Size: a a a

Архитектура ИТ-решений

2021 May 08

IB

Igor Bespalchuk in Архитектура ИТ-решений
> У нас же главная опасность исходит от компетентных органов, а не от злоумышленников. Мы же их больше всего боимся.

Диссонанс полностью пропадает, если рассматривать темы информационной и регуляторной безопасности как две совершенно разные темы с разными стейкхолдерами, concern's, угрозами, и техниками противодействия. Главное - не путать. Угроза по одной линии - атака на проникновение или DDoS и этим должны заниматься свои специалисты со своими инструментами, в основном - инженерно-технические знания нужны. Угроза по второй линии - проверки, штрафы или непрохождение необходимой аттестации/сертификации. Этим должны заниматься другие специалисты со своими инструментами, из которых инженерно-техническая часть - обычно малая долька, а важнее документы, закупка православных лицензий и оборудования, юридическая защита, и, last but not least, политическая защита бизнеса с помощью "правильных контактов". Архитектору решения, как обычно - балансировать все интересы и всех специалистов, включая эти два разных аспекта - ИБ и регуляторку. Пересечение как всегда, есть, но really будет меньше шизофрении, если смотреть на это как на разное с мелкими пересечениями, чем как на одно общее.
источник

VI

Vladimir Ivanov in Архитектура ИТ-решений
источник

IB

Igor Bespalchuk in Архитектура ИТ-решений
Вот это типичные вопросы человека с инженерной позиции к регуляторке, а там нужен совсем другой mindset: какой проверяющий и при каких условиях полезет в бекапы и найдет это нарушение? И что будет за это компании - насколько большой штраф или репутационная потеря?
Почему и говорю, что регуляторку надо отделять хорошенько - в документах, в голове, а если сложно в одной голове - то по людям.
источник

F

Fagor in Архитектура ИТ-решений
Без доступа на "чтение" не нарушает. GDPR можно почитать, его не пальцем в небо писали.

А вот как решить вопрос с чтением и удалением, ну скриптец так себе, но решение точно можно придумать, сразу возниает подход с объектом во времени.

Я по сотрудникам что то похожее описывал, состояние во времени, ничего сложно, чутка подумать, посоветоваться и нормально. Правда в итоге убили проект, на коленке дешевле вести все. Чем долгосрочные токены доступов во времени использовать.
источник

VI

Vladimir Ivanov in Архитектура ИТ-решений
Хорошее замечание
источник

VN

V N in Архитектура ИТ-решений
Так кто мешает работать на ФСБ, например :)
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Я министерство обороны предпочёл бы) Военные мне несколько исторически ближе спецслужб.
источник

SB

Sergey Baranov in Архитектура ИТ-решений
Ну а если не хватило? Дело ж не в том, сколько заложили в процентах или минутах, а сколько требуется на реализацию.
источник

А

Александр in Архитектура ИТ-решений
так это без дедлайна, сколько займет, столько и будет
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Да. Имеет смысл как по регуляторе, так по ряду аспектов ИБ покупать внешнюю экспертизу.
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
Это же просто решается: вся private data шифруется ключами шифрования, ключ хранится в одном месте, а по запросу на удаление данных по GDPR ключ удаляется. Сами шифрованные данные превращаются в тыкву
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
Есть какое-то название у этого подхода, но я забыл
источник

p

pragus in Архитектура ИТ-решений
🖖
источник

VI

Vladimir Ivanov in Архитектура ИТ-решений
Ништяк
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
Нашел, как это называется
https://en.wikipedia.org/wiki/Crypto-shredding
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
В эвент-сорсинге популярно, но и для бэкапов сгодится 🙂
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Нет, ключ «теряется»

Точнее, как вариант
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
Ну идея в том, что это удовлетворяет требованиям GDPR о том, что данные должны быть “стерты”. Так-то любой ключ шифрования можно сбрутить, но на практике это невозможно начиная с определенного размера ключа
источник

IK

Ilya Kaznacheev🥤 in Архитектура ИТ-решений
GDPR же не говорит, как это должно быть сделано. Он говорит про результат, а он выполняется.
И какая цена ошибки? Даже если злоумышленник сбрутит ключ, получит доступ к данным, об этом узнают - компания заплатит штраф, который перекроется выгода от экономии на сложной системе бэкапов
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Как сказал @IgorBespalchuk , на практике важно заключение в результате проверки
источник