Comments 24
UFO just landed and posted this here
Да, короче не скажут, даже те, кто любят сест. тлнта!
Хоть в этом ничего нового и нет, но вашу выжимку надо распечатать, повесить и повторять как мантру.
А также показывать всем, кто действительно задумывается о всесторонней безопасности.
Хоть в этом ничего нового и нет, но вашу выжимку надо распечатать, повесить и повторять как мантру.
А также показывать всем, кто действительно задумывается о всесторонней безопасности.
0
Прошу прощения, ответил ниже. Пока не приспособился.
0
Имхо, нет. Главное — это правильно и точно преобразовать «отрицательные» неформальные требования заказчика в «положительные» требования спецификации. Ну и объяснить/доказать ему, почему спецификация описывает именно то, что он хочет.
0
Краткость — сестра таланта :-)
Слова, явно, криптографа.
Я так коротко не могу. Поэтому я бы перефразировал:
Безопасность ПО – это не только шифрование данных и каналов связи, не только предотвращение несанкционированного доступа к данным путём разделения доступа, но и:
— тщательный анализ потребности в защищенности;
— выбор адекватных средств защиты;
— тщательное планирование архитектуры;
— безопасное кодирование;
— тщательное тестирование.
Наверно, подумав, можно еще написать многое.
Слова, явно, криптографа.
Я так коротко не могу. Поэтому я бы перефразировал:
Безопасность ПО – это не только шифрование данных и каналов связи, не только предотвращение несанкционированного доступа к данным путём разделения доступа, но и:
— тщательный анализ потребности в защищенности;
— выбор адекватных средств защиты;
— тщательное планирование архитектуры;
— безопасное кодирование;
— тщательное тестирование.
Наверно, подумав, можно еще написать многое.
0
Безопасность ПО, ИМХО, зависит еще и от грамотного использования инструментов этой самой безопасности :) Админ с головой + ПО «с головой» = безопасность.
0
Дочитал до конца. То, что много написано — это неплохо. Надо учиться читать и вдумываться, а не «скользить по поверхности».
Все правильно пишете. Но в противовес ко всему сказанному — нельзя доходить до фанатизма, т.к. порой получается обратный эффект)
Все правильно пишете. Но в противовес ко всему сказанному — нельзя доходить до фанатизма, т.к. порой получается обратный эффект)
+1
Ну так один из основных принципов построения безопасности, это принцип: что защиты должна быть адекватна возможному ущербу.
Ибо если построить сложную систему защиты на данных которые стоят копейки, то вы только потеряете деньги и усложните себе работу, а если пренебречь защитой на данных которые стоят миллионы то в один день можно остаться без них.
К коддингу это относиться лишь косвенно, но просто я в совей специфике организационной защиты.
Ибо если построить сложную систему защиты на данных которые стоят копейки, то вы только потеряете деньги и усложните себе работу, а если пренебречь защитой на данных которые стоят миллионы то в один день можно остаться без них.
К коддингу это относиться лишь косвенно, но просто я в совей специфике организационной защиты.
0
Безопасная программа это не столько программа которая делает всё то что должна, сколько программа которая НЕ делает то что не должна. © моё
Остальное лирика.
Остальное лирика.
+2
Да, вот с такой выжимкой я полностью согласен, это и есть главная мысль.
0
Речь, на сколько я понимаю, идет о защите информации(ЗИ), а это всегда комплекс мер, как технических (программных), так и организационных.
То, о чем написали Вы — это есть не декларированные возможности (НДВ). Если необходимо, допустим при сертификации ПО, программы проходят испытания по уровню НДВ.
Уровней НДВ несколько, в зависимости от уровня конфиденциальности обрабатываемой информации. Под секреты — не ниже 2 (могу ошибаться). Тут есть требования к 2 уровню НДВ.
Одной проверки на НДВ не достаточно!
То, о чем написали Вы — это есть не декларированные возможности (НДВ). Если необходимо, допустим при сертификации ПО, программы проходят испытания по уровню НДВ.
Уровней НДВ несколько, в зависимости от уровня конфиденциальности обрабатываемой информации. Под секреты — не ниже 2 (могу ошибаться). Тут есть требования к 2 уровню НДВ.
Одной проверки на НДВ не достаточно!
0
> При этом они очень и очень интеллектуальные люди, даже по меркам программистов
Как вы ловко полхабра одной фразой попустили :)
Как вы ловко полхабра одной фразой попустили :)
-1
Ну я и сам немного программист, как минимум, у меня есть в трудовой книжке соответствующая запись. Так что, здесь все вполне искренне. :-)
А вообще в этих примерах я хотел всеми способами показать, что такой подход, который я считаю, скажем так, не совсем удобным при анализе, разделяют люди с интеллектом и образованием очень выше среднего.
А вообще в этих примерах я хотел всеми способами показать, что такой подход, который я считаю, скажем так, не совсем удобным при анализе, разделяют люди с интеллектом и образованием очень выше среднего.
0
Один отставной товарищ в УЦ «Информзащита» очень любит повторять: «Безопасность, это процесс!» (по аналогии с высказыванием профессора мед.института: «Клизма — это процесс, а то о чем вы толкуете — резиновая груша»).
А Шнайдер вообще утверждает, что безопасность — это фигня =)
А Шнайдер вообще утверждает, что безопасность — это фигня =)
0
Букв много. Еле осилил.
+1
Статья ни о чем. Имеет громкое название «Информационная безопасность», а речь идет то ли о безопасности ПО, то ли о ПО для безопасности.
0
Что такое безопасность? Безопасность — это состояние.
Подставьте «здоровье» вместо «безопасности» и все сразу встанет на свои места!
Здоровье — не процесс, процесс — это то, чем занимается здоровая система.
Здоровье — не область деятельности, область деятельности (и N+1 процессов) — это охрана и поддержание здоровья.
Здоровье — не фигня (no comment).
Здоровье — это даже не свойство, а, разве что, «метасвойство», как обобщающее, так и определяющее все другие свойства и поведение системы по отношению к среде.
Из цитаты Viega&McGraw я бы оставил только последнее предложение, как наиболее разумное и непротиворечивое, имхо. А то они, приравнивая безопасность к "-ility", уже будто бы готовы были ее к CIA triad приравнять, но одумались.
Подставьте «здоровье» вместо «безопасности» и все сразу встанет на свои места!
Здоровье — не процесс, процесс — это то, чем занимается здоровая система.
Здоровье — не область деятельности, область деятельности (и N+1 процессов) — это охрана и поддержание здоровья.
Здоровье — не фигня (no comment).
Здоровье — это даже не свойство, а, разве что, «метасвойство», как обобщающее, так и определяющее все другие свойства и поведение системы по отношению к среде.
Из цитаты Viega&McGraw я бы оставил только последнее предложение, как наиболее разумное и непротиворечивое, имхо. А то они, приравнивая безопасность к "-ility", уже будто бы готовы были ее к CIA triad приравнять, но одумались.
Security is behavioral property of complete system in particular environment.
+1
Некоторое время назад был на научной школе по данной теме, выступал Хорев (надеюсь, многие знают, кто это), так он говорил, что у нас в нормативной части этой области полный бардак: имеющиеся определения в законах и ГОСТах зачастую противоречат друг другу, стандарты зачастую являются переводами западных стандартов, сделанными (переводы) черт знает как и кто во что горазд.
0
Sign up to leave a comment.
Articles
Change theme settings
Что такое безопасность