Принял тут заочно в форме «соучастия» в какой-то матерой конференции под названием Интернет и Право
Текст доклада (с иллюстрациями) www.ifap.ru/pi/11/r01.pdf
Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области ИБ
Сергей Гордейчик, руководитель отдела аудита и консалтинга Positive Technologies
Алексей Гордейчик, адвокат
Дмитрий Кузнецов, системный архитектор отдела аудита и консалтинга Positive Technologies
Barmaley, нет скорее на прививку против оспы
В статье есть правильная, хотя и не новая, мысль — тренироваться лучше "на кошках" (моделях). Лично я не хотел бы, чтобы мой банк проводил эксперименты на реальной базе клиентских счетов. Может и обнаружат, уязвимость, и даже все исправят… потом, но я не хочу оказаться в магазине с заблокированной картой банка-экспериментатора.
Как специалист в области IT, могу сказать, что никакая защита не спасает от глупости самих пользователей, которые до сих пор пишут свой пароль на стикере, приклеенном к монитору А за науку спасибо, а то мы частенько тестим свои сети "вживую", а оказывается, что это чревато...
Мой папа говорит, что "любой пароль можно узнать очень быстро. Нужно просто приложить утюг к спине администратора, и он все сам расскажет"
Все ясно: банки путем такого "реального взламывания" (тестирования на взламывание) своих баз данных подставляют деньги клиентов банка. О чем так много в последнее время пишут в прессе. А обвиняют "мошенников". Круто.
Во-обще вопросы связанные с технической стороной материала не ко мне. На них лучше может ответить мой брат Сергей Владимирович. Вопросы к нему в этом блоге: sgordey.blogspot.com
Правовой же аспект состоит в том, что аудит информационной безопасности как, безусловно, общественно-значимая деятельность вне зависимости от метода его осуществления (с так взволновавшим почтеннейшую публику "проникновением" или без такового) находится вне правового поля. В результате его осуществление, формально нарушает ряд охраняемых законом тайн, в частности, банковскую тайну.
И с этим надо что-то делать. Вот собственно и все...
Что касается тестов на проникновение, то насколько я смог разобраться, они включены в качестве обязательных требований во многие международные стандарты аудита информационной безопасности, то есть перед нами вновь стоит нелегкий выбор: либо принять их как данность, либо "вновь изобретать велосипед, в то время, когда другие давно уехали на мотоциклах".
При этом цена этого выбора — пресловутые деньги вкладчиков.
Рейтинг публикации:
«Всех аудиторов «посодют»?! Юридические аспекты консалтинга в области информационной безопасности»
1
звезд из 5
на основе 3 оценок.
Дорого, но зато качественно. Все встречи и консультации, в т.ч. дистанционные только по предварительной записи.
Защита по сложным уголовным экономическим делам.
Борьба с фальсификациями и незаконными методами расследования. Опыт, надёжность, добросовестность!
Консультации, дела.
Действую с интересом, спокойно и тщательно, очно и дистанционно.
Начало статьи еще более или менее понятно, а вот конец — только для "технарей"...
Ясно одно, что согласие заказчика на проведение таких эксперименов, очень похоже на согласие пациента на эвтаназию