Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

CISO rules

Материал из wikisec
Версия от 13:54, 31 октября 2019; Wikiadmin (обсуждение | вклад) (Новая страница: «361    Не управляй делами - управляй последствиями! 360 Настоящий ИБшник, мечтает не о том...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигации Перейти к поиску

361    Не управляй делами - управляй последствиями! 360 Настоящий ИБшник, мечтает не о том чтобы у него были СрЗИ, а о том, чтобы у него их небыло! 359 Приходите на свидание вдвоем. Пока один отвлекает девушку в баре, второй поднимается в номер и уничтожает все камеры и жучки. 358 Никогда не проси помощи в размере который можешь сделать сам. 357 Данные как девушки... Должны хоть раз быть скомпрометированы... 356 А вы замечали, что хорошая политика поИБэ исполняется так же как и плохая политика поИБэ? 355 Прежде чем решать задачу, ее необходимо упростить до состояния, не противоречащего целям решения 354 Дурак, достигший предела своего карьерного роста - для организации безопасен 353 Если руководство вызывает вас в 17.30 то это значит что или вопрос не важный, или важный, но по нему уже принято окончательное решение. 352 Чтобы руководство задумалось за ИБ, вместо пентестов можно взять на испытательный срок дол***ба с тем же результатом, но дешевле 351 Мало сделать СрЗИ к нему еще угрозы нужно придумать 350 Если нет денег сделать правильно, будут деньги сделать дважды 349 В ИБ/ИТ кадровый голод на низкооплачиваемых высококвалифицированных специалистов... 348 Как только система достигает определенного уровня сложности, она становится реализуемо уязвимой 347 Программы учений должны содержать в условиях ошибки операторов, в том числе при реакциях на ошибки операторов... 346 Данные, входящие и исходящие в/из ИС должны иметь маркеры времени. 345 Знание массы best practice, стандартов и методологий приносит пользу только через интерпретацию и адаптацию их для Компании 344 Лучший способ приблизиться на расстояние разящего удара - выглядеть беспомощным 343 Разгоняя эффективность системы не забывай про ее устойчивость 342 У нормального CISO во флэшках недостатка нет 341 Если на вас еще не напали, значит еще остались иные меры воздействия 340 Если вы сделаете защищенную инфраструктуру, на вас начнут нападать физически 339 Антивирус - высшая форма костыля для непродуманной системы 338 Реальный статус сотрудников компании можно вычислить по уровню привилегий для обхода СЗИ 337 Подготовленный к беде лезет в беду реже чем не подготовленный. 336 Для того чтобы добыть информацию не нужно взламывать никакие системы... 335 Всякий сотрудник обладает Волей к преодолению 334 Внедрение ИБ затруднительно там, где менеджмент не желает отказываться от своих привычек. 333 Если у системы два независимых админа, то системе рано или поздно придет конец 332 Всякий кризис начинается с необходимости продержаться 331 Вопросы в ИБ всегда одинаковые - ответы разные.  330 Обязательным условием развития искусственного интеллекта является уничтожение человечества. 329 Что бы скрыть антропогенный трафик люди начнут подражать машинам 328 Оценка эффективности ИБ должна включать оценку затраченных человеко-часов 327 Часто побеждает не тот, кто больше берет, а тот, кто меньше теряет 326 Всякое разумное существо стремится игнорировать Долг 325 Помните, все-таки волк ходит за стадом а не стадо за волком 324 Не забывай про дураков. Их функция - компенсировать любые попытки изменений среды. 323 Чем выше звание, тем проще должен быть пароль! 322 Развитие сильных сторон продукта/компании выгоднее чем поддержка слабых. 321 В 100% случаев службу ИБ не допускают к тем, от кого исходят максимальные риски. 320 Достоверные данные точностью не испортишь! 319 Это я к тому, что некоторые вредные процессы нельзя ломать - лучше если они сами закончатся. ПИ 318 Ответственность - как шоколадка. Её лучше разделить на всех 317 Никто не имеет права уходить в отпуск счастливым! 316 Нанятому (невовлеченному в бизнес) сотруднику - безопасность компании не интересна. 315 Запомни, иногда проще получить прощение чем разрешение ;) 314 Если тебе нужно мнение независимого эксперта, сначала найди независимого эксперта... 313 Ответственность нельзя заместить красивой Отчетностью 312 Только настоящий риск трансформируется в примету. А затем и в поговорку. Под конец в анекдот... 311 Политика ИБ - это пожелание того, как должен действовать вероятный нарушитель. 310 Спрашивая у вендора о скорости и стоимости внедрения системы, не забудь спросить за какое время система выносится и с каким ущербом. 309 Если ваш бизнес защищается не по идеологии CISCO - значит у вас неправильный бизнес... 308 Хакеры - лучшее прикрытие для инсайдера! 307 Самая устойчивая система это недоделанная система... 306 Если ваши действия автоматизируются - вас заменит автомат... 305 Минимизация воздействия человеческого фактора ведет к устранению самого фактора... 304 Всякое ИБ оплачивается конечным потребителем! 303 Комплексный подход заключается не том чтобы дергать за все ниточки, а том чтобы дергать только за нужные минимально достаточным усилием... 302 Всякий ИБ'шник должен знать! Сколько бы голов не было у гидры, жопа у неё одна! 301 Любая, даже самая сложная, проблема обязательно имеет простое, легкое для понимания, неправильное решение... 300 Работа ИБ'шника проста! Ты пишешь что необходимо, потом руководство помечает где ты не прав... 299 Всякая проблема имеет 3 сущности: 1-в которой корень проблемы 2-в которую отображается проблема -которая подпитывает корень проблемы 298 Люди не самое слабое звено в ИБ! Но определенно, самое долбанутое... 297 Получив 100% цифровых данных о предмете, вы имеете менее 50% доступной информации о предмете. Остальные 50% у людей... 296 Твоя задача: построить доверенную систему из недоверенных компонент в недоверенной среде... 295 Часто, обещание - это инструмент демонстрации лояльности, а не основа исполнения его содержания... 294 Дипломатия — это искусство добиться таких договоренностей, при нарушении которых именно вы получаете максимальную выгоду... 293 Для неограниченного обогащения достаточно манипулировать доверием. 292 Соблюдение всех норм законодательства РФ не дает гарантии потери репутации. 291 Хороший Виски можно дарить и в недопитой бутылке! 290 Рабы простят тирану все, кроме отсутствия у него чувства юмора... 289 Деревья сбрасывают листву не для того чтобы умереть, а для того, чтобы пережить зиму... 288 Мужчина плачет не за то, что на яхте с красотками мёд не пил, а за то, что большой настоящий дело не делал... 287 Издревле у человеков принято подмешивать яд во что ни будь вкусное... 286 Золотой парашют стимулирует договороспособность! 285 Любая «Задача» превращается в «Цель», если появляется компонент «Желание». 284 Нелепо звучит оправдание недееспособности низкой зарегулированностью бизнес-процессов... 283 Вокзалы для расставаний, аэропорты - для встреч... 282 Если пристально присмотреться в дырочку для ордена, то всегда можно разглядеть жопу... 281 Иногда люди верят вранью просто потому, что вранье настолько искреннее, что легче поверить вранью, чем в то, что так можно врать... 280 Думающий, болеющий душой за дело человек, не может не ворчать! 279 Вы можете делать все что захотите, но кот все равно попьет из вашей кружки! 278 Доказано: 100% коммутаторов уязвимы к атаке «человек в неадеквате». 277 Кому лучше подчинить ИБ? - если начальник дурак, то без разницы 276 В проекте столько объективности, сколько в проекте математики! 275 Наш хлеб - антропогенный трафик! 274 Интеграторы. Запоминается только плохое... 273 Жопа - это состояние системы. Как правило, самое устойчивое... 272 "ВМЕШАТЕЛЬСТВО" - ЭТО понятие, которым ИБ’шник должен вертеть на кончиках пальцев как мастер покера фишками... 271 Если установка энтерпрайза не начинается с кнопки «Call Support», то это не энтерпрайз! 270 Если сотрудника не за что наказать, то и награды он не достоин... 269 Не ищите оправдание преступлению, ибо найдёте... 268 Корпоративный дух заканчивается одновременно с туалетной бумагой! 267 Хорошие эксперты говорят: «Нельзя а лучшие знают, как можно! 266 Не так опасно ошибиться в человеке, как в уровне его осведомленности... 265 У всякого действия есть ущерб 264 Чтобы создать в колхозе 500 рабочих мест, достаточно сломать трактор! 263 Спокойствие босса дает свободу как и неведенье босса... 262 Чем отличаются технари от гуманитариев? Кто полезнее? у одних есть спирт, у других бабы... вот и считай... 261 - Админская учётка дана тебе не для того чтобы ты помогал людям! - Но я ведь уже извинился... 260 - SOC - это БД плюс какая-то хрень! - а сейчас все это БД плюс какая-то хрень... 259 Мы дожили до состояния, при котором отсутствие средств защиты в инфраструктуре компании безальтернативно ведет ее к краху... 258 нас новая СЗИ «Домино»! - какие функции? - как фишка ляжет... 257 - а это наша система Неваляшка! - и что, никогда не падала? - да не... в ней конь не валялся... 256 По крайней мере, бюджетирование ИБ расширяет кругозор, подталкивает к общению с интересными людьми... 255 Только правильные действия всегда приводят к катастрофе... 254 Разум за всё время своего развития более всего преуспел в оправдании своих же пороков... 253 Кстати, это моя личная точка зрения, и она может не совпадать с моей официальной позицией... 252 Помни, доверие формируют поступки, а не клятвы! 251 Кризис - потеря Воли! первый шаг к нему - утрата самодисциплины! 250 Самая большая и самая обидная ошибка для топ-менеджеров - перепутать момент начала преобразования бизнеса с падением бизнеса... 249 Помни, бездарность часто ищет спасения в работоспособности... 248 Помни, самым известным Независимым экспертом был Павлик Морозов! 247 Всякий влиятельный эксперт должен ответить себе на вопрос: «У какой компании акции упадут хотя бы на 1% если он сдохнет»? 246 Успех - это не окончание неудач, наличие запаса на будущие неудачи. 245 Всякую работу можно сделать плохо! 244 Запомни, «Продуктовые Евангелисты» - вредители отрасли ИБ! 243 Декларация соответствия ничтожна отсутствии репутационных рисков 242 Если ты жутко накосячил, а этого никто не заметил - значит этого и не было! 241 Воистину, продукто-центричная информационная безопасность - проститутка империализма! 240 Самые эффективный метод защиты информации - её удаление! 239 Обеспечение защиты информации не должно понижать её ценность! 238 Твои проекты никто не ценит! Твои отчеты никто не читает... 237 Пишущий Политику стелет дорогу себе... 236 Соблюдение корпоративной этики между двумя топ-менеджерами компании возможно только при наличии у обоих компромата друг на друга... 235 Информационная безопасность представляется в виде графа где узлы характеризуются уровнем доверия, а ребра уровнем защищенности. 234 Чем более ценна «репутация места» тем меньше нужно фактуры для смещения сидящего в нем зада! 233 Деньги это всегда Данные, но Данные это не всегда Деньги! 232 чем вы заполняете пространство между необходимым уровнем защищенности и вашими возможностями? 231 Не так важно на чьей стороне 1000 вендоров поИБэ ... Важно чтобы пользователи были на твоей! 230 Социальная инженерия нужна ИБ'шнику для внедрения системы защиты не меньше чем хакеру для ее обхода! 229 Если ты научился не ошибаться в тяжелые времена это не означает что ты научился не ошибаться, когда ты на коне! 228 Стоимость потери зашифрованной флешки равна стоимости только самой флешки! 227 Чаще всего, человек стремится защитить от других сотрудников компании именно ту информацию, которую сам не прочь стащить! 226 Если ты начинаешь разочаровываться используемых СрЗИ - не пугайся, ты на правильном пути! 225 Перед ИБ'шником всегда стоит вопрос - быть незаменимым или быть невидимым. 224 Иногда, чтобы сократить время на выбор средства защиты, достаточно подбросить монетку. 223 Не нужно браться за решение проблемы, когда стоит задача - решать вопрос! 222 Немонетизированная утечка - бесполезная утечка! 221 В результате учений по ИБ произошел крах системы. Парадокс! Результат учений является и положительным, и отрицательным одновременно! 220 Невскрываемым может считаться только такой шифр, для которого нет критериев оценки правильности расшифрованного сообщения. 219 Одна из важнейших функций CISO - управление доверием! 218 Риск пересматривается периодически, Ресурс изменяется постоянно! 217 Корректировка системы ИБ Ресурсом сильнее корректировки её Риском! 216 Парадокс. Доверие является и результатом, и причиной нарушения политики ИБ. 215 При увольнении топ-менеджеры уносят бизнес, менеджеры среднего звена - бизнес-процессы, а информацию уносят ВСЕ! 214 Всякий мошенник требует, чтобы с ним обращались строго по закону и с соблюдением этических норм. 213 Если тест можно пройти на 100%, то это плохой тест... 212 Услуги по знакомству - самые дорогие... 211 Людям свойственно скрывать свои истинные намерения... 210 На переговорах добивайся только таких договоренностей, при нарушении которых ни одна из сторон не получит непоправимое преимущество... 209 Научись бояться. Уметь правильно бояться - одно из важнейших качеств ИБ’шника. 208 При рассмотрении крайних форм взаимодействия помни, что порядочность - тоже крайняя форма. 207 Проверь, какие пароли помнит сисадмин и смени те, которые он вспомнил! 206 Роль информационной безопасности компании именно такая как её воспринимает бизнес! 205 Высокая дезинтеграция информационных систем - большая проблема как для ИБ, так и для хакеров. 204 Демонстрация договороспособности на порядок ценнее демонстрации правоты! 203 Гонка с хакерами комплексно, с учётом расширения инфосферы, отражается в тенденции удорожания средств взлома и удешевления средств защиты... 202 Однажды тебе станет грустно из-за отсутствия в ИТ-инфраструктуре устойчивой Системы Единого Времени. 201 Зрелое ИБ - это участие в формировании безопасных процессов по всем направлениям, имеющим отношение к инфосфере бизнеса. 200 Любое коробочное решение со временем становится ландшафтным... 199 ИБ’шник в компании нужен не для того чтобы ограничивать бизнес, а для того чтобы бизнес развивался безопасно. 198 Комплексная цель CISO - составить из букв «А» «П» «О» «Ж» слово «С Ч А С Т Ь Е» 197 Самый близкий к ИБ вид спорта - кёрлинг! Или тетрис? 196 Цель управления рисками не понижение рисков, а уточнение возможного в процессах принятия решений. 195 Мне ваша формула эффективности ИБ не интересна, вы мне покажите где тут корректирующий коэффициент! 194 Никогда еще показатели ROI, ТСО, ROSI, AS, ALE не побеждали показатель NAH-UA! 193 Информационная безопасность - наука, изучающая процесс применения рациональных технологий ради достижения иррациональных целей. 192 Если у метода обеспечения информационной безопасности есть общепризнанное название, он скорее всего уже неэффективен. 191 Обнаружить потерю доступа к системе, провести расследование и обнаружить, что сам случайно изменил себе права - бесценный опыт ИБ'шника! 190 Не обязательно быть целью, чтобы стать жертвой! 189 Чаще всего проблема решается не в той плоскости, где она проявляется 188 Не так важен EVENT, как его «монетизация»! 187 Некоторые системы позволяют компенсировать коммуникации, но ни одна система не способна их заменить 186 Один недоученный сисадмин может за ночь сделать для вашей компании больше чем Microsoft, CISCO, INTEL и IBM за десятилетие вместе взятые! 185 Неконтролируемые действия по понижению или повышению защищенности могут привести к лавинообразной цепной реакции и краху СЗИ... 184 На аудите постарайся докопаться до такого уровня абстракции, который позволит предлагать решения на уровне архитектуры. 183 Одна из целей твоей деятельности - понижение цены ошибок! 182 Если пользователи не соблюдают правила ИБ, то они не идиоты... Они просто не мотивированы соблюдать правила ИБ! 181 Никогда не применяй шифрование как компенсацию недостатков системы защиты информации! 180 Кризис есть ни что иное как потеря воли! 179 Остерегайся хакеров, особенно непьющих и еще больше остерегайся ИБ'шников увлеченных персональными данными, особенно пьющих... 178 Старайся приводить ущерб от угроз к потере невосполнимых ресурсов. Например, времени... 177 Обеспечил правильный состав рабочей группы - сэкономил миллион! 176 Запомни, архитектурные решения всегда эффективнее! 175 Термин «коллективная безопасность» подразумевает не только защиту периметра! 174 Неадекватная оценка угрозы - это тоже угроза! 173 Ты должен быть информирован настолько, чтобы твои решения были очевидными. 172 Иногда лучшая победа - это ничья! 171 Первое шифрование как правило заканчивается потерей информации. 170 ИБ'шник как диетолог: если не контролировать вход, то нечего жаловаться на выход! 169 Принцип: при наличии взаимодействующих систем, о безопасности команд управления должна заботиться принимающая сторона. 168 Одна из характеристик незрелого рынка - отсутствие репутационных рисков! 167 Если кто-то утверждает, что в его профессии нет этики, я в ответ утверждаю, что нет такой профессии! 166 ИБ'шник должен: -Знать, 2-Контролировать, З-Защищать, 4-Влиять. 165 Откат - это не только вознаграждение за выбор поставщика услуг, но и компенсация за низкое качество предоставленных услуг! 164 Чем полнее и достовернее информация по вопросу, тем очевиднее ответ. 163 Воистину, восхищение незнанием и восхищение знанием - суть отличия мнимого и истинного счастья! 162 Сотрудник с темным прошлым обладает только одним преимуществом - темным прошлым! 161 Не всякая уязвимость компонента системы ведет к уязвимости самой системы! 160 Давать доступ можно только тому, у кого ты сможешь его забрать! 159 Негоже Заказчику выглядеть компетентнее Интегратора. 158 Потребителя не интересует, какое количество сертификаций прошло сплошь уязвимое приложение. 157 Часто DLP нужна не для того, чтобы обвинить, а для того, чтобы снять подозрения! 156 Руководство не хочет принимать меры по защите той информации, для монетизации которой отсутствует очевидная «дорожная карта». 155 Докладывать об инциденте или найденной уязвимости следует только тому, кто сможет правильно среагировать на эту информацию. 154 Внедрение технических средств защиты не должно опережать развитие Культуры информационной безопасности. 153 Сотрудник службы безопасности! Ставь DLP - береги печень! 152 Недооценка рисков ведет к принятию рисков. Переоценка рисков ведет к порождению новых рисков. 151 Безопасность самой защищенной системы ничтожна, если вы используете тот же пароль в незащищенной системе. 150 Тебя учили обеспечивать конфиденциальность информации, а придется обеспечивать устойчивость информационных систем. 149 Несложно влить информацию в ИС, когда она собирается. Сложно её не расплескать, когда ИС разбирается! 148 Если аудитор начал с инвентаризации - у него есть бизнес. Если с оценки рисков - у него есть время. 147 Иногда кофе-машина, установленная в отдел IT, делает для ИБ больше чем антивирус, установленный в сети. 146 При попытке взлома криптосистемы, взломом криптоалгоритма занимаются последнюю очередь! 145 ИБ'шники как шахтеры. И те, и другие знают, что горизонтальные каналы (штольни) куда опаснее вертикальных каналов (шахты). 144 Защищенный канал и контролируемый канал это две большие разницы! 143 кого не хватает сил противостоять, тот не высовывается и смешивается с толпой... 142 Программный код всегда имеет меньшее влияние на обработку данных чем среда его функционирования. 141 Запомни, система с четким периметром всегда защищённее системы с размытым периметром... 140 Подумай, сколько ты сделал для компании, партнеров, страны! Теперь подели на 1000 и иди работать! 139 Зрелая ИБ возможна только если лежит на «плече» рычага, качающего деньги... 138 Широта и активность применения пользовательских СрЗИ пропорционально юзабилити интерфейсов данного СрЗИ. 137 Безопасная разработка приложений - это когда бюджет проплачен без учета результатов... Ничего более! 136 Стоит насторожиться, если вероятный партнер упорно не использует для переписки корпоративную почту. 135 Говорите по телефону без «жучка» так же как по телефону с жучком! 134 Для всякого субъекта существует свой уровень угрозы, после которого он пытается действовать рационально... 133 Если перед тобой стоит выбор, использовать простое или более сложное средство защиты, выбирай простое. 132 Самый ценный хакер не тот, кто лучше ломает системы, а тот, кто может сдать больше друзей-хакеров... 131 Используй не слабости, а силу партнеров! 130 Во всем ищи человека. 129 Используй встроенные механизмы защиты, а средства контроля защищенности внешние. 128 Недостаточность правовых мер защиты информации не может быть компенсирована техническими мерами 127 Постигая искусство ИБ, уделяй 50% времени совершенствованию методов и средств защиты и 50% совершенствованию себя! 126 Чем точнее описана уязвимость или угроза безопасности, тем легче сформировать для нее контрмеры. 125 При необходимости используй два SAST разных производителей. Один из них обязательно должен интегрироваться в среду разработки. 124 Разработай для персонала правила безопасного использования информации и активов. 123 Если ты не перевариваешь ложь, высказанную тебе в спину, то как ты переваришь правду, высказанную тебе в лицо? 122 Чаще всего мы ошибаемся в людях... 121 Учи английский язык. Большинство отраслевых новшеств появляется на английском языке... 120 Две совершенные системы защиты, установленные в одну информационную\ систему, блокируют друг друга. 119 Система защиты, состоящая из абсолютно надежных элементов, может оказаться абсолютно ненадежной в целом. 118 На переговорах с заказчиками - принято увеличивать цену контракта на 15% из которых потом: 5%-подарить менеджеру, 10%-генеральному директору. 117 Вредоносный код — это любой код, который попал в базу Касперского 116 Сдается мне, что если встретятся два великих ИБ`шника, то им будет что вспомнить, но совершенно не о чем поговорить... 115 Считаете себя зрелым человеком на основании того, что не позволяете себе совершить глупую выходку?! Трепещите несчастные, ибо ОН может 114 Чем отличается управляющий от кризисного управляющего? Управляющий - управляет, кризисный сначала доводит до кризиса - потом управляет! 113 Если вендор утверждает, что через месяц у него будет новый продукт «А», то это означает одно - у вендора нет продукта «А»! 112 Если информационная безопасность не начинается с инвентаризации - она не начинается! 111 Развитие ИБ приводит к специализации... 110 Единственный способ бороться с Алексеем Лукацким - устраивать совещания и конференции в одно время, но в разных местах! 109 У любого продукта есть жизненный цикл... Некоторые технологии не приживаются потому что не их время. 108 Есть такой порог, за которым специалист начинает верить своей интуиции и предположениям, переставая их самокритично проверять... 107 А Политика ИБ вашей компании предусматривает ежегодную тренировку паники? 106 Инсайдер! Требуй у руководства компании внедрения DLP! В случае чего тебя посадят, а не закопают! 105 Иногда, чтобы продать новый продукт, производители искусственно принижают эффективность других своих продуктов. 104 Управление информационными потоками важнее управления информацией! 103 Необнаруженная утечка с нулевым ущербом обходится для компании дешевле обнаруженной утечки с нулевым ущербом.. 102 В момент, когда Аудитор кроме описания уязвимостей начинает давать рекомендации по их устранению, он становится немного Интегратором. 101 Поддельные антивирусы работают на слепом доверии пользователей к антивирусам! Неподдельные тоже. 100 Сколько же нас погибло в этой войне добра со справедливостью... 099 Безопасность системы определяется не числом пользователей и точек входа, а полнотой и корректностью функций защиты. 098 Немедленно выполняй мелкие задачи! 097 Разработчик стремится сделать продукт для широкого круга пользователей. Тебе всегда придется адаптировать средства защиты под себя. 096 В какой-то момент ты поймешь, что ведение двусторонних переговоров - это роскошь! 095 Сотня уязвимостей конкретного продукта может быть бесполезна для злоумышленника в системе в которой они компенсированы или не критичны. 094 «Играя в шахматы», будь готов играть не только за противоположную сторону, но и за обе стороны одновременно и на нескольких столах... 093 Отраслевые правила приличия требуют, чтобы предъявление требований к ИБ сопровождалось четким их обоснованием... 092 Отсутствие сигнализации об инциденте сводит на нет эффективность применения системы защиты информации. 091 Это у дилетанта СЗИ всегда в порядке У профессионала всегда: «тут нужно доделать, там нужно поправить». 090 Избегай авторитарного мышления, используй авторитарное мышление других... 089 Если антивирус сообщает, что система проверена на 90%, то вероятность наличия вируса в оставшихся 10% и в уже проверенных 90% одинакова! 088 Система, проверенная антивирусом на 99% должна считаться не проверенной антивирусом! 087 Сначала ты ограничиваешь условия выбора средств защиты, затем средства защиты ограничивают тебе условия обработки и защиты информации... 086 Обоснование необходимости использования СрЗИ является неполным без соотношения его возможностей к актуальным угрозам... 085 При разработке документов не используй неустоявшиеся термины, не выдумывай новые. 084 Ценность средств защиты заключается в их использовании, а не во владении ими. 083 Любую проблему рассматривай с крайних точек зрения. Например, «самый удачный» и «самый неудачный» вариант развития событий. 082 Не выноси на аутсорсинг ключевые процессы - целей будешь. Вообще с работы ничего не выноси! 081 Если бюджета не хватает на приобретение нужного тебе средства защиты, сделай так, чтобы оно стало необходимым кому-то ещё. 080 Не в том искусство, чтобы быстро войти в проект. Искусство в том, чтобы правильно и вовремя из проекта выйти! 079 Ключевым элементом информационной безопасности является Доверие. 078 Учитывай планы развития компании Средства защиты не должны ограничивать развитие! 077 Веди историю важных событий ИТ/ИБ, происходящих в компании. Пригодится. 076 «Быстро/Качественно/Дешево». Выбери только два свойства. Еще лучше, сфокусируйся на одном главном для достижения цели. 075 Защищая систему, мысленно ставь себя на место нарушителя, но помни - нарушитель делает тоже самое. 074 Выполнимая инструкция лучше, чем невыполнимая политика! 073 ITSM, BCM, SAST, DAST, ASA, PM, CISO, PCI DSS, RFID, BDSM, RTFM, ISO, CRC. Изучай непонятные аббревиатуры. 072 Связи, связи, связи! Расширяй и укрепляй свой круг общения. 071 Команда обычно сильнее одиночки. Однако, не забывай, что «сила» и «эффективность» - это разные понятия! 070 Если ты в чем-то абсолютно уверен, остановись и осмотрись - скорее всего, ты что-то упускаешь из виду. 069 Делись опытом с коллегами. Удачный опыт вернется к тебе сторицей, а неудачный будет легче понять... и простить... 068 Тебе, возможно, удастся избежать «войны». Но избежать предательства - никогда! 067 Когда ты привлекаешь пользователя к борьбе с угрозами, убедись, что он не увлекся еще и борьбой с введенными тобой ограничениями. 066 Пришел к директору с бюджетом - Мол, помоги купить SIEM! А он мне тихо отвечает: - Зачем? 065 Очень серьезно прорабатывай текст для публикации вакансий. Помни, что характер нанимаемого сотрудника ценнее многих компетенций! 064 Любое средство, позволяющее собирать сведения о состоянии системы, бесполезно при отсутствии методологии определения критических состояний системы. 063 Не злоупотребляй конфиденциальностью! Избыточная конфиденциальность наносит больше вреда, чем пользы. 062 При выборе средств защиты выбирай не лучшее на сей момент, а то, которое долго держится среди лучших и будет стабильно развиваться! 061 Уязвимости всегда конкретны по отношению к средствам, а угрозы всегда относительны по отношению к целевой системе. 060 Отрасль информационной безопасности следует за деньгами! 059 Активная работа безопасников на объекте больше путает сотрудников объекта, чем хакеров и инсайдеров. 058 Информационная безопасность в компании должна быть как нижнее бельё - не видно, удобно, и выполняет важную функцию! 057 Изучай смежные области знаний! 056 Не утони в работе! Помни, ты человек - с присущими людям недостатками и проблемами. 055 Самые дорогие средства защиты делают специально для тех, кто покупает самые дорогие средства защиты! 054 Люди обладают непреодолимой потребностью делиться информацией! 053 Хорошая информационная безопасность работает прежде всего с людьми! 052 Формируй в коллективе ПРАВО НА ОШИБКУ! Это позволит тебе самому им воспользоваться в нужный момент. 051 Разрабатывая анализатор помни, что отчеты, которые он формирует, должны восприниматься легче, чем исходные данные, которые он анализирует! 050 Старайся внедрять свои решения и средства защиты раньше других. При возникновении конфликтов «всех собак» вешают на крайнего. 049 Проработай перечень направлений своей деятельности и ответственность. Дружи, прежде всего, с юристом, а уже потом - с ИТ'шником. 048 Разработчик функциональной системы никогда не будет встраивать в неё функции защиты без принуждения! 047 Начинающему ИБ'шнику полезно первые два-три года поработать под руководителем ИТ-направления! 046 Жалуешься, что тебе тяжело обслуживать неработающие средства защиты? Поверь, куда тяжелее тебе придется обслуживать работающие средства защиты. 045 Серьезные закладки, чаще всего находят не применением дорогих сканеров, а умной головой и «палкой-ковырялкой»! 044 Основной пищей для бизнеса являются деньги. Голодному бизнесу информационная безопасность не нужна. 043 Уязвимости бывают трех типов 1) еще не выявленные, 2) уже выявленные и... еще бывают бесполезные. 042 Проработай с функциональными подразделениями компании план реакции на неблагоприятные ситуации. 041 Не спеши внедрять только что появившееся на рынке средства защиты. Ты же не хочешь работать еще и их бесплатным тестером? 040 На рынке ИБ хорошо продаются не лучшие, а наиболее дорогие средства защиты. 039 Если вы считаете поведение партнера ошибочным, то вы, вероятнее всего, просто неверно понимаете его цели! 038 Стоит раз и навсегда разобраться, в чем разница между «угрозами», «уязвимостями» и «характеристиками» 037 Оценивая модель угроз, удели особое внимание разделу «Предположения безопасности». Дьявол часто прячется в константах! 036 Ни при каких условиях не бери на работу хакера! 035 Каждые полгода обновляй свое резюме 034 Пытаясь разобраться в мотивации человека, не стоит исключать вероятность того, что он просто идиот. 033 Никогда не отказывай в консультациях! 032 Организационные меры в компании должны быть такими, как будто технических средств защиты нет вовсе! 031 Тренируйся в умении обосновать необходимость наличия средств защиты И в равной степени будь готов обосновать их отсутствие. 030 Не хвались своей компетенцией в коллективе - всегда найдутся сотрудники, желающие и способные доказать обратное! 029 Большинство руководителей компаний охотнее платят за ощущение безопасности, нежели чем за саму безопасность! 028 Создавая крепость, не преврати её тюрьму. От проблем не прячутся - их решают! 027 Контроль каналов-источников информации не менее важен чем контроль каналов утечки! 026 Не концентрируйся только на конфиденциальности! Уделяй внимание достоверности! 025 Если ты закупил и установил в систему антивирус, то спать спокойно можно не тебе, а производителю антивируса! 024 В любой системе есть избыточные функции. Часть из них вредна или не контролируется, а часть неизвестна даже её разработчику! 023 Утверждение: «чем больше в системе разных типов СВТ, тем ниже ее уровень защищенности» - не является истиной! 022 Одна из целей информационной безопасности - обеспечить отсутствие у нарушителя возможности нелегально ей воспользоваться! 021 Пользователь никогда не получает доступ к информации непосредственно 020 К требованиям руководящих документов относись критически... Научись использовать их в интересах компании и про свои интересы не забывай... 019 Сформируй границы личного и корпоративного пространства для пользователей в ИТ-инфраструктуре компании! 018 Сформируй карту субъективных рисков! 017 При выборе средств защиты узнай все ограничения и условия их применения. Не доверяй рекламе производителей - расспроси коллег! 016 На совещаниях никогда не выступай первым. Чем ниже ты в списке, тем лучше! 015 При наличии конфликтов требований и задач - выполняйте те, которые ближе на пути к окончательной цели! 014 Используй простые методы. Банальное архивирование спасает от большинства возможных проблем! 013 Твое законное или незаконное отсутствие на рабочем месте не должно влиять на уровень защищенности! 012 Если у тебя нет времени на обед или на семью, или на пообщаться с друзьями, значит ты неправильно построил свою работу! 011 В 50% случаев попытки улучшить СЗИ приводят к ее ухудшению. В остальных 50% к ее краху! 010 Уделяй внимание документированию своих действий и выполняемых работ. 009 Помни, руководству не нравится увеличение бюджета на информационную безопасность. Уменьшение бюджета вызывает еще больше вопросов! 008 Будь дипломатом, но помни, недоброжелатели у тебя все равно появятся. 007 Будь информирован! Постарайся быть в курсе всех событий и проектов в компании. 006 Займись классификацией и оценкой активов! Постоянно уточняй их состояние. 005 Иногда технические средства защиты могут оказаться не только бесполезными, но и нанести вред! 004 Большинство вопросов можно решить организационными мерами. Люди - главный актив! 003 Разберись и всегда помни, в чьих интересах осуществляется твоя деятельность. 002 Не спеши немедленно что-то предпринимать! Оцени: возможно, твое бездействие принесет больше пользы, чем немедленная реакция! 001    Не суетись! Твоя суета никому не принесет уверенности и делу не поможет...

Источник — https://wikisec.ru/index.php?title=CISO_rules&oldid=2804