Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (2)

Наибольший вклад в теги

Все теги (11)

Лучшие ответы пользователя

Все ответы (11)
  • Что нужно знать, чтобы стать хакером?

    @Loreweil
    Во-первых, нужно знать английский на уровне advanced. Ибо большинство актуальной литературы именно на этом языке.

    Начать советую с книжки Hacking Exposed. Можно скачать курс CEH с рутрекера. Но он, ИМХО, не очень, книга лучше. Скачать дистрибутив Kali Linux, изучать тулзы, которые в него входят, в первую очередь nmap.
    Изучить Metasploit (входит в Kali Linux). Для этого написана хорошая книга Metasploit Toolkit for Penetration Testing, Exploit Development, & Vulnerability Research.
    Записаться на курсы на такие или на такие.

    Изучая вышеприведенные материалы, когда будешь понимать, что есть пробелы в определенных знаниях (сетевые протоколы, программирование, операционные системы, криптография), подтягивать эти знания через википедию, литературу, курсы. Как-то так.
    Ответ написан
    2 комментария
  • Зачем менять пароли периодически?

    @Loreweil
    В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
    Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).
    Ответ написан
    Комментировать
  • Стоит ли публиковать на Хабре пост о плохом работодателе?

    @Loreweil
    С такой орфографией лучше ничего не писать. Вообще. Никогда.
    Ответ написан
    Комментировать
  • Персональные данные третьих лиц

    @Loreweil
    1. Сейчас нет обязательного требования письменного согласия, есть просто «согласие», то есть вам нужно каким-то образом доказать факт получения согласия регулятору. Конечно в этом плане письменное согласие снимает все вопросы. Можно конечно реализовать галочку «Я согласен», но отправитель не может давать согласие за получателя на обработку его ПДн.
    2. Согласие не требуется для осуществления почтовых отправлений, но это по-моему не ваш случай. Хотя можно попробовать доказать, что эти данные у вас не хранятся. Тут как раз необходимы детали, в которые вы не стали вдаваться =)
    3. На различных конференциях представители РКН на вопросы о персональных данных отправляемых через веб-формы заявляют что такая информация не является персональными данными, так как никак нельзя проверить ее достоверность. И действительно, откуда вы знаете, что человек, который сказал вашей веб-форме что он Иван Иванов на самом деле Иван Иванов?
    4. Поскольку вопрос действительно неординарный, я бы вам посоветовал позвонить в ваше региональное отделение РКН и узнать их мнение по этому вопросу. Как показывает практика, регулятор всегда идет на встречу операторам, желающим сделать все как надо. Ну, хуже точно не будет, тем более рассказывать что конкретно за проект им не нужно, нужно лишь описать ситуацию в общих чертах.
    Ответ написан
    2 комментария
  • Проектирование системы для работы с персональными данными?

    @Loreweil
    Если делать все по фен-шую, то должна быть разработана куча регламентирующих документов.
    В целом ваша последовательность действий в плане тех защиты такая:
    — разрабатываете модель угроз, в которой определяете актуальные угрозы;
    — исходя из типа угроз (я считаю, что в 99% случаев он третий) по постановлению правительства № 1119 устанавливаете уровень защищенности ИСПДн;
    — берете приказ ФСТЭК № 21 и выбираете меры согласно УЗ, который Вы определили, там большое поле для действия, есть базовые меры, есть компенсирующие, можете вообще придумать свои меры, доказав «экономическую нецелесообразность» применения мер из приказа ФСТЭК. Главное чтобы меры (технические и организационные) нейтрализовывали актуальные угрозы;
    — обратите внимание, что если ваша организация коммерческая, то вам не обязательно использовать сертифицированные средства защиты (в приказе ФСТЭК написано что-то типа «сертифицированные СЗИ применяются в случае, если это необходимо для нейтрализации актуальных угроз»). Для гос контор просто использование СЗИ определено дополнительно некоторыми другими нормативными актами, поэтому им никуда не деться, но если вы — коммерсы и можете нейтрализовать свои угрозы штатным средствами ОС (идентификация и аутентификация пользователей средствами AD например) или с помощью свободного ПО (squid и тд), то и флаг вам в руки!

    Что касается «бумажной» защиты ПДн, то тут все целиком в 152-ФЗ написано. У вас должны быть назначены ответственные лица, определен перечень лиц, допущенных к работе с перс данными, разработано положение о работе с перс данными, ряд инструкций (парольная, антивирусная защита и тд), ряд журналов…
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (1)