Коллега дал идею. Проанализировать вопросы IT-безопасности на предприятиях с выдачей рекомендаций.
Мол народ помешан на безопасности, а следовательно будет спрос на решения, в том числе и за деньги.

Давайте обсудим этот аспект.

Я не большой спец в безопасности, но у меня где-то была ДК, которая описывала потенциальные угрозы ИТ-безопасности организации. Поищу ...

З.Ы. А вообще это очень даже опасный консалтинг как мне кажется, что будет если после выдачи рекомендаций сломают систему безопасности??? Где гарантии???

Саша, почитай правила эхи

А что такое правила эхи и где их почитать?

например здесь: http://www.uml2.ru/index.php?option=com_smf&Itemid=45&topic=271.0

Извиняюсь ....

Тогда поставим вопрос по другому (не отвертишься :
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?

в позитифф таккаать и развивая идею ...: для осуществления такой деятельности нужно иметь лицензию ... джентельмены из соответствующих структур позаботились, чтобы такие лицензии попадали только "к своим", следовательно нужно сделаться "своим" и получить лицензию. Кроме этого нужно поднять соответствующие ГОСТы и прочия стандарты по информбезопасности и стать докой в этом вопросе.

Извиняюсь ....

Тогда поставим вопрос по другому (не отвертишься :
Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?

Не бывает совершенных систем, и не бывает совершенных средств защиты.
Однако бывают определенные стандартные предложения. Скажем, если на окнах поставить ставни и закрыть их изнутри + поставить некоторую охранную сигнализацию, то веротяность проникновения в дом будет гораздо меньше, чем если всех этих мер не было принято.

По статистике - самые проблемные места сейчас - это не внешние угрозы, а как раз внутренние, поэтому возникает необходимость: как реализовать такую систему безопасности, чтобы с одной стороны обеспечить нормальный доступ к информации внутри корпорации, и одновременно обеспечить достаточно надежный механизм затрудняющий, или делающий невозможным различные инсайдерские действия.

Про защиту от инсайдерских действий: я видела такой механизм в банковской инфосистеме для защиты от инсайдеров: двойной ввод с логированием. Суть: выявляется список важных возможных изменений, и на эти изменения вводятся права на уровне изменений записей базы данных, такие что проводить изменения могут не менее 2 ответственных пользователей. Алгоритм проведения изменений таков: первый делает изменение, это логируется, записи в БД, задействованные в изменении, блокируются. Второй пользователь, имеющие соответствующие права, должен подтвердить изменения (опять таки это логируется), и только после этого изменение войдет в силу. Разумеется, первый и второй должны быть разными пользователями.
Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?

<...>Как можно гарантировать, что после выдачи рекомендация система безопасности не будет сломана?

Гарантировать - никак. Уменьшить риск - устранив дыру в безопасности в максимально короткие сроки. Но если  рекомендация не выдана и риск не выявлен - его уменьшение невозможно.
Если Вы беспокоитесь, что сломает тот, кто выявил - заранее подпишите с ним договор о неразглашении, а по завершении работ полностью расплатитесь и/или устраните его физически (самая мягкая форма - посадка в тюрьму за "прошлые грехи", прецеденты были).

<...>Так же могу поискать статью про анализ и создание дерева уязвимостей и запостить сюда линку, где-то я недавно ее видела. Надо?

Буду очень признателен. Деревья уязвимости и методику их построения можно увидеть также в книге Шнайера "Секреты и ложь: безопасность данных в цифровом мире"

по завершении работ полностью расплатитесь и/или устраните его физически

расплатитесь или устраните физически:
1 Истинное утверждение: расплатитесь и устраните физически - это, возможно, версия верящего в бога бандита
2 Истинное утверждение: расплатитесь - самый предпочитаемый вариант с точки зрения отыскавшего
3 Истинное утверждение: устраните - прагматичный подход
 :-) Так лирическое измышление.


Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....

Не бывает совершенных систем, и не бывает совершенных средств защиты.<...>

Делаем .
А если серьёзно - единственно возможной защитой является уменьшение экономической целесообразности взлома. Если взлом стоит $2 млн., а в результате получения данных будет получена прибыль всего лишь $1 млн., взлома с большой вероятности не будет - злоумышленники очень хорошо умеют считать деньги.

<...>Но обратите внимание на мой пост, не просто предлагать решения, но и предлагать за деньги!!! Но учитывая замечания АлексаЗеРайвена, что-то стало как-то не уютно....

Есть вещи, знание которых опасно. Я бы не взялся защищать от утечки чёрную бухгалтерию какой-нибудь крупной российской компании (особенно настраивать контентную фильтрацию) за деньги, на которые не смогу до конца жизни нанимать десяток охранников, бункер в городской черте, пару бронетранспортёров и пару двойников .

Статья про построение деревьев уязвимостей была на software-testing.ru, а он сейчас эволюционировал в it4business.ru, как найти конкретно эту статью - непонятно, но зато там есть Открытая База Знаний по Информационной Безопасности - http://it4business.ru/itsec/Home