Вдохновленный недавними событиями, связанными с вопросом конфиденциальности персональных данных в Мегафон , МТБанк Так Дальше ну собственно вопрос habrahabr.ru/qa/10352 В последнее время я внимательно слежу за тем, что происходит в Интернете с точки зрения безопасности данных, и иногда становится страшно, что введя какие-либо данные в какой-либо орган или банк, Ваша информация может стать доступной широкому кругу пользователей Интернета.
Более того, моя нынешняя работа связана с аудитом сайтов и веб-систем на наличие возможных уязвимостей, в первую очередь даже не программных (хотя это любимая часть и кландике злодеев), но и логических - и я могу авторитетно сказать, что большинство сайтов проходящие через меня имеют критические или серьезные проблемы.
А через меня проходят веб-приложения крупных организаций, названия которых всем хорошо известны.
Долгими вечерами сидя за чашечкой кофе, анализируя и описывая очередную уязвимость на сайте, я часто ловил себя на мысли, что мир мог бы быть более защищенным, безопасным, чище, если бы.
.
если бы разработчики были не только разработчиками, но и аналитиками, менеджерами по ИТ-безопасности.
но мир не идеален, и каждый должен делать то, что у него получается лучше всего.
Они, может, и готовы, но им сложно осознать возможные угрозы, которых с каждым днем становится все больше.
Руководитель проекта давит на них сроками, а заказчик кричит, что они должны были увидеть этот функционал еще на неделе.
Какая существует проверка входных данных регулярными выражениями? Можно бесконечно рассуждать о благих намерениях своих действий, так же, как и сочинять мотивы - антиаргументы, а можно взять и сделать.
Так о чем я.
а тут все просто - я имею в виду, что было бы неплохо иметь какой-то стандарт\гайдлайн\чек-лист для разработчиков, организаций, которые могли бы его использовать, и следить за тем, чтобы на их сайте хотя бы этого не было.
содержат банальные ошибки проектирования и обработки данных, их хранения и передачи.
Стандарт, в моем понимании, должен охватывать аспекты, связанные с непрерывной работой сайта.
Например, Хостинг, DNS-серверы и даже пользователи сайта — все должно быть учтено.
Кто я и что я могу предложить кроме идеи? — Я ИТ-специалист с более чем 10-летним опытом работы в веб-тематике.
Имею опыт написания веб-сайтов (PHP-разработчик).
Недавно я заинтересовался ИТ-безопасностью, и в результате в организации был успешно внедрен ISO27001. В настоящее время я возглавляю отдел, отвечающий за ИТ-аудиты сайтов, веб-систем и т. д. За нашим плечами несколько десятков аудитов, несколько сотен «разобранных» по частям сайтов с описаниями дыр и рекомендациями.
Кого я ищу? Люди, глубоко преданные ИТ-безопасности, в частности ее WEB-части.
В идеале это человек, разбирающийся в веб-технологиях, ИТ-безопасности и угрозах.
Кто имеет за плечами какие-либо (или какие-либо) сертификаты, связанные с внедрением PCI DSS, ISO 27001. Возможно CISA, CISSP и есть время, желание и стремление.
Важно, что у меня нет ни времени, ни желания кого-то «обучать», даже если вы полны желания и решимости посвятить свою жизнь ИТ-безопасности.
Сколько вы готовы заплатить? Ответ немедленный и прямой: он вообще не готов.
Это проблема, которая касается каждого.
Сегодня была раскрыта база данных банка вашего соседа, а завтра ваша финансовая информация.
Я ищу волонтеров.
В чем может быть мой интерес? Прямой.
Предлагаю совместное создание сообщества.
Возможно, из этого вырастет какая-то бизнес-идея, например, аудит на соответствие сайта стандарту XXX-YYYY. Возможно, вы будете аудитором сайта, возможно, аудит по вашему предложению станет обязательной и неотъемлемой частью стандартного процесса поставки WEB-систем в организацию.
что уже существует? Приблизительные наброски идей структуры документа Каков процесс участия? Пока я вижу это так: Если вы решите, что хотите участвовать, то 1. Создайте учетную запись в Google, потому что.
Без нее вы не сможете получить доступ к Google Docs. 2. Отправьте мне свою учетную запись (адрес электронной почты), чтобы я мог поделиться с вами документом.
Документ доступен для прочтения каждому.
3. Если вы хотите что-то добавить/изменить, пришлите мне свой адрес электронной почты, и я дам вам доступ для внесения изменений в документ. мне интересно, хочу попробовать Отлично, тогда стучите в личку.
Если у нас есть общие интересы, то мы идем по одному пути.
Собственно ссылка: docs.google.com/document/d/1sbDhyX8Reu8vgEHChyltXH6dQYzG4lQV7Lmw2ryjsX0/editЭhl=en_US Теги: #безопасность #веб #защита #сайт #стандарт #информационная безопасность
-
Юникредит Взломали?
19 Oct, 24 -
Yahoo Обогнала Google В Мобильном Поиске
19 Oct, 24
