February 2026

S M T W T F S
1234567
891011121314
15161718192021
22232425262728

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

compliance

stas: (Default)
[personal profile] stas
Tuesday, April 6th, 2010 10:40 am

Я недавно писал о законе Гудхарта и вот очередное подтверждение: программы по защите информации уделяют больше внимания защите от регуляторов (compliance), чем защите собственно важной информации.

Tags:
Flat | Top-Level Comments Only

[identity profile] msh.livejournal.com
Wednesday, April 7th, 2010 12:23 pm (UTC)
Тот список, который надо проделать для достижения PCI compliance, конечно, не является ни необходимым, ни достаточным. Но в тоже время он, по большей части, полезен. Я не считаю формальные требование к compliance хорошим способом добиться data security, но в тоже время я не вижу альтернативы. Вы видите? Чтобы это работало для всех и было enforceable.

если у Амазона стащить не кредитку, а планы выпуска новой линейки продуктов, то убытки могут быть на несколько порядков большие

Еще раз. Если у Амазона стащить кредитку, то убытка у него будет ноль. Эту карточку продадут на кардерском рынке, а потом ей, например, заплатят за Livejournal. Банк закатает chargeback за который заплатит опять таки Livejournal. Поэтому сравнения потерь Амазона - бессмысленны.

stas: (Default)
[personal profile] stas
Wednesday, April 7th, 2010 04:17 pm (UTC)
Я не считаю формальные требование к compliance хорошим способом добиться data security, но в тоже время я не вижу альтернативы. Вы видите? Чтобы это работало для всех и было enforceable.


Я, собственно, ровно никаких альтернатив предлагать не собирался. Но если мы об этом заговорим, то надо сперва определить, что именно мы ищем. Судя по слову enforceable, вы предлагаете мне найти альтернативу регуляциям, которая сама была бы регуляцией. Это будет нелегко :)
Рецептов, как добиться data security "для всех" - нет и быть не может, потому что "все" разные, у каждого свои процессы и требования. Можно разработать какой-то общий план типа "мойте руки перед едой, не делайте xss и sql injection", но не более того.

Вообще же стиль мышления очень характерный - "я знаю, что это не работает, но другого-то нет!", в политике работает в 99% случаев. Позвольте, если это не работает - какая разница, что есть другое и чего нет? Это всё равно, что уринотерапией от гриппа лечиться, упирая на то, что антибиотики не действуют. Они не действуют, но уринотерапия-то тоже не действует! Да ещё и воняет. В чём смысл-то? Неважно, что делать, лишь бы что-то делать?

Если у Амазона стащить кредитку, то убытка у него будет ноль.

Это не совсем так, хотя напрямую убытков не будет, вы правы, но будут после того, как станет известно, откуда стащили (если станет). Тут, вполне возможно, есть место для улучшения и возвращения убытков к источнику проблем.

[identity profile] msh.livejournal.com
Wednesday, April 7th, 2010 05:39 pm (UTC)
В настоящее время, при сегодняшнем развитии кардерства не существует метода проследить сворованные кредитки к тому месту, где их своровали с достаточной точностью, чтобы с этим можно было пойти в суд. Иногда - можно, тогда об этом пишут в газетах. Обычно - нет.

PCI работает, не идеально, но работает. Например, вот этот случай бы не произошел, если бы они были PCI compliant:
http://www.mail-archive.com/funsec@linuxbox.org/msg02035.html

PCI, кстати, не регуляция, она ничего не требует. Не хотите - ищите банк, который не требует PCI и работаьте с ним. Государство не участвует, чистое либертарианство
Flat | Top-Level Comments Only