Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

CISO rules

Материал из wikisec
Перейти к навигации Перейти к поиску
  • 361    Не управляй делами - управляй последствиями!
  • 360 Настоящий ИБшник, мечтает не о том чтобы у него были СрЗИ, а о том, чтобы у него их небыло!
  • 359 Приходите на свидание вдвоем. Пока один отвлекает девушку в баре, второй поднимается в номер и уничтожает все камеры и жучки.
  • 358 Никогда не проси помощи в размере который можешь сделать сам.
  • 357 Данные как девушки... Должны хоть раз быть скомпрометированы...
  • 356 А вы замечали, что хорошая политика поИБэ исполняется так же как и плохая политика поИБэ?
  • 355 Прежде чем решать задачу, ее необходимо упростить до состояния, не противоречащего целям решения
  • 354 Дурак, достигший предела своего карьерного роста - для организации безопасен
  • 353 Если руководство вызывает вас в 17.30 то это значит что или вопрос не важный, или важный, но по нему уже принято окончательное решение.
  • 352 Чтобы руководство задумалось за ИБ, вместо пентестов можно взять на испытательный срок дол***ба с тем же результатом, но дешевле
  • 351 Мало сделать СрЗИ к нему еще угрозы нужно придумать
  • 350 Если нет денег сделать правильно, будут деньги сделать дважды
  • 349 В ИБ/ИТ кадровый голод на низкооплачиваемых высококвалифицированных специалистов...
  • 348 Как только система достигает определенного уровня сложности, она становится реализуемо уязвимой
  • 347 Программы учений должны содержать в условиях ошибки операторов, в том числе при реакциях на ошибки операторов...
  • 346 Данные, входящие и исходящие в/из ИС должны иметь маркеры времени.
  • 345 Знание массы best practice, стандартов и методологий приносит пользу только через интерпретацию и адаптацию их для Компании
  • 344 Лучший способ приблизиться на расстояние разящего удара - выглядеть беспомощным
  • 343 Разгоняя эффективность системы не забывай про ее устойчивость
  • 342 У нормального CISO во флэшках недостатка нет
  • 341 Если на вас еще не напали, значит еще остались иные меры воздействия
  • 340 Если вы сделаете защищенную инфраструктуру, на вас начнут нападать физически
  • 339 Антивирус - высшая форма костыля для непродуманной системы
  • 338 Реальный статус сотрудников компании можно вычислить по уровню привилегий для обхода СЗИ
  • 337 Подготовленный к беде лезет в беду реже чем не подготовленный.
  • 336 Для того чтобы добыть информацию не нужно взламывать никакие системы...
  • 335 Всякий сотрудник обладает Волей к преодолению
  • 334 Внедрение ИБ затруднительно там, где менеджмент не желает отказываться от своих привычек.
  • 333 Если у системы два независимых админа, то системе рано или поздно придет конец
  • 332 Всякий кризис начинается с необходимости продержаться
  • 331 Вопросы в ИБ всегда одинаковые - ответы разные. 
  • 330 Обязательным условием развития искусственного интеллекта является уничтожение человечества.
  • 329 Что бы скрыть антропогенный трафик люди начнут подражать машинам
  • 328 Оценка эффективности ИБ должна включать оценку затраченных человеко-часов
  • 327 Часто побеждает не тот, кто больше берет, а тот, кто меньше теряет
  • 326 Всякое разумное существо стремится игнорировать Долг
  • 325 Помните, все-таки волк ходит за стадом а не стадо за волком
  • 324 Не забывай про дураков. Их функция - компенсировать любые попытки изменений среды.
  • 323 Чем выше звание, тем проще должен быть пароль!
  • 322 Развитие сильных сторон продукта/компании выгоднее чем поддержка слабых.
  • 321 В 100% случаев службу ИБ не допускают к тем, от кого исходят максимальные риски.
  • 320 Достоверные данные точностью не испортишь!
  • 319 Это я к тому, что некоторые вредные процессы нельзя ломать - лучше если они сами закончатся. ПИ
  • 318 Ответственность - как шоколадка. Её лучше разделить на всех
  • 317 Никто не имеет права уходить в отпуск счастливым!
  • 316 Нанятому (невовлеченному в бизнес) сотруднику - безопасность компании не интересна.
  • 315 Запомни, иногда проще получить прощение чем разрешение ;)
  • 314 Если тебе нужно мнение независимого эксперта, сначала найди независимого эксперта...
  • 313 Ответственность нельзя заместить красивой Отчетностью
  • 312 Только настоящий риск трансформируется в примету. А затем и в поговорку. Под конец в анекдот...
  • 311 Политика ИБ - это пожелание того, как должен действовать вероятный нарушитель.
  • 310 Спрашивая у вендора о скорости и стоимости внедрения системы, не забудь спросить за какое время система выносится и с каким ущербом.
  • 309 Если ваш бизнес защищается не по идеологии CISCO - значит у вас неправильный бизнес...
  • 308 Хакеры - лучшее прикрытие для инсайдера!
  • 307 Самая устойчивая система это недоделанная система...
  • 306 Если ваши действия автоматизируются - вас заменит автомат...
  • 305 Минимизация воздействия человеческого фактора ведет к устранению самого фактора...
  • 304 Всякое ИБ оплачивается конечным потребителем!
  • 303 Комплексный подход заключается не том чтобы дергать за все ниточки, а том чтобы дергать только за нужные минимально достаточным усилием...
  • 302 Всякий ИБ'шник должен знать! Сколько бы голов не было у гидры, жопа у неё одна!
  • 301 Любая, даже самая сложная, проблема обязательно имеет простое, легкое для понимания, неправильное решение...
  • 300 Работа ИБ'шника проста! Ты пишешь что необходимо, потом руководство помечает где ты не прав...
  • 299 Всякая проблема имеет 3 сущности: 1-в которой корень проблемы 2-в которую отображается проблема -которая подпитывает корень проблемы
  • 298 Люди не самое слабое звено в ИБ! Но определенно, самое долбанутое...
  • 297 Получив 100% цифровых данных о предмете, вы имеете менее 50% доступной информации о предмете. Остальные 50% у людей...
  • 296 Твоя задача: построить доверенную систему из недоверенных компонент в недоверенной среде...
  • 295 Часто, обещание - это инструмент демонстрации лояльности, а не основа исполнения его содержания...
  • 294 Дипломатия — это искусство добиться таких договоренностей, при нарушении которых именно вы получаете максимальную выгоду...
  • 293 Для неограниченного обогащения достаточно манипулировать доверием.
  • 292 Соблюдение всех норм законодательства РФ не дает гарантии потери репутации.
  • 291 Хороший Виски можно дарить и в недопитой бутылке!
  • 290 Рабы простят тирану все, кроме отсутствия у него чувства юмора...
  • 289 Деревья сбрасывают листву не для того чтобы умереть, а для того, чтобы пережить зиму...
  • 288 Мужчина плачет не за то, что на яхте с красотками мёд не пил, а за то, что большой настоящий дело не делал...
  • 287 Издревле у человеков принято подмешивать яд во что ни будь вкусное...
  • 286 Золотой парашют стимулирует договороспособность!
  • 285 Любая «Задача» превращается в «Цель», если появляется компонент «Желание».
  • 284 Нелепо звучит оправдание недееспособности низкой зарегулированностью бизнес-процессов...
  • 283 Вокзалы для расставаний, аэропорты - для встреч...
  • 282 Если пристально присмотреться в дырочку для ордена, то всегда можно разглядеть жопу...
  • 281 Иногда люди верят вранью просто потому, что вранье настолько искреннее, что легче поверить вранью, чем в то, что так можно врать...
  • 280 Думающий, болеющий душой за дело человек, не может не ворчать!
  • 279 Вы можете делать все что захотите, но кот все равно попьет из вашей кружки!
  • 278 Доказано: 100% коммутаторов уязвимы к атаке «человек в неадеквате».
  • 277 Кому лучше подчинить ИБ? - если начальник дурак, то без разницы
  • 276 В проекте столько объективности, сколько в проекте математики!
  • 275 Наш хлеб - антропогенный трафик!
  • 274 Интеграторы. Запоминается только плохое...
  • 273 Жопа - это состояние системы. Как правило, самое устойчивое...
  • 272 "ВМЕШАТЕЛЬСТВО" - ЭТО понятие, которым ИБ’шник должен вертеть на кончиках пальцев как мастер покера фишками...
  • 271 Если установка энтерпрайза не начинается с кнопки «Call Support», то это не энтерпрайз!
  • 270 Если сотрудника не за что наказать, то и награды он не достоин...
  • 269 Не ищите оправдание преступлению, ибо найдёте...
  • 268 Корпоративный дух заканчивается одновременно с туалетной бумагой!
  • 267 Хорошие эксперты говорят: «Нельзя а лучшие знают, как можно!
  • 266 Не так опасно ошибиться в человеке, как в уровне его осведомленности...
  • 265 У всякого действия есть ущерб
  • 264 Чтобы создать в колхозе 500 рабочих мест, достаточно сломать трактор!
  • 263 Спокойствие босса дает свободу как и неведенье босса...
  • 262 Чем отличаются технари от гуманитариев? Кто полезнее? у одних есть спирт, у других бабы... вот и считай...
  • 261 - Админская учётка дана тебе не для того чтобы ты помогал людям! - Но я ведь уже извинился...
  • 260 - SOC - это БД плюс какая-то хрень! - а сейчас все это БД плюс какая-то хрень...
  • 259 Мы дожили до состояния, при котором отсутствие средств защиты в инфраструктуре компании безальтернативно ведет ее к краху...
  • 258 нас новая СЗИ «Домино»! - какие функции? - как фишка ляжет...
  • 257 - а это наша система Неваляшка! - и что, никогда не падала? - да не... в ней конь не валялся...
  • 256 По крайней мере, бюджетирование ИБ расширяет кругозор, подталкивает к общению с интересными людьми...
  • 255 Только правильные действия всегда приводят к катастрофе...
  • 254 Разум за всё время своего развития более всего преуспел в оправдании своих же пороков...
  • 253 Кстати, это моя личная точка зрения, и она может не совпадать с моей официальной позицией...
  • 252 Помни, доверие формируют поступки, а не клятвы!
  • 251 Кризис - потеря Воли! первый шаг к нему - утрата самодисциплины!
  • 250 Самая большая и самая обидная ошибка для топ-менеджеров - перепутать момент начала преобразования бизнеса с падением бизнеса...
  • 249 Помни, бездарность часто ищет спасения в работоспособности...
  • 248 Помни, самым известным Независимым экспертом был Павлик Морозов!
  • 247 Всякий влиятельный эксперт должен ответить себе на вопрос: «У какой компании акции упадут хотя бы на 1% если он сдохнет»?
  • 246 Успех - это не окончание неудач, наличие запаса на будущие неудачи.
  • 245 Всякую работу можно сделать плохо!
  • 244 Запомни, «Продуктовые Евангелисты» - вредители отрасли ИБ!
  • 243 Декларация соответствия ничтожна отсутствии репутационных рисков
  • 242 Если ты жутко накосячил, а этого никто не заметил - значит этого и не было!
  • 241 Воистину, продукто-центричная информационная безопасность - проститутка империализма!
  • 240 Самые эффективный метод защиты информации - её удаление!
  • 239 Обеспечение защиты информации не должно понижать её ценность!
  • 238 Твои проекты никто не ценит! Твои отчеты никто не читает...
  • 237 Пишущий Политику стелет дорогу себе...
  • 236 Соблюдение корпоративной этики между двумя топ-менеджерами компании возможно только при наличии у обоих компромата друг на друга...
  • 235 Информационная безопасность представляется в виде графа где узлы характеризуются уровнем доверия, а ребра уровнем защищенности.
  • 234 Чем более ценна «репутация места» тем меньше нужно фактуры для смещения сидящего в нем зада!
  • 233 Деньги это всегда Данные, но Данные это не всегда Деньги!
  • 232 чем вы заполняете пространство между необходимым уровнем защищенности и вашими возможностями?
  • 231 Не так важно на чьей стороне 1000 вендоров поИБэ ... Важно чтобы пользователи были на твоей!
  • 230 Социальная инженерия нужна ИБ'шнику для внедрения системы защиты не меньше чем хакеру для ее обхода!
  • 229 Если ты научился не ошибаться в тяжелые времена это не означает что ты научился не ошибаться, когда ты на коне!
  • 228 Стоимость потери зашифрованной флешки равна стоимости только самой флешки!
  • 227 Чаще всего, человек стремится защитить от других сотрудников компании именно ту информацию, которую сам не прочь стащить!
  • 226 Если ты начинаешь разочаровываться используемых СрЗИ - не пугайся, ты на правильном пути!
  • 225 Перед ИБ'шником всегда стоит вопрос - быть незаменимым или быть невидимым.
  • 224 Иногда, чтобы сократить время на выбор средства защиты, достаточно подбросить монетку.
  • 223 Не нужно браться за решение проблемы, когда стоит задача - решать вопрос!
  • 222 Немонетизированная утечка - бесполезная утечка!
  • 221 В результате учений по ИБ произошел крах системы. Парадокс! Результат учений является и положительным, и отрицательным одновременно!
  • 220 Невскрываемым может считаться только такой шифр, для которого нет критериев оценки правильности расшифрованного сообщения.
  • 219 Одна из важнейших функций CISO - управление доверием!
  • 218 Риск пересматривается периодически, Ресурс изменяется постоянно!
  • 217 Корректировка системы ИБ Ресурсом сильнее корректировки её Риском!
  • 216 Парадокс. Доверие является и результатом, и причиной нарушения политики ИБ.
  • 215 При увольнении топ-менеджеры уносят бизнес, менеджеры среднего звена - бизнес-процессы, а информацию уносят ВСЕ!
  • 214 Всякий мошенник требует, чтобы с ним обращались строго по закону и с соблюдением этических норм.
  • 213 Если тест можно пройти на 100%, то это плохой тест...
  • 212 Услуги по знакомству - самые дорогие...
  • 211 Людям свойственно скрывать свои истинные намерения...
  • 210 На переговорах добивайся только таких договоренностей, при нарушении которых ни одна из сторон не получит непоправимое преимущество...
  • 209 Научись бояться. Уметь правильно бояться - одно из важнейших качеств ИБ’шника.
  • 208 При рассмотрении крайних форм взаимодействия помни, что порядочность - тоже крайняя форма.
  • 207 Проверь, какие пароли помнит сисадмин и смени те, которые он вспомнил!
  • 206 Роль информационной безопасности компании именно такая как её воспринимает бизнес!
  • 205 Высокая дезинтеграция информационных систем - большая проблема как для ИБ, так и для хакеров.
  • 204 Демонстрация договороспособности на порядок ценнее демонстрации правоты!
  • 203 Гонка с хакерами комплексно, с учётом расширения инфосферы, отражается в тенденции удорожания средств взлома и удешевления средств защиты...
  • 202 Однажды тебе станет грустно из-за отсутствия в ИТ-инфраструктуре устойчивой Системы Единого Времени.
  • 201 Зрелое ИБ - это участие в формировании безопасных процессов по всем направлениям, имеющим отношение к инфосфере бизнеса.
  • 200 Любое коробочное решение со временем становится ландшафтным...
  • 199 ИБ’шник в компании нужен не для того чтобы ограничивать бизнес, а для того чтобы бизнес развивался безопасно.
  • 198 Комплексная цель CISO - составить из букв «А» «П» «О» «Ж» слово «С Ч А С Т Ь Е»
  • 197 Самый близкий к ИБ вид спорта - кёрлинг! Или тетрис?
  • 196 Цель управления рисками не понижение рисков, а уточнение возможного в процессах принятия решений.
  • 195 Мне ваша формула эффективности ИБ не интересна, вы мне покажите где тут корректирующий коэффициент!
  • 194 Никогда еще показатели ROI, ТСО, ROSI, AS, ALE не побеждали показатель NAH-UA!
  • 193 Информационная безопасность - наука, изучающая процесс применения рациональных технологий ради достижения иррациональных целей.
  • 192 Если у метода обеспечения информационной безопасности есть общепризнанное название, он скорее всего уже неэффективен.
  • 191 Обнаружить потерю доступа к системе, провести расследование и обнаружить, что сам случайно изменил себе права - бесценный опыт ИБ'шника!
  • 190 Не обязательно быть целью, чтобы стать жертвой!
  • 189 Чаще всего проблема решается не в той плоскости, где она проявляется
  • 188 Не так важен EVENT, как его «монетизация»!
  • 187 Некоторые системы позволяют компенсировать коммуникации, но ни одна система не способна их заменить
  • 186 Один недоученный сисадмин может за ночь сделать для вашей компании больше чем Microsoft, CISCO, INTEL и IBM за десятилетие вместе взятые!
  • 185 Неконтролируемые действия по понижению или повышению защищенности могут привести к лавинообразной цепной реакции и краху СЗИ...
  • 184 На аудите постарайся докопаться до такого уровня абстракции, который позволит предлагать решения на уровне архитектуры.
  • 183 Одна из целей твоей деятельности - понижение цены ошибок!
  • 182 Если пользователи не соблюдают правила ИБ, то они не идиоты... Они просто не мотивированы соблюдать правила ИБ!
  • 181 Никогда не применяй шифрование как компенсацию недостатков системы защиты информации!
  • 180 Кризис есть ни что иное как потеря воли!
  • 179 Остерегайся хакеров, особенно непьющих и еще больше остерегайся ИБ'шников увлеченных персональными данными, особенно пьющих...
  • 178 Старайся приводить ущерб от угроз к потере невосполнимых ресурсов. Например, времени...
  • 177 Обеспечил правильный состав рабочей группы - сэкономил миллион!
  • 176 Запомни, архитектурные решения всегда эффективнее!
  • 175 Термин «коллективная безопасность» подразумевает не только защиту периметра!
  • 174 Неадекватная оценка угрозы - это тоже угроза!
  • 173 Ты должен быть информирован настолько, чтобы твои решения были очевидными.
  • 172 Иногда лучшая победа - это ничья!
  • 171 Первое шифрование как правило заканчивается потерей информации.
  • 170 ИБ'шник как диетолог: если не контролировать вход, то нечего жаловаться на выход!
  • 169 Принцип: при наличии взаимодействующих систем, о безопасности команд управления должна заботиться принимающая сторона.
  • 168 Одна из характеристик незрелого рынка - отсутствие репутационных рисков!
  • 167 Если кто-то утверждает, что в его профессии нет этики, я в ответ утверждаю, что нет такой профессии!
  • 166 ИБ'шник должен: -Знать, 2-Контролировать, З-Защищать, 4-Влиять.
  • 165 Откат - это не только вознаграждение за выбор поставщика услуг, но и компенсация за низкое качество предоставленных услуг!
  • 164 Чем полнее и достовернее информация по вопросу, тем очевиднее ответ.
  • 163 Воистину, восхищение незнанием и восхищение знанием - суть отличия мнимого и истинного счастья!
  • 162 Сотрудник с темным прошлым обладает только одним преимуществом - темным прошлым!
  • 161 Не всякая уязвимость компонента системы ведет к уязвимости самой системы!
  • 160 Давать доступ можно только тому, у кого ты сможешь его забрать!
  • 159 Негоже Заказчику выглядеть компетентнее Интегратора.
  • 158 Потребителя не интересует, какое количество сертификаций прошло сплошь уязвимое приложение.
  • 157 Часто DLP нужна не для того, чтобы обвинить, а для того, чтобы снять подозрения!
  • 156 Руководство не хочет принимать меры по защите той информации, для монетизации которой отсутствует очевидная «дорожная карта».
  • 155 Докладывать об инциденте или найденной уязвимости следует только тому, кто сможет правильно среагировать на эту информацию.
  • 154 Внедрение технических средств защиты не должно опережать развитие Культуры информационной безопасности.
  • 153 Сотрудник службы безопасности! Ставь DLP - береги печень!
  • 152 Недооценка рисков ведет к принятию рисков. Переоценка рисков ведет к порождению новых рисков.
  • 151 Безопасность самой защищенной системы ничтожна, если вы используете тот же пароль в незащищенной системе.
  • 150 Тебя учили обеспечивать конфиденциальность информации, а придется обеспечивать устойчивость информационных систем.
  • 149 Несложно влить информацию в ИС, когда она собирается. Сложно её не расплескать, когда ИС разбирается!
  • 148 Если аудитор начал с инвентаризации - у него есть бизнес. Если с оценки рисков - у него есть время.
  • 147 Иногда кофе-машина, установленная в отдел IT, делает для ИБ больше чем антивирус, установленный в сети.
  • 146 При попытке взлома криптосистемы, взломом криптоалгоритма занимаются последнюю очередь!
  • 145 ИБ'шники как шахтеры. И те, и другие знают, что горизонтальные каналы (штольни) куда опаснее вертикальных каналов (шахты).
  • 144 Защищенный канал и контролируемый канал это две большие разницы!
  • 143 кого не хватает сил противостоять, тот не высовывается и смешивается с толпой...
  • 142 Программный код всегда имеет меньшее влияние на обработку данных чем среда его функционирования.
  • 141 Запомни, система с четким периметром всегда защищённее системы с размытым периметром...
  • 140 Подумай, сколько ты сделал для компании, партнеров, страны! Теперь подели на 1000 и иди работать!
  • 139 Зрелая ИБ возможна только если лежит на «плече» рычага, качающего деньги...
  • 138 Широта и активность применения пользовательских СрЗИ пропорционально юзабилити интерфейсов данного СрЗИ.
  • 137 Безопасная разработка приложений - это когда бюджет проплачен без учета результатов... Ничего более!
  • 136 Стоит насторожиться, если вероятный партнер упорно не использует для переписки корпоративную почту.
  • 135 Говорите по телефону без «жучка» так же как по телефону с жучком!
  • 134 Для всякого субъекта существует свой уровень угрозы, после которого он пытается действовать рационально...
  • 133 Если перед тобой стоит выбор, использовать простое или более сложное средство защиты, выбирай простое.
  • 132 Самый ценный хакер не тот, кто лучше ломает системы, а тот, кто может сдать больше друзей-хакеров...
  • 131 Используй не слабости, а силу партнеров!
  • 130 Во всем ищи человека.
  • 129 Используй встроенные механизмы защиты, а средства контроля защищенности внешние.
  • 128 Недостаточность правовых мер защиты информации не может быть компенсирована техническими мерами
  • 127 Постигая искусство ИБ, уделяй 50% времени совершенствованию методов и средств защиты и 50% совершенствованию себя!
  • 126 Чем точнее описана уязвимость или угроза безопасности, тем легче сформировать для нее контрмеры.
  • 125 При необходимости используй два SAST разных производителей. Один из них обязательно должен интегрироваться в среду разработки.
  • 124 Разработай для персонала правила безопасного использования информации и активов.
  • 123 Если ты не перевариваешь ложь, высказанную тебе в спину, то как ты переваришь правду, высказанную тебе в лицо?
  • 122 Чаще всего мы ошибаемся в людях...
  • 121 Учи английский язык. Большинство отраслевых новшеств появляется на английском языке...
  • 120 Две совершенные системы защиты, установленные в одну информационную\ систему, блокируют друг друга.
  • 119 Система защиты, состоящая из абсолютно надежных элементов, может оказаться абсолютно ненадежной в целом.
  • 118 На переговорах с заказчиками - принято увеличивать цену контракта на 15% из которых потом: 5%-подарить менеджеру, 10%-генеральному директору.
  • 117 Вредоносный код — это любой код, который попал в базу Касперского
  • 116 Сдается мне, что если встретятся два великих ИБ`шника, то им будет что вспомнить, но совершенно не о чем поговорить...
  • 115 Считаете себя зрелым человеком на основании того, что не позволяете себе совершить глупую выходку?! Трепещите несчастные, ибо ОН может
  • 114 Чем отличается управляющий от кризисного управляющего? Управляющий - управляет, кризисный сначала доводит до кризиса - потом управляет!
  • 113 Если вендор утверждает, что через месяц у него будет новый продукт «А», то это означает одно - у вендора нет продукта «А»!
  • 112 Если информационная безопасность не начинается с инвентаризации - она не начинается!
  • 111 Развитие ИБ приводит к специализации...
  • 110 Единственный способ бороться с Алексеем Лукацким - устраивать совещания и конференции в одно время, но в разных местах!
  • 109 У любого продукта есть жизненный цикл... Некоторые технологии не приживаются потому что не их время.
  • 108 Есть такой порог, за которым специалист начинает верить своей интуиции и предположениям, переставая их самокритично проверять...
  • 107 А Политика ИБ вашей компании предусматривает ежегодную тренировку паники?
  • 106 Инсайдер! Требуй у руководства компании внедрения DLP! В случае чего тебя посадят, а не закопают!
  • 105 Иногда, чтобы продать новый продукт, производители искусственно принижают эффективность других своих продуктов.
  • 104 Управление информационными потоками важнее управления информацией!
  • 103 Необнаруженная утечка с нулевым ущербом обходится для компании дешевле обнаруженной утечки с нулевым ущербом..
  • 102 В момент, когда Аудитор кроме описания уязвимостей начинает давать рекомендации по их устранению, он становится немного Интегратором.
  • 101 Поддельные антивирусы работают на слепом доверии пользователей к антивирусам! Неподдельные тоже.
  • 100 Сколько же нас погибло в этой войне добра со справедливостью...
  • 099 Безопасность системы определяется не числом пользователей и точек входа, а полнотой и корректностью функций защиты.
  • 098 Немедленно выполняй мелкие задачи!
  • 097 Разработчик стремится сделать продукт для широкого круга пользователей. Тебе всегда придется адаптировать средства защиты под себя.
  • 096 В какой-то момент ты поймешь, что ведение двусторонних переговоров - это роскошь!
  • 095 Сотня уязвимостей конкретного продукта может быть бесполезна для злоумышленника в системе в которой они компенсированы или не критичны.
  • 094 «Играя в шахматы», будь готов играть не только за противоположную сторону, но и за обе стороны одновременно и на нескольких столах...
  • 093 Отраслевые правила приличия требуют, чтобы предъявление требований к ИБ сопровождалось четким их обоснованием...
  • 092 Отсутствие сигнализации об инциденте сводит на нет эффективность применения системы защиты информации.
  • 091 Это у дилетанта СЗИ всегда в порядке У профессионала всегда: «тут нужно доделать, там нужно поправить».
  • 090 Избегай авторитарного мышления, используй авторитарное мышление других...
  • 089 Если антивирус сообщает, что система проверена на 90%, то вероятность наличия вируса в оставшихся 10% и в уже проверенных 90% одинакова!
  • 088 Система, проверенная антивирусом на 99% должна считаться не проверенной антивирусом!
  • 087 Сначала ты ограничиваешь условия выбора средств защиты, затем средства защиты ограничивают тебе условия обработки и защиты информации...
  • 086 Обоснование необходимости использования СрЗИ является неполным без соотношения его возможностей к актуальным угрозам...
  • 085 При разработке документов не используй неустоявшиеся термины, не выдумывай новые.
  • 084 Ценность средств защиты заключается в их использовании, а не во владении ими.
  • 083 Любую проблему рассматривай с крайних точек зрения. Например, «самый удачный» и «самый неудачный» вариант развития событий.
  • 082 Не выноси на аутсорсинг ключевые процессы - целей будешь. Вообще с работы ничего не выноси!
  • 081 Если бюджета не хватает на приобретение нужного тебе средства защиты, сделай так, чтобы оно стало необходимым кому-то ещё.
  • 080 Не в том искусство, чтобы быстро войти в проект. Искусство в том, чтобы правильно и вовремя из проекта выйти!
  • 079 Ключевым элементом информационной безопасности является Доверие.
  • 078 Учитывай планы развития компании Средства защиты не должны ограничивать развитие!
  • 077 Веди историю важных событий ИТ/ИБ, происходящих в компании. Пригодится.
  • 076 «Быстро/Качественно/Дешево». Выбери только два свойства. Еще лучше, сфокусируйся на одном главном для достижения цели.
  • 075 Защищая систему, мысленно ставь себя на место нарушителя, но помни - нарушитель делает тоже самое.
  • 074 Выполнимая инструкция лучше, чем невыполнимая политика!
  • 073 ITSM, BCM, SAST, DAST, ASA, PM, CISO, PCI DSS, RFID, BDSM, RTFM, ISO, CRC. Изучай непонятные аббревиатуры.
  • 072 Связи, связи, связи! Расширяй и укрепляй свой круг общения.
  • 071 Команда обычно сильнее одиночки. Однако, не забывай, что «сила» и «эффективность» - это разные понятия!
  • 070 Если ты в чем-то абсолютно уверен, остановись и осмотрись - скорее всего, ты что-то упускаешь из виду.
  • 069 Делись опытом с коллегами. Удачный опыт вернется к тебе сторицей, а неудачный будет легче понять... и простить...
  • 068 Тебе, возможно, удастся избежать «войны». Но избежать предательства - никогда!
  • 067 Когда ты привлекаешь пользователя к борьбе с угрозами, убедись, что он не увлекся еще и борьбой с введенными тобой ограничениями.
  • 066 Пришел к директору с бюджетом - Мол, помоги купить SIEM! А он мне тихо отвечает: - Зачем?
  • 065 Очень серьезно прорабатывай текст для публикации вакансий. Помни, что характер нанимаемого сотрудника ценнее многих компетенций!
  • 064 Любое средство, позволяющее собирать сведения о состоянии системы, бесполезно при отсутствии методологии определения критических состояний системы.
  • 063 Не злоупотребляй конфиденциальностью! Избыточная конфиденциальность наносит больше вреда, чем пользы.
  • 062 При выборе средств защиты выбирай не лучшее на сей момент, а то, которое долго держится среди лучших и будет стабильно развиваться!
  • 061 Уязвимости всегда конкретны по отношению к средствам, а угрозы всегда относительны по отношению к целевой системе.
  • 060 Отрасль информационной безопасности следует за деньгами!
  • 059 Активная работа безопасников на объекте больше путает сотрудников объекта, чем хакеров и инсайдеров.
  • 058 Информационная безопасность в компании должна быть как нижнее бельё - не видно, удобно, и выполняет важную функцию!
  • 057 Изучай смежные области знаний!
  • 056 Не утони в работе! Помни, ты человек - с присущими людям недостатками и проблемами.
  • 055 Самые дорогие средства защиты делают специально для тех, кто покупает самые дорогие средства защиты!
  • 054 Люди обладают непреодолимой потребностью делиться информацией!
  • 053 Хорошая информационная безопасность работает прежде всего с людьми!
  • 052 Формируй в коллективе ПРАВО НА ОШИБКУ! Это позволит тебе самому им воспользоваться в нужный момент.
  • 051 Разрабатывая анализатор помни, что отчеты, которые он формирует, должны восприниматься легче, чем исходные данные, которые он анализирует!
  • 050 Старайся внедрять свои решения и средства защиты раньше других. При возникновении конфликтов «всех собак» вешают на крайнего.
  • 049 Проработай перечень направлений своей деятельности и ответственность. Дружи, прежде всего, с юристом, а уже потом - с ИТ'шником.
  • 048 Разработчик функциональной системы никогда не будет встраивать в неё функции защиты без принуждения!
  • 047 Начинающему ИБ'шнику полезно первые два-три года поработать под руководителем ИТ-направления!
  • 046 Жалуешься, что тебе тяжело обслуживать неработающие средства защиты? Поверь, куда тяжелее тебе придется обслуживать работающие средства защиты.
  • 045 Серьезные закладки, чаще всего находят не применением дорогих сканеров, а умной головой и «палкой-ковырялкой»!
  • 044 Основной пищей для бизнеса являются деньги. Голодному бизнесу информационная безопасность не нужна.
  • 043 Уязвимости бывают трех типов 1) еще не выявленные, 2) уже выявленные и... еще бывают бесполезные.
  • 042 Проработай с функциональными подразделениями компании план реакции на неблагоприятные ситуации.
  • 041 Не спеши внедрять только что появившееся на рынке средства защиты. Ты же не хочешь работать еще и их бесплатным тестером?
  • 040 На рынке ИБ хорошо продаются не лучшие, а наиболее дорогие средства защиты.
  • 039 Если вы считаете поведение партнера ошибочным, то вы, вероятнее всего, просто неверно понимаете его цели!
  • 038 Стоит раз и навсегда разобраться, в чем разница между «угрозами», «уязвимостями» и «характеристиками»
  • 037 Оценивая модель угроз, удели особое внимание разделу «Предположения безопасности». Дьявол часто прячется в константах!
  • 036 Ни при каких условиях не бери на работу хакера!
  • 035 Каждые полгода обновляй свое резюме
  • 034 Пытаясь разобраться в мотивации человека, не стоит исключать вероятность того, что он просто идиот.
  • 033 Никогда не отказывай в консультациях!
  • 032 Организационные меры в компании должны быть такими, как будто технических средств защиты нет вовсе!
  • 031 Тренируйся в умении обосновать необходимость наличия средств защиты И в равной степени будь готов обосновать их отсутствие.
  • 030 Не хвались своей компетенцией в коллективе - всегда найдутся сотрудники, желающие и способные доказать обратное!
  • 029 Большинство руководителей компаний охотнее платят за ощущение безопасности, нежели чем за саму безопасность!
  • 028 Создавая крепость, не преврати её тюрьму. От проблем не прячутся - их решают!
  • 027 Контроль каналов-источников информации не менее важен чем контроль каналов утечки!
  • 026 Не концентрируйся только на конфиденциальности! Уделяй внимание достоверности!
  • 025 Если ты закупил и установил в систему антивирус, то спать спокойно можно не тебе, а производителю антивируса!
  • 024 В любой системе есть избыточные функции. Часть из них вредна или не контролируется, а часть неизвестна даже её разработчику!
  • 023 Утверждение: «чем больше в системе разных типов СВТ, тем ниже ее уровень защищенности» - не является истиной!
  • 022 Одна из целей информационной безопасности - обеспечить отсутствие у нарушителя возможности нелегально ей воспользоваться!
  • 021 Пользователь никогда не получает доступ к информации непосредственно
  • 020 К требованиям руководящих документов относись критически... Научись использовать их в интересах компании и про свои интересы не забывай...
  • 019 Сформируй границы личного и корпоративного пространства для пользователей в ИТ-инфраструктуре компании!
  • 018 Сформируй карту субъективных рисков!
  • 017 При выборе средств защиты узнай все ограничения и условия их применения. Не доверяй рекламе производителей - расспроси коллег!
  • 016 На совещаниях никогда не выступай первым. Чем ниже ты в списке, тем лучше!
  • 015 При наличии конфликтов требований и задач - выполняйте те, которые ближе на пути к окончательной цели!
  • 014 Используй простые методы. Банальное архивирование спасает от большинства возможных проблем!
  • 013 Твое законное или незаконное отсутствие на рабочем месте не должно влиять на уровень защищенности!
  • 012 Если у тебя нет времени на обед или на семью, или на пообщаться с друзьями, значит ты неправильно построил свою работу!
  • 011 В 50% случаев попытки улучшить СЗИ приводят к ее ухудшению. В остальных 50% к ее краху!
  • 010 Уделяй внимание документированию своих действий и выполняемых работ.
  • 009 Помни, руководству не нравится увеличение бюджета на информационную безопасность. Уменьшение бюджета вызывает еще больше вопросов!
  • 008 Будь дипломатом, но помни, недоброжелатели у тебя все равно появятся.
  • 007 Будь информирован! Постарайся быть в курсе всех событий и проектов в компании.
  • 006 Займись классификацией и оценкой активов! Постоянно уточняй их состояние.
  • 005 Иногда технические средства защиты могут оказаться не только бесполезными, но и нанести вред!
  • 004 Большинство вопросов можно решить организационными мерами. Люди - главный актив!
  • 003 Разберись и всегда помни, в чьих интересах осуществляется твоя деятельность.
  • 002 Не спеши немедленно что-то предпринимать! Оцени: возможно, твое бездействие принесет больше пользы, чем немедленная реакция!
  • 001    Не суетись! Твоя суета никому не принесет уверенности и делу не поможет.
Источник — https://wikisec.ru/index.php?title=CISO_rules&oldid=2805