Интересно, как данный факт способствует защите персональных данных? Скорее на оборот…
но это вопрос не к автору.
Дальше после взаимодействия с вендорами Заказчиком было принято финальное решение в пользу ViPNet. Оставим финальный выбор за скобками данной статьи
Жаль самое интересное.
Странно, но графики нагрузки по ЦПУ (Рис. 3 и Рис. 5) на HW50 и HW1000 не бьются, хотя по идеи должны. И еще, что HW50 делают с 18:00 до 02:00 и особенно в 02:00 большой всплеск.
Есть мнение что в кабинетах, с точки зрения ИБ, было бы более безопасно гасить канал на ночь.
Добрый день.
Есть ряд вопросов:
1. Сколько простоит здание если система управления и диагностики работать не будет вообще.
2. Какого вида управленческие решения бывают? Например, где-то загорелся красный индикатор, что будет дальше?
Судя по статье основная проблема в порче данных обрабатываемых в микросхемах.
Тут возникает вопрос, насколько сильно данный эффект будет отражаться на хранении данных в SSD и будет ли хранение данных в HDD более надежным (применительно к данному эффекту).
концентрация урансодержащих ионов составляет всего 3 мг на кубометр морской воды.
Факт 2.
акриловую пряжу, предварительно вымоченную в полимере, опускали в морскую воду с имитацией слабого течения. За один месяц удалось собрать 5 грамм закись-окись U308.
Вопрос
Cколько кубокиломентров воды «ученые» прогнали с помощью «слабого» течения сквозь пряжу??? Можно но ли считать этот гигантский поток слабым течением?
Подскажите в чем практический смысл данной библиотеки?
Если требуется российская криптография, то нужны сертифицированные СКЗИ. Если нужно просто шифрование (любое), то пользуются AES и Co под который миллиард библиотек и примеров.
При написании статьи, как всегда, пришлось сокращать объем. Но имеем то, что имеем.
Объем лучше не жать, лучше бить статьи по частям, на мой взгляд… то есть в моем аспекте :)
Если кто-то отлично справляется со своим делом и при этом ему надо обязательно считать, что земля плоская, пусть будет так, но не для всех, а только в его аспекте.
С одной стороны, вроде бы звучит здорово, но если сделать шаг дальше… Модель данных, обуславливает модели обработки данных: алгоритмы, потоки данных и т.д.
И тут возникает проблема (или вопрос):
Возьмем двух людей:
1-й — знает что форма Земли напоминает шар.
2-й — сторонник плоской Земли.
У первого есть алгоритм — построить путь кругосветного путешествия. Для второго подобный алгоритм не имеет смысла.
Получается что разбивка данных по аспектам, приводит и к последующей разбивки алгоритмов обработки?
То есть получается что на базе одной информационной системы мы получаем, n систем (где n — комбинаторное множество всех возможных аспектов данных)?
Если мое предположение верно то, как поддерживать все это многообразие?
Тема интересная, но подача материла сложная, а для читателя который сталкивается с темой впервые то и вовсе трудноусвояемая.
Очень много теоретических понятий, и мало практических примеров раскрывающих их «на пальцах». Желательно, после каждого блока понятий и абстракций приводить пример.
Вопрос по существу: «Кто формирует понятийный слой?»
Большинство людей с трудом формулируют свои мысли устно, не говоря уже о письменной речи. Тут же «модельер», то есть тот, кто формирует модель :) должен залезть в голову каждому конечному пользователю и выявить все нюансы. Если это делать разово — то это получится как обычная БД, если понятийный слой менять регулярно, то возникает вопрос квалификации и решения конфликтов восприятия…
Выглядит красиво, пока не вчитаешься. Не понятно на чем базируются рекомендации автора
Например,
Percival, 2009: AES-CTR с HMAC.
Latacora, 2018: KMS или XSalsa20+Poly1305
Тут происходит сравнение симметричных шифров с ассиметричной криптографией. AES — рекомендованный стандарт, прошел конкурс и т.д. XSalsa20 — просто «хороший» шифр, быстрый и т. д. Причем тут ассиметричный Poly1305 — непонятно.
Далее автор начинает прыгать через разные криптографические примитивы — шифрование токенов, шифрование API, нонсы и т.д. и пытается нацепить на все это одни требования, хотя задачи-то разные.
Скажите, если так все хорошо (на бумаге), то почему все так плохо (в реальности)?… И с каждым годом ситуация все хуже и хуже.
Информационная безопасность — это война, бесконечная война.
На ней бывают успехи, бывают неудачи. Когда люди долго занимаются одним и тем же, то многие вещи «замыливаются» и часто не хватает общего взгляда со стороны, для того чтобы объять всю проблему целиком.
Это исследование как раз и задумывалось, чтобы дать такой взгляд.
На ту проблему, что вы указали:
Пока безопасность не научится не мешать...
Это уже искусство. «Безопасникам» нужно научиться находить в защитных мерах баланс между достигаемых с их помощью безопасностью и создаваемыми от их реализации помехами в работе. Проблема усложнена тем, что многие специалисты, занимающиеся ИБ, подвержены догмам и пихают одни и те же подходы не учитывая специфики бизнеса, это и приводит к указанным вами конфликтам.
Собственно, ИБ и ставит своей целью мешать работать
Это неправильно ИБ.
Хорошее ИБ, как антивирус, должно быть невидимым, ловить «гадов», и в любой момент показать отчеты о своей деятельности. Хотя конечно, некоторый «дебаф» своей работой оно создавать будет.
Область применения стандарта PCI DSS, указывается в самом стандарте следующим образом: (русский перевод тут)
«Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: ТСП, процессинговых центров, эквайреров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают ДДК и (или) КАД.
…
Номер карты является определяющим фактором для ДДК» Примечание: ДДК — данные держателя карты.
Таким образом, обработка полного номера платежной карты является определяющим фактором отнесения информационной системы в зону действия стандарта PCI DSS.
Cудя по логам работы канала это не так :)
Интересно, как данный факт способствует защите персональных данных? Скорее на оборот…
но это вопрос не к автору.
Жаль самое интересное.
Странно, но графики нагрузки по ЦПУ (Рис. 3 и Рис. 5) на HW50 и HW1000 не бьются, хотя по идеи должны. И еще, что HW50 делают с 18:00 до 02:00 и особенно в 02:00 большой всплеск.
Есть мнение что в кабинетах, с точки зрения ИБ, было бы более безопасно гасить канал на ночь.
Есть ряд вопросов:
1. Сколько простоит здание если система управления и диагностики работать не будет вообще.
2. Какого вида управленческие решения бывают? Например, где-то загорелся красный индикатор, что будет дальше?
Тут возникает вопрос, насколько сильно данный эффект будет отражаться на хранении данных в SSD и будет ли хранение данных в HDD более надежным (применительно к данному эффекту).
Пробовали ли использовать материнки других платформ Intel <-> AMD?
Есть ли идеи использования нейронных сетей для поиска ошибок в коде?
Факт 1.
Факт 2.
Вопрос
Cколько кубокиломентров воды «ученые» прогнали с помощью «слабого» течения сквозь пряжу??? Можно но ли считать этот гигантский поток слабым течением?
Если требуется российская криптография, то нужны сертифицированные СКЗИ. Если нужно просто шифрование (любое), то пользуются AES и Co под который миллиард библиотек и примеров.
Тут есть ссылки и про соц. инженерию и про преступные группы. Детальный анализ будет в следующих сериях.
Объем лучше не жать, лучше бить статьи по частям, на мой взгляд… то есть в моем аспекте :)
С одной стороны, вроде бы звучит здорово, но если сделать шаг дальше… Модель данных, обуславливает модели обработки данных: алгоритмы, потоки данных и т.д.
И тут возникает проблема (или вопрос):
Возьмем двух людей:
1-й — знает что форма Земли напоминает шар.
2-й — сторонник плоской Земли.
У первого есть алгоритм — построить путь кругосветного путешествия. Для второго подобный алгоритм не имеет смысла.
Получается что разбивка данных по аспектам, приводит и к последующей разбивки алгоритмов обработки?
То есть получается что на базе одной информационной системы мы получаем, n систем (где n — комбинаторное множество всех возможных аспектов данных)?
Если мое предположение верно то, как поддерживать все это многообразие?
Очень много теоретических понятий, и мало практических примеров раскрывающих их «на пальцах». Желательно, после каждого блока понятий и абстракций приводить пример.
Вопрос по существу: «Кто формирует понятийный слой?»
Большинство людей с трудом формулируют свои мысли устно, не говоря уже о письменной речи. Тут же «модельер», то есть тот, кто формирует модель :) должен залезть в голову каждому конечному пользователю и выявить все нюансы. Если это делать разово — то это получится как обычная БД, если понятийный слой менять регулярно, то возникает вопрос квалификации и решения конфликтов восприятия…
Например,
Percival, 2009: AES-CTR с HMAC.
Latacora, 2018: KMS или XSalsa20+Poly1305
Тут происходит сравнение симметричных шифров с ассиметричной криптографией. AES — рекомендованный стандарт, прошел конкурс и т.д. XSalsa20 — просто «хороший» шифр, быстрый и т. д. Причем тут ассиметричный Poly1305 — непонятно.
Далее автор начинает прыгать через разные криптографические примитивы — шифрование токенов, шифрование API, нонсы и т.д. и пытается нацепить на все это одни требования, хотя задачи-то разные.
Информационная безопасность — это война, бесконечная война.
На ней бывают успехи, бывают неудачи. Когда люди долго занимаются одним и тем же, то многие вещи «замыливаются» и часто не хватает общего взгляда со стороны, для того чтобы объять всю проблему целиком.
Это исследование как раз и задумывалось, чтобы дать такой взгляд.
На ту проблему, что вы указали:
Это уже искусство. «Безопасникам» нужно научиться находить в защитных мерах баланс между достигаемых с их помощью безопасностью и создаваемыми от их реализации помехами в работе. Проблема усложнена тем, что многие специалисты, занимающиеся ИБ, подвержены догмам и пихают одни и те же подходы не учитывая специфики бизнеса, это и приводит к указанным вами конфликтам.
Это неправильно ИБ.
Хорошее ИБ, как антивирус, должно быть невидимым, ловить «гадов», и в любой момент показать отчеты о своей деятельности. Хотя конечно, некоторый «дебаф» своей работой оно создавать будет.
«Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт: ТСП, процессинговых центров, эквайреров, эмитентов и поставщиков услуг, а также всех прочих организаций, которые хранят, обрабатывают или передают ДДК и (или) КАД.
…
Номер карты является определяющим фактором для ДДК» Примечание: ДДК — данные держателя карты.
Таким образом, обработка полного номера платежной карты является определяющим фактором отнесения информационной системы в зону действия стандарта PCI DSS.
Подскажите, проверяли ли вы обнаружение антивирусами «вредоносного кода» упакованного более серьезными утилитами, например msfencode?
Если да, то насколько изменился процент обнаружения?
Поэтому в данном рассуждении я принял, что подписанный бумажный договор = заполненный типовой договор.