик свою миссию выполнил - предостерег, а далее на усмотрение отвечающего....

А вот про предложения - я против такого подхода, когда бездари, не зная и не понимая предметной области хотият за чужой счет (на чужих знаниях и опыте) в "рай заехать", Можно дать некие комментарии, но самые обющие и поверхностные - а там пусть впрягаются и сами разрабатывают эту тему.

Смогут - молодцы, не смогут - нечего было на себя эту работу затягивать....

 

up
0 users have voted.
Аватар пользователя riskmn

Павел, отвечу по существу:

1. Каждый имеет полное право на предпочтения и поддержку любой позиции. Это нормально. Критерий один - результат. Я не даю рекомендации типа - кто-то глуп или кому-то надо прекратить выступать и отстаивать свои мысли. Нет проблем. Еще Петр Алексеевич говаривал :"Боярам в собраньях выступать публично, абы дурость каждого видна была". А уже сообщество оценит кто есть кто, возможно, это пойдет на пользу...

2. Концепции .....безопасности. Сколь у нас их плодится, прям повальное увлечение прикрутить безопасность к чему только можно. Дети - ну это вообще святое, и как можно этому не уделить внимание - позор противникам!!! Ребята осваивают деньги - сегодня их раздача..... (читайте "Время не ждет").  Хотите принять участие - вступайте в соответствующий клуб (если "фейс-контроль" пройдете)...

3. Вы пишите :"....в части приоритетных задач трижды указывается воспитание ответственности и ни разу — формирование навыков собственно защиты чего либо..." (конец цитаты). Мне не ясно. Мы про "Безопасность" или про "Защиту" - в моем мире это большая разница...., но я не навязываю другим, просто в одлну кучу все валить не эффективно.

4. Про "Звезды, пагоны и регалии" - на качество исходного документа они не вляют - тут я согласен. Только почему? Эти "ребята" не пишут сами, но они генерят идеи, подходы и технологии которые "студенты" сгенерить не смогут никогда. Я раньше сам заблуждался аналогичным образом, пока масштаб деятельности не вырос многократно......

5. Критикуйте - согласен, полезное возьмут, что не понравится или не поймут - не возьмут. Это нормально. Критик свою миссию выполнил - предостерег, а далее на усмотрение отвечающего....

up
0 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.