17.03.2010

13 коммент.:

e1am0 комментирует...

к мифу 68 - интересно про манагеры паролей. они разные и не все йогурты одинаково полезны. плюс в сравнении с ссо смущают меня всякие трояны/кейлогеры и подобная братия...

Crypto комментирует...

Алексей, вот вы в 67 начали про RFID-метки и не закончили. А по-моему, при внедрении СКУД и встраивании метки проблема с нежеланием ношения даже токенов (не говорю о SC) отпадает сама собой. Затраты на внедрение гораздо эффективнее и легче объясняются руководству, чем покупка токенов со стразиками...

Алексей Лукацкий комментирует...

А причем тут RFID? Чтобы его использовать в качестве идентификатора в компьютерной сети, нужно много считывателей ставить. А это дороже токенов. Существенно

Олег Дубов комментирует...

Нет, вы меня не поняли. не в компьютерной сети, а в СКУД. Сложно забыть токен (или SC) в кабинете, если не можешь без него выйти...

Алексей Лукацкий комментирует...

Я понял. А к ИБ это какое отношение имеет? Если я сделал СКУД на RFID, то это хорошо для СКУД, но не для ИБ.

Void Z7 комментирует...

Алексей, коллега Crypto скорее всего имел ввиду решение от Alladin когда в токен внедряется и метка т.е. RFID и токен одно устройство ...

Void Z7 комментирует...

По поводу 69 мифа:

Вопрос доверия к аутсорсу частично (а может и больше) решается предоставлением доступа спецов Организации к переданному на аутсорс устройству + управление изменениями (конфигурациями)

Алексей Лукацкий комментирует...

Ну нормальный аутсорсер такого не позволит, т.к. никто не знает, что там спецы Организации наконфигурят. Отвечать-то аутсорсеру.

Void Z7 комментирует...

Я имел ввиду доступ на чтение - у заказчика должен оставаться контроль ... при этом у аутсорсера не должно быть возможности свалить все на спецов заказчика

Алексей Лукацкий комментирует...

А какой тогда смысл в аутсорсе, если Организации надо держать столько же людей для контроля?

Void Z7 комментирует...

Наверное потому, что процесс контроля можно выстроить менее трудозатратным (согласование изменений, автоматическое уведомление об изменениях), а без контроля не обойтись, иначе данный процесс будет не управляем в силу того, что контроль является неотделимой частью управления

Void Z7 комментирует...

Да наверное стоит добавить, что полный аутсорс возможен только тогда, когда мы предотвращаем только угрозы нарушения доступности (но не два других свойства) тогда все решается договором с аутсорсером, все простои должны оплачиваться соразмерно ...

Алексей Лукацкий комментирует...

Ну остальное все тоже передается. Конфиденциальность так точно. И ее нарушение тожно можно оценивать.

И контроль, кстати, организовать не легче, чем само управление. А местами и сложнее. Что требует от Организации либо очень высокого уровня специалистов и проработанных процедур, либо такого же штата спецов, что и до перехода на аутсорс.