Pages - Menu

Страницы

17.9.07

Куды бечь, когда узнал о проблемах с безопасностью?

Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.

Адрес статьи- http://www.securitylab.ru/contest/302888.php

5 комментариев:

  1. По-моему, "так нам велит НИАК" (ИСО, НИСТ, НАСА, ПАСЕ) в соседстве с "не верьте западным оракулам" выглядит странно ;)
    Более ожидаемым был заход через профит, например "наметилась такая тенденция, это солидно и удобно, прошла даже унификация" (если уж нужно показать Cisco в авангарде) и т.д.

    А вообще, конечно, впервые в Рунете поднята тема внешнего интерфейса службы ИБ (даже Б), т.к. с уязвимостями, ссылками и рекомендациями и блогами это уже действительно интерфейс, а не контакт для инцидент-рипортинга - пока из наших служб ИБ ничего не исходило, только входило.
    Кстати, это еще и своеобразный индикатор роли_безопасности_в_бизнесе: в AT&T и HCBS, поди, структуру сайта тоже первые лица согласовывают.

    ОтветитьУдалить
  2. Ну ты немного не прав. Я не говорил "не верьте западным оракулам". Особенно, коль скоро, я работаю в одном из них ;-) Я говорил "верьте, но обдуманно". Это, согласись, немного другая точка зрения.

    И я также не говорил "так велит NIAC" ;-) Он так рекомендует. И его рекомендация вполне логична и понятна. Почему бы ей не воспользоваться? А уж пользоваться или нет - всегда остается на совести предприятия.

    ОтветитьУдалить
  3. > его рекомендация вполне логична
    > и понятна. Почему бы ей не
    > воспользоваться

    Разумеется.
    Я всего лишь усомнился, стоило ли начинать статью со ссылки на NIAC, а не в том, стоило ли его упоминать.
    Т.е. заходить через авторитет, а не через пользу.

    ОтветитьУдалить
  4. А почему бы и нет ;-) Тем более, что изначально я статью писал про другое ;-) Даже не так. Была задумка на 3 статьи. Первая про NIAC. Вторая про slash security. Третья - результаты тестирования российских сайтов slash security. Потом оказалось, что с третьей статьей облом - ни одного сайта не нашел. Поэтому я и совместил первые две статьи ;-)

    ОтветитьУдалить
  5. Это и так заметно: адресованность тем, КТО нашел дыру, обусловлена переделкой под секлаб, а содержание писалось для тех, У КОГО имеется неиспользуемая возможность для улучшения.

    На чем, кстати, и возникли непонятки у части комментаторов.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.