и если они накосячили, то это чисто их проблема

Это если ты сможешь доказать что лом произошел в результате халатности банка. Иначе - стихийное бедствие.

Это если ты сможешь доказать что лом произошел в результате халатности банка. Иначе - стихийное бедствие.

Как раз ушёл разбираться в отвественности банка за такие инциденты

ах, хакеры теперь стихийное бедствие...

ах, хакеры теперь стихийное бедствие...

Формулировка наверняка другая, но идея та же - если у банка вынесли сейф, при этом все стандарты по защите (тип сейфа, охранники, сигнализация) были соблюдены, начальника охраны не уволят.

В таком случае нужно изменить стандарты защиты? Или так это не работает?

изогнуться и под новые стандарты защиты)

Ну руковод. документы цб рф носят чисто рекомендательный характер на сколько мне известно

А стандарты можно выполнить на отмазку, не?

угу. рекомендации только. остальное всякими ФЗ и прочими оф.бумагами только определяется

стандарты на отмазку?

Ну формально приняли, но на деле нет.

Если на деле и на бымагах расходится, то при ЧП это и вскрывается.

так это повсеместно. есть официальные законы, есть стандарты. про них пишут обычно: "руководствуйтесь такими то стандартами", т.е. обязательного характера ноль

на деле многие банки, тупо видят, к примеру, строки: "нужна сетевая защита", покупают куча фаеров, втыкают и не особо настраивают(=не настраивают), но по бумагам они закрыли ж всё)

мне так про тройные фаерволы один "коллега" рассказывал

Кстати по поводу настроек. У меня тут курсач по оценки уровня безопасности облачных решений. Пару дней назад спросил у препода, как же оценивать. Он сказал, что наод узнать у поставщика услуг, какие он использует средства ИБ. Логичен был вопрос про настройки, но он сказал, что это не важно. Так и живем ??

а зачем тебе знать про настройки в курсац

*че

у тебя же курсач не про настройку, а про оценку

наверняка же есть какие то критерии оценки

тот же pci dss

оценку можешь произвести по заявленному. многие на сайте пишут насколько они круты и защищены и какие технологии используют. для курсача, думаю, достаточно будет

наверняка же есть какие то критерии оценки

Есть критерии, есть еще один несложный способ сравнения, сейчас автоматизирую процесс оценки, что бы на выходи был красивый и аккуратный лист excel'я. Просто получается, что мне нужно поверить поставщику, что он использует ту или иную софтину. А потом еще поверить, что он ее умеет использовать правильно. В итоге можно ошибочно посчитать кого-то самым безопасным.

оценку можешь произвести по заявленному. многие на сайте пишут насколько они круты и защищены и какие технологии используют. для курсача, думаю, достаточно будет

Да, в интернете полно инфы, тут без проблем.

да, поверить

ты же не аудитор%)

Мне даже сложно оправдать выбор именно облачных технологий (во введении). Вроде бы затраты для малого/среднего бизнеса значительно ниже... Но вот когда у них за день до сдачи отчетности все данные пропадут, что они буду делать?

Дублировать всё и вся

Ок, засчитано

Видео было Петей выше скидано

Там очень хорошо описана эта ситуация) Но там вроде ничего про облака не сказано.

Что-то не нашел

Семаев, например. Не прям по ИБ, но по процам, LPIC и тд http://www.youtube.com/watch?v=PN1zt-b2gng

Благодарю

Действительно, про рейдерские захваты я вообще не подумал

Большая четвёрка аудиторов сканирует нмапом за 800 долларов в час Кажется даже говорил уже И да, вполне реально, что на атаку списывается недостача денег в бюджете Как только ни изголяются перед отзывом лицензии

Результаты любого аудита PCI DSS, ISO27001 конечно интересны, но всегда по договорённости с аудитором можно подогнать, чтобы было не так страшно

Три файрвола не видел, но два антиддоса не работающих оба в цепочке друг за другом видел

Сам бывший банковский, поэтому всё по чесноку

В банках в целом у ИБ может быть большой бюджет, но обычно очень маленькие яйца, чтобы решать серьёзные проблемы в безопасности Всё-таки бизнес сильно больше решает

про бюджет да. миллионы на "лишь бы что-то купить"

В банках в целом у ИБ может быть большой бюджет, но обычно очень маленькие яйца, чтобы решать серьёзные проблемы в безопасности Всё-таки бизнес сильно больше решает

Выкидывали дискеты в мусорку с просроченной эцп

Вроде в 2008-2009 это было, тогда халявные дискетки доставал так :)

В то время не шарил в их ценность

просто ключи на дискетах - уже гвоздь в жопу забить тому кто это придумал

В сельсовете тоже так было

Рутокен в usb, а подпись на дискете

я часто сталкиваюсь, что люди вообще не понимают значимость ключей или ЭП

Это был 2011

а вот бумажную подпись поставить могут зажопить)

А кто у меня соседом оказался?))))))

В где?

госсподи ктм *_*

хорош

Кто на мотоцикле?

Если чел в этом чате, то пусть пишет в личку)

Но мотоцикл у моего подъезда :)

Результаты любого аудита PCI DSS, ISO27001 конечно интересны, но всегда по договорённости с аудитором можно подогнать, чтобы было не так страшно

Критические уязвимости не подгоняют, чревато для аудитора, а так да по pci dss в объекте аудита со стороны биза можно вводить дополнительные меры защитки, если учесть риски уязвимости и бла бла, все дела)

https://www.bellingcat.com/news/2016/04/30/russia-telegram-hack/

кстати, в России вроде как у аудиторов нет страховки. То есть если взломали после проверки на PCIDSS то аудитор деньги возмещает. В европе если не ошибаюсь все это страхует

можно заключить договоренности ж

а-ля nda

бумага бесполезная, но попу страхует)

ну нда это просто не разглашение же.

нда как пример. бумагу ж можно заключить на абсолютно разные условия, лишь бы стороны были согласны

Да ладно, кто возмещает? Сейчас вроде только законопроект об ответственности аудиторов проталкивают. Недавно только было дело какое-то, когда поломанный банк предъявил что-то аудитору

Страховка на уязвимости, лол

Яб всем потом предъявлял за хертблид

ну в рф как раз не возмещают, я говорю про то, что знаю что в Казахстане у нас сейчас. Российские компании деменгуют рынок сертификации псиаидсс и тд. Выгнали европейские. Европейцы как раз выдают страховку на скоуп проверенных ресурсов

http://www.interfax.ru/business/483534 http://www.audit-it.ru/news/audit/855283.html типа этого

ну там прописаны про зеродеи я думаю )

http://www.interfax.ru/business/483534 http://www.audit-it.ru/news/audit/855283.html типа этого

Ну аудит отчетности и прочее бухгалтерское

эт чутка не наше

У них точные науки, у нас абстрактные представления

это я видимо левак скопипастил в общем ЦБ с точки зрения ИБ недавно двигал какую-то тему на предмет ответственности аудиторов

несколько банков просто проверяли, в скопе pcidss критические баги находили, банк ничего не может аудиторам предьявить )

не могу оперативно найти

Поживем, увидим короч

Во чё

https://www.instagram.com/p/BEy7x8gid9N/ #zeronights

хноя? )

Наверн

Тимур наколол или репостнул?

Форсят как наколол

ааа

https://www.google.kz/search?q=%D1%82%D0%B0%D1%82%D1%83+%D1%85%D0%BD%D0%BE%D0%B9+%D1%85%D0%B0%D0%BA%D0%B5%D1%80&espv=2&biw=1436&bih=805&source=lnms&tbm=isch&sa=X&ved=0ahUKEwj3n5bwjbnMAhWIE5oKHVsRDYMQ_AUIBigB#tbm=isch&q=%D1%82%D0%B0%D1%82%D1%83+%D0%BC%D0%B0%D1%82%D1%80%D0%B5%D1%88%D0%BA%D0%B0

может он уже к медведу собрался ?

Чёт матрешки понеслись)

Всем добра)

Тишина, не порядок!