V
Size: a a a
2020 April 26
v
Это я так образно утрирую про захардкоженные учётные записи в ряде IT продуктов, которые могут проходить сертификацию. Данная угроза актуальна всегда, несмотря на наличие сертификата. ИЛ это может быть увидит, а может и пропустит, по указанию.
Это не вы ли случаем подали фстэку идея рассматривать администратора ИБ как внутреннего нарушителя?
AM
Это не вы ли случаем подали фстэку идея рассматривать администратора ИБ как внутреннего нарушителя?
Нет, у меня только в мыслях подать идею ФСТЭК в новой МНУиН использовать модель STRIDE и выпустить тулзу для моделирования угроз.
v
Нет, у меня только в мыслях подать идею ФСТЭК в новой МНУиН использовать модель STRIDE и выпустить тулзу для моделирования угроз.
А в чем суть этой тулзы?
AM
А в чем суть этой тулзы?
Построение унифицированной data flow diagram с описанием угроз и может быть мер защиты
AM
Это не вы ли случаем подали фстэку идея рассматривать администратора ИБ как внутреннего нарушителя?
И потом во фстэке уже достаточное количество молодых специалистов чтобы самим генерировать идеи
v
Построение унифицированной data flow diagram с описанием угроз и может быть мер защиты
Есть БДУ, бери свои угрозы. Меры защиты бери с приказа. Нет?
РМ
А с Астрой, как мне кажется, проблема ещё с курсами есть адекватными. Я как-то хотел для себя поучиться, но не нашёл. Везде какая-то шляпа. ИМХО.
Ну это да, есть проблема с актуализацией курсов, но работаем над этим
AM
Есть БДУ, бери свои угрозы. Меры защиты бери с приказа. Нет?
Это слишком сложно для проектировщиков или разработчиков. Требуется 5 лет учиться и потом столько же работать, чтобы понимать эту логику приказов и рынок сзи, который под них построен
П
Тащемто фантазии про заложенные злым ФСБ дырки в сертифицированное сзи это прекрасно. Давайте тогда пользоваться хуйвеем с дырками от китайцев или киской с дырками от цру?)
Хи-хи, да-да... Сложно это слишком, как мне кажется, такие многоходовочки крутить. Заложить бэкдор, проследить, где это установлено, чтобы... зайти через него при необходимости пентеста... А что, обсуждаемыми пентестами и сертификацией всяких свистелок один и тот же отдел занимается что ли? Слишком сложно же выходит, вам не кажется?
П
Andrei Potseluev
Примеров не будет. Оно, конечно, не секретно но и озвучивать публично так себе идея. 😊 Замечаний не было. Но там реально СЗИ в три ряда стояли. 😊
И ничего кроме СЗИ не смотрело наружу? 😒
v
Это слишком сложно для проектировщиков или разработчиков. Требуется 5 лет учиться и потом столько же работать, чтобы понимать эту логику приказов и рынок сзи, который под них построен
А кто должен заниматься разработкой МУ? Уборщица? И если сложно для проектировщика, то извините
.. Тут вакансии как не посмотришь, проектировщики это чуть ли не гуру...
.. Тут вакансии как не посмотришь, проектировщики это чуть ли не гуру...