Интересно, как его встречный иск соотносится с УПК в части проведения экспертизы?
Luka
02.04.2007 19:01:50
Ну, во-первых, на любом форуме это нормально, когда дискуссия вообще уходит от первоначальной темы. А во-вторых, я не вижу смысла разбирать статью, которая даже при беглом просмотре вызывают у меня такое количество нареканий. Если мы с терминами не можем определиться, то как можно к сути переходить? Если вы по-прежнему стоите на своем и уверяете, что отказ = уязвимость, то я не вижу смысла дальше обсуждать что-то. У нас значит фундаментальные расхождения в понимании безопасности.
Luka
|
|||
|
02.04.2007 00:50:48
Ну это вообще заведет нас в дебри И так-то к статье много претензий, а тут еще ты со своей идеей, которая кстати не нова. Я года 4-5 назад написал статью как раз про это и там было вкратце так: если в процедуре перемножения у одного из трех параметров - вероятность атаки, наличие уязвимости для данной атаки и ущерб от данной атаки, равен нулю, то заниматься такой атакой вообще нет смысла. Умножение на ноль дает в итоге ноль. Но я не согласен, что система, где для атак ущерб приемлем - безопасна. Скорее у такой системы низкий риск. Совсем безопасной ее не назовешь, если и дыры есть и атаки реализуются.
Luka
|
|||
|
30.03.2007 22:29:56
Ну давайте перейдем к сути тогда. Здесь как-то было уже попытка доказать, что количество уязвимостей определяет защищенность системы. И вновь я повторю, что количество дыр говорит только о количестве дыр. Сама по себе дыра - это просто факт. Ей можно пользоваться, а можно не пользоваться, а можно совсем не найти. И я категорически не согласен, когда под отказом понимается обнаружение уязвимости. Наличие уязвимости - это факт и все. А отказ - это совершенно другое. Если обратиться к теории надежности (коль скоро мы говорим об академичности), то отказ - это нарушение работоспособности. Переводя это в плоскость ИБ - отказ - это результат проведения успешной атаки вследствие найденной уязвимости. Т.е. наличие только уязвимости не говорит ни об отказе, ни об атаке. Это просто наличие неких условий, при которых может произоти отказ. Но не факт, что он произойдет. А вот когда эта уязвимость ИСПОЛЬЗУЕТСЯ, вот тогда может быть отказ. Ну с интенсивностью тоже все ясно.
Luka
|
|||
|
30.03.2007 22:00:05
У вас в резюме говорится про проценты. Если статья вообще не об этом, то зачем вообще приводить эти проценты.
Давайте. Только боюсь администраторам будут непонятны и приведенные в статьи формулы ;-(
Luka
|
|||||
|
30.03.2007 11:48:19
Ну сколько можно твердить, что абсолютные цифры ничего не говорят. Более того, говорят о квалификации "аналитиков" и исследователей. С каких пор сумма затрат на безопасность говорит о квалифицированности решения/нерешения задач ИБ? Сумма затрат говорит только о сумме затрат! На что они потрачены? В каком соотношении? Где качественная (а не количественная) оценка данных цифр. Второе. Когда руководитель ИБ требует увеличения бюджета своего отдела исходя из "общепринятого" (кем?) мнения, что на ИБ должно тратиться от 5 до 20% от ИТ-бюджета - я могу это понять. Ну как еще обосновать выделение денег?! Но когда эта же ни кем и ничем необоснованная цифра приводится в "аналитическом" материале... Бюджет на ИБ зависит только от решаемых задач и ни от чего больше. Он может быть и больше 5% и меньше 1%. К тому же, как выделить бюджет на ИБ от бюджета на сетевую инфраструктуру, системные и бизнес-приложения и их администрирование? Это цифра очень спорна и обычно приводится, когда все остальные доводы исчерпаны.
Luka
|
|||
|
26.03.2007 20:25:35
Пропущен ну ОЧЕНЬ большой пласт заказчиков, не относящихся к госструктурам и западным потребителям.
Ну рынок ИБ - это не только софт. Хотелось бы мне посмотреть как пираты будут Pix'ы или ASA'ы копировать И даже софтовой безопасности пиратство не всегда страшно. Стоимость лицензии - это процентов 15-20 от итоговой стоимости решения. Своровать софт можно. Вопрос кто и как его внедрять будет. И где поддержку получать...
Не надо разносить эти 2 темы. Например, одно из препятствий при двусторонных переговорах для вступления в ВТО (между США и Россией) была тема криптографии. А это как раз ИБ.
У меня вообще-то для этого туалет с унитазом есть.
Luka
|
|||||||||
|
24.03.2007 23:44:01
Ну есть тут отдельные личности, которые не воспринимают меня в отрыве от места моей работы.
Ну тогда им остается признать, что они работают так, как сказал
Luka
|
|||||||
|
23.03.2007 22:52:37
Убеждать я хотел только разработчиков/интеграторов и т.п., но не пользователей. Пользователь должен сам сделать свой и обоснованный выбор. Не хотелось бы, чтобы после прочтения считали, что я ратую за продукцию компании, в которой работаю (к сожалению, на двух круглых столах, где я говорил об этой теме, российские разработчики упрекали меня в том, что я лью воду на цискину мельницу). Было бы идеально, если бы на секлабе появилась статья, отстаивающая противоположную точку зрения. Тогда были бы доводы двух сторон.
Luka
|
|||
|
20.03.2007 23:53:51
Нет. Это вообще-то SMB-пользователь В т.ч. и для Infowatch, кстати Вот представь себе 1424 "корпоративных пользователя" (компании по 20 человек). Общее число пользователей - 28000 А только у нас в конторе 40000 IP-телефонов А таких контор, которые используют также решения и других вендоров - множество. Даже в России. Поэтому надо было четко дифференцировать профиль пользователей. А так очень большие претензии возникают ко всему отчету, да и другим отчетам, если такая же неряшливость в исходных данных.
Так я и не спорил насчет безопасности. Я поставил под сомнение только цифры о распространенности скайпа.
Luka
|
|||||
|
20.03.2007 21:16:22
Практически любой ИТшный стартап с этого начинается. Был программер, разработал систему, основал компанию, стал гендиректором. И так везде - даже на Западе. Только там помимо гендиректора есть еще и бизнес-человек, который рулит всеми финансами и бизнесом.
Luka
|
|||
|
20.03.2007 21:08:51
Несколько коллег, проффесионально занимающихся VoIP несколько лет и имеющих "имя" в России и в Европе. Саш, я ведь не зря спросил "что такое 1424 пользователя"? Где профиль респондентов? В каких компаниях они работают? Какие конкретно вопросы задавались? От этого очень многое зависит. Есть подозрение, что "корпоративный пользователь" для данного опроса - это в основе своей компания на 10-20 компов. Я доверяю опросам секлаба, касающимся безопасности, но телефония, тем более корпоративная, - не ваш конек. Уж извини.
Luka
|
|||
|
19.03.2007 23:56:53
Интересный вывод, в который я верю с трудом. Что такое 1242 посетителя секлаба, участвовашие в опросе? Они все представляют одинаковые по размеру компании? И они все отвечают за ответ на такой непростой вопрос? Или вопрос звучал примерно так "Используется ли Skype в вашей компании?" В итоге даже личное использование Skype на работе "считается", что неправильно. И учитывался ли как-нибудь размер компании? А то получится, что сранивается компания с 5 сотрудниками и компания с 40000 сотрудниками имеют одинаковый вес. Я не спорю о дальнейших выводах о (не)защищенности Skype, но говорить, что он является самым распространенным КОРПОРАТИВНЫМ средством IP-телефонии - некорректно. Мой опыт как раз говорит об обратном. Да и профиль респондентов не совсем репрезентативен для телефонии. Связисты в этом профиле где? А часто именно они отвечают за телефонию. Но посещают ли они секлаб? Не уверен.
Luka
|
|||
|
19.03.2007 23:56:51
Обсуждение статьи
Luka
|
|
|
19.03.2007 23:41:34
2.2% - это немного? При доходе в 1 миллиард (а ведь мы говорим о крупной компании), 2.2% составит 22 миллиона; при доходе в 10 миллиардов - 220 миллионов; при доходе в 15 миллиардов (а таких компаний в Северной Америке не так уж и мало) - 330 миллионов (прогноз объема российского рынка ИБ в 2007 году). Хотелось бы мне посмотреть на переводчика этого материала, для которого даже упомянутые в начале 30 миллионов - это немного. Это в разы превышает инвестиции в безопасность для таких компаний.
Luka
|
|||
|