Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    ИСПДн Корпоративный портал - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

ИСПДн Корпоративный портал

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Alex | 74003 19.07.2017 11:53
> - Такс, поглядим... Подразделение В, отдел Х, перечень сотрудников...

уязвимость логических рассуждений в пьесе проста - для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует.

а вот для работодателя, ищущего критика, указанной информации достаточно, что наглядно продемонстрировано в пьесе :)

т.к. топикстартер принял правильное решение, сворачиваюсь

Автор: oko | 74074 21.07.2017 00:44
to Антон
"Волшебная кнопка" - не самое мудрое решение. Впрочем, принимать его, разумеется, не мне...

to Alex
<для выполнения требований текущего законодательства в области защиты ПДн присвоение не уникальных "подразделение В, отдел Х" субъекту ПДн его не идентифицирует>
Нихрена не понял, но понравилось (с)
Если вы о том, что "подразделение В, отдел Х" - это не уникальные свойства объекта, то не соглашусь. Наименования подразделений и отделов как раз нужны для верной идентификации/распределения функционала сотрудников. Если речь не идет об особо секретных объектах, где первой задачей всегда является "запутать потенциального противника", ага...
Впрочем, суть представленной в пьесе выборки была в другом. Каталогизация и структурирование данных без разграничения к ним доступа - вот корень зла. Товарищам-доносчикам нужна была совокупность данных для успешного совершения... хмм... доноса. И нужный каталог оказался как нельзя кстати. К примеру, если я захочу вычислить всех молодых особ, проживающих в моем городе и страдающих от триппера, мне придется туго. Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка!". Весь вопрос будет заключаться в сложности системы разграничения доступа к такому перечню. Но, ежели он (перечень) есть и доступен многим в режиме 24/7 (пусть и в пределах профессионального круга), то, можно утверждать с большой вероятностью, что с течением времени он будет доступен всем...

ЗЫ Пьеса дерьмо, поскольку рассматривает проблему однобоко (без обид, но так мне кажется, исходя из комментариев). Главное было понять, что куда проще не хранить уязвимые данные в одном месте и в структурированном виде, чем просчитать, взвесить и оценить все возможные вариативные составляющие опасности их утечки в чужие руки. Особенно, когда чужими могут быть руки не только внешних (привет, стойкость периметральной защиты!), но и внутренних нарушителей (что куда вероятнее)...

Автор: Alex | 74214 24.07.2017 17:58
в сторону (с) :)
если не ошибаюсь, как-то давно malotavr развлекался в этой связи ("подразделение В, отдел Х - это не уникальные свойства объекта").

to oko
вы слишком близко к сердцу воспринимаете дискуссию именно об идентификации субъекта ПДн. хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо :)

> Необходимо будет как-то уломать врачей местных лечебниц на раскрытие весьма интимной информации (или пойти путем более эмпирическим, ага). Но, попади под руку структурированный перечень таких лиц, мне будет куда проще и быстрее, вооружившись оными данными, исписать все стены в округе фразами аля "***а проститутка!

весьма вольное сравнение об объёмах идентифицирующих признаков - Пупкин Василий Алибабаевич, отдел ИБ ЗАО Газпромнефтьтранссбытснабгаз и Пупкина Надежда Константиновна, Зажопинск, ул.Маркса д.11 кв.1

Автор: Alex | 74216 24.07.2017 18:00
PS для Пупкина забыл добавить дирекция защиты, а для Пупкиной - число, месяц и год выпуска

Автор: oko | 74221 24.07.2017 22:23
to Alex
<весьма вольное сравнение об объёмах идентифицирующих признаков>
Умному хватит вчера, а дураку и не надо (с) Т.е. весь вопрос не в объемах (они нужны для "лобового" решения задачи), а в месте их приложения. Стечение обстоятельств, нужное время и т.п. совокупность факторов. Не спорю, на том и зиждется вся ЗИ (не допустить нарушителя до нужных условий), но, повторю еще раз свой отчасти риторический вопрос: зачем ему вообще в руки давать часть ключа, когда можно не давать ничего? К тому же оперировать ключом столь беспечно? И еще одна пословица вспомнилась, сугубо применимая к рассматриваемой нами ситуации - "Не стоит класть все яйца в одну корзину"...
А ваши замечания весьма верные. Но для сферической ситуации в вакууме (без обид). Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно. Взвесив все "ЗА" и "Против" как можно более тщательно. А я всего лишь пытаюсь показать, что беготня по графу возможных последствий зачастую не стоит того бонуса, который предполагает внедрение автоматизации при обработке ИОД...

<хотя, полезное, несомненно, есть - популяризация внедренцев от ИБ на лицо>
Вторично нихрена не понял, но опять-таки понравилось :)

Автор: Alex | 74258 25.07.2017 18:02
to oko,
>зачем ему вообще в руки давать часть ключа, когда можно не давать ничего?
это к ТС. или мы уже перешли к рассмотрению задачи без учёта "требований бизнеса"?

>замечания весьма верные. Но для сферической ситуации
это для дискуссии о тт. Пупкиных? согласен :)

>Применительно к корпоративному порталу и +100500 его штатных субъектов доступа (и объектов тоже) решать задачу стоит более... мнэ... элегантно
не могу не согласиться. и делать это надо, как завещал великий Л.. ФЗ152

>Вторично нихрена не понял
.

вторично закругляюсь, если есть желание продолжить дискуссию, лучше завести отдельную тему.

Автор: oko | 74296 26.07.2017 23:01
to Alex
Эта тема ничем не лучше других - задача топикстартера решена (более-менее), а место на форуме различается разве что заголовком. Но... кроме моих риторических вопросов и ваших *вырезано* столь напоминающих мои же обычные замечания в соседних ветках форума */вырезано* на них ответов больше в этой дискуссии ничего необычного не предвидится. Так что, пожалуй, поддержу идею "закругляться" - останемся при своих и разойдемся до следующего раза :)

Страницы: < 1 2

Просмотров темы: 731

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.