Lang Опубликовано 15 октября, 2009 Поделиться Опубликовано 15 октября, 2009 Все настроение испортили. Вот как с Вами общаться? :о))) Я понимаю, что критиковать ИСО/МЭК 15408 глупо, по крайней мере. Приводить аргументы? Так вы их не привели, отделались общими фразами. Бряцать конкретикой? так вроде не мальчик. Удалите тему пожалуйста. ZmeyTF, да не обижайтесь. Техника в такой конфигурации работать будет, что с ней станется. И базовая защита вроде как обеспечена. Насчет удобства такой реализации - вопрос спорный, хотя это скорее из религиозной области -). Вопрос то в другом был - прежде, чем строить архитектуру и выбирать/проектировать техрешение, всегда хорошо ответить на основные вопросы, и первый - Зачем. Что. И только потом уже - Как. Что именно защищать. Зачем. От кого. Какие риски и угрозы. Модель нарушителя. В "Единых критериях" все это (вернее, часть этого) хорошо расписано, и это не догма. Не от хорошей жизни этот стандарт появился, да и другие тоже. На этом стандарте свет клином не сошелся. Просто что обидно, очень много отличных технарей (и ИТ-ников, да и безопасников) строят шикарные системы, которые в результате не предоставляют требуемые функции в полном объеме - я имею в виду те функции, что требуется функциональному заказчику, бизнес-заказчику, далекому от ИТ, но близкому к деньгам, власти... и рискам. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZmeyTF Опубликовано 16 октября, 2009 Автор Поделиться Опубликовано 16 октября, 2009 Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса" Удалите тему плиз кто может Ссылка на комментарий Поделиться на другие сайты More sharing options...
interceptor Опубликовано 16 октября, 2009 Поделиться Опубликовано 16 октября, 2009 Ну я тут никому и ничего не продаю, поэтому философию не разливаю. Задачи которые необходимо решать, каждый сам знает, ставит их и выясняет. Если в описанном функционале они есть, то вполне может понять, как в рамках необходимых задач конкретному предприятию это можно использовать. Такая цель была, хотелось подискутировать, а не выяснять в стопицотпервый раз "какая модель нарушителя", "какие требования бизнеса" Удалите тему плиз кто может Если можно , не удаляйте тему , Уважаемые "кто может" :smile3: Приятно было прочесть ... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 16 октября, 2009 Поделиться Опубликовано 16 октября, 2009 Присоединяюсь. ZmeyTF - уважаемый практи :smile20: к с большим опытом и знает цену всем этим ГОСТам Считаю, что пост - очень хороший. И в предложенной архитектуре СИБ можно быстро и эффективно (а главное - не за бешенные деньги) решать типовые задачи ИБ. А функциональные требования, хотя и необходимы, но недостаточны, о чем забывают некоторые :smile3: Дело в том, что подавляющая часть уязвимостей в продуктах связана не с отсутствием нужных функций/сервисов безопасности, а с некорректностью их реализации ("гладко было на бумаге..." :smile2: ). Не зря же в том же 15408 есть стыдливое требование о быстром устранении обнаруженных уязвимостей (забыл точно, как оно называется). То есть разработчики 15408 сами понимали, что этих требований недостаточно. Порой цена упущенного при проектировании контроля входных данных в веб-приложении (да-да - защиты от SQL injection(банальной кавычки)) может оказаться очень большой. А использование продуктов Microsoft, у которой есть SDL, и которые уже смотрены-пересмотрены много раз и обновляются оперативно, когда что-то обнаруживается - большой плюс в защите от таких ошибок. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Скиф Опубликовано 16 октября, 2009 Поделиться Опубликовано 16 октября, 2009 .......чтобы ограничить сотрудников в разговорах по сотовым телефонам, достаточно устроить в офисе несколько «глушилок» GSM (возможно CDMA) диапазонов, тогда останется только один путь общения, это использование корпоративного стационарного телефона. В тоже время, чтобы не ограничивать права, можно оставить несколько зон в офисе, в которых будут работать телефоны. Никто кстати не помешает установить в таких зонах скрытые средства аудио(аудиовизуального) контроля..... Скажу коротко.Спасибо. :smile20: По выделенному посту.А если офис компании находится в бизнес-центре,и кабинеты топов расположены на двух этажах и на этажах расположены офисы других компаний «глушилки»разве не вызовут недовольство "соседей по коммуналке"? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.