Заголовок бодрый, но на самом деле настроение от самой публикации у меня не столь бодрое. То, что "вместе" – это "да, конечно". Но что же мы собираемся стоить, зачем и как – вот тут все в тумане…
Итак, в конце июня прошла очередная мини-конференция "ИнтерТраст" по теме "Строим вместе безопасную СЭД"… Там был доклад и общая дискуссия (круглый стол с участием всем пришедших).
В плане "разминки" к теме я написал предварительный пост Новый раунд разговоров "вообще" – "что такое безопасная СЭД?"
Потом по горячим следам, сразу после еще один Вот такая у нас безопасность… Кажется, и СЭД-безопасность тоже…
А вчера еще и "итоговая" статья. Теперь нужно еще и итоговый пост написать…
[spoiler]
Говоря о теме безопасности, у меня почему-то возникает ассоциация с онкологием. Тема ИБ пронизывает всю тематику ИТ как метастазы, на нее наталкиваешься на каждом шагу. Но при этом никто не знает ни природу этого процесса, ни как с ним бороться… Порой создается такое впечатление, что любой нормальный АйТишник (и пользователь тоже!) в тайне мечтает вообще забыть про эту ИБ, как о ночных кошмарах, постоянно преследующих его. Но публично он этого не может сделать, сказав "отстаньте от меня со своей ИБ", поскольку это примерно, как доброму католику усомниться в том, что браки совершаются на небесах, а потому развод невозможен…
Типа, вы приходите на работу – а на каждой стене развешаны плакаты "враг подслушивает". Вечером пришел домой, а вместо зеркала – "А ты записался…?"
Короче говоря, я не могу назвать себя совсем новичком в теме. Слово безопасность у меня встречается в моих публикациях. Было довольно много статей, в том числе больших обзоров по разным аспектам (даже список тем большой, статей еще больше).
В общем, все это я к тому, что я не очень понял, какая проблема обсуждалась на этом мероприятии. При этом это даже не упрек организаторам. Как говорится "они сделали, что могли" (возможно и не все, но явно старались). Наверное, тема такая – не подъемная. А может быть, даже и не нужная.
"Как защищаться от внешних угроз" – это понятная тема. Как бороться с "внутренними утечками" – тоже понятно. Как построить процесс разработки ПО, что получился "хороший код" (в том числе "без дыр") – то же понятно. Как применять ЭЦП и нужно ли это делать, - понятно. Как получить нужные сертификата – тоже…
А что такое "безопасная СЭД", как ее строить и для чего – не понимал и не понял….
Определения, звучавшие и в выступлениях типа "безопасная система – это та, которая снабжена средствами защиты" или "БС – это та, которая отвечает требования по безопасности" – это из области тавтологии.
Ну, я уже не говорю, что совершенно непонятно, в чем же является специфика СЭД (речь там шла об ИТ-системах вообще).
У нас тут вчера в другом блоге состоялся обмен мнениями по ИБ (вообще, не СЭД) Чего боятся интернет-пользователи
Я там высказал такое мнение
Такое впечатление, что ИБишники 90% своего рабочего времени занимают созданием и распространением страшилок, мало имеющих отношение к реальной жизни
Я вполне допускаю, что я не очень прав или даже не прав вовсе. Но пока продолжаю оставаться при этом же мнении.
Вообще, основной целью визита на то мероприятие у меня было узнать мнение на этот счет аудитории. Не получилось… Может быть, и потому, что мнения нет как такового…
Однако, в СЭД имеются специфические информационные объекты - документы, папки, поручения и проч., у которых сложная внутренняя структура - карточка, файлы, версии и прочие компоненты в зависимости от фантазии разработчика.
Поэтому типовые подходы к оценке безопасности СЭД надо доработать с учетом этой специфики, начиная с модели угроз и модели нарушителя и заканчивая методами тестирования.
Тогда и будет однозначное толкование и понимание, что такое Безопасная СЭД.
Я ответил