Данные правила принадлежат
Евгению Родыгину, за что ему огромное спасибо!
Каждый найдет для себя полезное.
ПИ140: Подумай, сколько ты сделал для ИБ компании, партнеров, страны!.. Теперь подели на 1000 и иди работать…
ПИ139: Если ты попал в зоопарк помни: козу нужно кормить травой а льва мясом…
ПИ138: Широта и активность применения пользовательских СрЗИ пропорционально юзабилити интерфейсов данного СрЗИ.
ПИ137: Запомни, безопасная разработка приложений — это когда бюджет проплачен без учета результатов. Ничего более…
ПИ136: Стоит насторожиться, если вероятный партнер упорно не использует для переписки корпоративную почту…
ПИ135: Если пентестер отказался изучить объект оценки до проведения инструментального анализа, гони его…
ПИ134: Для всякого субъекта существует свой уровень угрозы, после которого он пытается действовать рационально…
Следствие:
люди стараются, по возможности, позволить себе действовать не рационально.
иррациональное поведение — признак разума.
ПИ133: Если перед тобой стоит выбор: использовать простое или более сложное средство защиты, выбирай простое…
ПИ132: Самый ценный хакер не тот, кто лучше кодит а тот, кто может сдать больше коллег-хакеров…
ПИ131: Используй не слабости а силу партнеров. Играть на слабостях — значит портить партнера. Он становится слабее и в результате сломается неожиданно на тебе или на других.
ПИ130: Во всем ищи человека…
ПИ129: Старайся использовать встроенные механизмы защиты, а средства контроля защищенности внешние…
ПИ128: Недостаточность правовых мер защиты информации не может быть компенсирована техническими мерами на любом уровне…
ПИ127: Постигая искусство ИБ уделяй 50% совершенствованию методов и средств защиты и 50% совершенствованию себя!
ПИ126: Чем точнее описана уязвимость или угроза безопасности тем легче сформировать для нее контрмеры…
ПИ125: При необходимости используй два SAST разных производителей. Один из них обязательно должен интегрироваться в среду разработки…
ПИ124: Разработай для персонала компании правила безопасного использования информации и активов, связанных со средствами обработки информации…
ПИ123: Если ты не перевариваешь неправду, высказанную тебе в спину, то как ты переваришь правду, высказанную тебе в лицо!…
ПИ122: Помни, чаще всего мы ошибаемся именно в людях…
ПИ121: Учи английский язык. Большинство отраслевых новшеств появляется на этом языке…
ПИ120: Не забывай о проблеме совместимости средств защиты. Две совершенные системы защиты установленные в одну информационную систему блокируют друг друга…
ПИ119: Помни, система защиты может состоять из абсолютно надежных элементов но, при этом, она может оказаться абсолютно ненадежной в целом…
Надежность элементов системы влияет косвенно на надежность системы в целом.
ПИ118: На переговорах с заказчикам — принято увеличивать цену контракта на 15% из которых: 5%-подарить менеджеру, 10%-генеральному директору. Чтобы они свою значительность чувствовали!..
ПИ117: Вредоносный код это любой код который попал в базу Касперского. Других правильных определений нет!..
ПИ116: Сдается мне, что если встретятся два великих ИБ’шника, то им будет что вспомнить но совершенно не о чем поговорить…
ПИ115: Считаете себя зрелым человеком на основании того, что не позволяете себе совершить глупую выходку?!.. Трепещите несчастные ибо ОН может!..
ПИ114: Чем отличается управляющий от кризисного управляющего? Управляющий — управляет, кризисный сначала доводит до кризиса — потом управляет…
ПИ113: В большинстве случаев кризис управления связан с глубоким заблуждением, самоуверенностью или потерей воли…
ПИ112: Если кибер(любая)безопасность не начинается с инвентаризации — она не начинается…
ПИ111: На определённом уровне развития деятельность по ИБ переходит в состояние специализации по направлениям. В этот момент появляется спад даже в отдельном направлении. Ощущается потеря компетенции из-за рождения нового: системы взаимоотношений между специализациями, появления конкуренции между направлениями и тп.
ПИ110: Единственный способ бороться с Алексеем Лукацким — устраивать совещания и конференции в одно время но в разных местах!..
ПИ109: У любого продукта есть свой жизненный цикл… Некоторые технологии не приживаются потому что просто не их время…
ПИ108: Есть такой порог, когда специалист начинает верить своей интуиции и предположениям переставая их самокритично проверять… опасное время…
ПИ107: А Политика ИБ вашей компании предусматривает ежегодную тренировку паники?.
.
ПИ106: Инсайдер! Требуй у руководства компании внедрение DLP! В случае чего тебя посадят а не закопают!..
ПИ105: Иногда, чтобы продать новый продукт, производители искусственно принижают эффективность других своих продуктов. Это свойственно большим компаниям…
ПИ104: Равновесие рисков для оператора и хакера определяется средой. Она же не дает паритета ответственности оператора и субъекта. Хакер имеет преимущество.
ПИ103: Не обнаруженная утечка с нулевым ущербом для компании дешевле обходится обнаруженной утечки с нулевым ущербом.
ПИ102: В момент, когда Пентестер кроме описания уязвимостей начинает давать рекомендации по их устранению, он становится немного Интегратором.
ПИ101: Поддельные антивирусы работают на слепом доверии пользователей антивирусам. Неподдельные тоже ;)
ПИ100: Изучай предыдущие 99 правил и совершенствуй их на основе собственного опыта.
ПИ99: Запомни безопасность системы определяется не числом пользователей и точек входа а полнотой и корректностью функций защиты.
ПИ98: Немедленно выполняй мелкие задачи. Со временем они могут подрасти и незаметно стать тормозом для более важных.
ПИ97: Разработчик средств защиты стремится сделать продукт для широкого круга пользователей. Тебе всегда придется адаптировать средства защиты для собственных нужд.
ПИ96: В какой то момент ты поймешь, что ведение двусторонних переговоров — это роскошь. Когда сторон 5-6 — это искусство…
ПИ95: Сотня уязвимостей конкретного продукта может быть бесполезна для злоумышленника в системе в которой они компенсированы или не критичны.
ПИ94: «Играя в шахматы», будь готов играть не только за противоположную сторону но и за обе стороны одновременно и на нескольких столах.
ПИ93: Отраслевые правила приличия требуют, чтобы предъявление требований к ИБ сопровождалось четким их обоснованием.
ПИ92: Отсутствие сигнализации об инциденте ИБ сводит на нет эффективность применения системы защиты информации.
ПИ91: Это у дилетанта СЗИ всегда в порядке. У профессионала всегда: «тут нужно доделать, там нужно поправить»…
ПИ90: Избегай авторитарного мышления но используй авторитетное мышление других.
ПИ89: Если антивирус сообщает, что система проверена на 90%, то вероятность наличия вируса в оставшихся 10% и в уже проверенных 90% одинакова.
ПИ88: Система, проверенная, антивирусом на 99% должна считаться не проверенной антивирусом.
ПИ87: Сначала ты ограничиваешь условия выбора средств защиты, затем средства защиты ограничивают тебе условия обработки и защиты информации.
ПИ86: Обоснование необходимости использования СрЗИ является не полным без соотношения его возможностей к угрозам для целевой системы.
ПИ85: При разработке документов не используй не устоявшиеся термины, не выдумывай новые и описывай вопросы по существу. Помни, даже устоявшиеся термины могут восприниматься по разному.
ПИ84: Ценность средств защиты заключается в их использовании, а не во владении ими…
ПИ83: Любую проблему рассматривай с крайних точек зрения. Например, “самый удачный” и “самый неудачный” вариант развития событий…
ПИ82: Не выноси на аутсорсинг ключевые процессы — целей будешь. Вообще, с работы ничего не выноси ;)
ПИ81: Если выделенного на цели ИБ бюджета не хватает на приобретение нужного тебе средства защиты, сделай так, чтобы оно стало необходимым кому то еще…
ПИ80: Не в том искусство, чтобы быстро войти в проект. Искусство в том, чтобы правильно и вовремя из проекта выйти!
ПИ79: Запомни, ключевым элементом информационной безопасности является Доверие.
Какие бы средства не применялись всегда существует элемент доверия. Или администратору безопасности или производителю средств защиты или пользователю или аудитору.
ПИ78: Используй принцип Парето “20/80”.
ПИ77: Веди историю важных событий ИБ, происходящих в компании. Пригодится…
ПИ76: Треугольник “Быстро/Качественно/Дешево”. Выбери только два свойства — третье недостижимо. Еще лучше, сфокусируйся на одном — главном для достижения цели.
ПИ75: Защищая систему, мысленно ставь себя на место потенциального нарушителя, но помни: нарушитель делает тоже самое…
ПИ74: Ищи баланс между детализацией и удобством. Чем детальнее модель угроз или политика безопасности, тем она точнее, но удобна ли она для применения?
Выполнимая инструкция лучше, чем невыполнимая политика.
ПИ73: ITSM, BCM, SAST, DAST, ASA, PM, CISO, PCI DSS, RFID, RTFM, ISO, CRC — изучай непонятные аббревиатуры. Пригодится, когда встретишь еще раз.
ПИ72: Связи, связи, связи… Расширяй и укрепляй свой круг общения.
ПИ71: Команда, обычно, сильнее одиночки. Однако, не забывай, что “сила” и “эффективность” это разные понятия. Сила необходима временно, а эффективность постоянно.
ПИ70: Если ты в чем-то абсолютно уверен, остановись и осмотрись — скорее всего, ты что-то упускаешь из виду.
ПИ69: Делись опытом с коллегами. Удачный опыт вернется к тебе сторицей, а неудачный будет легче понять… и простить…
ПИ68: Тебе, возможно, удастся избежать «войны». Но избежать предательства никогда…
ПИ67: Когда ты привлекаешь пользователя к борьбе с вирусами и атаками, убедись, что он не займется еще и борьбой с введенными тобой ограничениями.
Не стоит давать пользователю излишние права, которые могут привести к отключению защитных механизмов и изменению установленных для пользователя политик безопасности. Если он может это сделать, он обязательно это сделает.
ПИ66: Существуют традиционные средства защиты — антивирусы. Если ты сумел обосновать руководству бесполезность установки антивируса — ты «Бог ИБ» ;)
ПИ65: Очень серьезно прорабатывай текст для публикации вакансий. Помни, что характер нанимаемого сотрудника ценнее многих компетенций.
ПИ64: Любое средство, позволяющее собирать сведения о состоянии системы, бесполезно при отсутствии методологии определения критических состояний системы.
Средство может собирать огромное количество данных о состоянии системы, хранить их, но оно не эффективно, если нет методологии выявления из всего набора состояний тех, которые можно отнести к критическим. При отсутствии методологии интерпретации [или, точнее, перевода] угроз бизнесу в политику и правила анализа/контроля, пользы от сбора данных о состоянии системы совсем мало…
ПИ63: Пересматривай перечень конфиденциальной информации систематически. Избыточная конфиденциальность наносит колоссальный вред.
“Перегибы конфиденциальности” в компании всегда приводят к отрицательным результатам. Например, если объявить конфиденциальной всю информацию, относящуюся к деятельности компании, то это приведет к тому, что за нарушение конфиденциальности не важной информации наказания не будет. А это, в свою очередь, приводит к тому, что у сотрудников компании «размазывается» понимание, какая информация является действительно важной. Так же, принятие мер по защите излишнего объема конфиденциальной информации требует дополнительных ресурсов. Про оптимизацию затрат на систему защиты информации можно “забыть”.
ПИ62: При выборе средств защиты выбирай не лучшее на момент выбора, а то, которое держится среди лучших и будет стабильно развиваться.
Опыт показывает, что продукт-лидер в той или иной области — событие временное! Сегодня — Лидер, а завтра — разработчик или перестал осуществлять поддержку продукта, или обанкротился, или … Необходимо выбирать продукты из группы лидирующих с уверенностью в том, что они будут развиваться, обновляться и т.п.
ПИ61: Запомни: уязвимости всегда конкретны по отношению к средствам, а угрозы всегда относительны по отношению к целевой системе.
Без комментариев.
ПИ60: ИБ следует за деньгами… Следи за денежными потоками в компании и на рынке…
Без комментариев.
ПИ59: Активная работа ИБ’шников на объекте больше пугает сотрудников объекта и пользователей, нежели хакеров и инсайдеров.
Без комментариев.
ПИ58: ИБ в компании должна быть как нижнее бельё — не видно, удобно, и выполняет важную функцию.
Без комментариев.
ПИ57: Специалист по ИБ должен глубоко разбираться хотя бы в одной узкоспециальной области и широко обозревать остальные.
Изучай смежные области знаний.
ПИ56: Запомни: ты добрый, честный, порядочный, приветливый, вежливый, трудолюбивый, заботливый, организованный, пунктуальный и красивый!..
Не утони в работе, помни, ты человек с присущими людям недостатками и преимуществами.
ПИ55: Запомни: самые дорогие средства защиты делают специально для тех, кто покупает самые дорогие средства защиты!
Без комментариев.
ПИ54: Люди обладают непреодолимой потребностью делиться информацией. Исключение составляют только лица с соответствующими нарушениями…
Это свойство определяет главное направление деятельности информационной безопасности — работу с людьми.
ПИ53: Хорошая информационная безопасность работает прежде всего с людьми. Плохая — с техникой, ПО, бумагой…
ПИ52: Предпринимай усилия по формированию в коллективе Права на ошибку. Это позволит тебе самому им воспользоваться в нужный момент.
Без комментариев.
ПИ51: Разрабатывая любой сканер или анализатор, имей в виду: отчеты, которые он формирует, должны восприниматься легче, чем исходные данные, которые он анализирует…
Без комментариев.
ПИ50: Старайся внедрять свои решения и средства защиты в систему раньше других — при возникновении конфликтов «всех собак» чаще всего вешают на последнего…
Без комментариев.
ПИ49: Проработай перечень направлений своей деятельности и ответственность. Дружи, прежде всего, с юристом, а уже потом — с IT’шником.
Юрист, как правило, более авторитетная фигура в компании. Он имеет большее влияние на руководство компании и лучше умеет обосновывать риски.
ПИ48: Запомни: разработчик функциональной системы никогда не будет встраивать в неё функции безопасности без принуждения.
ПИ47: Начинающему ИБ’шнику полезно первые два-три года поработать под руководителем IТ-направления! Уж очень это пригодится в будущем.
ПИ46: Жалуешься, что тебе тяжело обслуживать неработающие средства защиты? Поверь, куда тяжелее тебе придется обслуживать работающие средства защиты…
Без комментариев.
ПИ45: Серьезные закладки, использующиеся на объектах для прослушки, чаще всего находят не применением дорогого сканирующего оборудования, а умной головой, лупой и «палкой-ковырялкой».
ПИ44: Запомни: основной пищей для бизнеса являются деньги. Голодному бизнесу информационная безопасность не нужна.
ПИ43: Запомни: уязвимости бывают трех типов: 1) еще не выявленные, 2) уже выявленные и… еще бывают бесполезные…
ПИ42: Проработай с функциональными подразделениями компании план реакции на неблагоприятные ситуации, связанные со сбоями в инфраструктуре организации и другими инцидентами.
ПИ41: Не спеши внедрять только что появившееся на рынке средства защиты. Ты же не хочешь работать еще и их бесплатным тестером.
ПИ40: На рынке ИБ хорошо продаются не лучшие, а наиболее дорогие средства. Постарайся это учесть и использовать в работе.
ПИ39: Если вы считаете поведение партнера идиотским, то вы, вероятнее всего, просто неверно понимаете его цели!
ПИ38: Тебе стоит раз и навсегда разобраться, в чем разница между “угрозами”, “уязвимостями” и “характеристиками”.
ПИ37: Оценивая модель угроз, удели особое внимание разделу «Предположения безопасности». Дьявол часто прячется в константах.
ПИ36: Ни при каких условиях не бери на работу хакера. Всегда можно найти квалифицированного специалиста без уголовного прошлого, настоящего и, возможно, будущего.
ПИ35: Раз в полгода обновляй свое резюме — оно может пригодиться внезапно. Да и цену своему опыту будешь знать .
ПИ34: Пытаясь разобраться в мотивации человека, не стоит исключать вероятность того, что он просто идиот.
ПИ33: Никогда не отказывай в консультациях. Помни: часто человеку, чтобы спросить тебя, требуется потратить больше усилий, чем тебе ответить.
ПИ32: Организационные меры в компании должны быть такими, как будто технических средств защиты информации нет вовсе…
ПИ31: Тренируйся в умении обосновать необходимость наличия средств защиты информации! И в равной степени будь готов обосновать их отсутствие…
ПИ30: Не хвались своей компетенцией в коллективе — всегда найдутся сотрудники, желающие и способные доказать обратное.
ПИ29: Запомни: вопреки ожиданиям, большинство руководителей компаний охотнее платят за ощущение безопасности, нежели чем за саму безопасность!
ПИ28: Создавая крепость, не преврати её в тюрьму. От проблем не прячутся — их решают!
ПИ27: Запомни: контроль каналов-источников информации не менее важен чем контроль каналов утечки.
ПИ26: Не концентрируйся только на конфиденциальности! Уделяй внимание достоверности и целостности.
ПИ25: Если ты закупил и установил в систему антивирус то спать спокойно можно не тебе а производителю антивируса…
ПИ24: В любой системе есть избыточные функции. Часть из них вредна или не контролируется, а часть неизвестна даже разработчику системы!
ПИ23: Запомни, утверждение: «чем больше в системе разных типов СВТ тем ниже ее уровень защищенности» не является истиной!
ПИ22: Запомни, одна из целей информационной безопасности — отсутствие у нарушителя возможности нелегально воспользоваться защищаемой информацией.
ПИ21: Запомни, Пользователь никогда не получает доступ к информации непосредственно. Только через функции системы. Отсюда много следствий…
ПИ20: К требованиям руководящих документов относись критически, не упирайся бездумно. Научись использовать их в интересах компании и про свои интересы не забывай.
Без комментариев.
ПИ19: Сформируй границы личного пространства пользователей в информационной системе компании (музыка, чаты и т.п.). Четко их обозначь и доведи до пользователей.
Без комментариев.
ПИ18: Собери данные по подразделениям о том, чего пользователи системы боятся: сброс питания/контроль/утечки/вирусы и т.п. Сформируй карту субъективных рисков.
Без комментариев.
ПИ17: При выборе средств защиты не обольщайся! Все они имеют функциональные ограничения по использованию, в том числе неизвестные даже их разработчику или специально скрываемые от пользователей.
При выборе средств защиты постарайся узнать все ограничения и условия их применения. Не доверяй рекламным проспектам производителей.
ПИ16: На совещаниях никогда не выступай первым. Чем ниже ты в списке тем лучше. За время докладов можно изменить/улучшить свой!
Без комментариев.
ПИ15: При наличии конфликтов требований и задач — выполняйте те, которые ближе на пути к окончательной цели.
Каждое действие тянет за собой множество связей. Их увеличение тормозит твою деятельность и усложняет ее.
ПИ14: Используй простые методы. Банальное архивирование спасает от большинства возможных проблем.
Бездумное усложнение систем защиты может привести к потере контроля и дополнительным затратам по контролю за избыточными функциями средств защиты.
ПИ13: Твое законное или незаконное отсутствие на рабочем месте не должно влиять на обеспечение информационной безопасности!
Без комментариев.
ПИ12: Запомни, если у тебя нет времени на обед или на семью или на пообщаться с друзьями, значит ты неправильно построил свою работу.
Совершение подвигов — признак неэффективности твоей деятельности и планирования. К тому-же, повышается риск совершения ошибок.
ПИ11: В 50% случаев попытки улучшить СЗИ приводят к ее ухудшению. В остальных 50% к ее краху. Улучшать СЗИ нужно очень осторожно.
Без комментариев.
ПИ10: Уделяй внимание описанию своих действий. Иногда сложно в двух словах обосновать затраты на твою деятельность и эффективность результата.
Без комментариев.
ПИ9: Помни, руководству не нравится увеличение бюджета на информационную безопасность. Уменьшение бюджета вызывает еще больше вопросов ;)
Без комментариев.
ПИ8: Будь дипломатом, но помни, недоброжелатели у тебя все равно появятся, каким бы душкой ты ни был.
Система защиты информации это всегда компромисс между функциональностью и ограничениями.
ПИ7: Будь информирован. Постарайся быть в курсе всех событий и проектов в компании. Участвуй в выработке решений по любым вопросам деятельности компании.
Участие в планировании позволит избежать архитектурных просчетов при построении и использовании информационных систем. Позволит оптимизировать систему защиты информации и затраты на средства защиты.
ПИ6: Займись классификацией всех активов! Постоянно уточняй их состояние.
Если активы не классифицированы и не оценены то что же ты защищаешь?.
ПИ5: Технические средства защиты могут оказаться не только бесполезными, но и принести вред!
Технические средства должны обеспечивать защиту информации с привязкой к бизнес-процессами компании. В противном случае они выполняют функции ради их выполнения. Учитывай планы развития компании. Средства защиты не должны ограничивать развитие.
ПИ4: Запомни: большинство вопросов можно решить организационными мерами. Люди — главный актив. Они могут принести ИБ как максимальную пользу, так и максимальный вред…
Не стоит полагаться на технические средства защиты. Наибольший ущерб приносят действия злоумышленников-инсайдеров или некомпетентные действия персонала.
ПИ3: Разберись и всегда помни, в чьих интересах осуществляется твоя деятельность.
Защита информации — это не самоцель. Это базовый вопрос в твоей деятельности!
Не стоит применять методы защиты информации без привязки к бизнес-интересам компании. Это относится ко всем направлениям твоей деятельности включая выполнение требований регуляторов.
ПИ2: Не спеши немедленно что-то предпринимать. Оцени: возможно, твое бездействие принесет больше пользы, чем немедленная реакция…
Часто в первые минуты инцидент воспринимается неверно. Твоя немедленная реакция может нанести ущерб непрерывности бизнес-процессам компании. Сперва оцени ситуацию с различных точек зрения.
ПИ1: Не суетись! Твоя суета никому не принесет уверенности и делу не поможет.
Если ничего не случилось, то нет смысла суетиться. Если что-то может случиться, то ты должен быть к этому готов. Приготовь и проработай порядок действий на случай инцидента.