Новые мифы:
Что-то подзатянул я с выпуском дайджеста —
Поговорив позавчера про структуру затрат на услуги
В Positive Technologies есть своя кофейня, в которой
Ну что, снова поговорим за мобилизацию, но в контексте
Мобилизация мобилизацией, а законодательство по ИБ
Думаю, что вы слышали о взломе , , , , Microsoft, , , ?
Август месяц, время отпусков, но законодатели не спят
Почти месяц не публиковал дайджест новинок законодательства
к мифу 68 — интересно про манагеры паролей. они разные и не все йогурты одинаково полезны. плюс в сравнении с ссо смущают меня всякие трояны/кейлогеры и подобная братия…
Алексей, вот вы в 67 начали про RFID-метки и не закончили. А по-моему, при внедрении СКУД и встраивании метки проблема с нежеланием ношения даже токенов (не говорю о SC) отпадает сама собой. Затраты на внедрение гораздо эффективнее и легче объясняются руководству, чем покупка токенов со стразиками…
А причем тут RFID? Чтобы его использовать в качестве идентификатора в компьютерной сети, нужно много считывателей ставить. А это дороже токенов. Существенно
Нет, вы меня не поняли. не в компьютерной сети, а в СКУД. Сложно забыть токен (или SC) в кабинете, если не можешь без него выйти…
Я понял. А к ИБ это какое отношение имеет? Если я сделал СКУД на RFID, то это хорошо для СКУД, но не для ИБ.
Алексей, коллега Crypto скорее всего имел ввиду решение от Alladin когда в токен внедряется и метка т.е. RFID и токен одно устройство …
По поводу 69 мифа:
Вопрос доверия к аутсорсу частично (а может и больше) решается предоставлением доступа спецов Организации к переданному на аутсорс устройству + управление изменениями (конфигурациями)
Ну нормальный аутсорсер такого не позволит, т.к. никто не знает, что там спецы Организации наконфигурят. Отвечать-то аутсорсеру.
Я имел ввиду доступ на чтение — у заказчика должен оставаться контроль … при этом у аутсорсера не должно быть возможности свалить все на спецов заказчика
А какой тогда смысл в аутсорсе, если Организации надо держать столько же людей для контроля?
Наверное потому, что процесс контроля можно выстроить менее трудозатратным (согласование изменений, автоматическое уведомление об изменениях), а без контроля не обойтись, иначе данный процесс будет не управляем в силу того, что контроль является неотделимой частью управления
Да наверное стоит добавить, что полный аутсорс возможен только тогда, когда мы предотвращаем только угрозы нарушения доступности (но не два других свойства) тогда все решается договором с аутсорсером, все простои должны оплачиваться соразмерно …
Ну остальное все тоже передается. Конфиденциальность так точно. И ее нарушение тожно можно оценивать.
И контроль, кстати, организовать не легче, чем само управление. А местами и сложнее. Что требует от Организации либо очень высокого уровня специалистов и проработанных процедур, либо такого же штата спецов, что и до перехода на аутсорс.