Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 След.
Защита от своих
 
Цитата
Так уж и ВСЕ? Чтож это за работник такой который имеет доступ ко всей информации. Существует же защита БД, уровни доступа...
Под "всем" подразумевалось "все, к чему имел доступ". Поскольку обсуждалась тема инсайдеров, а не ИБ вообще, подобные уточнения опускались, как сами собой разумеющиеся.
Вот радио есть, а счастья нет. (с) Ильф
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
А Щеглов пишет:
наличие уязвимости - это "отказ" системы защиты - неспособность защищать
Ну, уговорили: автомобильные шины постоянно уязвимы к гвоздям и осколкам, поэтому 100% времени находятся в состоянии отказа или, иначе говоря, в любой момент спущены с вероятностью 1.
Вот радио есть, а счастья нет. (с) Ильф
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
Цитата
Алексей Лукацкий пишет:
я не согласен, что система, где для атак ущерб приемлем - безопасна.
Не следует говорить, что такая система неуязвима, но вот насчет безопасной...

Хорошо бы определиться, относительно какого объекта признается безопасность/небезопасность системы - ее самой или ее содержимого. Что рассматривать в качестве объекта защиты, по старинке говоря.
Вы, к примеру, какой жилет называете пуленепробиваемым: который не получает повреждений сам (никаких) или который не допускает повреждений организму (тяжелых) - только первый?
Вот радио есть, а счастья нет. (с) Ильф
ИТ-безопасность: никто не готов к новым угрозам. Так ли все серьезно и
 
2Luka

Давайте усугубим.
Система, имеющая уязвимость, запросто может быть не только не атакована, но и вообще... безопасна. Если у атаки приемлемый ущерб.

Как пример.
Скажем, есть уязвимость, угрожающая доступности (а подавляющее их большинство конфиденциальности и целостности как раз-таки не угрожает).
И наличие (неустранение админом) этой уязвимости очевидно сулит сбой функционирования некоторой продолжительности: когда гром грянет, то найти патч или рецепт действий - перегрузиться - выполнить - перегрузиться.
Бог бы с тем, что вероятность атаки через эту дырку не 100%, как Вы отметили, так еще и подобный способ ее обработки очень даже может укладываться в допустимые рамки.
Если требования к доступности, диктуемые бизнес-процессом или sla с хозяином информации достаточно либеральны, чтобы реагирование по факту наступления недоступности из них не вылезло, то уязвимая система безопасна.
Вот радио есть, а счастья нет. (с) Ильф
Внутренние ИТ-угрозы в России 2006
 
Цитата
особое внимание на себя обращает существенно возросший рейтинг опасности печатающих устройств.
Хорошо, что это отметили - очень интересный момент.

Потому что это как раз результат внедрения средств защиты от утечки. Появление контроля за контентом трафика или использованием карманных носителей не столько уменьшило утечку, сколько вытеснило ее на другой канал. Если в одном месте чего убыло, в другом оно прибыло (см. также путь наименьшего сопротивления, вода дырочку найдет и т.п.).

зы. Что-то с авторизацией, ник - Ригель.

ззы. Упс. Стал дочитывать от того места, за которое зацепился, и обнаружил, что Инвофоч это явление диагностировал точно так же. Добросовестная работа, недооценил.
Вот радио есть, а счастья нет. (с) Ильф
Внутренние ИТ-угрозы в России 2006
 
Обсуждение статьи Внутренние ИТ-угрозы в России 2006
Вот радио есть, а счастья нет. (с) Ильф
infowatch: Глобальное исследование инцидентов внутренней информационно
 
Терпеливо ждал результирующее умозаключение.
Обнаружилось в последней фразе:
Цитата
внедрить необходимые комплексы
Как опять все просто.

Было бы здорово, если бы Инфовоч попутно интересовался, не имелись ли у потерпевших "внедренные комплексы".
А ведь  имелись (как правило, страдают как раз самые немелкие и небедные).
Вот радио есть, а счастья нет. (с) Ильф
Сканер безопасности XSpider получил сертификат соответствия ФСТЭК
 
Цитата
Гость пишет:
вспомните пацаны как паук начинал...
а теперь???
Т.е. раньше в нем были НДВ, а теперь не стало?  :)
Вот радио есть, а счастья нет. (с) Ильф
Сканер безопасности XSpider получил сертификат соответствия ФСТЭК
 
А разве совсекретно в сетях обрабатывают?
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Alex, &i1,
все это не Вам, а ей нужно. Когда соберетесь увольняться, закиньте иск в ближайший суд и заметку в прессу - не пожалеете.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
Jul_i пишет:
задать в трудовом договоре правила пользования корпоративными средствами связи - через них никакой личной информации!
Кто нарушает - его проблемы - он сам выложил свою инфу на всеобщее обозрение
Взять подписку, что все занятия в рабочее время признаются рабочими, и разместить наблюдателей в туалетных кабинах. Кто не справляет все нужды дома - его проблемы.
Диковато? А в чем же принципиальная разница с точки зрения неприкосновенности частной жизни? Закон между ними различия не проводит.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
Александр Левин пишет:
Электронная почта - это не почта. Нет там никакой тайны переписки.
"Каждому гарантируется тайна переписки, телефонных переговоров, телеграфной и иной корреспонденции. Исключения могут быть установлены только судом" (с) Конституция Украины, ст. 31.

"Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения." (с) Конституция России, ст. 23.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
straga.ru пишет:
нужно принять внутренний документ, согласно которому сотрудники соглашаются на мониторинг их действий
Мифическим мониторингом действий законодательство не оперирует.
Проще говоря, если работник дал согласие на абстрактный "мониторинг действий", а не конкретно на сбор сведений о его сексуальной ориентации, то Вы можете стеречь категорию adult, но не видя имена сайтов. Иначе узнаете предпочтения.
И если за обращение к adult будете наказывать (при условии, что это у Вас чем-то запрещено), не нарвитесь на "принятие решения на основании только данных автоматизированной обработки" - кроме логов нужны еще очевидцы или признание.
Не все так просто.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Тимофей,
а зачем тайна переписки - можно и неправомерный доступ к охраняемой законом компьютерной информации влупить. Если владелец (не ящика, а сведений, содержащихся в письме) не организация и не сотрудник, из которого согласие выбили, то не вопрос. От 500 МРОТ до 5 лет.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
Тимофей Третьяк пишет:
Несчастны те организации, где роль информационной безопасности выполняют
бывшие "особисты"
Давайте сейчас не затевать эту тему, а? В нормальной ИБ есть свое место и для тех, и для других, и даже для третьих с четвертыми (скажем, бывших финаудиторов или менеджеров по качеству). Несчастны те организации, где во всех ролях только один тип узких специалистов. Там натурально  * .
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
straga.ru пишет:
Естественно, что предприятие не будет иметь прав на входящую почту, но посмотреть что там может и удалить в том числе.
Фигушки.
Не только распространение, но и прочтение, уничтожение, архивирование и т.п. - это обработка, на которую Вам законный хозяин информации полномочий не давал.
Можете только доставить или потерять.
В этом случае Вы как Укрпошта. Да, это Ваши ящики в подъездах висят, но на содержимое писем прав никаких.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
Цитата
straga.ru straga.ru пишет:
информация, принимаемая и передаваемая с электронного адреса, принадлежащего компании, является ее собственностью
Естественно, «свою» информацию руководство компании или уполномоченные им сотрудники имеют право просматривать
Вот Вам и второй, чтоб не заскучали: отнюдь не любая собственность (кстати, Вы про интеллектуальную или имущественную?) законно присваивается описанным способом. А если в письме статья Gartner, песенка Polygram, база МГБ или персональные данные родственника?

Это сродни тезису: "чтобы всех обыскивать, отныне провозглашаем, что любой предмет, пребывающий в офисе компании, является ее собственностью". Писульку-то Вы возьмете, но собственником не станете.
Вот радио есть, а счастья нет. (с) Ильф
Думай или сиди
 
straga.ru,
там подводных камней - вагон.

Цитата
straga.ru пишет:
принимаемая и передаваемая с электронного адреса, принадлежащего компании, является ее собственностью, и, следовательно, сообщения не могут быть личной
Вот Вам пока первый: входящее электронное сообщение может личную тайну отправителя, а он Вам ничего не подписывал.
Вот радио есть, а счастья нет. (с) Ильф
«Может ли отдел ИБ приносить прибыль своей организации?»
 
Цитата
ig0r пишет:
Вы опять уходите от ответа. Вы так или иначе выходите на риски. Околорисковые темы постоянно всплывают в Ваших постах, потому и прошу
Не надо на меня давить, это отдельная большая (и сложная) тема, предмет отдельного и мутного разговора, на который сейчас объективно ни времени, ни настроения. Была бы простой - я бы не отказывался.

"Силы приложены к разным телам", понимаете? Оценка рисков заточена на определение применимых контрмер (процессов) для организации как таковой, а не на измерение отдачи от подразделения ИБ, она вообще никак не связана с имеющимся у меня или Вас условным делением фирмы на юниты, их названиями и границами функций. Процессы ИБ вовсе не существуют внутри только одного подразделения (некоторые - могут, некоторые - проходят сквозь него, но в какой-то части, некоторые - даже не зацепляют). Более того, они вообще не нуждаются в обязательном наличии такого подразделения. Вспомните организации, в которых документооборот есть и развитый, а департамента документооборота нет. Или качество на высоте, а отдела по производству качества нет.
Вот радио есть, а счастья нет. (с) Ильф
«Может ли отдел ИБ приносить прибыль своей организации?»
 
Цитата
Тимофей Третьяк пишет:
цифра 14т есть неверной
Цифра есть верной - это ущерб, а не риск. Если защита стоит 0.01% от ущерба, то можно забить на оценку вероятности с точностью плюс-минус порядок. Не по правилам, но правильно.
Цитата
Тимофей Третьяк пишет:
... неплохая мысль использовать сравнение ...
Ну, на том и покончим: надо использовать те понятия, на которые в данный момент реагирует конкретный человек (инновации - значит инновации, западло - значит западло, капитализация - значит капитализация...). И вообще директора тоже люди в каком-то смысле. Это ж только у аудиторов микропрограмма прошита ;)
Вот радио есть, а счастья нет. (с) Ильф
Страницы: 1 2 3 4 5 6 След.