Comments
UFO landed and left these words here
Да, короче не скажут, даже те, кто любят сест. тлнта!
Хоть в этом ничего нового и нет, но вашу выжимку надо распечатать, повесить и повторять как мантру.
А также показывать всем, кто действительно задумывается о всесторонней безопасности.
Бывает! Добро пожаловать в наши ряды!
Сразу видно человека привыкшего много писать. Вы уж попробуйте понять новое поколение — они мы не привыкли много читать, вернее некогда! Нам надо бы желательно покороче да по существу! Уж простите за бестактность!
Имхо, нет. Главное — это правильно и точно преобразовать «отрицательные» неформальные требования заказчика в «положительные» требования спецификации. Ну и объяснить/доказать ему, почему спецификация описывает именно то, что он хочет.
Краткость — сестра таланта :-)
Слова, явно, криптографа.
Я так коротко не могу. Поэтому я бы перефразировал:
Безопасность ПО – это не только шифрование данных и каналов связи, не только предотвращение несанкционированного доступа к данным путём разделения доступа, но и:
— тщательный анализ потребности в защищенности;
— выбор адекватных средств защиты;
— тщательное планирование архитектуры;
— безопасное кодирование;
— тщательное тестирование.
Наверно, подумав, можно еще написать многое.

Безопасность ПО, ИМХО, зависит еще и от грамотного использования инструментов этой самой безопасности :) Админ с головой + ПО «с головой» = безопасность.
UFO landed and left these words here
Думаю, здесь webzest отвечала на мой комментарий, а не на статью. Я забыл упомянуть в нем важность корректной эксплуатации. Просто последние лет 10 я, в основном, нахожусь на строне разработчика…
Дочитал до конца. То, что много написано — это неплохо. Надо учиться читать и вдумываться, а не «скользить по поверхности».
Все правильно пишете. Но в противовес ко всему сказанному — нельзя доходить до фанатизма, т.к. порой получается обратный эффект)
Ну так один из основных принципов построения безопасности, это принцип: что защиты должна быть адекватна возможному ущербу.
Ибо если построить сложную систему защиты на данных которые стоят копейки, то вы только потеряете деньги и усложните себе работу, а если пренебречь защитой на данных которые стоят миллионы то в один день можно остаться без них.

К коддингу это относиться лишь косвенно, но просто я в совей специфике организационной защиты.
Безопасная программа это не столько программа которая делает всё то что должна, сколько программа которая НЕ делает то что не должна. © моё

Остальное лирика.
Да, вот с такой выжимкой я полностью согласен, это и есть главная мысль.
Речь, на сколько я понимаю, идет о защите информации(ЗИ), а это всегда комплекс мер, как технических (программных), так и организационных.
То, о чем написали Вы — это есть не декларированные возможности (НДВ). Если необходимо, допустим при сертификации ПО, программы проходят испытания по уровню НДВ.
Уровней НДВ несколько, в зависимости от уровня конфиденциальности обрабатываемой информации. Под секреты — не ниже 2 (могу ошибаться). Тут есть требования к 2 уровню НДВ.
Одной проверки на НДВ не достаточно!
>>> это всегда комплекс мер, как технических (программных), так и организационных.
Да, и я затронул только технические. (Почему я и сказал «Безопасная программа это ...»)
Я специализируюсь на именно технической части, по этому и судить могу лишь о ней.
> При этом они очень и очень интеллектуальные люди, даже по меркам программистов

Как вы ловко полхабра одной фразой попустили :)
Ну я и сам немного программист, как минимум, у меня есть в трудовой книжке соответствующая запись. Так что, здесь все вполне искренне. :-)

А вообще в этих примерах я хотел всеми способами показать, что такой подход, который я считаю, скажем так, не совсем удобным при анализе, разделяют люди с интеллектом и образованием очень выше среднего.
Один отставной товарищ в УЦ «Информзащита» очень любит повторять: «Безопасность, это процесс!» (по аналогии с высказыванием профессора мед.института: «Клизма — это процесс, а то о чем вы толкуете — резиновая груша»).

А Шнайдер вообще утверждает, что безопасность — это фигня =)
Статья ни о чем. Имеет громкое название «Информационная безопасность», а речь идет то ли о безопасности ПО, то ли о ПО для безопасности.
Что такое безопасность? Безопасность — это состояние.

Подставьте «здоровье» вместо «безопасности» и все сразу встанет на свои места!

Здоровье — не процесс, процесс — это то, чем занимается здоровая система.
Здоровье — не область деятельности, область деятельности (и N+1 процессов) — это охрана и поддержание здоровья.
Здоровье — не фигня (no comment).
Здоровье — это даже не свойство, а, разве что, «метасвойство», как обобщающее, так и определяющее все другие свойства и поведение системы по отношению к среде.

Из цитаты Viega&McGraw я бы оставил только последнее предложение, как наиболее разумное и непротиворечивое, имхо. А то они, приравнивая безопасность к "-ility", уже будто бы готовы были ее к CIA triad приравнять, но одумались.
Security is behavioral property of complete system in particular environment.
Некоторое время назад был на научной школе по данной теме, выступал Хорев (надеюсь, многие знают, кто это), так он говорил, что у нас в нормативной части этой области полный бардак: имеющиеся определения в законах и ГОСТах зачастую противоречат друг другу, стандарты зачастую являются переводами западных стандартов, сделанными (переводы) черт знает как и кто во что горазд.
Only those users with full accounts are able to leave comments. Log in, please.