AL
Проблема с сертификатом может быть у любой. Скрипт на сайте - у любой (тот же счетчик или форма обратной связи). Утечка ПДн - у любой. Шифровальщики - у любой. И т.д.
Size: a a a
2018 November 28
DD
В технологических сегментах как правило почти нет ни вээба, ни пдн. У большинства они даже не в домене. А вот шифровальщики есть)
DD
И другое безобразие)
AL
Dmitry Darensky
В технологических сегментах как правило почти нет ни вээба, ни пдн. У большинства они даже не в домене. А вот шифровальщики есть)
А причем тут технологические сегменты?
AV
Alexey Lukatsky
Проблема с сертификатом может быть у любой. Скрипт на сайте - у любой (тот же счетчик или форма обратной связи). Утечка ПДн - у любой. Шифровальщики - у любой. И т.д.
Не у всех есть сайты. У нас нет, я из энергетики генерирующей. На сертификаты в нашей технологии не завязано вообще ничего. Шифровальщики могут быть, согласен. Прпвда, за 12 лет ни одного живьем не видел, только читал, хотя это в моей зоне косвенной ответственности, мимо меня не пролетело бы. Пдн... а что это? Шутка.
AV
Alexey Lukatsky
А причем тут технологические сегменты?
А остальные пусть горят синим пламенем.
AG
Сам по себе кейс был завязан на кражу денег и пользовательских ПДн, через сайт. У нас (в энергетике) такого не может случится
AG
Речь об этом, сценарии. А не о наличии веб сервисов, сертификатов и т.п.
AL
Сам по себе кейс был завязан на кражу денег и пользовательских ПДн, через сайт. У нас (в энергетике) такого не может случится
Нет 🙁 Кейс был завязан на подгрузку с внешнего сайта скрипта, через который и был осуществлен несанкционированный доступ к данным. Замените скрипт, крадущий данные и деньги, на скрипт, который используется для анализа поведения пользователей на сайте (скриншоты были именно по этому скрипту). Или любой иной скрипт (например, Google.Analytics или Яндекс.Метрика).
2018 November 29
v
кейс ближе банкирам, много специфики. Был не сложный вопрос по кии, где расклад был совершенно иной. На мой взгляд попасть в идеальный кейс не возможно, и ИМХО было полезно и интересно
v
ближе имею ввиду, что они банально быстрее отвечали и только.
DK
Alexey Lukatsky
Проблема с сертификатом может быть у любой. Скрипт на сайте - у любой (тот же счетчик или форма обратной связи). Утечка ПДн - у любой. Шифровальщики - у любой. И т.д.
Поддержу. Из специфики был разве что GDPR. Фиг бы я знал, что надо делать, если бы нам не пришлось приводить в соответствие ему свои европейские офисы.
Из банковской специфики была разве что необходимость сообшать об инциденте в ФинЦЕРТ.
Из банковской специфики была разве что необходимость сообшать об инциденте в ФинЦЕРТ.
AL
Поддержу. Из специфики был разве что GDPR. Фиг бы я знал, что надо делать, если бы нам не пришлось приводить в соответствие ему свои европейские офисы.
Из банковской специфики была разве что необходимость сообшать об инциденте в ФинЦЕРТ.
Из банковской специфики была разве что необходимость сообшать об инциденте в ФинЦЕРТ.
Если бы был ответ «SOC не отвечает за GDPR compliance, поэтому мы переправим запрос юристам», то он был бы принят также ;-)
DK
Но, кстати, на самом деле в кейсах с ПД на самом деле все, что требовалось от SOC, этот пнуть DPO: "Хьюстон, у нас проблема - иди, разбирайся" :)
DK
Alexey Lukatsky
Если бы был ответ «SOC не отвечает за GDPR compliance, поэтому мы переправим запрос юристам», то он был бы принят также ;-)
Ага :)
AL
В кейсе с сертификатом сайта тоже самое - надо было было в ИТ отправить
AL
Я вначале сказал, что вопросы будут с подвохом
v
Alexey Lukatsky
В кейсе с сертификатом сайта тоже самое - надо было было в ИТ отправить
победили бы лучшие стрелочники тогда)
AL
SOC - это процессы и workflow. Что не соковское - отдаем сразу
DK
Alexey Lukatsky
Я вначале сказал, что вопросы будут с подвохом
Ну... Скажем так, участники не столько отыгрывали роль руководителя SOC, сколько демонстрировали свой кругозор ;)