Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Но когда (реальный случай) после нескольких лет выстраивания процесса SEC в регионе с учетом всего сказанного выше, появляется чудо вообще не имеющее отношения к ИТ, которое требует поставить ему FF, мотивируя тем, что IE ему банально неудобен, а после получения отказа начинает "анонимно" срать кирпичами на публичных форумах в адрес компании и писать докладные на сотрудников ИБ руководителям, находящимся через два-три уровня иерархии от него, то ничего, кроме желания как можно быстрее расстаться с таким сотрудником, лично у меня не возникает. Расстались и весьма быстро.
Ну, такие люди бывают, да. Обычно они долго не задерживаются. Точно также долго не задержится безопасник, который от балды перекроет вообще всё без разбора Это мало связано с темой обсуждения.
KV>Нет никаких безопасников и разработчиков. Есть в первую очередь люди, которые выполняют свои обязанности и между которыми частенько возникают конфликты интересов. Решаемые почти всегда. Если обе стороны подходят именно с позиции "там тоже люди", а не с позиции "я охереть какой дорогой разработчик, вы мне здесь все должны" или "я твое удобство на "№; вертел, у меня из-за тебя ИБ не складывается".
+100500
Например, у нас в результате разумного диалога разработчиков и безопасников появилось вот такое чудо.
KV>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
BTW. Твои прикольные истории, конечно, очень познавательны, но они скорее характеризуют особенности ведения бизнеса в этой стране, а не взаимоотношения между ИТ и ИБ подразделениями в компании.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, kochetkov.vladimir, Вы писали:
K>>Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью.
KV>в один прекрасный день у них не изъяли все рабочие станции и серверы, которые находились в офисе. KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Простите, мы о какой "безопасности" вообще говорим? При чём тут какой-то "фотошоп"? При чём тут IT вообще? Банальный наезд, рейдерство. Ну изьяли бы для изучения на предмет наличия террористических материалов. Или еще по какой причине. Разница-то какая?
Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках?
KV>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
Вот-вот. И люди, которые свято верят, что запрет установки FF как-то помогает вашей крыше победить "ихнюю" кажутся мне всё-таки из мира эльфов.
Здравствуйте, koandrew, Вы писали:
DOO>>КСВ — это место, где благородные доны могут поделиться своей точкой зрения на насущные проблемы ИТ мира (ну и обосновать ее, конечно же). K>Не, то, что ты указал — это в форуме "философия", сюда народ ходит поспорить и поругаться
"Философия" и "КСВ" — по сути один и тот же форум. Разница между ними лишь в том, что в первом все благородные доны просто считают, что их пиписьки немеряно длинные, а здесь, помимо этого, доны еще и глубоко убеждены, что у всех окружающих они неприлично короткие
Здравствуйте, yoriсk.kiev.ua, Вы писали:
YKU>Простите, мы о какой "безопасности" вообще говорим?
Об информационной
YKU>При чём тут какой-то "фотошоп"? При чём тут IT вообще? Банальный наезд, рейдерство. Ну изьяли бы для изучения на предмет наличия террористических материалов. Или еще по какой причине. Разница-то какая?
Прочтите внимательно то, что я написал. Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала.
Что же касается фотошопа, то разница есть. Аж две. Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. А во-вторых, человек, который использует этот фотошоп является преступником, с т.з. действующего законодательства и своими действиями подставляет всю компанию.
YKU>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках?
Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
KV>>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
YKU>Вот-вот. И люди, которые свято верят, что запрет установки FF как-то помогает вашей крыше победить "ихнюю" кажутся мне всё-таки из мира эльфов.
Опять-таки, выделенное — является тезисом, авторские на который принадлежат исключительно вам. Я писал не это и не об этом.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Был еще один случай. Проверяющие готовились оформлять изъятие нескольких серверов и по запарке изъяли инфраструктуру СОРМ полным составом. Через 10 минут после нашего звонка в ФСБ с правильными комментариями по поводу происходящего, оттуда примчалась "опергруппа" и весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче и т.п. Госбезопасность в итоге победила вчистую, а у нас ничего не изъяли
E__>Весело там у вас...
Да нет, не весело. Эту часть своей работы я, честно говоря, ненавижу
Здравствуйте, genre, Вы писали:
G>>>Ну я не знаю как у вас, а у нас тестирование это способ поиска пока еще неизвестных проблем F>>И успешно все находятся? Ни одна наружу не пролезает? Не верю.
G>Пролезает конечно. Но фокус в том, что если полагаться на использование инструмента как на тестирование то вылезет еще больше.
А зачем полагаться только на это?
G>Формализованное тестирование находит гораздо больше багов чем использование.
Но не всё.
G>Хотя бы потому, что например средний пользователь ворда использует лишь 5% функционаала
Зато если в компании хотя бы не сколько десятков человек, получится несколько десятков бета-тестеров, да ещё которым донести фидбек до непосредственных разработчиков гораздо проще, чем внешнему пользователю.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, koandrew, Вы писали:
K>Хороший безопасник не должен мешать рабочему процессу своими идиотскими инструкциями и ограничениями, и они должны понимать, что они для компании являются net loss и не более того...
Знаешь, я видел ситуацию с обеих сторон "баррикады", так что с net loss категорически не соглашусь.
С другой стороны также понимаю что не бывает идеала, чтоб и максимально безопасно и максимально удобно.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, DOOM, Вы писали:
DOO>Значит что-то не учли
Ну да — реальность не так хороша, как теория
DOO>В иной конторе вас попросят откатить все в исходное состояние и придти, когда вы будете готовы нормально деплоить приложение — останавливать (или просто создавать риск остановки) основные сервисы ради вас никто не будет (за пределами согласованного технологического окна).
Пока везде, где я работал, деплой в продакшен делали мы сами...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Значит что-то не учли K>Ну да — реальность не так хороша, как теория
Нет. Это значит, что подготовка не так хороша, как должна быть.
Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру.
DOO>>В иной конторе вас попросят откатить все в исходное состояние и придти, когда вы будете готовы нормально деплоить приложение — останавливать (или просто создавать риск остановки) основные сервисы ради вас никто не будет (за пределами согласованного технологического окна). K>Пока везде, где я работал, деплой в продакшен делали мы сами...
Без плана? Без оценки рисков? Без способов отката к исходному состоянию?
Здравствуйте, DOOM, Вы писали:
DOO>Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру.
Дык это ж проще и быстрее
DOO>Без плана? Без оценки рисков? Без способов отката к исходному состоянию?
Ну бекап, конечно, был. А план — план был "сделать так, чтоб всё работало"
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру. K>Дык это ж проще и быстрее
Да ты что? По живой-то системе.
Представляешь — стоит какой-нибудь SAP и прекрасно работает. Приходишь ты — что-то делаешь, SAP перестает работать. Кому чинить? Тебе. А если там не SAP — а OeBS? Все равно тебе.
Получается, что инженеры должны обладать какими-то всесторонними компетенциями (причем оживить серьезную систему из резервной копии — тоже не всегда просто).
В общем, как раз проще — когда чужое не трогаешь. В своем-то всегда лучше разбираешься.
DOO>>Без плана? Без оценки рисков? Без способов отката к исходному состоянию? K>Ну бекап, конечно, был. А план — план был "сделать так, чтоб всё работало"
Да уж
А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели?
А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто...
Здравствуйте, DOOM, Вы писали:
DOO>Да ты что? По живой-то системе. DOO>Представляешь — стоит какой-нибудь SAP и прекрасно работает. Приходишь ты — что-то делаешь, SAP перестает работать. Кому чинить? Тебе. А если там не SAP — а OeBS? Все равно тебе. DOO>Получается, что инженеры должны обладать какими-то всесторонними компетенциями (причем оживить серьезную систему из резервной копии — тоже не всегда просто). DOO>В общем, как раз проще — когда чужое не трогаешь. В своем-то всегда лучше разбираешься.
Не, у нас, как правило, инфраструктура покупается специально под проект, и ничего, кроме нашего проекта там не стоит.
DOO>Да уж DOO>А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели?
Полный бекап (образ диска) делали админы, мы только делали мини-бекапы по необходимости. По консолям (например консоль балансера) мы работали сами, но при необходимости у нас был "на телефоне" эксперт по данным железякам. DOO>А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто...
АД тоже можно забекапить По поводу миграции железа — мне ни разу не доводилось это делать, потому что железо там ставят под наш проект эксклюзивно.
K>Не, у нас, как правило, инфраструктура покупается специально под проект, и ничего, кроме нашего проекта там не стоит.
Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы.
DOO>>Да уж DOO>>А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели? K>Полный бекап (образ диска) делали админы, мы только делали мини-бекапы по необходимости.
Ага. А че ж не вам-то дали?
DOO>>А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто... K>АД тоже можно забекапить
Ну если контроллеров домена штук 20 — то я, честно говоря, не до конца представляю гарантированно правильный порядок действий отката изменений схемы (что-то подсказывает, что бэкапа/восстановления Schema Master'а должно хватить — но вот хз).
K>По поводу миграции железа — мне ни разу не доводилось это делать, потому что железо там ставят под наш проект эксклюзивно.
Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант).
Здравствуйте, DOOM, Вы писали:
DOO>Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы.
Да самом деле дешевле купить новые серваки, чем геморроиться с установкой решений на имеющиеся.
DOO>Ага. А че ж не вам-то дали?
Почему не дали? Просто для этого нам бы пришлось физически ехать в дата-центр, потому мы решили, что они сделают сами. В случае чего у нас был админ on call, который смог бы поднять бэкап. То есть по сути он просто выполнял наши команды.
DOO>Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант).
Ну могу привести в пример продакшен-инфраструктуру текущего проекта:
веб-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система
аппликейшн-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система
сервера БД — 2-узловой кластер под MS SQL 2008 64bit, какое там железо — не в курсе
сервера Endeca (OLAP) — 2-узловой кластер, про железо хз
бекэнд-сервера для Endeca — там Оракл, про физическую структуру не знаю
ну и само собой балансировщик, файрволл и т.п.
Дев-среда попроще — один веб-сервер, один аппсервер, по одному серверу БД, Endeca и её бэкэдна.
Всё это железо куплено специально под проект, сейчас пока инфраструктура онлайн только частично, полное введение в строй запланировано на середину января.
KV>Что же касается фотошопа, то разница есть. Аж две. Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. А во-вторых, человек, который использует этот фотошоп является преступником, с т.з. действующего законодательства и своими действиями подставляет всю компанию.
Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы. K>Да самом деле дешевле купить новые серваки, чем геморроиться с установкой решений на имеющиеся.
Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации).
DOO>>Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант). K>Ну могу привести в пример продакшен-инфраструктуру текущего проекта: K>веб-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система K>аппликейшн-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система K>сервера БД — 2-узловой кластер под MS SQL 2008 64bit, какое там железо — не в курсе K>сервера Endeca (OLAP) — 2-узловой кластер, про железо хз K>бекэнд-сервера для Endeca — там Оракл, про физическую структуру не знаю K>ну и само собой балансировщик, файрволл и т.п.
Ну да. Соизмеримо с инсталляцией стандартной ERP.
Однако сразу масса вопросов возникает — а что, никакой катастрофоустойчивости? А что, SAN нету?
Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации.
Кроме того, всем перечисленным хозяйством надо управлять — где интеграция с системами управления и мониторинга ЦОД? Кто занимался сетевой интеграцией? Сдается мне, что просто техническую архитектуру для ваших систем делает кто-то еще, кто и решает основную массу вопросов — а вы практически на готовое приходите.
K>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей...
Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц.
В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ.
Здравствуйте, koandrew, Вы писали:
K>Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью. Приведу пример: K>Есть компания (кстати, канадский аналог пчелайна, один из [двух] крупнейших национальных операторов связи. Имеется отдел разработки, но основная часть новых разработок выполняется контракторами, работающими onsite. Я являюсь одним из них. У всей команды имеются админские права на своих рабочих машинах, их никто никогда не инспектирует и они ставят какой угодно софт безо всяких ограничений. А всё почему — потому что их время дорого, очень дорого. К примеру, затраты на нашу команду по моим оценкам составляют цифру порядка $5000 в день только на зарплату. При такой цене рабочего времени малейшая разница в производительности экономит компании хорошие деньги. Потому никакой унификации рабочего места нет и в помине — создано всё для того, чтобы сотрудник оборудовал своё место максимально удобным для себя образом.
Подтверждаю слово в слово. В нашинских Западах практически во всех конторах программист сам ставит себе весь софт, стандартный софт — лицензии от конторы, левый — твои проблемы: хочешь ставь, хочешь не ставь — всем положить. Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам. На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали. Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё.
Вспоминаю ситуацию с ИБ в Москве как страшный сон. Старые, тяжёлые на подъём дядьки, которые не особо секут не то что в ИБ, а даже "в компьютерах", спорят до усрачки, какая длина пароля нужна или сколько раз в месяц нужно инспектировать рабочие станции. Особо хардкорные руководители ИБ визируют установку каждого патча KB В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>В сказочном мире живут разработчики, которые свято верят в свою собственную значимость, сравнимую с доходами, например, сотового оператора. ИТшники (всех направлений) одного из наших филиалов тоже так думали, до тех пор, пока в один прекрасный день у них не изъяли все рабочие станции и серверы, которые находились в офисе. Восстановить работу филиала удалось только через два дня, именно столько понадобилось, чтобы доставить оборудование с резервного склада в МСК (в местном "ЗИП"е такого количества железяк не было и быть не могло), залить серверы и поднять на них конфигурацию с бэкапов, залить и ввести в домен рабочие станции, после чего ждать, когда SMS накатит каждому пользователю нужный ему софт.
KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Ну так бандитское государство, бандитские приёмчики, каждый кто может надувает щёки и кладёт огурец в штаны, чтоб казаться круче. Стыдно должно быть, гордиться тем, что контору чуть не убили ради одного сраного фотошопа, до которого даже АДОБЕ нет никакого дела, нечего. Стыд и срам.
Здравствуйте, DOOM, Вы писали:
K>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей... DOO>Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц.
Наличие парковок возле офиса для начальственных членовозов — тоже "непрерывность бизнеса по-русски". Не планируете заняться?
Это мало связано с темой обсуждения.
] крупнейших национальных операторов связи. Имеется отдел разработки, но основная часть новых разработок выполняется контракторами, работающими onsite. Я являюсь одним из них. У всей команды имеются админские права на своих рабочих машинах, их никто никогда не инспектирует и они ставят какой угодно софт безо всяких ограничений. А всё почему — потому что их время дорого, очень дорого. К примеру, затраты на нашу команду по моим оценкам составляют цифру порядка $5000 в день только на зарплату. При такой цене рабочего времени малейшая разница в производительности экономит компании хорошие деньги. Потому никакой унификации рабочего места нет и в помине — создано всё для того, чтобы сотрудник оборудовал своё место максимально удобным для себя образом.