Новые мифы:
Почти месяц не публиковал дайджест новинок законодательства
Если бы мне нечего было писать, а блог надо было бы
На прошлой неделе успешно прошла уже 24-я ежегодная
Часть ресурсов, на которых опубликованы нормативно-правовые
Правительство подготовило “О внесении изменений в постановление
Думаю все мы сталкивались с советами, что для того
«В нашем SOC работает высококвалифицированный
к мифу 68 — интересно про манагеры паролей. они разные и не все йогурты одинаково полезны. плюс в сравнении с ссо смущают меня всякие трояны/кейлогеры и подобная братия…
Алексей, вот вы в 67 начали про RFID-метки и не закончили. А по-моему, при внедрении СКУД и встраивании метки проблема с нежеланием ношения даже токенов (не говорю о SC) отпадает сама собой. Затраты на внедрение гораздо эффективнее и легче объясняются руководству, чем покупка токенов со стразиками…
А причем тут RFID? Чтобы его использовать в качестве идентификатора в компьютерной сети, нужно много считывателей ставить. А это дороже токенов. Существенно
Нет, вы меня не поняли. не в компьютерной сети, а в СКУД. Сложно забыть токен (или SC) в кабинете, если не можешь без него выйти…
Я понял. А к ИБ это какое отношение имеет? Если я сделал СКУД на RFID, то это хорошо для СКУД, но не для ИБ.
Алексей, коллега Crypto скорее всего имел ввиду решение от Alladin когда в токен внедряется и метка т.е. RFID и токен одно устройство …
По поводу 69 мифа:
Вопрос доверия к аутсорсу частично (а может и больше) решается предоставлением доступа спецов Организации к переданному на аутсорс устройству + управление изменениями (конфигурациями)
Ну нормальный аутсорсер такого не позволит, т.к. никто не знает, что там спецы Организации наконфигурят. Отвечать-то аутсорсеру.
Я имел ввиду доступ на чтение — у заказчика должен оставаться контроль … при этом у аутсорсера не должно быть возможности свалить все на спецов заказчика
А какой тогда смысл в аутсорсе, если Организации надо держать столько же людей для контроля?
Наверное потому, что процесс контроля можно выстроить менее трудозатратным (согласование изменений, автоматическое уведомление об изменениях), а без контроля не обойтись, иначе данный процесс будет не управляем в силу того, что контроль является неотделимой частью управления
Да наверное стоит добавить, что полный аутсорс возможен только тогда, когда мы предотвращаем только угрозы нарушения доступности (но не два других свойства) тогда все решается договором с аутсорсером, все простои должны оплачиваться соразмерно …
Ну остальное все тоже передается. Конфиденциальность так точно. И ее нарушение тожно можно оценивать.
И контроль, кстати, организовать не легче, чем само управление. А местами и сложнее. Что требует от Организации либо очень высокого уровня специалистов и проработанных процедур, либо такого же штата спецов, что и до перехода на аутсорс.