Именно. Передавать свои файлы в открытом виде в облака - ну, такое. А если на слой файлового обмена наложить какой-нибудь Cryptomator, то вылезают другие проблемы вроде отсутствия бесплатного клиента на Андроиде.
Извините за, скорее всего, глупый вопрос. Не понимаю механику угона. Вот я прошёл по ссылке или ввёл код из СМС. А как это связано с изменением владения аккаунта?
Это код от самого Телеграмма? В нём разве не пишется, что ввод этого кода приведёт к смене владельца или типа того?
Можно подробнее, пожалуйста? А то не понимаю, где можно "авторизоваться через телеграмм", а где нельзя, и как не попасться на развод.
Боюсь, такая детальная схема защиты не работает. Надо знать то, спросить это... Во-первых, зачем? Если знаешь о подобной схеме - просто клади трубку и добавляй звонящего в чёрный список; даже если звонил настоящий "капитан ФСБ", данная ошибка тебе ничем не грозит. Во-вторых, ну, честно, какие шансы, что запуганный руководством человек учтёт все эти рекомендации =( Эта схема на то и рассчитана, что надо быть лояльным руководству, а не думать.
критическое мышление - это главный инструмент свободно мыслящего человека
Подскажите, пожалуйста, попадались ли Вам книги или курсы по развитию этого самого мышления? Если да, что порекомендовали бы в контексте ненавязчивого обучения тех, кто ещё не слышал про такой инструмент?
Ткните, пожалуйста, носом: чем конкретно различаются TIP и SIEM? Из текста я увидел только, что TIP берёт информацию в том числе из SIEM, а потом ранжирует события ИБ по степени срочности. А что, система SIEM сама этого сделать не может? Остальной описанный в статье функционал характерен и для SIEM. R-Vision вообще иногда называет себя Incident Response Platform. Хотел бы понять терминологию — до какого момента система SIEM, а с какого уже TIP.
Есть. Комплект документации к Средству криптографической защиты информации. Содержит очень много всего, от Формуляра и до Руководства Администратора безопасности. Для пользовательского КриптоПро скачивается с сайта производителя, недалеко от дистрибутива.
Также имеет смысл читать регламенты (со всеми приложениями и отсылками) Удостоверяющих центров, в которых вы покупаете сертификат подписи - они тоже выставляют требования к пользователю.
Зависит от хотения органа, который будет проводить проверку. В разное время трактовалось по-разному. Формально по email установить человека нельзя, т.к. email может принадлежать нескольким пользователям, значит, это не ПДн. Но среди них может быть один email, который выдан "по паспорту", и значит это ПДн.
Это из той же области, что и вопрос: "является ли ФИО без уточняющего кортежа ПДн? - как бы нет, но может быть и да".
Ну, а дальше вопрос детский - если обрабатывается ПДн, то есть и оператор ПДн.
Теперь понятнее, спасибо. Сбила с толку фраза " Но если мы говорим о программных СКЗИ, например, о VPN-клиентах, то получается, что опечатывать нужно уже ноутбук или системный блок". Не укладывалась она по моему мнению в понятие "сервисной модели".
Сама сервисная модель подразумевает использование КС3 в силу доступа к оборудованию третьего лица, что, как мне кажется, не всегда есть самое желанное решение. Существуют ли соображения, которые позволят не использовать КС3 при сервисной модели?
Также глубоко озадачили слова про "дополнительный регламент между заказчиком и исполнителем". 152-ФАПСИ все читали, а вот дополнительный регламент - это как раз самое интересное. Можете в одной из следующих статей привести структуру?
Так на что же обратить внимание при сервисной модели? Что это вообще такое - "предоставление СКЗИ по сервисной модели"? Как поделить ответственность в моём конкретном случае? Как проверить, что исполнитель исполняет свою часть? И самое главное - как доказать регулятору, что исполнителю можно доверять?
При размещении данных в облаке провайдера нужно закрывать угрозу "УБИ.021: Угроза злоупотребления доверием потребителей облачных услуг". Что провайдер может предложить для закрытия этой угрозы?
То есть теперь для того, чтобы увидеть, что товар пробили по другой стоимости, нежели указано в ценнике, мне нужно будет, держа корзину в руках, зайти с телефона в почтовый клиент, дождаться прибытия письма и открыть письмо в браузере? Может, тогда сразу и ценники "оптимизировать"?
Основой стала книга О.В. Леонтьева "Приёмы психологического воздействия на людей", так как в ней были относительно хорошо описаны методы
Простите, ничего из статьи не понял. Изначально идея была искать методы воздействия в тексте. Причём, я догадываюсь, что любой человек, понятия не имеющий о психологии, применяет половину методов инстинктивно. То есть сам факт наличия в тексте таких методов ещё не означает, что они применены сознательно. Заканчивается статья тем, что программа проверила склонность (но не склонение) к суициду, о чём по тексту статьи ни слова. Итого под указанные хабы статья вообще никаким боком. Суть статьи: "автоматизировал методичку, вроде заинтересовались, потом не оценили". Хотелось бы подробностей - алгоритмы, примеры текстов, доказательность-фальсифицируемость методик... вот это всё.
Именно. Передавать свои файлы в открытом виде в облака - ну, такое. А если на слой файлового обмена наложить какой-нибудь Cryptomator, то вылезают другие проблемы вроде отсутствия бесплатного клиента на Андроиде.
Извините за, скорее всего, глупый вопрос. Не понимаю механику угона. Вот я прошёл по ссылке или ввёл код из СМС. А как это связано с изменением владения аккаунта?
Это код от самого Телеграмма? В нём разве не пишется, что ввод этого кода приведёт к смене владельца или типа того?
Можно подробнее, пожалуйста? А то не понимаю, где можно "авторизоваться через телеграмм", а где нельзя, и как не попасться на развод.
А вот это хорошая схема защиты в два правила. Спасибо.
Боюсь, такая детальная схема защиты не работает. Надо знать то, спросить это...
Во-первых, зачем? Если знаешь о подобной схеме - просто клади трубку и добавляй звонящего в чёрный список; даже если звонил настоящий "капитан ФСБ", данная ошибка тебе ничем не грозит.
Во-вторых, ну, честно, какие шансы, что запуганный руководством человек учтёт все эти рекомендации =( Эта схема на то и рассчитана, что надо быть лояльным руководству, а не думать.
тут
https://habr.com/ru/articles/357162/
Подскажите, пожалуйста, попадались ли Вам книги или курсы по развитию этого самого мышления? Если да, что порекомендовали бы в контексте ненавязчивого обучения тех, кто ещё не слышал про такой инструмент?
Есть. Комплект документации к Средству криптографической защиты информации. Содержит очень много всего, от Формуляра и до Руководства Администратора безопасности. Для пользовательского КриптоПро скачивается с сайта производителя, недалеко от дистрибутива.
Также имеет смысл читать регламенты (со всеми приложениями и отсылками) Удостоверяющих центров, в которых вы покупаете сертификат подписи - они тоже выставляют требования к пользователю.
Зависит от хотения органа, который будет проводить проверку. В разное время трактовалось по-разному. Формально по email установить человека нельзя, т.к. email может принадлежать нескольким пользователям, значит, это не ПДн. Но среди них может быть один email, который выдан "по паспорту", и значит это ПДн.
Это из той же области, что и вопрос: "является ли ФИО без уточняющего кортежа ПДн? - как бы нет, но может быть и да".
Ну, а дальше вопрос детский - если обрабатывается ПДн, то есть и оператор ПДн.
Я читал, что это называется "инстинктом этологической изоляции". Или я смешиваю инстинкт и искажение?
Но ведь это правда? С возрастом количество вкусовых рецепторов снижается.
Все статьи о переносе данных в облако надо начинать с того, как закрывается УБИ.021. Всё остальное - профанация.
Теперь понятнее, спасибо. Сбила с толку фраза " Но если мы говорим о программных СКЗИ, например, о VPN-клиентах, то получается, что опечатывать нужно уже ноутбук или системный блок". Не укладывалась она по моему мнению в понятие "сервисной модели".
Сама сервисная модель подразумевает использование КС3 в силу доступа к оборудованию третьего лица, что, как мне кажется, не всегда есть самое желанное решение. Существуют ли соображения, которые позволят не использовать КС3 при сервисной модели?
Также глубоко озадачили слова про "дополнительный регламент между заказчиком и исполнителем". 152-ФАПСИ все читали, а вот дополнительный регламент - это как раз самое интересное. Можете в одной из следующих статей привести структуру?
Так на что же обратить внимание при сервисной модели? Что это вообще такое - "предоставление СКЗИ по сервисной модели"? Как поделить ответственность в моём конкретном случае? Как проверить, что исполнитель исполняет свою часть? И самое главное - как доказать регулятору, что исполнителю можно доверять?
При размещении данных в облаке провайдера нужно закрывать угрозу "УБИ.021: Угроза злоупотребления доверием потребителей облачных услуг". Что провайдер может предложить для закрытия этой угрозы?
Где в законодательстве дано определение "средств защиты информации"? Помнит кто-нибудь? Чё-т я запутался напрочь. В РД ГТК?
Там поручение забанить по иностранным AS, а не по доменному имени. Например, отдельно прилетало поручение не банить крымские AS.
То есть теперь для того, чтобы увидеть, что товар пробили по другой стоимости, нежели указано в ценнике, мне нужно будет, держа корзину в руках, зайти с телефона в почтовый клиент, дождаться прибытия письма и открыть письмо в браузере? Может, тогда сразу и ценники "оптимизировать"?
а что, так можно было?
Простите, ничего из статьи не понял. Изначально идея была искать методы воздействия в тексте. Причём, я догадываюсь, что любой человек, понятия не имеющий о психологии, применяет половину методов инстинктивно. То есть сам факт наличия в тексте таких методов ещё не означает, что они применены сознательно. Заканчивается статья тем, что программа проверила склонность (но не склонение) к суициду, о чём по тексту статьи ни слова. Итого под указанные хабы статья вообще никаким боком. Суть статьи: "автоматизировал методичку, вроде заинтересовались, потом не оценили". Хотелось бы подробностей - алгоритмы, примеры текстов, доказательность-фальсифицируемость методик... вот это всё.
А ФСТЭКовский ScanOVAL к теме относится? Извините за, возможно, глупый вопрос - просто как-то руки не дошли посмотреть.