Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
к мифу 68 - интересно про манагеры паролей. они разные и не все йогурты одинаково полезны. плюс в сравнении с ссо смущают меня всякие трояны/кейлогеры и подобная братия...
Алексей, вот вы в 67 начали про RFID-метки и не закончили. А по-моему, при внедрении СКУД и встраивании метки проблема с нежеланием ношения даже токенов (не говорю о SC) отпадает сама собой. Затраты на внедрение гораздо эффективнее и легче объясняются руководству, чем покупка токенов со стразиками...
А причем тут RFID? Чтобы его использовать в качестве идентификатора в компьютерной сети, нужно много считывателей ставить. А это дороже токенов. Существенно
Вопрос доверия к аутсорсу частично (а может и больше) решается предоставлением доступа спецов Организации к переданному на аутсорс устройству + управление изменениями (конфигурациями)
Я имел ввиду доступ на чтение - у заказчика должен оставаться контроль ... при этом у аутсорсера не должно быть возможности свалить все на спецов заказчика
Наверное потому, что процесс контроля можно выстроить менее трудозатратным (согласование изменений, автоматическое уведомление об изменениях), а без контроля не обойтись, иначе данный процесс будет не управляем в силу того, что контроль является неотделимой частью управления
Да наверное стоит добавить, что полный аутсорс возможен только тогда, когда мы предотвращаем только угрозы нарушения доступности (но не два других свойства) тогда все решается договором с аутсорсером, все простои должны оплачиваться соразмерно ...
Ну остальное все тоже передается. Конфиденциальность так точно. И ее нарушение тожно можно оценивать.
И контроль, кстати, организовать не легче, чем само управление. А местами и сложнее. Что требует от Организации либо очень высокого уровня специалистов и проработанных процедур, либо такого же штата спецов, что и до перехода на аутсорс.
к мифу 68 - интересно про манагеры паролей. они разные и не все йогурты одинаково полезны. плюс в сравнении с ссо смущают меня всякие трояны/кейлогеры и подобная братия...
ОтветитьУдалитьАлексей, вот вы в 67 начали про RFID-метки и не закончили. А по-моему, при внедрении СКУД и встраивании метки проблема с нежеланием ношения даже токенов (не говорю о SC) отпадает сама собой. Затраты на внедрение гораздо эффективнее и легче объясняются руководству, чем покупка токенов со стразиками...
ОтветитьУдалитьА причем тут RFID? Чтобы его использовать в качестве идентификатора в компьютерной сети, нужно много считывателей ставить. А это дороже токенов. Существенно
ОтветитьУдалитьНет, вы меня не поняли. не в компьютерной сети, а в СКУД. Сложно забыть токен (или SC) в кабинете, если не можешь без него выйти...
ОтветитьУдалитьЯ понял. А к ИБ это какое отношение имеет? Если я сделал СКУД на RFID, то это хорошо для СКУД, но не для ИБ.
ОтветитьУдалитьАлексей, коллега Crypto скорее всего имел ввиду решение от Alladin когда в токен внедряется и метка т.е. RFID и токен одно устройство ...
ОтветитьУдалитьПо поводу 69 мифа:
ОтветитьУдалитьВопрос доверия к аутсорсу частично (а может и больше) решается предоставлением доступа спецов Организации к переданному на аутсорс устройству + управление изменениями (конфигурациями)
Ну нормальный аутсорсер такого не позволит, т.к. никто не знает, что там спецы Организации наконфигурят. Отвечать-то аутсорсеру.
ОтветитьУдалитьЯ имел ввиду доступ на чтение - у заказчика должен оставаться контроль ... при этом у аутсорсера не должно быть возможности свалить все на спецов заказчика
ОтветитьУдалитьА какой тогда смысл в аутсорсе, если Организации надо держать столько же людей для контроля?
ОтветитьУдалитьНаверное потому, что процесс контроля можно выстроить менее трудозатратным (согласование изменений, автоматическое уведомление об изменениях), а без контроля не обойтись, иначе данный процесс будет не управляем в силу того, что контроль является неотделимой частью управления
ОтветитьУдалитьДа наверное стоит добавить, что полный аутсорс возможен только тогда, когда мы предотвращаем только угрозы нарушения доступности (но не два других свойства) тогда все решается договором с аутсорсером, все простои должны оплачиваться соразмерно ...
ОтветитьУдалитьНу остальное все тоже передается. Конфиденциальность так точно. И ее нарушение тожно можно оценивать.
ОтветитьУдалитьИ контроль, кстати, организовать не легче, чем само управление. А местами и сложнее. Что требует от Организации либо очень высокого уровня специалистов и проработанных процедур, либо такого же штата спецов, что и до перехода на аутсорс.