Informācijas noplūdes riskus var samazināt drošības vadība

nu, ir jau vēl jautājums, ko tad īsti pārbaudīja auditori. Ja pārbrauca pāri ar Nessus vai kaut ko tamlīdzīgu, tad nav brīnums, ka caurums palika nepamanīts. Ja taisīja pentestu pašai aplikācijai, tad gan ir jautājums, kā tam gatavojās un kā to plānoja. Un, protams, ko par pārbaudes objektu auditoriem vēlējās pastāstīt VIDs (nav izslēgts, ka sataisīja konfidenciālu sejas izteiksmi un nostājās aizsargpozīcijā, lai ļaunais audits neiztraucē mierīgo dzīvi).

Tas ir jautājums VID, E&Y un KPMG. ISACA nekontrolē un arī nevar kontrolēt sniegtos pakalpojumus IT drošības un pārvaldības jomās, ja vien kāds nepalūgs izvērtēt konkrēto pakalpojumu atbilstību profesionālajai ētikai un standartiem, kas šajā situācijā nav noticis.

Manos Internetos gan visu skaisti rāda... Paskaties savos Internetos, vai viss kārtībā!

Cienījamie išaka dalībnieki, pirms kaut ko murkšķēt, varēja parūpēties par to, lai viņu vietnē ziņkārīgos apmeklētājus negaidītu šāds sveiciena teksts:Site currently down. Please come back soon :DDD

Viss ir loģiski un pareizi. Bet par kādiem Profesionālajiem pakalpojumiem Valsts samaksāja god. kungiem no E&Y un KPMG 1 mio?

Visu izstrādātāju produktos ir ievainojamības un cerēt, ka "mūsu sistēmā" negadīsies ir naivi. Jau sen ir pamanīts, ka visas olas likt vienā groziņā ir nepareizi, tāpēc jāveic gan jāveic risku analīze, gan jāveic auditi, gan jāseko labākajai praksei izstrādē, gan arī jābūt saturīgai drošības uzraudzībai.

ērik, paprasi saviem kpmg auditoru čomiem no isaca kā tur viņiem sanāca ar to situācijas uzlabošanu :) tā tava drošības vadība ir bezjēdzīga. ar vārdiem un normatīviem sistēmas nesalāpīsi. arī tehniskais audits reizi gadā ir par maz, ja ik nedēļu tiek izstrādāti labojumi, kas var ienest jaunus caurumus. domāju, ka viss ir jābalsta uz izstrādātājiem. jāstimulē un jāizmanto tādu izstrādātāju pakalpojumi, kuru programmētāji ir apguvuši n-tos kursus ievainojamību atklāšanā un ekspluatēšanā. es to redzu kā risinājumu.