Куды бечь, когда узнал о проблемах с безопасностью?

Опубликовал на SecurityLab очередную статью про рекомендации Vulnerability Disclosure Working Group в части создания на каждом сайте раздела /security, который является демонстрацией компанией или организацией своего стремления защитить своих клиентов и свои активы от различных посягательств.

Адрес статьи- http://www.securitylab.ru/contest/302888.php

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    По-моему, «так нам велит НИАК» (ИСО, НИСТ, НАСА, ПАСЕ) в соседстве с «не верьте западным оракулам» выглядит странно 😉
    Более ожидаемым был заход через профит, например «наметилась такая тенденция, это солидно и удобно, прошла даже унификация» (если уж нужно показать Cisco в авангарде) и т.д.

    А вообще, конечно, впервые в Рунете поднята тема внешнего интерфейса службы ИБ (даже Б), т.к. с уязвимостями, ссылками и рекомендациями и блогами это уже действительно интерфейс, а не контакт для инцидент-рипортинга — пока из наших служб ИБ ничего не исходило, только входило.
    Кстати, это еще и своеобразный индикатор роли_безопасности_в_бизнесе: в AT&T и HCBS, поди, структуру сайта тоже первые лица согласовывают.

    Ответить
  2. Алексей Лукацкий

    Ну ты немного не прав. Я не говорил «не верьте западным оракулам». Особенно, коль скоро, я работаю в одном из них 😉 Я говорил «верьте, но обдуманно». Это, согласись, немного другая точка зрения.

    И я также не говорил «так велит NIAC» 😉 Он так рекомендует. И его рекомендация вполне логична и понятна. Почему бы ей не воспользоваться? А уж пользоваться или нет — всегда остается на совести предприятия.

    Ответить
  3. Ригель

    > его рекомендация вполне логична
    > и понятна. Почему бы ей не
    > воспользоваться

    Разумеется.
    Я всего лишь усомнился, стоило ли начинать статью со ссылки на NIAC, а не в том, стоило ли его упоминать.
    Т.е. заходить через авторитет, а не через пользу.

    Ответить
  4. Алексей Лукацкий

    А почему бы и нет 😉 Тем более, что изначально я статью писал про другое 😉 Даже не так. Была задумка на 3 статьи. Первая про NIAC. Вторая про slash security. Третья — результаты тестирования российских сайтов slash security. Потом оказалось, что с третьей статьей облом — ни одного сайта не нашел. Поэтому я и совместил первые две статьи 😉

    Ответить
  5. Ригель

    Это и так заметно: адресованность тем, КТО нашел дыру, обусловлена переделкой под секлаб, а содержание писалось для тех, У КОГО имеется неиспользуемая возможность для улучшения.

    На чем, кстати, и возникли непонятки у части комментаторов.

    Ответить