Привет! Спасибо за мнение! Хорошо сказано, "доползет") Когда в свое время ожидался выпуск ФЗ-152 в далеком 2006, многие сайты трещали от тикающего счетчика, отсчитывающего дни до ввода в действие)
Привет! Спасибо за отзыв! Да, соглашусь, верно подмечено что команды ИБ и СБ часто отдалены друг от друга, хотя задачи обеих команд могут быть интересны и полезны друг другу. В идеале, мне кажется, сведение результатов оценок к финальной точке заключения, но тут надо понимать, что объемы проверок у команд разные. Возможно в будущем буду инструменты, совмещающие функционал этих служб.
Да, железо может иметь собственное ПО, но продают его как правило не разработчики и тут есть свои сложности. Закупаемое железо с ПО проверяется другиси командами. Потому в общем потоке это не смотрим. Такое железо при закупках уже понятно какое именно нужно и необхоидимы проверки пройдены. Спасибо за вопрос) мы пробовали проверять эту категории, но много чего не подходит под наш вид проверки контрагента.
Привет! Спасибо! На практике достаточно много партнеров, у которых нет как базовых процессов внутри компании, так и по части SDLC, например нет сканов регулярных на известные уязвимости (CWE и OWASP) и даже ,базового процесса поиска ошибок и оперативного устранения. Но так же отмечу, что приходят компании с высоким уровнем организации процессов ИБ, о чем они не стесняясь пишут подробно. Это супер!
Бываю моменты, когда контрагент так и пишет, что сейчас этого нет, но до старта проекты мы обязуемся реализовать это и это. Проверка реальности может быть проведена, но это будет занимать значительные ресурсы. Опять же другие подписанные документы определяют эту возможность, что да, мы можем запросить дополнительные материалы.
Привет! Хороший вопрос) Ситуации разные. Если это закупка идет, т.е. есть пул предполагаемых поставщиков, то со своей стороны после анализа даем рекомендации с кем можно работать, а с кем не рекомендуется. Если отсутствует реализация базовых доменов ИБ, то вероятность что данный контрагент будет с нами работать довольно низкая. Еще есть зависимости от формата нашего взаимодействия, т.е. когда есть или нет интеграции, доступы и прочее. По итогу появляется результат анализа и ответ)
Интересная статья! в целом считаю результат отличным, но только для Ca акб. К сожалению у многих автовладельцев, как и у меня, нет столько времени и порой лучше что можно придумать это дозаряд и все. Интересно сравнить подход на AGM и других типах акб.
Статья понравилась. Все указанные пункты и с описанием это все так как я и думал. Был у меня руководитель в формате "Какой статус и какой срок.." дальше этого не двигалось.
Отличная статья, прочитал! Многие моменты через которые я сам прошел, но главная суть это как раз что у каждого свой путь и не надо останавливаться. Вобщем мне зашло, Дима спасибо за труд и понятный язык изложения! Считаю что статья будет полезна многим начинающим и опытным специалистам.
Прочитал. Формат изложения мне зашел! Думаю, при более "техническом" повествовании до конца дочитать было бы сложно. В качестве вводной информации по теме считаю более чем достаточно. Спасибо!
Спасибо! Будем дальше стараться!
Привет!
Спасибо за мнение! Хорошо сказано, "доползет") Когда в свое время ожидался выпуск ФЗ-152 в далеком 2006, многие сайты трещали от тикающего счетчика, отсчитывающего дни до ввода в действие)
Привет! Спасибо за отзыв!
Да, соглашусь, верно подмечено что команды ИБ и СБ часто отдалены друг от друга, хотя задачи обеих команд могут быть интересны и полезны друг другу. В идеале, мне кажется, сведение результатов оценок к финальной точке заключения, но тут надо понимать, что объемы проверок у команд разные. Возможно в будущем буду инструменты, совмещающие функционал этих служб.
Привет! Рад что понравилась статья!
Привет!
Да, железо может иметь собственное ПО, но продают его как правило не разработчики и тут есть свои сложности. Закупаемое железо с ПО проверяется другиси командами. Потому в общем потоке это не смотрим. Такое железо при закупках уже понятно какое именно нужно и необхоидимы проверки пройдены. Спасибо за вопрос) мы пробовали проверять эту категории, но много чего не подходит под наш вид проверки контрагента.
Привет! Спасибо!
Привет!
Спасибо!
На практике достаточно много партнеров, у которых нет как базовых процессов внутри компании, так и по части SDLC, например нет сканов регулярных на известные уязвимости (CWE и OWASP) и даже ,базового процесса поиска ошибок и оперативного устранения.
Но так же отмечу, что приходят компании с высоким уровнем организации процессов ИБ, о чем они не стесняясь пишут подробно. Это супер!
Бываю моменты, когда контрагент так и пишет, что сейчас этого нет, но до старта проекты мы обязуемся реализовать это и это.
Проверка реальности может быть проведена, но это будет занимать значительные ресурсы. Опять же другие подписанные документы определяют эту возможность, что да, мы можем запросить дополнительные материалы.
Привет!
Хороший вопрос)
Ситуации разные. Если это закупка идет, т.е. есть пул предполагаемых поставщиков, то со своей стороны после анализа даем рекомендации с кем можно работать, а с кем не рекомендуется. Если отсутствует реализация базовых доменов ИБ, то вероятность что данный контрагент будет с нами работать довольно низкая. Еще есть зависимости от формата нашего взаимодействия, т.е. когда есть или нет интеграции, доступы и прочее. По итогу появляется результат анализа и ответ)
Спасибо за добрые слова! Будем продолжать!
Привет Денис! Это обязательно пофиксят, улучшат процессы! Спасибо что покупаете у нас)
Сара спасибо!
Такие элементы проверки присутствуют в определенных случаях.
Спасибо! В статье я отразил как мы двигались, с чем столкнулись. Надеюсь наш опыт был полезен вам!
Спасибо за мнение! Нет, не из "зеленой", и никогда там не был)
да, все верно. Поправим. Спасибо что читаете!
Интересная статья! в целом считаю результат отличным, но только для Ca акб. К сожалению у многих автовладельцев, как и у меня, нет столько времени и порой лучше что можно придумать это дозаряд и все. Интересно сравнить подход на AGM и других типах акб.
Статья понравилась. Все указанные пункты и с описанием это все так как я и думал. Был у меня руководитель в формате "Какой статус и какой срок.." дальше этого не двигалось.
Спасибо за статью! Очень зашло
Отличная статья, прочитал! Многие моменты через которые я сам прошел, но главная суть это как раз что у каждого свой путь и не надо останавливаться. Вобщем мне зашло, Дима спасибо за труд и понятный язык изложения!
Считаю что статья будет полезна многим начинающим и опытным специалистам.
Прочитал. Формат изложения мне зашел! Думаю, при более "техническом" повествовании до конца дочитать было бы сложно. В качестве вводной информации по теме считаю более чем достаточно. Спасибо!