"В интернете вся правда написана!"
Пока прогрессивная общественность борется за права толстячков быть непонятыми эльфами, я в очередной раз впадаю в когнитивный диссонанс от отсутствия когнитивных способностей у большинства людей.
Нет, толстячки тут вовсе ни при чем, на сей раз меня "приподняло и подбросило" в профессиональной сфере.
В минувший четверг я посетила конференцию "Актуальные вопросы защиты информации".
Мероприятие сие было интересно и многочисленно, в основном потому, что организаторами и значительной частью докладчиков были представители "регуляторов". Ну есть у нас такая Федеральная служба по техническому и экспортному контролю, которая генерит бОльшую часть нормативных документов, рассказывающих нам, простым смертным о том, как правильно защищать информацию.
Докладчики от ФСТЭК рассказали о том, какие документы они собираются выпустить, как пользоваться теми, что они уже успели навыпускать и ответили на массу, гм... странных вопросов.
Меня еще при чтении программы конференции позабавил тот факт, что большинство их докладов было на темы типа "типичные ошибки, допускаемые при...". Ну то есть, видимо, у товарищей накипело. И я таки могу их понять!
В частности, зал с удивлением воспринял тот факт, что если вы пишете документ под названием "Модель угроз", то, оказывается, там надо описывать только угрозы! А не требования и меры по защите! Сюрпра-а-айз! Причем, судя по репликам, доносившихся из задних рядов, для многих сей факт реально стал откровением. Равно как и то, что если ты анализируешь угрозы для какого-то объекта/информационной системы, то будь добр - напиши краткое описание этого объекта/системы. Краткое! А не "Ну иногда нам присылают отчеты об обследовании на 500 листов... Мы их, конечно, тоже прочитаем...".
Когда же зал начал задавать вопросы, то у меня сложилось полное ощущение, что вокруг сидит 300 человек моих студентов. Потому как на подавляющее большинство их вопросов можно было дать два универсальных ответа: "Я только что об этом говорил(а) в докладе" или "Когда читаете документы, то читайте их целиком. Все слова, которые там написаны. Вообще все. Каждое. А не только те, которые вам кажутся важными/понятными". Я вообще искренне поразилась терпению докладчиков и ведущего конференции, который спокойно отвечал в пятый раз "Нет" на вопросы "А обязательно с вами согласовывать документы? А если заказчик хочет? А если вышестоящая организация хочет? А модель угроз тоже не надо? И техническое задание не надо? А у нас потом лицензию не отнимут?" и далее в таком же ключе.
Впрочем на вопросе какого-то представителя "пишущей братии" - вот не запомнила наименовании журнала - даже "чекистская выдержка" подвела, потому как это чудное создание даже в формулировке вопроса умудрилось дважды наврать исказить информацию, которую вот буквально несколько минут назад услышало в докладе.
Но доконало меня, собственно, даже не это!
Среднестатистический срез аудитории из 300 человек в общем-то и не предполагает досконального знания и умения применять положения нормативных актов.
НО!
Помимо некоего среднестатистического участника/слушателя там присутствовало некоторое количество "признанных экспертов". Ну то есть я не знаю, кто именно и каким образом их признавал, но эти господа, как правило, довольно активно консультируют, проводят семинары и... "барабанная дробь" - ведут тематические блоги!
И вот тут начинается полнейшая феерия идиотизма!
Потому что соединение классического "Рабинович напел" и "в интернете же вся правда написана" приводит к тому, что некто не будем показывать пальцем, хотя это был мой коллега читает в авторитетном для него блоге высказывание типа "ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды". и начинает нести эту херню в массы. На резонный вопрос "WTF??" получаем гениальный ответ "Ну это сказали в устной форме на конференции!". Нет, ну если бы меня там не было, я бы может посомневалась чуть дольше - ну ровно столько, чтобы хватило переварить всю правовую бредовость фразы "зарегистрированный в юстиции договор". Но засада в том, что я там была и слушала ушами и смотрела глазами. Своими. Ну и еще немного шевелила мозгами. Тоже, о ужас, своими. И могу с полной уверенностью утверждать, что ничего подобного озвучено не было.
А на просьбу "пруфлинка" на официальный документ получаем... правильно - ссылку все на тот же "авторитетный блог"!
Не, ну я понимаю, что мое мнение против авторитетного блоггера не канает. Равно как и мнение еще минимум одного присутствовавшего там же специалиста, также сильно удивившегося выводам. И, честно говоря, меня это не сильно беспокоит, т.к. не затрагивает моей непосредственной деятельности. Затронуло бы - разговор был бы иным. Тут же мне было просто любопытно.
И вот эта вот тенденция "в интернете же написано" она меня просто искренне поражает! Сами не слышали, документы не читали, но - это же ВАСЯ и ВАСЯ сказал! Это феерично, господа... Зачем читать первоисточники, т.е. нормативные документы (а на месте их разработчиков я бы задалась и вопросом, зачем их вообще писать), если с одной стороны есть масса "толкователей священного писания", а с другой - еще более многочисленная "армия" тех, кто жаждет их великих откровений... И откровения не замедляют появляться, адепты - претворять их в жизнь, а "регуляторы" хвататься за голову от "нам консультанты сказали, что если мы не хотим разрабатывать модель угроз, то нужно просто признать актуальными их ВСЕ..."
А выводов, как обычно, не будет...
Нет, толстячки тут вовсе ни при чем, на сей раз меня "приподняло и подбросило" в профессиональной сфере.
В минувший четверг я посетила конференцию "Актуальные вопросы защиты информации".
Мероприятие сие было интересно и многочисленно, в основном потому, что организаторами и значительной частью докладчиков были представители "регуляторов". Ну есть у нас такая Федеральная служба по техническому и экспортному контролю, которая генерит бОльшую часть нормативных документов, рассказывающих нам, простым смертным о том, как правильно защищать информацию.
Докладчики от ФСТЭК рассказали о том, какие документы они собираются выпустить, как пользоваться теми, что они уже успели навыпускать и ответили на массу, гм... странных вопросов.
Меня еще при чтении программы конференции позабавил тот факт, что большинство их докладов было на темы типа "типичные ошибки, допускаемые при...". Ну то есть, видимо, у товарищей накипело. И я таки могу их понять!
В частности, зал с удивлением воспринял тот факт, что если вы пишете документ под названием "Модель угроз", то, оказывается, там надо описывать только угрозы! А не требования и меры по защите! Сюрпра-а-айз! Причем, судя по репликам, доносившихся из задних рядов, для многих сей факт реально стал откровением. Равно как и то, что если ты анализируешь угрозы для какого-то объекта/информационной системы, то будь добр - напиши краткое описание этого объекта/системы. Краткое! А не "Ну иногда нам присылают отчеты об обследовании на 500 листов... Мы их, конечно, тоже прочитаем...".
Когда же зал начал задавать вопросы, то у меня сложилось полное ощущение, что вокруг сидит 300 человек моих студентов. Потому как на подавляющее большинство их вопросов можно было дать два универсальных ответа: "Я только что об этом говорил(а) в докладе" или "Когда читаете документы, то читайте их целиком. Все слова, которые там написаны. Вообще все. Каждое. А не только те, которые вам кажутся важными/понятными". Я вообще искренне поразилась терпению докладчиков и ведущего конференции, который спокойно отвечал в пятый раз "Нет" на вопросы "А обязательно с вами согласовывать документы? А если заказчик хочет? А если вышестоящая организация хочет? А модель угроз тоже не надо? И техническое задание не надо? А у нас потом лицензию не отнимут?" и далее в таком же ключе.
Впрочем на вопросе какого-то представителя "пишущей братии" - вот не запомнила наименовании журнала - даже "чекистская выдержка" подвела, потому как это чудное создание даже в формулировке вопроса умудрилось дважды наврать исказить информацию, которую вот буквально несколько минут назад услышало в докладе.
Но доконало меня, собственно, даже не это!
Среднестатистический срез аудитории из 300 человек в общем-то и не предполагает досконального знания и умения применять положения нормативных актов.
НО!
Помимо некоего среднестатистического участника/слушателя там присутствовало некоторое количество "признанных экспертов". Ну то есть я не знаю, кто именно и каким образом их признавал, но эти господа, как правило, довольно активно консультируют, проводят семинары и... "барабанная дробь" - ведут тематические блоги!
И вот тут начинается полнейшая феерия идиотизма!
Потому что соединение классического "Рабинович напел" и "в интернете же вся правда написана" приводит к тому, что некто не будем показывать пальцем, хотя это был мой коллега читает в авторитетном для него блоге высказывание типа "ФСТЭК не разрешает сдавать в субаренду оборудование и помещения, необходимые для лицензии по ТЗКИ. При получении лицензии нужно представить зарегистрированный в юстиции договор на аренду помещения, в котором должен быть пункт о запрете субаренды". и начинает нести эту херню в массы. На резонный вопрос "WTF??" получаем гениальный ответ "Ну это сказали в устной форме на конференции!". Нет, ну если бы меня там не было, я бы может посомневалась чуть дольше - ну ровно столько, чтобы хватило переварить всю правовую бредовость фразы "зарегистрированный в юстиции договор". Но засада в том, что я там была и слушала ушами и смотрела глазами. Своими. Ну и еще немного шевелила мозгами. Тоже, о ужас, своими. И могу с полной уверенностью утверждать, что ничего подобного озвучено не было.
А на просьбу "пруфлинка" на официальный документ получаем... правильно - ссылку все на тот же "авторитетный блог"!
Не, ну я понимаю, что мое мнение против авторитетного блоггера не канает. Равно как и мнение еще минимум одного присутствовавшего там же специалиста, также сильно удивившегося выводам. И, честно говоря, меня это не сильно беспокоит, т.к. не затрагивает моей непосредственной деятельности. Затронуло бы - разговор был бы иным. Тут же мне было просто любопытно.
И вот эта вот тенденция "в интернете же написано" она меня просто искренне поражает! Сами не слышали, документы не читали, но - это же ВАСЯ и ВАСЯ сказал! Это феерично, господа... Зачем читать первоисточники, т.е. нормативные документы (а на месте их разработчиков я бы задалась и вопросом, зачем их вообще писать), если с одной стороны есть масса "толкователей священного писания", а с другой - еще более многочисленная "армия" тех, кто жаждет их великих откровений... И откровения не замедляют появляться, адепты - претворять их в жизнь, а "регуляторы" хвататься за голову от "нам консультанты сказали, что если мы не хотим разрабатывать модель угроз, то нужно просто признать актуальными их ВСЕ..."
А выводов, как обычно, не будет...