Наш аудитор безопасности является идиотом. Как я даю ему информацию, которую он хочет?

Я сказал бы ему, что это занимает время, усилие и деньги для создания раскалывающейся инфраструктуры для паролей, но потому что Вы используете сильное хеширование как SHA256 или что бы то ни было, не могло бы быть возможно обеспечить пароли в течение 2 недель. На вершине, о которой, я сказал бы, что связался с юридическим департаментом, чтобы подтвердить, законно ли это для совместного использования этих данных с кем-либо. DSS PCI также хорошая идея упомянуть, как Вы сделали.:)

Мои коллеги потрясены, читая это сообщение.

Я сказал бы, что нет никакого способа для Вас предоставить ему ЛЮБУЮ запрошенную информацию.

• Имена пользователей предоставляют ему понимание учетных записей, которые имеют доступ к Вашим системам, угрозе безопасности
• История пароля обеспечила бы, понимание образцов пароля использовало предоставление ему возможный путь нападения путем предположения следующего пароля в цепочке
• Файлы, переданные системе, могут содержать конфиденциальную информацию, которая могла использоваться в нападении на Ваши системы, а также предоставлении им понимание Вашей структуры файловой системы
• Открытые и закрытые ключи, что, черт возьми, было бы точкой в наличии их, если бы необходимо было выделить их кому-то другому, чем предполагаемый пользователь?
• Электронное письмо отправило каждый раз, когда пользователь изменяется, пароль дал бы ему актуальные пароли для каждой учетной записи пользователя.

Этот парень вытягивает Вашего помощника идиота! Необходимо связаться или с его менеджером или с некоторым другим аудитором в компании для подтверждения его возмутительных требований. И переезжайте как можно скорее.

Во-первых, не сдаваться. Он не только идиот, но и ОПАСНО неправильно. На самом деле выпуск этой информации нарушил бы стандарт PCI (который является тем, что я предполагаю, что аудит для того, так как это - платежный процессор) наряду с любым стандартом там и просто здравым смыслом. Это также подвергло бы Вашу компанию всем видам обязательств.

Следующая вещь, которую я сделал бы, посылают электронное письмо Вашему боссу, заявляющему, что он должен был вовлечь корпоративного адвоката для определения легального воздействия, с которым компания столкнулась бы продолжением этого действия.

Этот последний бит ваше дело, но я связался бы с ВИЗОЙ с этой информацией и получил бы его аудитора PCI состояние, которое вытягивают.

• Список текущих имен пользователей и незашифрованных паролей для всех учетных записей пользователей на всех серверах
  • Текущие имена пользователей МОГУТ быть в объеме, "мы можем выпустить это" и должны быть в объеме, "мы можем показать Вам это, но Вы не можете взять его удаленный".
  • Незашифрованные пароли не должны существовать для дольше, чем это берет к одностороннему хэшу их, и они никогда не должны, конечно, оставлять память (чтобы даже не пойти через провода), таким образом, их существование в постоянном хранении нет - нет.
• Список всех изменений пароля в течение прошлых шести месяцев, снова в простом тексте
  • См., что "постоянное хранение нет - нет".
• Список "каждого файла, добавленного к серверу от удаленных устройств" за прошлые шесть месяцев
  • Это может быть должно гарантировать, что Вы, которых файл журнала передает серверу (серверам) обработки платежей, если у Вас есть журналы, должно быть нормально переходить. Если у Вас нет журналов, проверьте то, что соответствующая политика безопасности говорит о входе той информации.
• Открытые и закрытые ключи любых ключей SSH
  • Возможно, попытка проверить, что 'ключи SSH должны иметь пароль', находится в политике и сопровождается. Вы действительно хотите пароли на всех закрытых ключах.
• Электронное письмо, посланное ему каждый раз пользователь, изменяет их пароль, содержа незашифрованный пароль
  • Это совершенно определенно нет - нет.

Я ответил бы чем-то вроде своих ответов, сохраненных соответствием PCI, SOX_compliance и документами внутренней политики безопасности по мере необходимости.

Я все еще учусь, и первая вещь, которую я изучил при установке серверов, состоит в том, что, если Вы позволяете зарегистрировать незашифрованные пароли, Вы уже подвергаете опасности себя для гигантского нарушения. Никакой пароль не должен быть известен кроме пользователю, который использует его.

Если этот парень является серьезным аудитором, он не должен спрашивать Вас эти вещи. Мне он отчасти походит на misfeasor. Я сверился бы с органом регулирования, потому что этот парень походит на полного идиота.

Обновление

Держитесь, он полагает, что необходимо использовать симметричное шифрование только, чтобы передать пароль, но затем сохранить их простой текст в базе данных или позволить дешифровать их. Так в основном, после того, как все анонимные атаки на базах данных, где они показали пароли пользователя простого текста, он ВСЕ ЕЩЕ, полагают, что это - хороший способ "защитить" среду.

Он - динозавр, всунул 1960-е...

Просто откажитесь показывать информацию, заявив, что Вы не можете передать пароли, поскольку у Вас нет доступа к ним. Будучи аудитором самостоятельно, он должен представлять некоторое учреждение. Такие учреждения обычно публикуют инструкции для такого аудита. Посмотрите, соответствует ли такой запрос тем инструкциям. Можно даже жаловаться таким ассоциациям. Также проясните аудитору, что в случае любых проступков вина может возвратиться ему (аудитор), поскольку у него есть все пароли.

Если можно предоставить какую-либо информацию (за возможным исключением открытых ключей) требуемый в точках 1,2,4, и 5 необходимо ожидать приводить аудит к сбою.

Официально ответьте на точки 1,2 и 5 высказываний, что Вы не можете соответствовать, поскольку Ваша политика безопасности требует, чтобы Вы не сохраняли незашифрованные пароли и что пароли шифруются с помощью не обратимого алгоритма. Для указания 4, снова, Вы не можете предоставить закрытые ключи, поскольку это нарушило бы Вашу политику безопасности.

Указать 3. Если у Вас есть данные, обеспечивают его. Если Вы не делаете, потому что Вы не должны были собирать его, затем говорят так и демонстрируют, как Вы теперь (работаете для) соответствия новому требованию.

Аудитор безопасности для наших серверов потребовал следующее в течение двух недель:

...

Если мы приводим проверку защиты к сбою, мы освобождаем доступ к нашей платформе обработки карты (критическая часть нашей системы), и хорошим двум потребовались бы недели для перемещения где-то в другом месте. Насколько завинченный я?

Появляется, как будто Вы ответили на свой собственный вопрос. (См. полужирный текст для подсказок.)

Только одно решение приходит на ум: заставьте всех записать их последний и текущий пароль и затем сразу изменить его на новый. Если он желает протестировать качество пароля (и качество переходов от пароля до пароля, например, удостоверяться, что никто не использует rfvujn125 и затем rfvujn126 как их следующий пароль), что список старых паролей должен быть достаточным.

Если бы это не считают приемлемым, то я подозревал бы, что парень является членом Anonymous/LulzSec..., в которой точке необходимо спросить его, что его дескриптор, и скажите ему выходить из того, чтобы быть таким кустом!

Поскольку oli сказал: данное лицо пытается заставить Вас нарушать закон (Защита данных / директивы конфиденциальности ЕС) / внутренние стандарты инструкций/PCI. Мало того, что Вам придется уведомить управление (поскольку Вы уже, я думаю), но можно вызвать полицию, как предложено.

Если данное лицо держит некоторую аккредитацию/сертификацию, например, CISA (Сертифицированный Аудитор Информационных систем), или британский эквивалент американского CPA (обозначение аудитора), Вы могли также сообщить организациям аккредитации для исследования его для этого. Мало того, что тот человек пытается заставить Вас нарушать закон, это - также чрезвычайно некомпетентный "аудит" и вероятно в нарушение каждого этического контрольного стандарта, по которому аккредитованные аудиторы должны пребывать под страхом потери аккредитации.

Кроме того, если данное лицо является членом более крупной компании, упомянутые ранее организации аудита часто требуют некоторого отдела QA, который наблюдает за качеством аудитов и контрольной регистрации и расследует жалобы. Таким образом, можно также делать попытку жалобы рассматриваемой аудиторской компании.

Этот парни запрашивают сильные запахи к высоким небесам, и я согласился бы, что любая корреспонденция отсюда на должна проходить технического директора. Или он пытается сделать Вас, козел отпущения для неспособности удовлетворить сказал, что запрос, для выпуска конфиденциальной информации, или чрезвычайно некомпетентен. Надо надеяться, Ваш технический директор/менеджер сделает, двойное берет этот, парни запрашивают, и положительное действие будет сделано, и если они - gung ho позади действий этого парня.... хорошо, хорошие sys администраторы всегда пользуются спросом на объявлениях, поскольку ti кажется, что пора начать искать некоторое место, если это происходит.

Это могло и должно быть отправлено на Безопасность IT-систем - Exchange Стека.

Я не эксперт в аудите безопасности, но первая вещь, которую я узнал о политике безопасности, "NEVER GIVE PASSWORDS AWAY". Этот парень, возможно, был в этом бизнесе в течение 10 лет, но как Womble сказал "no, you have 5 minutes of experience repeated hundreds of times"

Я работал с банковскими людьми IT в течение некоторого времени, и когда я видел, что Вы отправили, я показал его им... Они так сильно смеялись. Они сказали мне, что парень похож на жульничество. Они раньше имели дело с такого рода вещью для безопасности клиента банка.

Прошение ясного пароля, ключей SSH, журналов пароля, является ясно серьезным профессиональным преступлением. Этот парень опасен.

Я надеюсь, что все в порядке теперь, и что у Вас нет проблемы с фактом, они могли сохранить журнал у себя Вашей предыдущей транзакции.

Очевидно существует много хорошей информации здесь, но позвольте мне добавлять мой 2c как кто-то, кто пишет программное обеспечение, которое продается во всем мире моим работодателем к крупным предприятиям, прежде всего, для помощи людям в исполнении политики безопасности ведения счетов и передаче аудитов; поскольку, что это стоит.

Во-первых, это звучит очень подозрительным, как Вы (и другие) отметили. Или аудитор просто выполняет процедуру, которую он не понимает (возможный), или тестирование Вас для уязвимости так социальная инженерия (вряд ли после последующих обменов) или социальная инженерия мошенничества Вы (также возможный), или просто универсальный идиот (вероятно, скорее всего). До совета я предложил бы это, необходимо говорить с управлением, и/или найти новую аудиторскую компанию и/или сообщить об этом соответствующему агентству по контролю.

Что касается примечаний, пара вещей:

• Возможно (при особых условиях) предоставить информацию, которую он запросил, если Ваша система настраивается для разрешения его. Это не находится, однако, ни в каком смысле "лучшая практика" для безопасности, и при этом это не было бы вообще распространено.
• Обычно аудиты касаются проверки методов, не исследуя фактическую безопасную информацию. Я высоко с подозрением относился бы к любому просящему фактические незашифрованные пароли или сертификаты, а не методы, используемые, чтобы гарантировать, что они "хороши" и защищены правильно.

Надежда, которая помогает, даже если она главным образом повторяет то, чему советовали другие люди. Как Вы, я не собираюсь называть свою компанию в моем случае, потому что я не говорю за них (личный аккаунт / мнения и все); извинения, если это умаляет доверие, но пусть будет так.Удачи.

Просто подсказка, относительно как Вы слово Ваш ответ:

К сожалению, нет никакого способа для нас предоставить Вам часть запрошенной информации, главным образом незашифрованные пароли, история пароля, ключи SSH и удаленные журналы файла. Мало того, что эти вещи технически невозможны...

Я перефразировал бы это, чтобы не входить в дискуссию о технической выполнимости. Читая ужасное первоначальное электронное письмо, посланное аудитором, похоже, что это - кто-то, кто может выбрать детали, которые не связаны с основной проблемой, и он мог бы утверждать, что Вы могли сохранить пароли, логины журнала, и т.д. Таким образом, любой говорит:

... Из-за нашей строгой политики безопасности, мы никогда не регистрировали пароли в простом тексте. Поэтому будет технически невозможно обеспечить эти данные.

Или

... Мало того, что мы значительно понизили бы наш уровень внутренней безопасности путем соответствия запросу...

Удача, и держит нас в курсе, как это заканчивается!

Ответьте судебным процессом. Если аудитор просит незашифрованные пароли (продвиньтесь теперь, дело не в этом трудно к или взломанным хешам слабого пароля "в лоб"), они, вероятно, лгали Вам о своих учетных данных.

Он, вероятно, тестирует Вас, чтобы видеть, являетесь ли Вы угрозой безопасности. Если Вы предоставите эту подробную информацию ему затем, то Вы будете, вероятно, немедленно уволены. Возьмите это своему непосредственному боссу и переложите ответственность. Позвольте своему боссу знать о вовлечении соответствующих полномочий, если эта задница прибудет в какой-либо степени Вы снова.

Это - то, что платят боссам.

У меня есть видение листка бумаги, оставленного позади такси, которое имеет список паролей, ключей SSH и имен пользователей на нем! Hhhmmm! Видьте газетные заголовки прямо сейчас!

Обновление

В ответ на 2 комментария ниже я предполагаю, что у Вас обоих есть положительные стороны для создания. Нет никакого способа реального обнаружения истины и факта, вопрос был отправлен на всех шоу немного naiveté со стороны плаката, а также мужества стоять перед неблагоприятной ситуацией с потенциальными карьерными последствиями, где другие спрячут голову в песок и убегут.

Мое заключение если это имеет значение состоит в том, что это - полностью интересные дебаты, которые, вероятно, получили большинство читателей, задающихся вопросом, что они сделали бы в этой ситуации независимо от того, компетентны ли аудитор или политики аудиторов. Большинство людей столкнется с этим видом дилеммы в некоторой форме или формы в их рабочих жизнях, и это действительно не вид ответственности, которую нужно пихнуть на единственные плечи людей. Это - бизнес-решение, а не решение людей относительно того, как иметь дело с этим.

WTF! Извините, но это - моя единственная реакция на это. Нет никаких требований аудита, которые я когда-либо слышал об этом, требуют незашифрованного пароля, уже не говоря о питании их пароли, когда они изменяются.

1-й, попросите, чтобы он показал Вам требование, чтобы Вы обеспечили это.

2-й, если это для PCI (который все мы принимаем, так как это - вопрос о платежной системе) идут сюда: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php и получают нового аудитора.

3-й, следуйте за тем, что они сказали выше, свяжитесь со своим управлением и сделайте, чтобы они связались с компанией QSA, с которой он работает. Затем сразу получите другого аудитора.

Состояния системы аудитов аудиторов, стандарты, процессы, и т.д. У них нет потребности иметь любую информацию, которая предоставляет им доступ к системам.

Если Вы хотели бы каких-либо рекомендуемых аудиторов или чередовали бы Колорадо, которые работают в тесном сотрудничестве с аудиторами, связываются со мной, и я был бы рад обеспечить ссылки.

Удачи! Доверьте интуиции, если что-то кажется неправильным, что это, вероятно.

Нет никакой законной причины для него знать пароль и иметь доступ к закрытым ключам. То, что он запросил, даст ему способность исполнить роль любого из Ваших клиентов в любом моменте времени и сифоне столько денег, сколько он хочет без любого способа обнаружить его как возможную мошенническую транзакцию. Это будет точно тип угроз нарушения безопасности, для которых он, как предполагается, контролирует Вас.

Уведомьте управление, что Аудитор запросил, что Вы зад Ваша политика безопасности, и что запрос недопустим. Предположите, что они могут хотеть вывести существующую аудиторскую фирму и найти законную. Вызовите полицию и возвратите аудитора для того, чтобы запросить недопустимую информацию (в Великобритании). Затем назовите PCI и повернитесь в Аудиторе для их запроса.

Запрос сродни выяснению, Вы действительно идете, убивают кого-то наугад и передают тело. Вы сделали бы это? или Вы вызвали бы полицейских и возвратили бы их?

Имейте своего "аудитора безопасности", указывают на любой текст из любого из этих документов, которые имеют его требования и часы, поскольку он изо всех сил пытается придумать оправдание и в конечном счете извиняется, чтобы никогда не быть услышанным снова.

Рискуя тем, чтобы продолжить приток пользователей высокого представителя, вскакивающих по этому вопросу, вот мои мысли.

Я могу отчасти неопределенно видеть, почему он хочет незашифрованные пароли, и это должно судить качество используемых паролей. Это - дерьмо способ пойти об этом, большинство аудиторов, которых я знаю, примет хеши crypted и выполнит взломщика для наблюдения, какой низко висящий плод они могут вытащить. Все они пробегутся через политику сложности пароля и рассмотрят, какие гарантии существуют для осуществления этого.

Но необходимо обеспечить некоторые пароли. Я предлагаю (хотя я думаю, что Вы, возможно, уже сделали это), выяснение у него, какова цель доставки незашифрованного пароля. Он сказал, что это должно проверить Ваше соответствие по сравнению с политикой безопасности, поэтому заставить его давать Вам ту политику. Спросите его, если он признает, что Ваш режим сложности пароля достаточно устойчив, чтобы препятствовать тому, чтобы пользователи установили свой пароль на P@55w0rd и доказуемо существовали в течение этих 6 рассматриваемых месяцев.

Если он продвигает его, Вам, вероятно, придется признать, что Вы не можете обеспечить незашифрованные пароли, так как Вы не настраиваетесь для записи их (что с ним являющийся основным сбоем безопасности), но может пытаться так в будущем, если он требует прямой проверки, что политики паролей работают. И если он захочет доказать его, то Вы счастливо предоставите crypted базу данных пароля ему (или Вы! Покажите желающий! Это помогает!) для работы раскалывающейся передачи.

"Удаленные файлы" могут, вероятно, быть вытащены журналов SSH для сессий SFTP, который является тем, что я подозреваю, что он говорит о. Если у Вас не будет ценности 6 месяцев syslogging, то это будет трудно произвести. Использует wget для получения по запросу файла от удаленного сервера, в то время как зарегистрировано на пути, SSH рассмотрела 'удаленную передачу файлов'? HTTP, ПОМЕЩАЕТ? Файлы создаются из текста буфера обмена в окне терминала удаленного пользователя? В любом случае можно пристать к нему с этими пограничными случаями, чтобы получить лучшее ощущение его проблем в этой области и возможно привить, "Я знаю больше об этом, чем Вы делаете" чувство, а также о каких определенных технологиях он думает. Затем извлеките то, что Вы можете из журналов и заархивированных резервных копий входа в систему.

Я ничего не получил на ключах SSH. Единственная вещь, о которой я могу думать, состоит в том, что он проверяет на ключи без пароля по некоторым причинам, и возможно crypto сила. Иначе я ничего не получил.

Что касается получения тех ключей, сбор урожая, по крайней мере, открытых ключей достаточно легок; просто исследуйте .ssh папки, ища их. Получение закрытых ключей включит надевание Вашей шляпы BOFH и harumping в Ваших пользователях в размере, "Отправьте меня Ваши общедоступные и частные пары ключей SSH. Что-либо, что я не получаю, будет очищено от серверов через 13 дней", и если кто-либо пронзительно кричит (я был бы) указывать на них на проверку защиты. Сценарии являются Вашим другом здесь. В минимуме это заставит набор пар ключей пароля меньше получать пароли.

Если он все еще настаивает "на незашифрованных паролях в электронном письме", по крайней мере, подвергают те электронные письма шифрованию GPG/PGP с его собственным ключом. Любой достойный аудитор безопасности должен смочь обработать что-то как этот. Тот путь, если пароли просачиваются, это будет, потому что он освободил их, не Вас. Еще одно решающее испытание для компетентности.

Я должен согласиться и с Zypher и с Womble на этом. Опасный идиот с опасными последствиями.

Да, аудитор является идиотом. Однако как Вы знаете, иногда идиоты размещаются в положения питания. Это - один из тех случаев.

Информация, которую он запросил, имеет нуль, опирающийся на текущую безопасность системы. Объясните аудитору использование LDAP для аутентификации и что пароли хранятся с помощью одностороннего хэша. За исключением выполнения сценария "в лоб" против хэшей пароля (который мог занять недели (или годы), Вы не сможете обеспечить пароли.

Аналогично удаленные файлы - я хотел бы услышать, случайно, как он думает, что необходимо смочь, дифференцируются между файлами, созданными непосредственно на сервере и файле, который является SCPed к серверу.

Как @womble сказал, ничего не фальсифицируйте. Это сделает отрицательный результат. Или угробили этот аудит и прекрасный другой брокер, или находить способ убедить этого "профессионала", что его сыр соскользнул его взломщика.

Вы не можете дать ему, что Вы хотите, и пытается "фальсифицировать" его, вероятно, возвратятся, чтобы укусить Вас в заднице (возможно легальными способами). Любой необходимо обратиться цепь инстанций (это возможно уведенный жулик этого аудитора, хотя проверки защиты известно глупы - спрашивают меня об аудиторе, который хотел смочь получить доступ к AS/400 с помощью SMB), или получите ад из нижней части эти обременительные требования.

Они даже не хорошая безопасность - список всех незашифрованных паролей является невероятно опасной вещью когда-либо произвести, независимо от методов, используемых для охраны их, и я буду держать пари, что этот тип захочет их отправленный по электронной почте в простом тексте. (Я уверен, что Вы уже знаете это, я просто должен вентилировать немного).

Для дерьма и хихиканья, спросите его непосредственно, как выполниться, его требования - признают, что Вы не знаете, как, и хотел бы усилить его опыт. После того как Вы отсутствуете и уведены, ответ на его, "У меня есть опыт более чем 10 лет в аудите безопасности", был бы "нет, у Вас есть 5 минут опыта, повторенного сотни времен".

Я серьезно обеспокоен отсутствием операции в секунду этических навыков решения проблем и сообщества отказа сервера, игнорирующего это явное нарушение этического поведения.

Короче говоря, мне нужно;

• Способ 'фальсифицировать' ценность шести месяцев изменений пароля и заставить его выглядеть допустимым
• Способ 'фальсифицировать' шесть месяцев входящих передач файлов

Позвольте мне быть ясным на двух точках:

1. Никогда не уместно сфальсифицировать данные в ходе нормального бизнеса.
2. Вы никогда не должны обнародовать этот вид информации никому. Когда-либо.

Это не Ваше задание для фальсификации записей. Это - Ваше задание, чтобы удостовериться, что любые необходимые записи доступны, точны, и безопасны.

Сообщество здесь при Отказе сервера должно рассматривать эти виды вопросов, как stackoverflow сайт рассматривает вопросы "о домашней работе". Вы не можете решить эти проблемы только с техническим ответом или проигнорировать нарушение этической ответственности.

Наблюдение такого количества пользовательских ответов высокого представителя здесь в этом потоке и никаком упоминании об этических последствиях вопроса печалит меня.

Я поощрил бы всех читать Кодекс поведения Системных администраторов SAGE.

BTW, Ваш аудитор безопасности является идиотом, но это не означает, что необходимо чувствовать давление, чтобы быть неэтичными в работе.

Править: Ваши обновления являются бесценными. Не высовывайтесь, Ваш сухой порошок, и не берите (или давайте), любые деревянные пятицентовые монеты.

Как кто-то, кто был через контрольную процедуру с Бондарями Price Waterhouse для классифицированного правительственного контракта, я могу уверить Вас, это полностью вне рассмотрения, и этот парень безумен.

Когда PWC хотел проверить нашу надежность пароля они:

• Попросивший видеть наши алгоритмы надежности пароля
• Выполнил тестовые единицы против наших алгоритмов, чтобы проверить, что они отклонят плохие пароли
• Попросивший видеть наши алгоритмы шифрования, чтобы гарантировать, что они не могли быть инвертированы или не зашифрованы (даже таблицами радуги), даже кем-то, у кого был полный доступ к каждому аспекту системы
• Проверенный, чтобы видеть, что предыдущие пароли кэшировались, чтобы гарантировать, что они не могли быть снова использованы
• Попросивший у нас разрешения (который мы предоставили), чтобы они попытались ворваться в сеть и связанные системы с помощью методов несоциальной инженерии (вещи как xss и использование не0 дней)

Если бы я даже подсказал, что мог показать им, чем пользовательские пароли были за прошлые 6 месяцев, то они закроют нас из контракта сразу.

Если бы было возможно обеспечить эти требования, то Вы немедленно привели бы к сбою каждый аудит, который стоит иметь.

Обновление: Ваша электронная почта ответа выглядит хорошей. Намного более профессиональный, чем что-нибудь я записал бы.

Вы в социальном отношении проектируетесь. Или для 'тестирования Вас' или это - хакер, изображающий из себя аудитора для получения некоторых очень полезных данных.

Честно, это кажется, что этот парень (аудитор) настраивает Вас. Если Вы даете ему информацию, он просит, Вы только что доказали ему, что можете быть в социальном отношении спроектированы для отказа от критической внутренней информации. Сбой.

Я только что определил, Вы находитесь в Великобритании, что означает, что, что он спрашивает, чтобы сделать необходимо нарушить закон (Закон об охране информации на самом деле). Я нахожусь в Великобритании также, работе для крупной контролируемой в большой степени компании и знаю закон и общие методы вокруг этой области. Я - также очень противная обрабатываемая деталь, кто будет счастливо штамп ограничения этот парень для Вас, если бы Вам нравится просто ради удовольствия, сообщите мне, хотели ли бы Вы справку хорошо.

Никакой аудитор не должен приводить Вас к сбою, если они находят историческую проблему, которую Вы теперь решили. На самом деле это - доказательство хорошего поведения. Имея это в виду, я предлагаю две вещи:

a) Не лежите или составляйте материал. b) Read Ваши политики.

Ключевой оператор для меня - этот:

Все [универсальная кредитная карта, обрабатывающая поставщика] клиенты, требуются, чтобы соответствовать нашей новой политике безопасности

Я держал пари, что существует оператор в тех политиках, говоря, что пароли не могут быть записаны и не могут быть переданы никому кроме пользователя. Если существует, то примените те политики к его запросам. Я предлагаю обработать его как это:

• Список текущих имен пользователей и незашифрованных паролей для всех учетных записей пользователей на всех серверах

Покажите ему список имен пользователей, но не позволяйте им быть устраненными. Объясните, что предоставление незашифрованных паролей a) невозможный, поскольку это односторонне и b) против политики, которая он контролирует Вас против, поэтому Вы не повинуетесь.

• Список всех изменений пароля в течение прошлых шести месяцев, снова в простом тексте

Объясните, что это не было исторически доступно. Дайте ему список последних раз изменения пароля, чтобы показать, что это теперь делается. Объясните, как выше, который не будут обеспечены пароли.

• Список "каждого файла, добавленного к серверу от удаленных устройств" за прошлые шесть месяцев

Объясните, что и не регистрируется. Обеспечьте то, что Вы можете. Не обеспечивайте ничего конфиденциального, и объясняйте политикой почему нет. Спросите, должен ли Ваш вход быть улучшен.

• Открытые и закрытые ключи любых ключей SSH

Посмотрите на свою политику управления ключами. Это должно указать, что закрытые ключи не позволяются из их контейнера и имеют строгие условия доступа. Примените ту политику и не предоставляйте доступ. Открытые ключи счастливо общедоступны и могут быть совместно использованы.

• Электронное письмо, посланное ему каждый раз пользователь, изменяет их пароль, содержа незашифрованный пароль

Просто скажите "нет". Если Вы имеете локальный безопасный лог-сервер, позволяете ему видеть, что это регистрируется на месте.

В основном, и мне жаль говорить это, но необходимо играть крутой с этим парнем. Следуйте за своей политикой точно, не отклоняйтесь. Не лежать. И если он приводит Вас к сбою для чего-нибудь, что не находится в политике, жалуйтесь его старшим в компании, которые отправили его. Соберите документацию всего этого, чтобы доказать, что Вы были разумны. При повреждении политики, Вы в его милосердии. Если Вы будете следовать за ними к букве, то он закончит тем, что был уволен.

У меня возникнет сильное искушение дать ему список имен пользователей / паролей / закрытые ключи для учетных записей-приманок, тогда, если он когда-либо проверит вход в эти учетные записи, сделает его несанкционированным доступом к компьютерной системе. Хотя, к сожалению, это, вероятно, подвергнет вас как минимум некоторому гражданскому правонарушению за представление мошенничества.

Проблема уже решена, но для будущих читателей ...

Учитывая, что:

• Вы, кажется, потратили на это больше часа.

• Вы мне пришлось проконсультироваться с юрисконсультом компании.

• Они просят проделать большую работу после изменения вашего соглашения.

• У вас не будет денег и больше времени на переключение.

Вы должны объяснить, что вы нужно будет много денег вперед и минимум четыре часа.

Последние несколько раз я говорил кому-то, что они внезапно перестали нуждаться.

Вы по-прежнему можете выставить им счет за любые убытки, понесенные во время переключения, и за время, затраченное на изменение вашего соглашения. Я не говорю, что они заплатят в течение двух недель, как они думали, что вы подчинитесь в течение этого времени - они будут односторонними, я не сомневаюсь.

Если ваш адвокат отправит уведомление о взыскании, они будут потрясены. Это должно привлечь внимание владельца аудиторской компании.

Я бы посоветовал воздержаться от любых дальнейших отношений с ними, просто для дальнейшего обсуждения этого вопроса потребуется залог за необходимую работу. Тогда вам могут заплатить за их отговорку.

Странно, что у вас есть действующее соглашение, а затем кто-то на другом конце сходит с рельсов - если это не проверка безопасности или интеллекта, это определенно проверка вашего терпения.