lexstile, если заблокировали, шлите через агрегатора, делов то. Я не знаю можно ли вам делать смену через отправку ссылки или otp на почту. Вам нужно оценить уровень потерь ваших клиентов, если говорим про персданные по 152-ФЗ вы обязаны провести оценку вреда субъекту персданных в случае несанкционированного доступа. Если говорим про сервис в котором есть кошелёк или карта привязаны, то естественно нет, но опять же мое субъективное мнение пальцем вверх. Ну и да, обычно фишат пароль к почте, потом смотрят по письмам в почте к каким сервисам она принадлежит, гораздо проще сделать фишинговые страницы условно 10ти почтовых провайдеров мира и пробовать ломануть почту миллиардов людей чем искать мелкие компании и проводить на них целевой фишинг.
разностронняя команда ИБ-шников, где нужны разные специалисты по разным направлениям.
Ну да, нас пол сотни и то нехватка жуткая, таких компаний много, да нечего в провинции защищать, поэтому только и успевай не прозевать вакансию в своем городе и в МСК/Питер.
Я как раз про то, что если беда в провинциальном городе, значить валить из города надо если есть желание жить лучше либо пробовать удаленку.
Как этого избежать. Пока идея иметь API ключ на API сервере и на сервере клиента, и шифровать и расшифровывать используя этот ключ логин в GET параметре
ага, токен для каждого юзера иметь и принимать данные если клиент его предъявил
Виктор, наоборот дискриминация тех у кого есть номер телефона, так то вроде бы Яровая обязала всех регистрироваться хотя бы по номеру телефона перед выходом в интернет.
Павел, из пункта следует что даже в тупую сказать нельзя: нет технической возможности, она есть меняйте операционные системы, процессы и т.д. Чтобы стало возможно.
Даже если не выполняете, то это только на момент адаптации, план по реализации быть должен.
Даже если процесс адаптации - компенсирующая мера должна быть - зачем делать работу дважды?
Павел, выполнить оценку соответствия требованиям по безопасности можно если не изменяет память 7ю способами, на ТУ, использовать сертифицированное, ПМИ и т.д. Как все это делать никто кроме испытательных лабораторий не знает, бесплатно не подскажут. Самый простой способ использовать сертифицированное ПО. Но предположить что в продуктах MS нету бэкдоров нет вы можете и даже как-то обосновав, не факт что проканает при проверке регулятором коих среди не госкомпаний практически не бывает, нету у регуляторов огромного штата тех кто будет проверять бизнес когда на госструктуры времени не хватает. А вот от фишинговых атак и других винда вообще не является средством защиты, поэтому и применяются средства защиты прошедшие оценку соответствия по требованиям безопасности информации: антивирус для защиты от вирусов, система обнаружения атак от сетевых атак, сканеры безопасности для проверки настроек, система разграничения прав дополнительно не дает обойти устроенные средства разграничения прав в винде, там же и защита съемных устройств отдается на откуп СЗИ от НСД.
Цель: защита от просверливания пластиковых частей, закачки газа и дальнейшего взрыва.
Дело в том что вибросигнализация не срабатывает на сверление пластика.
Ну и сервер в DMZ, я надеюсь вы понимаете что это не локальная сеть, локалка это ваши кабинеты. Серверная сеть обычно в серверной. Ну и внешних пользователей подключенных по VPN считать их локальной сетью это такое себе. Обычно такие пользователи считаются потенциально взломанными. По правильному и все пользователи в офисе имеющие возможность серфить в интернете и получать почту, так же считаются потенциально скомпрометированными.
Alexey Dmitriev, ага увидел:
Выпуск-------------------------------Дата начала----Дата окончания
Расширенное обновление безопасности год 3---11/01/2022---10/01/2023
Расширенное обновление безопасности год 2---12/01/2021---11/01/2022
Расширенное обновление безопасности год 1---14/01/2020---12/01/2021