Перейти к содержанию

Recommended Posts

Мальцев Тимофей

Меня абсолютно не пугает передача своих данных в коммерческие структуры. :)

Тут есть два момента.

1. Я считаю вполне правильным изначально организовать защиту таких данных именно в госструктурах. Государство устанавливает правила игры - пусть их на себе же и апробирует.

2. Коммерческие организации должны пойти следом. Но - только после того, как госы разберутся между собой и подправят условия игры.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Меня абсолютно не пугает передача своих данных в коммерческие структуры. :)

В коммерческие нет. А если эти данные попадут через многочисленные баги на серверах этих структур в другое место, тоже не пугает? Такое, например, не пугает? Кто-то заходит на сервер со своим Opera Turbo и попадает прямо в ваш аккаунт...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Не пугает. :)

Чего бояться того, чего не можешь предотвратить? :)

Описанная проблема упирается не в ПДН, а в примитивный баг. :)

Кто ж важные вещи кладет в псевдозакрытый доступ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Кто ж важные вещи кладет в псевдозакрытый доступ?

Хехе... Ни Вы, ни я... Но я всё-таки думаю, что многие. Я это часто вижу... 'Ой... я не успею. У меня ещё 50 страниц работы... Дай-ка я отсылаю себе на gmail... Вечером буду делать...' И грузят документы с работы. При этом даже не выходят из сессии, а просто закрывают браузер... Я думаю, что много таких... И такое ощущение, что безопасных сайтов вообще нет. Теперь очередь Симантека...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
. Дай-ка я отсылаю себе на gmail... Вечером буду делать...' И грузят документы с работы. При этом даже не выходят из сессии, а просто закрывают браузер...

Это общая проблема защиты информации. С подобными случаями можно бороться организационными методами и техническими методами - главное бороться.

И вот характерный пример воровства персональных данных >>>

Интересно, зачем они хранили эти данные на ноутбуке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Интересно, зачем они хранили эти данные на ноутбуке?

Простое удобство, экономия времени, мобильность. Многие, особенно в высшем менеджменте, хотят работать дома. Потом, они должны ещё бегать туда-сюда и показать данные тому и другому... Это всё входит в рамках бизнес-модели... И даже если они сами не хотят сохранять эти данные, вы же знаете, как работает кэш и индексирование на ОС Windows? ;)

Основные преимущества ноутбука перед настольным ПК

Сегодня для успешной учебы, карьеры особенно важна скорость принятия решений. Имея под рукой ноутбук, Вы всегда сможете находиться в центре событий.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Простое удобство, экономия времени, мобильность. Многие, особенно в высшем менеджменте, хотят работать дома. Потом, они должны ещё бегать туда-сюда и показать данные тому и другому... Это всё входит в рамках бизнес-модели...

с этим никто не спорит - работа такая :).

Небось сотруднице сказали: "Надо быть внимательнее" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Как потенциальный фактор риска существует ещё cloud computing. Для тех, которые особо не читают другие ветки, я приведу пример не-защиты данных, на который законодательство вряд ли ответ знает: Глава Symantec предлагает новые подходы к безопасности

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
С подобными случаями можно бороться организационными методами и техническими методами - главное бороться.

Например, при помощи DLP-решений ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Например, при помощи DLP-решений ;)

Да, возможно. А что делать, если те, которые управляют этими хитрыми системами сами 'используют' свои знания об этих системах? Уволенный IT-директор созналась в нанесении донорскому центру ущерба на $94 000. В статье, естественно, перекладывается вину на 'сотрудников', так как техника и рукодводство всегда безупречно работают. Но это же был 'Директор IT', который взломался. У неё должны быть необходимые знания для того, чтобы полностью саботировать систему...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Да, возможно. А что делать, если те, которые управляют этими хитрыми системами сами 'используют' свои знания об этих системах? Уволенный IT-директор созналась в нанесении донорскому центру ущерба на $94 000. В статье, естественно, перекладывается вину на 'сотрудников', так как техника и рукодводство всегда безупречно работают. Но это же был 'Директор IT', который взломался. У неё должны быть необходимые знания для того, чтобы полностью саботировать систему...

Статья описывает случай не злоупотребления служебным положением, так директор по ИТ в момент совершения преступления уже была уволена.

Яркий пример отсутствие регламентов по управлению доступами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Статья описывает случай не злоупотребления служебным положением

Это понятно. Но я не исключаю, что она уже занималась этим во время службы...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
занималась этим во время службы...

чем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

С моей скромной точки зрения, Директор по ИТ, не обеспечивший компанию нужными регламентами и инструкциями, а потом еще использовавший созданные собой дыры (не закрыть известную тебе дыру при такой должности - абсолютно то же самое, что ее создать) - однозначный преступник.

Пусть и не перед судом человеческим... :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
чем?

Злоупотреблением знаниями о том, как система работает. Директор IT же? Кто будет проверять её действия? Как Мальцев Тимофей верно заметил, именно она отвечала за отсутствие регламента. А таких, как мне кажется, больше, чем хотелось бы. Предположение всяких систем безопасности: тому, кто управляет можно доверять...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

не факт. Потому в безопасности применяют правило двух рук. Руки должны контролировать и проверять друг друга. Если этого нет - остается только доверие.... Которое часто ни на что не опирается

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
не факт. Потому в безопасности применяют правило двух рук. Руки должны контролировать и проверять друг друга. Если этого нет - остается только доверие.... Которое часто ни на что не опирается

Это мы с вами знаем, alexgr. Но давайте посмотрим как на самом деле: похоже, что одни ленивые и блатные работают в секторе безопасности в компаниях. Не могу поверить, что они до такой степени неграмотными, как иногда кажется... Я точно знаю, что в США, например, многие нанимаются системными администраторами, которые по вечерам чёрные шляпы надевают...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
не факт. Потому в безопасности применяют правило двух рук. Руки должны контролировать и проверять друг друга. Если этого нет - остается только доверие.... Которое часто ни на что не опирается

Абсолютно точно.

Но! :)

Отсутствие контроля не есть оправдание разгильдяйства и злонамеренности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Посмотрите, пожалуйста, тему: Я знаю, где ты был... Как от этого защищаться законом? Даже программно не представляется возможным. Или это не относится к защищаемым данным? Имейте в виду, что вместо социальных сайтов злоумышленник может и проверить он-лайн банки, почтовые сервера и т.д., которые вы посещаете и потом провести нацеленные XSS-атаки... Или можно ещё лучше шпионить за тем, что конкуренты делают... Или рекламщики могут теперь не только навязывать рекламу, но ещё и проверять, производили ли вы поиски в направлении рекламируемой услуги. Возможности - неограничены...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Новая публикация по теме

Мне нравится про 'Типичные заблуждения'. Мне кажется, что по этой теме надо бы создать F.A.Q. во всех разделах anti-malware.ru и обязательно по всем вопросам компьютерной безопасности... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Elusion

При Петре I официально появились министерства, задачей которых было придумывать новые законы, даже если общество в них не нуждалось.

Этакая пелена на глаза Россиян, с целью запудрить им мозги о том, что в нашей стране с каждым днём всё лучше и лучше. "Мы еще о Вас не забыли" *улыбаемся и машем*

Новая публикация по теме

http://www.cnews.ru/reviews/index.shtml?2009/05/15/347317

Улыбнуло ;-), теперь <Вконтакте> и <Одноклассники> сделают принудительный приват-хад на страницы пользователям, хотя если подумать, легче переделать правила под этот закон :D При регистрации мелкими-мелкими буковками напечатать: вы подтверждаете что вам всё равно о ....

Отредактировал Elusion

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
При Петре I официально появились министерства, задачей которых было придумывать новые законы, даже если общество в них не нуждалось.

Дело в том, что закон в этот раз нужен (Не случайно же кризис; он был создан в виртуальном мире из-за отсутствия механизмов контроля над данными), но я боюсь просто, что - как всегда - он не будет выполняться или не будет ответ на то, что на самом деле требуется. То, что мы с вами делаем в он-лайне (и тем более то, что какие-то непонятные третьи стороны постоянно за этим следят) вообще не будет входить в рамки данного закона (если вдруг будет, то тогда только против нас самих), и слежки всё равно весело будут продолжаться. И базы данных будут у кого не надо с адресами, номерами телефона, и списки будут со всеми предпочтнениями и отклонениями. В ответ на это, нам Индустрия Безопасности будет продавать всякие 'решения', которые на самом деле тоже ничего не решают. Типа: будут следить за 'недоверенными', которые будут определить не мы, а они 'для нашего же удобства'. Я посмеялся бы если не было бы так грустно...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×