Здравствуйте, kochetkov.vladimir, Вы писали:
NR>>то уж законы (152-ФЗ от 2006 г) — и подавно. имхо
KV>Личные ноуты в корп. сети — безусловно зло, но насчет 152-го ФЗ не стоит так категорично. Далеко не любой ноут, принесенный в фирму ее сотрудником, будет являться ИСПДном либо иметь возможность доступа к таковым, вообще-то
Конечно не стоит, абсолютно согласен. И вообще, к вопросам ИБ следует относиться все-таки не столько категорично, сколько с головой. Мы все прекрасно понимаем, что политика ИБ — это совокупность технических и оргштатных мероприятий. Но некоторые не понимают другого: политика ИБ — это реализация абстрактных требований, сформулированных безотносительно к техническим средствам и организационным мероприятиям. То есть классический запрет на аську — это реализация например требования "работайте негры, солнце еще высоко". Но эта реализация не должна вступать в противоречия с другими требованиями — глупо запрещать аську например в турагенстве: 30% клиентов уходят с сайта с даже очень заманчивыми предложениями, если нет аськоконтактов. Так что когда я встречаю какой-то элемент политики ИБ, я хочу точно знать, какое требование он реализует. И меня сильно удивляет, если это требование оказывается в противоречии с другими элементами политики.
На пальцах это выглядит так: программный запрет флешек => модель нарушителя предполагает явные действия по копированию данных на внешний носитель.
разрешен свободный внос и вынос ноутов => модель нарушителя исключает возможность соединения ноута с рабочим компом кросовером.
Из 1 и 2 => модель нарушителя расчитана на идиота, не способного украсть ничего секретнее рецепта салата "Оливье"
Я доступно изложил мысль?
Здравствуйте, NavuhodonosoR, Вы писали:
NR>Я сорвался быстрее — когда понял, что человек не имеет абсолютно никакого отношения к системному администрированию. Хотя признаю, погорячился, мог бы и посдержаннее быть. Вот только извиняться перед ним даже и не хочется.
Тут такая петрушка. Где-то в разговоре, кажется, с тобой, он упомянул, что работает в выплатном центре или собесе, как-то так. Это многое объясняет. В таких конторах сисадмины далеко не всегда занимаются тем, что им прямо положено по должности. Там нет приличных IT-отделов, а потому набираться опыта участия в проектах и взаимодействия с разработчиками там просто негде. Вместо этого приходится заниматься разной фигней типа замены картриджей в принтере или объяснений пользователям, чем отличается мышь от клавиатуры. В серьезных конторах картриджи находятся в ведении менеджера в офисе вместе с канцтоварами, копирами, уборщицами. Админы вместе с программистами работают над проектом с самого начала. С пользователями работают их более опытные коллеги. Админу есть чем заниматься и без этого.
Здравствуйте, Privalov, Вы писали:
NR>>Я сорвался быстрее — когда понял, что человек не имеет абсолютно никакого отношения к системному администрированию. Хотя признаю, погорячился, мог бы и посдержаннее быть. Вот только извиняться перед ним даже и не хочется.
P>Тут такая петрушка. Где-то в разговоре, кажется, с тобой, он упомянул, что работает в выплатном центре или собесе, как-то так. Это многое объясняет. В таких конторах сисадмины далеко не всегда занимаются тем, что им прямо положено по должности. Там нет приличных IT-отделов, а потому набираться опыта участия в проектах и взаимодействия с разработчиками там просто негде. Вместо этого приходится заниматься разной фигней типа замены картриджей в принтере или объяснений пользователям, чем отличается мышь от клавиатуры. В серьезных конторах картриджи находятся в ведении менеджера в офисе вместе с канцтоварами, копирами, уборщицами. Админы вместе с программистами работают над проектом с самого начала. С пользователями работают их более опытные коллеги. Админу есть чем заниматься и без этого.
Это так, но это ничего не оправдывает. Как не оправдывает мою истерику и встреча с упертым диллетантом.
Я, конечно, понимаю, что "... каждый стремится к пределу своей некомпетентности ...", но когда достигший этого предела еще и советы начинает давать... И ладно бы прислушивался к знающим людям — так нет же!
Здравствуйте, NavuhodonosoR, Вы писали:
NR>Это так, но это ничего не оправдывает. Как не оправдывает мою истерику и встреча с упертым диллетантом.
Естественно не оправдывает. Но некоторые считают иначе.
NR>Я, конечно, понимаю, что "... каждый стремится к пределу своей некомпетентности ...", но когда достигший этого предела еще и советы начинает давать... И ладно бы прислушивался к знающим людям — так нет же!
Ну нравится человеку по граблям ходить. Причем по одним и тем же. Причем годами.
Здравствуйте, Mamut, Вы писали:
M>Хех. Если бы ты читал весь лог (или ты его весь и читал? 0_О), то увидел бы, что терпения мне в итоге все равно не хватило
В какой-то момент мне показалось, что кто-то скопипастил этот лог 5 или 6 раз , так что нельзя сказать, что я читал весь лог. Пришел к выводу: что-то здесь не то. В нашей конторе админы вопросы в тех вещах, которые вы обсуждали, разбираются часто лучше разработчиков. А здесь картина строго противоположная.
Здравствуйте, Privalov, Вы писали:
P>Здравствуйте, Mamut, Вы писали:
M>>Хех. Если бы ты читал весь лог (или ты его весь и читал? 0_О), то увидел бы, что терпения мне в итоге все равно не хватило
P>В какой-то момент мне показалось, что кто-то скопипастил этот лог 5 или 6 раз , так что нельзя сказать, что я читал весь лог. Пришел к выводу: что-то здесь не то. В нашей конторе админы вопросы в тех вещах, которые вы обсуждали, разбираются часто лучше разработчиков. А здесь картина строго противоположная.
Я тут ище заявление Шеридана о том, что админы круче программеров, потому что админы могут всегда найти ссылку или посмотреть в гугле (а кывтовский поиск упорно этому сопротивляется). И наткнулся на гениальное: http://rsdn.ru/forum/flame.comp/3713769.aspx
Здравствуйте, NavuhodonosoR, Вы писали:
NR>И вообще, к вопросам ИБ следует относиться все-таки не столько категорично, сколько с головой. Мы все прекрасно понимаем, что политика ИБ — это совокупность технических и оргштатных мероприятий. Но некоторые не понимают другого: политика ИБ — это реализация абстрактных требований, сформулированных безотносительно к техническим средствам и организационным мероприятиям.
Так, похоже, в этом диком месте я таки-наткнулся на еще одного своего коллегу. Теперь главное — не спугнуть
NR>То есть классический запрет на аську — это реализация например требования "работайте негры, солнце еще высоко". Но эта реализация не должна вступать в противоречия с другими требованиями — глупо запрещать аську например в турагенстве: 30% клиентов уходят с сайта с даже очень заманчивыми предложениями, если нет аськоконтактов. Так что когда я встречаю какой-то элемент политики ИБ, я хочу точно знать, какое требование он реализует. И меня сильно удивляет, если это требование оказывается в противоречии с другими элементами политики.
Классический запрет на аську вообще не может являться элементом политики ИБ, т.к. не закрывает ровным счетом никаких рисков, связанных с реализацией тех или иных информационных угроз. Но руководители очень любят прикрываться перед неграми непонятной аббревиатурой "ИБ", отсюда и миф, что это как-то связано с нашей предметной областью (и все камни в наши, а не руководителей огороды, ага).
NR>На пальцах это выглядит так: NR> NR>программный запрет флешек => модель нарушителя предполагает явные действия по копированию данных на внешний носитель. NR>разрешен свободный внос и вынос ноутов => модель нарушителя исключает возможность соединения ноута с рабочим компом кросовером.
Либо исключает возможность получения с рабочего компа конфиденциальной информации в случае подключения к нему ноута кроссовером Тут вопрос не столько в обеспечении целостности инфраструктуры в пределах контролируемой зоны, сколько в закрытии всех рисков, связанных с ее нарушением.
NR>Из 1 и 2 => модель нарушителя расчитана на идиота, не способного украсть ничего секретнее рецепта салата "Оливье"
Полагаю, что в данном случае, ни модели нарушителя в целом, ни модели угроз в частности, попросту нет. Шеридан работает в какой-то гос организации, следовательно исполнением ФЗ 152 пока не озабочен и, как в любой типовой гос организации средней руки, безопасность там в гробу видели, а админов, которые рисуют модели угроз в качестве вечернего хобби я пока не встречал.
NR>NR>Я доступно изложил мысль?
Здравствуйте, Sheridan, Вы писали:
S>А там я хоть смогу вовремя прервать ваш поток сознания и удержать в теме.
Хоть я, в силу перманентного завала на работе, почти и не являлся твоим оппонентом в той теме, но один умный (я надеюсь) вещь я все-таки скажу:
Чтобы перейти на качественно иной, более высокий уровень развития, профессионалу в любой предметной области необходимо (хотя и не всегда достаточно) научиться:
1. признавать собственные ошибки и критически переосмысливать собственные взгляды и убеждения;
2. принимать решения в своей предметной области не с позиции "нравится", "хочу", "правильно", а с позиции "целесообразно, потому что...";
3. заглядывать за наблюдаемый горизонт своего интеллектуального багажа, ну или хотя бы, для начала, осознавать где он находится и понимать, что он может быть существенно уже чем у других людей.
Приветствую, kochetkov.vladimir, вы писали:
k> 1. признавать собственные ошибки и критически переосмысливать собственные взгляды и убеждения;
Умею.
k> 2. принимать решения в своей предметной области не с позиции "нравится", "хочу", "правильно", а с позиции "целесообразно, потому что...";
Согласен.
k> 3. заглядывать за наблюдаемый горизонт своего интеллектуального багажа, ну или хотя бы, для начала, осознавать где он находится и понимать, что он может быть существенно уже чем у других людей.
Пытаюсь.
Только вот никак не могу понять, отчего так дружно все на меня насели, когда я попросил безобиднейшую вещь — перед тем как писать цифру в параметр "порт по умолчанию" — посмотреть, а не используется ли этот порт по умолчанию еще кем-то? И тут началось... Выставили меня неким д...м-недоучкой, который не знает элементарных вещей. И занимаются всем скопом обсуждением меня, что в принципе какбы запрещено правилами форума. Всетаки обидно, да. К томуже постоянно кидаются в крайности.
Почему прикрутили сюда веб — понятно. В самом начале все началось с обсуждения ситуации "все вокруг закрыто, только 80 порт работает". Но почему потом все вокруг веба и продолжалось — непонятно, так как поднятый пной вопрос несколько шире.
А еще обидно, что современные программисты плевать хотели на чужой труд, и делают лишь бы работало. И это лишний раз они опять доказали.
Здравствуйте, Sheridan, Вы писали:
S> Почему прикрутили сюда веб — понятно. В самом начале все началось с обсуждения ситуации "все вокруг закрыто, только 80 порт работает". Но почему потом все вокруг веба и продолжалось — непонятно, так как поднятый пной вопрос несколько шире.
Тебе про туннелинг еще в "Сети, сокеты, протоколы" сказали. Ты же начал плеваться на горе-программеров и хотел отстреливать пальцы. А теперь еще и удивляешься чему-то Повторю для тебя еще раз: любой протокол можно пустить через HTTP-прокси т.к. туннелинг это стандартая (описана в стандарте) фича HTTP.
Здравствуйте, Sheridan, Вы писали:
k>> 1. признавать собственные ошибки и критически переосмысливать собственные взгляды и убеждения; S>Умею.
k>> 2. принимать решения в своей предметной области не с позиции "нравится", "хочу", "правильно", а с позиции "целесообразно, потому что..."; S>Согласен.
k>> 3. заглядывать за наблюдаемый горизонт своего интеллектуального багажа, ну или хотя бы, для начала, осознавать где он находится и понимать, что он может быть существенно уже чем у других людей. S>Пытаюсь.
"Несмотря на то, что я гениален и идеален, самокритика — тоже моя сильная сторона."(с)
Здравствуйте, Sheridan, Вы писали:
S>Почему прикрутили сюда веб — понятно. В самом начале все началось с обсуждения ситуации "все вокруг закрыто, только 80 порт работает". Но почему потом все вокруг веба и продолжалось — непонятно, так как поднятый пной вопрос несколько шире.
На веб насел только один ты, ещё пытаешься его узурпировать и узурпировать номера портов. Разумеется программисты и не только против.
S>А еще обидно, что современные программисты плевать хотели на чужой труд, и делают лишь бы работало. И это лишний раз они опять доказали.
А это ты с чего взял?
h> Тебе про туннелинг еще в "Сети, сокеты, протоколы" сказали. Ты же начал плеваться на горе-программеров и хотел отстреливать пальцы. А теперь еще и удивляешься чему-то Повторю для тебя еще раз: любой протокол можно пустить через HTTP-прокси т.к. туннелинг это стандартая (описана в стандарте) фича HTTP.
Да все можно это. Только поднятый мной вопрос совершенно не про то что ты сказал.