информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Spanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 С наступающим 
 Серьезная уязвимость в Apache Log4j 
 Крупный взлом GoDaddy 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Детерменировать угрозы очень легко, их мало: 09.07.08 17:45  Число просмотров: 6667
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 09.07.08 17:45  Количество правок: 1
<"чистая" ссылка>
> А угрозы откуда вытекают и на что направлены? Из и в бизнес
> процессы.
Детерменировать угрозы очень легко, их мало:
1) Придут и вынесут всё оборудование (на меньшее нет смысла закладываться) и начнут изучать её содержимое на холодную
2) Придут, всех положат и будут исследовать ИС "на горячую" с воздействием на сотрудников
3) Перед приходом будут "шпионить", ангажировать сотрудников
4) Будут синхронно проверять несколько (все подпадающие под юрисдикцию) филиалов
5) Слежение техническими средствами (перехват трафика, телефонных разговоров и проч каналов связи)
6) комбинация 1+2+3+4+5+в самый неожиданный момент (например в день рождения, при наличии "сырой первички"\кучи денег на месте проверки и прочих прямых улик).

Цель - выбрать и воплотить в случае реализации угрозы оптимальную линию защиты. Какая она будет - обосрался и всё сдал не смотря на вложенные средства, или проверка и фирма остались довольны друг другом - вот это как раз зависит от того, как мы подготовились к тому или иному сценарию.
Продавать наркотики с использованием ERP-систем или делать международную систему дистрибуции чая с realtime-оптимизацией налоговых отчислений на бумаге и счётах в равной степени бессмыслено. И ни в том, ни в другом случае действовать по сценарию 2 будет практически невозможно (объяснять :) ?)
> Сами бизнес процессы являются не безопасными. Тк в них
> участвую "слабые" ресурсы с человеческим фактором. И
> сокрытие информации о бизнес процессах (и сопуствующей
> информации) не усиляет криптостойкие решения. А возможно,
> ослабляет систему, тк вводят в заблуждение о стойкости
> системы.
Конкретная информационная среда должна соответствовать требованиям бизнеса, соответственно отвечать разжёванным по топику критериям. Не меньше. И если система даёт сбой (всё заканчивается сценарием 1), то виноват в этом ТОЛЬКО идейный вдохновитель (он же топ-проектировщик, он же топ-контролёр - крайне ограниченное множество особо доверенных людей) и никто другой (ни офисный планктон, ни IT, ни даже реализаторы идеи)!
Соответственно создавая и поддерживая ИС под свой бизнес НЕЛЬЗЯ ограничиваться стандартными шагами, необходимо сначала создать тыл на случай отступления, и только потом расширяться. А если ресурсов на поддержание ИС в безопасном (в контексте топика) состоянии, то, к сожаленью, время расширения ещё не пришло :)
И поддерживать Это - очень большая и интересная творческая наука (равно как занимать противоположную позицию на самом деле :) )
<law> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach