Come rispondere a una richiesta di informazioni sull'architettura di un sistema senza compromettere la sicurezza?

1

Diciamo che sono un CIO federale e devo rispondere a una richiesta di informazioni sull'architettura di un sistema di gestione finanziaria. Voglio dimostrare che il sistema è in grado di supportare più clienti, può scalare a migliaia di utenti, include i moduli A, B, C, D, ecc., È interfacciato con i sistemi X, Y, Z. Come posso strutturare la risposta in modo da non compromettere la sicurezza dell'architettura? Ad esempio, che tipo di diagramma posso fornire? Che tipo di informazioni può includere? E non dovrebbe includere?

    
posta keruilin 27.09.2013 - 15:46
fonte

1 risposta

2

Idealmente la sicurezza del sistema non dovrebbe dipendere dal non conoscere l'intero layout del sistema, tuttavia, rende le cose più difficili. Certamente, qualsiasi cosa come honeypot dovrebbe essere rimossa o modificata sui diagrammi e dovresti rimuovere i dettagli chiave ogni volta che è possibile, purché tu possa ancora ottenere le informazioni necessarie.

Esattamente ciò che è necessario e ciò che non è dipende dalla progettazione del sistema e dalle domande poste. È sufficiente fornire il livello minimo di informazioni necessarie per rispondere alla domanda e cercare di omettere i dettagli relativi alla sicurezza laddove possibile, ma anche garantire che la sicurezza non sia compromessa se qualcuno ne sapesse di più sul sistema di quello che sta dicendo.

    
risposta data 27.09.2013 - 16:18
fonte

Leggi altre domande sui tag