Есть вещи, которые меня раздражают и даже бесят. Наверное, это уже возраст :( Например — информационная безопасность. Сплошная профанация часто получается. Системно посмотреть на ИБ никто и не пытается. Вот так, чтобы по-настоящему, не для галочки. Так-то у всех есть ворох документов по защите перс.данных, целые компании работают, чтобы эти документы составить. По объему они обычно толще самых толстых ТЗ. Куча юристов поработало. Аналитики и инженеры их обычно не касались. Зато как доходит до практики...
Я последние лет 8 занимаюсь EdTech. И вот в одном проекте повадились школьники тесты взламывать, ботов понаписали — ты ему номер теста — он тебе верные ответы. Вода дырочку найдёт. Особенно если на фронт сразу в xml и вопросы, и правильные ответы слать. Ну, отловили, выявили, API переделали, ответы припрятали. Я у техлида спрашиваю — какие варианты атаки есть? Говорит: мы эту дырку прикрыли. Ок, эту прикрыли, а другие? Это какие такие другие? Ну, которые ещё можно придумать. Будут же дальше пытаться. Ну, найдут ещё — прикроем и их.
Нет, говорю, так не пойдёт. Это реактивное действие. У вас модель нарушителя есть? Уязвимости? Векторы атаки? Какая ещё такая, удивляется, модель нарушителя? У нас в БД разные модели,но модели нарушителя нет, не понимаю, о чём вы. Ну как же, говорю. Ведь наверняка для системы есть документы на ИБ, она же аттестована. В общем, долго разбираемся, и тут её переключает: а! говорит. Персональные данные! Есть модель нарушителя, конечно. И риски. Всё там есть. Только какое это отношение к тестам имеет? [и вообще к реальной жизни]
Бесят такие вещи. Есть же методика, страховка от глупостей. Тогда ведь учителя так к электронным тестам и не вернулись, не верят, что их снова не взломают. Продукт в итоге толком не работает. Оттого, что никто идею анализа ИБ не ухватывает. Я когда-то прошел курс по ISO 27001, и это очень потом помогало. Для аналитика это, пожалуй, перебор, да и стоит сейчас наверное под 30 тыс. А вот чтобы вникнуть в тему — у нас в эти выходные (11-12 марта) будет воркшоп, там быстро, на человеческом языке и с практикой можно основные понятия освоить. А ещё у меня 12 день рождения, и я вам поэтому сгенерил немного промо-кодов: YKSI12 (их штук 10, так что разбирайте. На другие курсы тоже действуют).
Я последние лет 8 занимаюсь EdTech. И вот в одном проекте повадились школьники тесты взламывать, ботов понаписали — ты ему номер теста — он тебе верные ответы. Вода дырочку найдёт. Особенно если на фронт сразу в xml и вопросы, и правильные ответы слать. Ну, отловили, выявили, API переделали, ответы припрятали. Я у техлида спрашиваю — какие варианты атаки есть? Говорит: мы эту дырку прикрыли. Ок, эту прикрыли, а другие? Это какие такие другие? Ну, которые ещё можно придумать. Будут же дальше пытаться. Ну, найдут ещё — прикроем и их.
Нет, говорю, так не пойдёт. Это реактивное действие. У вас модель нарушителя есть? Уязвимости? Векторы атаки? Какая ещё такая, удивляется, модель нарушителя? У нас в БД разные модели,но модели нарушителя нет, не понимаю, о чём вы. Ну как же, говорю. Ведь наверняка для системы есть документы на ИБ, она же аттестована. В общем, долго разбираемся, и тут её переключает: а! говорит. Персональные данные! Есть модель нарушителя, конечно. И риски. Всё там есть. Только какое это отношение к тестам имеет? [и вообще к реальной жизни]
Бесят такие вещи. Есть же методика, страховка от глупостей. Тогда ведь учителя так к электронным тестам и не вернулись, не верят, что их снова не взломают. Продукт в итоге толком не работает. Оттого, что никто идею анализа ИБ не ухватывает. Я когда-то прошел курс по ISO 27001, и это очень потом помогало. Для аналитика это, пожалуй, перебор, да и стоит сейчас наверное под 30 тыс. А вот чтобы вникнуть в тему — у нас в эти выходные (11-12 марта) будет воркшоп, там быстро, на человеческом языке и с практикой можно основные понятия освоить. А ещё у меня 12 день рождения, и я вам поэтому сгенерил немного промо-кодов: YKSI12 (их штук 10, так что разбирайте. На другие курсы тоже действуют).