Перейти к содержанию

Как бы я строил систему ИБ ...


Рекомендуемые сообщения

Все настроение испортили. Вот как с Вами общаться? :о))) Я понимаю, что критиковать ИСО/МЭК 15408 глупо, по крайней мере. Приводить аргументы? Так вы их не привели, отделались общими фразами. Бряцать конкретикой? так вроде не мальчик.

Удалите тему пожалуйста.

 

ZmeyTF, да не обижайтесь. Техника в такой конфигурации работать будет, что с ней станется. И базовая защита вроде как обеспечена. Насчет удобства такой реализации - вопрос спорный, хотя это скорее из религиозной области -).

Вопрос то в другом был - прежде, чем строить архитектуру и выбирать/проектировать техрешение, всегда хорошо ответить на основные вопросы, и первый - Зачем. Что. И только потом уже - Как.

Что именно защищать. Зачем. От кого. Какие риски и угрозы. Модель нарушителя. В "Единых критериях" все это (вернее, часть этого) хорошо расписано, и это не догма. Не от хорошей жизни этот стандарт появился, да и другие тоже. На этом стандарте свет клином не сошелся.

Просто что обидно, очень много отличных технарей (и ИТ-ников, да и безопасников) строят шикарные системы, которые в результате не предоставляют требуемые функции в полном объеме - я имею в виду те функции, что требуется функциональному заказчику, бизнес-заказчику, далекому от ИТ, но близкому к деньгам, власти... и рискам.

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Создана
  • Последний ответ

Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса"

Удалите тему плиз кто может

Ссылка на комментарий
Поделиться на другие сайты

Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса"

Удалите тему плиз кто может

Если можно , не удаляйте тему , Уважаемые "кто может" :smile3:

Приятно было прочесть ...

Ссылка на комментарий
Поделиться на другие сайты

Присоединяюсь. ZmeyTF - уважаемый практи :smile20: к с большим опытом и знает цену всем этим ГОСТам

Считаю, что пост - очень хороший. И в предложенной архитектуре СИБ можно быстро и эффективно (а главное - не за бешенные деньги) решать типовые задачи ИБ.

 

А функциональные требования, хотя и необходимы, но недостаточны, о чем забывают некоторые :smile3:

Дело в том, что подавляющая часть уязвимостей в продуктах связана не с отсутствием нужных функций/сервисов безопасности, а с некорректностью их реализации ("гладко было на бумаге..." :smile2: ). Не зря же в том же 15408 есть стыдливое требование о быстром устранении обнаруженных уязвимостей (забыл точно, как оно называется). То есть разработчики 15408 сами понимали, что этих требований недостаточно. Порой цена упущенного при проектировании контроля входных данных в веб-приложении (да-да - защиты от SQL injection(банальной кавычки)) может оказаться очень большой. А использование продуктов Microsoft, у которой есть SDL, и которые уже смотрены-пересмотрены много раз и обновляются оперативно, когда что-то обнаруживается - большой плюс в защите от таких ошибок.

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

.......чтобы ограничить сотрудников в разговорах по сотовым телефонам, достаточно устроить в офисе несколько «глушилок» GSM (возможно CDMA) диапазонов, тогда останется только один путь общения, это использование корпоративного стационарного телефона. В тоже время, чтобы не ограничивать права, можно оставить несколько зон в офисе, в которых будут работать телефоны. Никто кстати не помешает установить в таких зонах скрытые средства аудио(аудиовизуального) контроля.....

Скажу коротко.Спасибо. :smile20:

 

По выделенному посту.А если офис компании находится в бизнес-центре,и кабинеты топов расположены на двух этажах и на этажах расположены офисы других компаний «глушилки»разве не вызовут недовольство "соседей по коммуналке"?

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...