Dyskusja:Bezpieczeństwo teleinformatyczne
Z Wikipedii
Spis treści |
[edytuj] Brawo
Tak sobie myślę, czy mało brakuje do medalu? Mój jedyny zarzut to czasem zbytnio złożone zdania. Anglicy mogą nam pozazdrościć tego artykułu, u nich jest on czymś w rodzaju "zalążka tygodnia" :). --<A.J.>--<?>-- 15:14, 28 wrz 2006 (CEST)
- Dzięki, wazelina zbędna, język trochę poprawiłem ;-) -- (lcamtuf) 18:08, 28 wrz 2006 (CEST)
[edytuj] Takietam
Zmieniłem autentykacja na uwierzytelnienie. To pierwsze, to taki potworek, jednak ostatnimi czasy coraz częściej używany i może stał się już standardem (chociaż w polskich normach OIDP go nie ma). Mam też wątpliwości co do podanych badań/ankiet. Np. 70% osób, które oddałyby hasło za czekoladę. Pamiętem ze slaszdota, że rzeczywiście takie badanie było, lecz chyba bardziej w kategoriach żartu. Nie prowadziłem rzecz jasna takich badań ale wątpię, by te badanie potwierziło się IRL. Mam też lekką alergie na badania typu 73.5% firm miało problemy z włamem. Wydaje mi się, żebadań tych nie warto przytaczać tak bezkrytycznie, tym bardziej, że często udowadniają tezy stawiane przez sponsorów tychże. Wiem, że przytoczone są źródła, ale chyba każdy wie jak jest z badaniami np. takiego gartnera ;). Jagger σ 22:01, 28 wrz 2006 (CEST)
- Co do autentykacja -> uwierzytelnianie - sure, brzmi lepiej. Jeśli chodzi o badania - źródła są dość renomowane, taki artykuł to raczej nie miejsce na polemikę z Accenture, Infoweekiem i BBC, a znacznie różniących się od tego wyników, z których wynikałoby, że problemy z bezpieczeństwem to zjawiska odosobnione i nieistotne, raczej ciężko szukać. Oczywiście przytrafiają się regularnie badania podporządkowane konkretnej tezie lub robione pod producenta oprogramowania - ale w tym akurat przypadku wartości nie mijają się one drastycznie z tym, co codziennie obserwuję, więc jestem gotów się nimi posiłkować (nawet jeśli autorzy naginali wyniki i zamiast 73.5% powinno być 66.12%). Badanie czekoladowe - było serio, vide artykuł, aczkolwiek oczywiście nie weryfikowano deklaracji, więc możliwe, że oznacza ono tylko, że "70% podałoby coś, co wygląda jak hasło, w zamian za czekoladę". -- (lcamtuf) 22:06, 28 wrz 2006 (CEST)
[edytuj] Fraud, SOX, procedury, itp
Pisząc ten artykuł, zastanawiam się cały czas nad tym, do jakiego stopnia należy brnąć w tematykę nietechnicznych metod zapobiegania np. nadużyciom finansowym ze strony personelu (ustawa Sarbanes-Oxley), zapewnienia ciągłości biznesowej (ochrona fizyczna, redundancja), czy budowania wymogów formalno-proceduralnych (polityka bezpieczeństwa itp). Widać, że enwiki, frwiki i dewiki nie mogą zdecydować się, czy opisują zagadnienie z punktu widzenia informatyki, czy ryzyka biznesowego, i dyskusja o SOXie miesza się z omawianiem działania buffer overflowów, C++, debatach o przewadze Linuxa nad Windows i ACLi nad capabilities, a na koniec rzucana jest wzmianka o konieczności instalowania gaśnic w serwerowniach i robienia backupów na wypadek powodzi.
Wydaje mi się, że wyczerpujące omówienie zagadnień bezpieczeństwa teleinformatycznego nie wymaga wypływania na szerokie wody w tych dziedzinach, więc tylko sygnalizuje istnienie takich zagadnień w tekście, i będę pewnie zmierzał do opisania tych zagadnień we właściwych dla nich artykułach (inaczej wyrósłby nam tutaj nieczytelny interdyscyplinarny blob na 150 kB). Tym niemniej, będę wdzięczny za opinie. -- (lcamtuf) 13:13, 30 wrz 2006 (CEST)
Jeśli chodzi o opis zarządzania bezpieczeństwem, polityk i procedur bezpieczeństwa oraz analizy ryzyka to mogę pomóc, tylko daj znać, gdzie o tym piszesz.
carstein
[edytuj] Zarządzanie bezpieczeństwem
Wkradł tu się mały błąd. Norma ISO-IEC 17799 nie jest polskim odpowiednikiem normy BS-7799. Sprawa wygląda tak: Norma BS 7799 składa się z dwóch części - BS-7799:1 zawierającej wymagania normy, oraz BS-7799:2, zawierającej wytyczne dla normy. Różnica polega na tym, że o ile wdrażając system w oparciu o normę BS7799 zobligowani jesteśmy (o ile rzecz jasna myślimy o certyfikacji) spełnić wszystkie wymagania, to mamy pewną dowolność, jeśli chodzi o spełnienie wytycznych - sporządzając dokument SoA (Statement of Aplicability) określamy które wytyczne nie będą przez nas spełnione i dlaczego.
Norma ISO-IEC 17799 to w rzeczywstości jedynie tłumaczenie rozszerzone komentarzem wytycznych normy BS-7799:2. Nie można się certyfikować w oparciu o tą normę.
Tak tylko wolałem wyjaśnić to w dyskusji i poczekać na opinię, zanim coś zmienie.
- Jeszcze zanim dodałeś ten komentarz, wprowadziłem pewne zmiany do artykułu, by uniknąć niejasności (tamten opis był dość uproszczony). Według mojego rozumienia, ISO/IEC 17799:2003 (PN-ISO/IEC 17799:2003, niebawem ISO 27002?) jest dosłowną kopią BS-7799:1, podczas kiedy ISO/IEC 27001:2005 (PN-I-07799-2:2005, niebawem ISO 27004?) jest odpowiednikiem BS-7799:2 (na którą można się certyfikować). Wyjaśniłem to w tekście zgodnie z tym rozumieniem. Opis tego, na co można się certyfikować i w jakim trybie, jednak bym sobie darował - to jest temat do opisania w artykułach o poszczególnych normach. Pozdrawiam i dzięki za czujność. -- (lcamtuf) 13:20, 6 paź 2006 (CEST)
Ok, poprawa jest słuszna. Zgadzam się, że nie ma większego sensu rozwijać tutaj tego tematu (zwłaszcza, że duża część tych norm nie dotyka prawie wcale teleinformatyki). Sam też nie jestem jakimś strasznym ekspertem w tej dziedzinie, więc na razie sobie daruje tworzenie artykułu o zarządzaniu bezpieczeństwem. O normie ISO 27002 jeszcze nie słyszałem, ale pojawiła się już ISO 27001 (czyli BS-7799:2005) i jest już obowiązująca. Postaram się to jakoś w ten artykuł wpasować i ew. wprowadzić drobne korekty (np. nie certyfikujesz się na BS 7799:2, tylko na całość).
carstein, 14:54, 6 paź 2006 (CEST)