GG
другой вопрос, что это титанический объем работы, т.к. все это дерьмо активно пытается лезть в интернет
Size: a a a
2019 December 17
P-
основные требования ложатся нормально, есть специфика продукта
Я к тому, что презентация явно была не про то, как делать псидсс в одной отдельно взятой конторе. Иначе, отработав в ящике н-ное количество времени любая современная конференция по иб будет казаться бредом, потому что "у нас это не заработает"
GG
Большинство аудиторов хотят видеть "где ваши доказательства" в рамках работающего регламента
это как?
GG
типа "бля буду все ок" - не верят?
GG
я уж не говорю, что как-то народ выкручивается (правда, зарубежом) с защищенными облаками амазон и пр.
GG
просто если так рассуждать, то пришел аудитор, провел. Все ок. PCI DSS. Потом приходит инженер Петя и все разламывает к херам. До следующего аудита. Потемкинские деревни какие-то
GG
ну, ок. Единственный варик - у нас была утечка, нас поймали за руку и назначили штраф. Но много кого ловят? Как-то я посмотрю всякие эквифаксы тупо штрафы платят и усе
bc
Я к тому, что презентация явно была не про то, как делать псидсс в одной отдельно взятой конторе. Иначе, отработав в ящике н-ное количество времени любая современная конференция по иб будет казаться бредом, потому что "у нас это не заработает"
Не надо просто умничать про Комплаенс, когда им не занимаешься.
bc
просто если так рассуждать, то пришел аудитор, провел. Все ок. PCI DSS. Потом приходит инженер Петя и все разламывает к херам. До следующего аудита. Потемкинские деревни какие-то
Для это есть SoX и HIPPA, где "Вас поломали?- все пиздец, ваш сертификат не валиден, пиздуйте за новым после нового аудита"
S
ну, ок. Единственный варик - у нас была утечка, нас поймали за руку и назначили штраф. Но много кого ловят? Как-то я посмотрю всякие эквифаксы тупо штрафы платят и усе
Так не говорят вроде про то, что делать для галочки
С
Да схему сети потребует, как и список правил фаера
Но есть вариант сделать типовые конфигурации в том же ансибл, а потом тегать сервера под них
В том числе, в тег/конфиг вписываете софт который стоит и вуаля
Но найдутся аудиторы из прошлого которые этого не примут
Но есть вариант сделать типовые конфигурации в том же ансибл, а потом тегать сервера под них
В том числе, в тег/конфиг вписываете софт который стоит и вуаля
Но найдутся аудиторы из прошлого которые этого не примут
вы ведь в курсе, что аудиторов тоже можно выбирать? Выберите из будущего.
P-
Не надо просто умничать про Комплаенс, когда им не занимаешься.
Без контекста вообще не ясно, про что там было
bc
вы ведь в курсе, что аудиторов тоже можно выбирать? Выберите из будущего.
Они люди подневольные. Они же свою отчетность в Counsil сдают
GG
короче, я понял
GG
каунсил - это очередные паразиты
GG
нужна революция )
GG
чертовы бюрократы. Которые вместо генерации дохода, забирают его )
S
Они люди подневольные. Они же свою отчетность в Counsil сдают
В некоторых моментах можно притянуть за уши доказательство)
A
сейчас чатик прикроют, аккуратнее 😂
GG
Anton
сейчас чатик прикроют, аккуратнее 😂
за экстремизм?