cameron, WindowsNT, Вам уже сотый раз говорят что не всем компаниям нужна такая ИБ. Вы же в упор пытаетесь доказать и навязать свое мнения что нужна всем.
Вам практикующий сертифицированный инструктор хакинга »
Можно ссылки на то что вы взломали хотя бы одну компанию с серверами Linux/Unix ? А то я уже не мало повидал сертефицированных специалистов у которых руки не из того места растут :)

И не выключаете безопасный поиск? »

где? В IE 9 настройки чисто дефолтные и не думаю что рядовой пользователь их меняет. »

Думаю речь идет о безопасном поиске Гугл (http://support.google.com/websearch/bin/answer.py?hl=ru&answer=510). Хотя его настройки рядовой пользователь тоже не меняет.

а о чём можно говорить с человеком который приводит в примеры только некометентных специалистов в, извините, говноконторах? »
Таких говноконтор в РФ больше 50% от общего числа, поэтому разговор и ведётся именно о них, а не о каких-то сказочных компаниях с на 100% квалифицированным персоналом, продуманной структурой, отделом ИТ и отделом ИБ, понимающим вопросы ИТ-сферы директоре, который готов выделить любые средства на ИТ.
Банки я привёл как один из примеров - в ряде из них весьма неплохая ИБ, в отличии от многих других компаний.

единственный ваш вопрос по поводу вырисовывания политик в девелоперской конторе - там не стоит применять политики SRP, если вы не понимаете почему - то продолжение диалога бессмыслено. »
Вон оно как - получается если речь идёт не о мелких конторах, в которых весь ИТ сосредоточен в бухгалтерии и офисной переписке - значит всё легко и просто, а если компания занимается проектированием, разработкой, производством, внедрением, сопровождением и т.п. - значит сразу всё плохо и не надо применять SRP? С таким подходом далеко не уедешь - применять надо, но с умом и дозировано. Вы вообще когда-нибудь обслуживали ИТ-сектор среднего размера производственной компании?

P.S. кроме десктопных Windows, и Windows в целом есть оргомный мир »
Ну да, ну да - расскажите об этом рядовым пользователям, которые кроме Windows ни с чем не работали. Или крупным компаниям посоветуйте повсеместно внедрить NIXоподобные системы. )))

Нет смысла дискутировать о способах предотвращения компрометации системы с человеком, который собственно компрометацию проблемой не считает. »
Является ли проблемой компрометация системы рядовым вирусом, который никакого реального ущерба организации не смог нанести (вы так кстати и не рассказали - сталкивались ли в реальности с заражением вирусом-шифровальщиком в сетях организаций и как часто), или не является - решается в каждой конкретной организации по разному при анализе и оценке рисков. У кого-то заражение любой вредоносной программой может оказаться ЧП с обязательным проведением расследования инцидента, а у кого-то - вообще ничем. Кто-то тратит на безопасность миллионы, так как угрозы слишком критичны для деятельности компании, а кто-то плевать хотел на это с высокой колокольни. Если бы вы не болтологией занимались, а в разрабатывали и внедряли ИБ на предприятиях, то знали бы это сами и не пришлось это разжёвывать.

Да и вопросов каких, обо что? »
Прочитайте тему и найдёте вопросы, на которые так и не удосужились ответить - видимо они для вас оказались неудобными или вы читаете через слово.

Вам практикующий сертифицированный инструктор хакинга даёт ссылки на примеры подследствий компрометации, а вы ему "не надо громких заявлений". »
Давайте всё же вернёмся с небес на землю и расставим всё на свои места: практикующий сертифицированный инструктор хакинга - это ни разу не практикующий квалифицированный специалист по информационной безопасности. Знать как ломать и знать как защищать - диаметрально противоположные вещи. Особенно в плане знания законодательства, нормативных документов, организационно-технических мер и т.п. Ломать сейчас умеют даже школьники - благо для этого хватает информации и инструментов в открытом доступе.

Запишите себе в резюме ещё и неспособность решать организационно-технические вопросы. »
Судя по тому, что вы всем в резюме что-то пытаетесь записать, отталкиваясь от своего ограниченного опыта и мировоззрения, у вас с этим какой-то пунктик. :)

И да - мне кажется, что вы весьма далеки от реальности со своими советами и предложениями. На большинстве предприятий ИТ-службы финансируются по остаточному принципу, на большинстве предприятий от сисадминов не зависит принятие решений, на большинстве предприятий начальниками становятся не компетентные и зарекомендовавшие себя специалисты, а родственники/друзья/знакомые или просто лояльные руководству люди, которые частенько игнорируют предложения своих подчинённых и не желают подставлять себя под удар вышестоящего руководства, вынося на повестку дня конфликтные вопросы (или вы думаете, что остальные начальники и сотрудники будут в восторге от всех ваших "новшеств"?). Вот только честно - вы хоть раз занимали должность начальника отдела ИТ или ИБ на предприятии с более чем 200-ми ПК, которое занималось чем-то большим нежели работой в офисных приложениях и ведением бухгалтерии?

практикующий сертифицированный инструктор хакинга - это ни разу не практикующий квалифицированный специалист по информационной безопасности. »
Позвольте не согласиться, кто не умеет ломать тот и не умеет защищаться. Так что как раз хакер и есть специалист по ИБ.
Другое дело что как мне показывает практика то 90% специалистов по ИБ это просто люди имеющие образования в данном направлении но когда доходит дело до практики они нечего не могут сделать. К тому же сейчас куда более легче заниматься соц инженерией. По крайней мере мне удавалось показать многим компаниям что с помощи соц инженерии с сотрудниками компании можно спокойно получить доступ к конфиденциальной информации и вот тут уже SRP вообще нечем не поможет.
Ломать сейчас умеют даже школьники - благо для этого хватает информации »
А это уже байки, брут rdp и ICQ ну не каким боком не хакинг. Что уж говорить о том что единицы знают что такое rdp...

Самая большая ошибка WindowsNT в данной дискуссии это обвинения системного администратора.
И даже не задумался о том что в компании есть IT отдел и не системный администратор принимает решает о вводе какой либо политики и о том что у компании могут быть более важные дела.

Позвольте не согласиться, кто не умеет ломать тот и не умеет защищаться. Так что как раз хакер и есть специалист по ИБ. »
Ерунда - изучите курсы этичных хакеров - http://www.specialist.ru/vendor/ec-council . Да там даже общее законодательство РФ не изучается, не говоря уж о различных СТРК и т.п. Зато рассказывается как найти уязвимости или расследовать инциденты, но инцидент - это уже постфактум несовершенства защиты, а не её реализация. При этом большинство этих самых хакеров не сами придумывают и не с потолка берут инструменты для поиска уязвимостей - они пользуются чьими-то готовыми продуктами. По поводу способностей молодёжи и матёрых зубров - пусть WindowsNT приведёт хоть одну настоящую и ещё никем незадекларированную критическую уязвимость, которую он нашёл сам во время изысканий и от которой спас пользователей Windows, сразу же сообщив в Microsoft.

Опять же - большинство курсов нацелено исключительно на операционные системы и каналы связи, однако без организационных мер вся безопасность идёт коту под хвост. Информационная безопасность - это гораздо больше чем закручивание гаек на ОСях и защита от вирусов, та же защита от методов социальной инженерии - всего лишь одна из граней ИБ. Иногда гораздо проще заплатить человеку из ИТ-отдела или украсть компьютер/сервер для получения всей необходимой информации, нежели пытаться что-то взломать, подсунуть вирус и т.п.

Ерунда »
Вы правда думаете что после прохождения этого курса человек научиться защищать систему?
Я бы начал с того что там 80% это лишь теория, показываться будут лишь старые дырки и уже давно прикрытые. Если человеку покажут снифер, metasploit, xspyder, Hydra и прочий софт это его ну не как не делает хакером или специалистом по ИБ.
Да что я там говорю, для разбирания кода эксплойта требуется знания программирования, для работы с хакерским софтом знания Linux/Unix, для работы с серверами Windows нужны нехилые знания Windows server 2003/2008/2012. Так же трубуеться знание сетевых протоколов а не только TCP/UDP. Знания криптографии. Знания Соц инженерии.
Да ему расскажут куда первым делом смотреть если произошла атака, ему объяснят что нужно закрывать порты, использовать сертификаты и прочее но пока этот человек сам с этим не столкнется и ему не придется самому искать дырку через которую хакнули, все эти сертификаты просто бумажка.
Это не 1 курс а ГОДЫ большой и упорной работы в этом направлении.

Это не 1 курс а ГОДЫ большой и упорной работы в этом направлении. »
С этим полностью соглашусь, так же как и с тем, что безопасниками не становятся сразу после обучения в ВУЗах по соответствующим специальностям и после обучения на курсах. Но обход защиты не требует знания законодательства и всех мер (как технических, так и организационных) по внедрению и поддержанию ИБ на предприятии. Ломать всегда проще чем защищать (если речь идёт о полноценной защите, а не о её видимости).

не становятся сразу после обучения в ВУЗах по соответствующим специальностям »
Я сам учусь на безопасника. Точней учился, сейчас даже не посещаю.
И знаете когда спрашиваешь у учителя что такое armitage а в ответ тебе мычание то сразу понятно что безопасником так не станешь.
На моей практике не мало пен-тестов различных сетей, как маленьких так и больших и все они заканчивались позором для админов при чем у части админов были сертификаты.
Ломать всегда проще чем защищать »
Не соглошусь, иногда на поиск дырок уходит уйма времени а на то что бы закрыть дырку порядка 20 минут.

xoxmodav, Кстати, очень интересный у тебя блог, особенно порадовало общение с представителями DrWeb )))

На моей практике не мало пен-тестов различных сетей, как маленьких так и больших и все они заканчивались позором для админов при чем у части админов были сертификаты. »
На самом деле админы - не защитники сетей, а скорее их создатели и благодетели. :) Они не могут отвечать за всё, опять же это не всегда входит в круг их обязанностей.

xoxmodav, Кстати, очень интересный у тебя блог, особенно порадовало общение с представителями DrWeb ))) »
Спасибо на добром слове. :)

На самом деле админы - не защитники сетей »
ага, я с этим и не спорю.