Size: a a a

Архитектура ИТ-решений

2021 May 07

D

Danil in Архитектура ИТ-решений
Подскажите какие книги можно почитать на тему инфобеза в малых/средних организациях. Желательно что-то посвежее, чтобы затрагивало тему CI/CD
источник

И

Иван in Архитектура ИТ-решений
Специфику конторы надо знать
Самое простое - требования по защите перс.данных

Если есть гос.тайна - ещё сверху и т.д.
источник

И

Иван in Архитектура ИТ-решений
ЭП и УКЭП - как с ними работать
источник

D

Danil in Архитектура ИТ-решений
вот российская специфика не интересует как раз. Скорее про принципы почитать. Примерно как тут, но с большей конкретикой и примерами бы
https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/wellarchitected-security-pillar.pdf
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Про ИБ я бы процитировал определение понятия Информационная безопасность.
Сильно сократив которое можно сказать, что ИБ - это состояние, когда известные риски скомпенсированы возможными решениями.

Т.е. любое ИБ должно начинаться с описания того, от чего ищем возможности защититься. У амазона это где-то в умолчаниях  имеется в виду. А хотелось бы иметь такой бааальшой чеклист для самопроверки. Что-то типа "Найди риски для своего  решения, и вот тебе библиотека методов защиты. Давай там сам уже выбирай, что тебе надо".
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Почему-то в среднем ИБ так не работает по моему личному опыту
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Казалось бы
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Да вполне понятно почему. Человеческая психология. Лидер который сказал, "чот мне ссыкотно" - перестаёт быть лидером в среде где его страхи непонятны. А "менеджмент" где выделяются задачи по ИБ - это некомпетентная среда.
источник

PD

Phil Delgyado in Архитектура ИТ-решений
О да, ИБ любит защищаться от неизвестных рисков (
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
*sarcasm mode* же
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Поэтому появляется в конторе этакий "парень за безопасность", который надувает щёки и  "типа если чот случилось - драть его".
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
У меня с этим плохо в рабочих обсуждениях)
источник
2021 May 08

AL

Alexander Luchkov in Архитектура ИТ-решений
Это кстати прям знак про некомпетентность руководства. Если оно не в курсе возможных рисков и оценки их последствий, тогда надо держать план Б, как заработать денег без этой компании))
источник

PD

Phil Delgyado in Архитектура ИТ-решений
Не, я не про это. Я про то, что кроме известных векторов атак и понятных рисков иногда от СБ прилетает и "вроде бы вектора атаки в данном сценарии нет, но вот эти данные лучше бы зашифровать, а то мало ли что". И даже понятна их логика, хотя и мешает временами.
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Меня больше волнует, когда все в курсе возможных рисков, но никто не может сколь либо достоверно (по статистике?) посчитать стоимость этих рисков
источник

PD

Phil Delgyado in Архитектура ИТ-решений
Ну и регуляторка часто дает неразумные рекомендации (
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Ну хуже не будет же :DDD
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Зашифруйте подпишите
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Захешируйте
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
В логи не пишите
источник