Latest Posts

Agile — новое слово в ИБ ?

Тема Agile с легкой руки Германа Грефа активно пошла в народ. Все вдруг неожиданно заговорили про необходимость реализации гибких подходов, причем во всем. За последнее время я слышал про agile и в контексте управления всей компанией и в кадровых процессах и в ..ИБ...

Интересна особенность этой тенденции в том, что это инициатива "сверху", т.е в компаниях ее сверху толкают топ-менеджеры или собственники. При этом, конечно же, они не сильно вникают в детали того что же скрывается за термином agile, скорее всего не очень в курсе, что уже появилось немало людей, считающих что agile мертв (вот тут Matthew Kern прямо таки камня на камне не оставляет от  agile своими аргументами), и наверное меньше всего хотели бы столкнуться вот с таким проявлением agile


Но agile это однозначно не зло, хотя с ним как с сахаром или солью, если переборщить, то обязательно будет плохо. Да и пытаться применить его везде где только можно тоже не самый разумный подход (см. картинку выше). С точки зрения разработки программного обеспечения мы у себя в компании  R-Vision, например, применяем agile подходы, правда за годы работы уже выработали свою собственную модель, которая отличается от классических практик.

Давайте посмотрим что же такое agile и как он может быть реализован в ИБ. Эта идеология строится всего на 4 основных постулатах:
  • Люди и взаимодействие важнее процессов и инструментов. ИБ обеспечивают люди, работать приходится с людьми, люди самое слабое звено в безопасности и т.п. Поэтому конечно же этот постулат применим к ИБ и его можно также интерпретировать как то, что прежде чем покупать очередную дорогую игрушку (DLP, SIEM и проч.) нужно понять каким образом текущие коммуникации и деятельность людей будет улучшена / автоматизирована / оптимизирована, т.к первоочередными являются именно они, а не средства их обеспечения. 
  • Работающий продукт важнее исчерпывающей документации. Вроде все верно, внедренные и эффективно работающие средства защиты и процессы обеспечения безопасности важнее тонны написанной бумаги (получите, бумажные безопасники!). Но есть, конечно же, ньюансы. Если вы часто общаетесь с регуляторами, то знаете что для них бумага важнее, что далеко ходить, даже в СТО БР или 382-П математика оценки соответствия составлена так, что если у вас нет документов, то получите 0 и претензии со стороны регулятора. Поэтому если не вдаваться в крайности этот постулат можно интерпретировать как то, что актуализация документации, ее 100% соответствие текущей реальности по приоритетам должна быть ниже чем актуализация и совершенствование сами средств защиты и процессов.
  • Сотрудничество с заказчиком важнее согласования условий контракта. Заказчиком в данной ситуации выступает бизнес / руководство / собственники. Данный постулат говорит о необходимости выстраивания неформальных взаимоотношений, позволяющих получать быструю и конструктивную обратную связь, обеспечивающих возможность оперативного согласования и корректировки в условиях постоянно меняющихся внешних обстоятельств. В общем, меньше формализма и действий строго по должностной инструкции, а больше конструктива, сотрудничества и работы на конечный результат.
  • Готовность к изменениям важнее следования первоначальному плану. Любой план не более чем ориентир. Жизнь постоянно меняется и вы должны быть готовы меняться что называется "на ходу". Этот постулат требует довольно серьезной, фундаментальной перестройки. Вы сами, ваша команда, внедряемые вами практики и механизмы, реализуемые вами проекты, все это должно создаваться и развиваться в идеологии готовности к любым изменениям в любой момент. Тут очень непростым окажется вопрос взаимодействия с внешними подрядчиками. Не даром же на любые работы или системы изначально пишется ТЗ, в соответствии с которыми они реализуются. Так что возможность постоянно менять условия и требования для внешних подрядчиков выльется в дополнительные расходы, хотя, возможно, позволит избежать еще больших и, что самое важное, совершенно неэфффективных трат.  
Вообще тема agile очень большая и в один пост все не уложишь.  Кому интересна тематика советую сходить на конференцию AgileDays, но сразу оговорю что это мероприятие, ориентированное в первую очередь на разработчиков и тех, кто управляет разработкой. Но как знать, может быть какие-то идеи из смежных областей вы сможете с успехом перенести в ИБ. Успехов ! 

Як роблять плити перекриття

Всі конструкції будівель і споруд по виробничому процесу діляться на дві групи: будівлі з моноліту і будівлі із збірного бетону. У кожної групи є свої...

Квесты игры Квазары (ч.3)

8. Ресурсный бум 8.1. Энергетики на пределе Описание: Улучшеные шахты потребуют более огромные затраты энергии! Чтоб шахтерам было не темн...

Квесты игры Квазары (ч.3)

8. Ресурсный бум 8.1. Энергетики на пределе Описание: Улучшеные шахты потребуют более огромные затраты энергии! Чтоб шахтерам было не темн...

Как атаковать других игроков

У нас уже есть небольшой флот, например из 20 МТ (малых транспортов), и несколько ШЗ (шпико зондов). Пора начинать собирать ресурсы с брошенн...

Квесты игры Квазары (ч.2)

Продолжаем квестовую цепочку браузерной онлайн игры для мобильных телефонов Квазары. Вы наверное уже заметили, что некоторые квесты н...

Квесты игры Квазары (ч.1)

В космической браузерной игре Квазары есть квестовая цепочка, которая является одновременно и обучением начинающих игроков. В интерфей...

Игра Квазары — начало

Игра Квазары - бесплатная wap-игра, глобальная военно-экономическая космическая стратегия. Играть можно как на компе, так и через смартфон/планшет. Для любителей повоевать - самое оно ) << Регистрируетесь на игровом портале >> и в списке игр выбираете Квазары. После входа в игру предлагается выбор игрового сервера (разница в серверах только в скорости игры):  - Вселенная Quasars "Expert" -

Ищем консультанта в команду R-Vision

Всем привет !  Давно ничего не писал, прошлый год заканчивался динамично, новый начался не менее бодро. 

Мы растем, ставим перед собой новые цели и задачи, о многом хочется рассказать, но пока возьму паузу, чтобы не спугнуть удачу :)    Пост собственно не об этом, а о том, что мы ищем единомышленника в команду.  Хочешь вместе с нами покорить мир ? Присоединяйся ! 

Нам нужен консультант по информационной безопасности, в круг задач, которого будет входить:
  • Консалтинг и помощь заказчикам компании в реализации лучших практик в области менеджмента информационной безопасности. 
  • Разработка рекомендаций по совершенствованию процессов менеджмента информационной безопасности. 
  • Общение с потенциальными клиентами компании на этапе пресейла совместно с менеджерами по продажам. 
  • Проведение периодических обучений клиентов по тематикам в области менеджмента информационной безопасности. 
  • Разработка политик, методик и иной документации по информационной безопасности. 
  • Участие в разработке методических материалов, справочных публикаций, статей и другого специализированного материала как для широкой аудитории, так и для внутреннего использования. 
  • Участие в работе различных рабочих групп, ассоциаций, комитетов и пр. в качестве представителя компании.
Более подробно есть тут -  http://kotelniki.hh.ru/vacancy/15836320

Заинтересовала вакансия ? Пиши нам на адрес hr@rvision.pro