АС
Оценка на доверие
Size: a a a
2021 July 01
АС
Безопасная разработка
/
Это когда надо упасть спиной назад, а два разработчика тебя ловят.
АС
Тут от класса зависит
АС
по 1 или 2 классу серьезно проверяют )
M
По сути с размытие пириметра (удаленка) внешний и внутренний нарушитель зависит от наличия доступа к системе с правами работника или отсутствия такого.
У внутреннего он сразу есть, а у внешнего образуется на втором этапе ))
У внутреннего он сразу есть, а у внешнего образуется на втором этапе ))
V
там вообще то пример в приложении, а не жесткое определение.
M
Наверно я имел в виду контролируемую зону (КЗ), по ней сейчас сложно разделить нарушителя
П
согласен
A
ничего забавного, это означает лишь то, что должен быть механизм контроля за разработкой. ни одна организация не доверяет всем договорам которые подписывает от внешних контрагентов, а нанимает юриста (ов) которые контролируют прямые фин. риски. при разработке так же, необходимо учитывать риски "криворукости" подрядных организаций.
V
читайте определение из методики. Там все базируется на двух признаках.
M
Но почему например компания Microsoft является для меня внутренним нарушителем не совсем понятно. Да, они обладают глубокими эксперными знаниями в своих продуктах, но доступа то у них нет, ни к сетям, ни к системам🤔
V
они ими и не будут, если не имеют доступа через сеть
M
А если я не дам, то и не будет ))
V
там есть еще забавное уточнение для "внешнего нарушителя"
A
я думаю не совсем корректное сравнение от Михаила. используемые "готовые" решения типа ОС Windows и разработка и интеграция с сервисами организации - это разные вещи и механизмы защиты. ОС Windows также имеют возможность деструктивного воздействия через обновления = проверка в тестовой среде. Разработка ПО, это как правило доступ в сеть Заказчика = ограничение прав, контроль изменений, регламенты проверки в тестовой среде и проч.
V
Так это каждая организация будет для себя определять в каждом конкретном случае.
A
все верно)
M
Если я никаких доступов к системе не даю для меня разработчики по - внешний нарушитель.
Хотя, по сути, внешний или внутренний ни на что не влияет.
Хотя, по сути, внешний или внутренний ни на что не влияет.
M
Например, компаниям, пострадавшим от истории с Solar Winds, абсолютно не важно как назвать нарушителя, которому утекла информация ))