Здравствуйте, DOOM, Вы писали:
HL>>А меня-то что иметь в виду? Это они руководство "имели в виду" чтоб бюджеты раздувать. Но со стороны их работа была, скажем так, мерзостная. Помощи — ноль, одно раздувание щёк и прессинг каких-то случайных людей (меня это не касалось). Важно: это была _российская_ контора. DOO>Вспоминается мне одно очень жесткое выступление представителя службы ИБ иностранной компании, который рассказывал сколько ему удалось уголовных дел успешно возбудить против сотрудников, потыривших корпоративные секреты
И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то?
HL>>В буржуйских конторах с N*10K рабочих станций, где я работал, я даже не знал, есть ли отдел ИБ или нет. Может они где-то сидели и что-то мониторили, но это было незаметно. Может быть даже их работа была полезна, не в курсе. DOO>Ага-ага. DOO>А компании Trend Micro, Symantec, Sophos, CA, McAffee и т.п. — это всякие русские шарашкины конторки, которые изготавливают продукт для российских компаний с параноидальными дядечками из отделов ИБ
Опять не пойму, с чем ты споришь. Антивирусы в буржуинии много где ставят, но прессинга со стороны ИБ нет. Просто AV включен в базовый имидж и всё, никаких бледжеков и шлюх.
Здравствуйте, iHateLogins, Вы писали:
HL>И как только раньше семьи жили, без локинга компов, а?
Раньше и без компов жили. Что же их сейчас не использовать?
HL>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей.
А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню.
Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе.
DOO>>Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я. HL>За "прикидывание шлангом" и преднамеренное враньё есть другие статейки, вплоть до увольнения. В наших краях репутацию стараются не портить по ерунде.
Дак ты докажи сначала. А чтобы доказать тебе что надо? Правильно — надежную аутентификацию + логи. А кто этим будет заниматься? Правильно — безопасник.
DOO>>Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды. HL>Не понимаю, с чем ты споришь? С тем, что читают и вникают?
Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется.
HL>Да вот нифига не детали. Миранда на рабочем компе даже с точки зрения той же безопасности — в тыщу раз меньшая угроза, чем дырявый насквозь ИЕ6.
А если из-за этой миранды по какой-то непонятной причине у тебя перестанет работать какое-то корпоративное приложение? ИТшник потратит на твою проблему не один день — потому что она уникальна — оплачивать эти рабочие часы итшника ты сам будешь? Унификация нужна для управляемости. А дырявость сферического приложения в вакууме в целом на безопасность не влияет — все зависит от окружения.
P.S. Тот же IE6 — требование целой кучи ынтырпрайз приложений, когда там будет поддержка IE8 — никто не знает, вот и сидят на 6-м.
DOO>>Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета. HL>Ну ботнет-то можно отследить и без анального прессинга сотрудников.
А я где-то призывал "анально прессовать"?
DOO>>Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов. HL>Вот на ИП телефонию пароль посложнее
Ага. Уже что-то у тебя выторговали. HL>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов.
И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ.
У нас, кстати, когда-то так было — очень неудобно.
DOO>>У вашего босса уведут ключ интернет банка и подоят корпоративный счет. HL>Деньги просто так, даже зная логины и пароли, не выведешь, по крайней мере у нас. Куда их перечислять? За рубеж — не дадут без личного обращения в банк, а по стране — так все аккаунты проверены, завтра же "на том конце" человечка оприходуют в случае чего.
Ну глупый попался — вам-то все равно ущерб — какое-то время оборотные средства будут недоступны.
DOO>>Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней. HL>Она просто не будет заходить на наш сервер. Вы же не думаете, что она проломит Вам голову ломом (случайно, конечно) за пару дней до дедлайна, почему вы думаете, что она будет куда-то логиниться и что-то ломать?
А зачем вам под систему делать выделенный сервер? Че бы не хранить все на одном файловом серваке?
HL>Да выдумки всё это. Проекты фейлятся не из-за девочек-маньячек, а из-за ленивых сотрудников, дебильного на голову менеджмента или вороватого руководства.
Всяко бывает. Если не обращать внимания на безопасность, то можно завалить проект, например, из-за отсутствия системы резервного копирования.
А если обращать, то можно продолжить работу, даже, если твой офис взорвали террористы (если это актуально для твоего бизнеса).
Здравствуйте, iHateLogins, Вы писали:
HL>И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то?
А, дак ты из тех, кто сам себе предмет спора выдумывает? А где тут вообще кто-то про какой-то прессинг сказал? Речь идет вообще о том, что необходимо выполнять ряд определенных мероприятий (в том числе по ИБ), чтобы бизнес нормально функционировал.
Здравствуйте, DOOM, Вы писали:
HL>>И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то? DOO>А, дак ты из тех, кто сам себе предмет спора выдумывает? А где тут вообще кто-то про какой-то прессинг сказал? Речь идет вообще о том, что необходимо выполнять ряд определенных мероприятий (в том числе по ИБ), чтобы бизнес нормально функционировал.
Мне есть с чем сравнить. Я довольно долго работал в Москве, как на буржуйские, так и на российские конторы, и уже 2 года — на Западе. Разница между подходом к ИБ между российскими и западными компаниями — ПРОПАСТЬ. Вроде тема такая же, а реализовано всё по-другому. И софт можно ставить, и прессинга нет, и щёки в западных конторах ИБ-ники не надувают. Хотя тематика-то, повторюсь, такая же: "чтобы было безопасно", "бизнес функционировал", "ляля тополя". Только российские конторки валятся как подкошенные, а буржуинские работают десятки лет. Значит можно не гоняться за Мирандами и, тем не менее, хорошо "функционировать бизнес", не так ли?
Здравствуйте, DOOM, Вы писали:
HL>>И как только раньше семьи жили, без локинга компов, а? DOO>Раньше и без компов жили. Что же их сейчас не использовать?
Ох, моя аналогия не настолько простая, как тебе показалось. Раньше папа дома рисовал документики на бумажке, складывал в папочку. И без сильной криптографии детям объяснял, что рисовать каляки маляки на них не стоит.
HL>>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей. DOO>А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню. DOO>Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе.
Начнем с того, что 10000 компов в ОДНОЙ сети — это уже маразм. Делите на участки, делайте локальные филиалы, до 10 тыщ компов в ОДНОЙ сети — это полная бредятина.
DOO>>>Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я. HL>>За "прикидывание шлангом" и преднамеренное враньё есть другие статейки, вплоть до увольнения. В наших краях репутацию стараются не портить по ерунде. DOO>Дак ты докажи сначала. А чтобы доказать тебе что надо? Правильно — надежную аутентификацию + логи. А кто этим будет заниматься? Правильно — безопасник.
Клава фонит дай те боже как, пароли на ура перехватываются в 20 метровой зоне. И что, это мешает кому-то доказывать? Нет. Ну так и в нашем случае, цифровых и не только следов достаточно и без "надежного крипто", даже тех, что ведутся по умолчанию в винде.
DOO>>>Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды. HL>>Не понимаю, с чем ты споришь? С тем, что читают и вникают? DOO>Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется.
Звучит красиво. В реальности же "диспетчеры службы поддержки" получают свои 20-30 тыщ рублей и качества их работы — РОВНО на эту сумму. Какие там КБ, какое внимание к деталям
HL>>Да вот нифига не детали. Миранда на рабочем компе даже с точки зрения той же безопасности — в тыщу раз меньшая угроза, чем дырявый насквозь ИЕ6. DOO>А если из-за этой миранды по какой-то непонятной причине у тебя перестанет работать какое-то корпоративное приложение? ИТшник потратит на твою проблему не один день — потому что она уникальна — оплачивать эти рабочие часы итшника ты сам будешь? Унификация нужна для управляемости. А дырявость сферического приложения в вакууме в целом на безопасность не влияет — все зависит от окружения. DOO>P.S. Тот же IE6 — требование целой кучи ынтырпрайз приложений, когда там будет поддержка IE8 — никто не знает, вот и сидят на 6-м.
Да никто ничего делать не хочет. Видел кучу примеров, когда "ынтырпрайзы", все такие растакие, банально теряли исходники. Вот и сидят на дырявом 6-м, сводя на нет все свои усилия по безопасности.
DOO>>>Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета. HL>>Ну ботнет-то можно отследить и без анального прессинга сотрудников. DOO>А я где-то призывал "анально прессовать"?
DOO>>>Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов. HL>>Вот на ИП телефонию пароль посложнее DOO>Ага. Уже что-то у тебя выторговали.
Ну на внешние системки пароли посложнее.
HL>>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов. DOO>И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ. DOO>У нас, кстати, когда-то так было — очень неудобно.
Перезвони по мобиле, делов-то.
DOO>>>У вашего босса уведут ключ интернет банка и подоят корпоративный счет. HL>>Деньги просто так, даже зная логины и пароли, не выведешь, по крайней мере у нас. Куда их перечислять? За рубеж — не дадут без личного обращения в банк, а по стране — так все аккаунты проверены, завтра же "на том конце" человечка оприходуют в случае чего. DOO>Ну глупый попался — вам-то все равно ущерб — какое-то время оборотные средства будут недоступны.
Не слышал про таких идиотов.
DOO>>>Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней. HL>>Она просто не будет заходить на наш сервер. Вы же не думаете, что она проломит Вам голову ломом (случайно, конечно) за пару дней до дедлайна, почему вы думаете, что она будет куда-то логиниться и что-то ломать? DOO>А зачем вам под систему делать выделенный сервер? Че бы не хранить все на одном файловом серваке?
Виртуализация нынче довольно доступная штука.
HL>>Да выдумки всё это. Проекты фейлятся не из-за девочек-маньячек, а из-за ленивых сотрудников, дебильного на голову менеджмента или вороватого руководства. DOO>Всяко бывает. Если не обращать внимания на безопасность, то можно завалить проект, например, из-за отсутствия системы резервного копирования.
И сколько таких проектов, заваленных из-за отсутствия бэкапов? Десятая доля процента, сотая?
DOO>А если обращать, то можно продолжить работу, даже, если твой офис взорвали террористы (если это актуально для твоего бизнеса).
Вероятнее тогда уж эпидемия чумы или нашествие инопланетян.
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, kochetkov.vladimir, Вы писали:
K>>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? KV>>Эксплуатация нестандартного ПО в целом и нелицензионного в частности, несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
HL>Как-то несёт душком канцелярщины. Казалось бы, говорит человек, а звучит, как робот
Здравствуйте, iHateLogins, Вы писали:
HL>>>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов. DOO>>И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ. DOO>>У нас, кстати, когда-то так было — очень неудобно.
HL>Перезвони по мобиле, делов-то.
ну собственно вот это предложение говорит о том, что ты даже не пытаешься себе представить маштабы бедствия.
Да даже в небольшой фирме обрыв конференц-колла с клиентом может стоить контракта. А в крупной?
Здравствуйте, iHateLogins, Вы писали:
HL>Мне есть с чем сравнить. Я довольно долго работал в Москве, как на буржуйские, так и на российские конторы, и уже 2 года — на Западе. Разница между подходом к ИБ между российскими и западными компаниями — ПРОПАСТЬ. Вроде тема такая же, а реализовано всё по-другому. И софт можно ставить, и прессинга нет, и щёки в западных конторах ИБ-ники не надувают. Хотя тематика-то, повторюсь, такая же: "чтобы было безопасно", "бизнес функционировал", "ляля тополя". Только российские конторки валятся как подкошенные, а буржуинские работают десятки лет. Значит можно не гоняться за Мирандами и, тем не менее, хорошо "функционировать бизнес", не так ли?
В общем-то ты споришь с тем, что сам себе выдумал. Здесь ты это и изложил.
Почему это я никогда с подобным "анальным прессингом" не сталкивался? А я даже на режимных объектах работал, если че.
Конкретно твой опыт может быть отрицательным — у нас не только безопасников хороших мало. У нас и айтишников хороших сложно найти и программистов тем более — что теперь...
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, DOOM, Вы писали:
HL>>>И как только раньше семьи жили, без локинга компов, а? DOO>>Раньше и без компов жили. Что же их сейчас не использовать? HL>Ох, моя аналогия не настолько простая, как тебе показалось. Раньше папа дома рисовал документики на бумажке, складывал в папочку. И без сильной криптографии детям объяснял, что рисовать каляки маляки на них не стоит.
А теперь можно не надеяться на сознательность 2-х летнего ребенка, а просто залочить компьютер — удобно ведь.
HL>>>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей. DOO>>А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню. DOO>>Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе. HL>Начнем с того, что 10000 компов в ОДНОЙ сети — это уже маразм. Делите на участки, делайте локальные филиалы, до 10 тыщ компов в ОДНОЙ сети — это полная бредятина.
Ну правильно. Надо найти у собеседника в тезисе какую-нибудь ничего не значащую мелочь и попытаться перевести тему на нее.
Сеть она, как правило, одна — а ее уже делят на сегменты — это принятая терминология. Поэтому у нас есть такие термины, как, например, "сеть Интернет".
HL>Клава фонит дай те боже как, пароли на ура перехватываются в 20 метровой зоне.
Только ухом ты этот фон не уловишь — еще технику надо, а значит вероятность реализации такой угрозы значительно ниже.
Но ты не понял — я же сказал, что накосячивший будет отнекиваться, утверждая, что это сделал не он, а кто-то воспользовался его простым паролем/незалоченным компьютером и т.п. Замаешься доказывать.
HL>Нет. Ну так и в нашем случае, цифровых и не только следов достаточно и без "надежного крипто"
Так. А криптография у тебя из каких фантазий вынырнула?
HL>, даже тех, что ведутся по умолчанию в винде.
Ну дак ты их настрой сначала — они ж по умолчанию практически не ведутся. Я же не говорю, что обязательно покупать какое-то отдельное решение — инструменты могут быть произвольные.
DOO>>Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется. HL>Звучит красиво. В реальности же "диспетчеры службы поддержки" получают свои 20-30 тыщ рублей и качества их работы — РОВНО на эту сумму. Какие там КБ, какое внимание к деталям
Ты либо исключительно троллинга ради тут рассуждаешь, либо действительно не умеешь вникать в то, что тебе пишут. Надоело уже очевидные вещи тебе объяснять.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Эксплуатация нестандартного ПО в целом
верно KV>и нелицензионного в частности,
а вот это не имеет значения KV>несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
KV>Каких именно людей эта забота?
Ну у нас вопросами лицензирования обычно занимаются админы... Лицензионность/нелицензионность не относится к ИБ — к ИБ относится сам факт наличия софта.
Здравствуйте, kochetkov.vladimir, Вы писали:
YKU>>Простите, мы о какой "безопасности" вообще говорим? KV>Об информационной
Неа. Это называется как-то иначе. Бо с таким подходом у нас каждый сотрудник вохры занимается "информационной безопасностью": он охраняет бухгалтерию и её гроссбухи от взлома. фомкой.
KV>Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых.
Вот так вот изьятие всего на свете? Или может светил там штраф в размере уж не знаю, сколько там по УК РФ? Причём, поскольку это было сделано в единственном экземпляре по личной инициативе сотрудника, то и компания как-бы вся в белом.
KV>Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала.
Самое ценное и трудновосстановимое — это информация на тех самых изьятых серверах и компах. И как же отсутствие зоопарка вам помогло?
YKU>>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках? KV>Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
Правда? Чьи же это слова: "если бы это не был банальный наезд и редейрство"? А фраза "весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче" — она в чьей голове родиласть? Или и есть "информационная безопасность" в действии?
Здравствуйте, koandrew, Вы писали:
KV>>и нелицензионного в частности, K>а вот это не имеет значения
имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного.
KV>>Каких именно людей эта забота? K>Ну у нас вопросами лицензирования обычно занимаются админы...
Вот мы и подбираемся к самому главному. У нас — тоже
K>Лицензионность/нелицензионность не относится к ИБ к ИБ относится сам факт наличия софта.
не, ну вам, разработчикам, конечно виднее: что относится к ИБ, а что нет, я даже боюсь тут спорить
P.S: хочу воспользоваться возможностью: не подскажешь заодно, если в левом боку периодически как будто покалывает — это к хирургу или лучше начать с терапевта? Спасибо.
Здравствуйте, yoriсk.kiev.ua, Вы писали:
YKU>Здравствуйте, kochetkov.vladimir, Вы писали:
YKU>>>Простите, мы о какой "безопасности" вообще говорим? KV>>Об информационной
YKU>Неа. Это называется как-то иначе. Бо с таким подходом у нас каждый сотрудник вохры занимается "информационной безопасностью": он охраняет бухгалтерию и её гроссбухи от взлома. фомкой.
И здесь мы подошли к главному. Как ты думаешь, есть ли разница между понятием "информационная безопасность" и "безопасность информационных систем"? Кстати, вынужден сразу огорчить, вопросы физдоступа являются неотъемлемой частью первого понятия, и даже во всяческих коранах типа ISSP этот факт отражен, если что. Просвещайся: http://dorlov.blogspot.com/2010/03/issp-04-5.html
KV>>Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. YKU>Вот так вот изьятие всего на свете?
Могли бы изъять. Могли бы и нет. Это меня волнует.
YKU>Или может светил там штраф в размере уж не знаю, сколько там по УК РФ?
А вот это меня не волнует совершенно, это не моя зона ответственности.
YKU>Причём, поскольку это было сделано в единственном экземпляре по личной инициативе сотрудника, то и компания как-бы вся в белом.
Т.е. ты считаешь нормальной политикой сдать сотрудника с потрохами и не париться по этому поводу? А ведь "сколько там по УК РФ" исчисляется не столько в рублях, сколько в годах, на секундочку.
KV>>Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала. YKU>Самое ценное и трудновосстановимое — это информация на тех самых изьятых серверах и компах. И как же отсутствие зоопарка вам помогло?
Как ты думаешь, что проще: залить все рабочие станции из единого образа с предустановленным софтом, ввести их в домен под старыми именами, после чего просто подождать пока system management server не накатит специфичное но стандартное ПО, которое использовал каждый конкретный пользователь на каждой конкретной машине, после чего подтянуть роуминг профили пользователей и дать им возможность работать практически в том же окружении, что бы у них до инцидента. Или же заливать и настраивать каждое рабочее место в отдельности с тем софтом, которое пользователь сам себе нарыл в интернетах? Или может это должно быть проблемой пользователей?
YKU>>>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках? KV>>Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
YKU>Правда? Чьи же это слова: "если бы это не был банальный наезд и редейрство"? А фраза "весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче" — она в чьей голове родиласть? Или и есть "информационная безопасность" в действии?
Если ты невнимательно прочитал то, что я писал выше по поводу этих историй и причин по которым я их рассказал, то могу лишь посочувствовать и порекомендовать прочитать их снова, после чего вернуться к началу этого предложения. Ты либо зациклишься, либо наконец поймешь, какое отношение они имеют к обсуждаемой теме. Меня устроит любой из вариантов
Здравствуйте, DOOM, Вы писали:
DOO>Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации).
Может быть, но проекты, в которых я учавствовал тут, мелкими консолями не назовёшь.
DOO>Ну да. Соизмеримо с инсталляцией стандартной ERP. DOO>Однако сразу масса вопросов возникает — а что, никакой катастрофоустойчивости? А что, SAN нету?
SAN есть. Куча серверов нужна не сколько для скорости, сколько для отказуйстойчивости. DOO>Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации.
Не такое уж и малонагруженное приложение — проектная нагрузка 20000 пользователей с требуемым временем отклика меньше 0.5 с. Виртуализация кстати здесь почему-то не в почёте — везде, где я контрактил, использовалось физическое железо. DOO>Кроме того, всем перечисленным хозяйством надо управлять — где интеграция с системами управления и мониторинга ЦОД? Кто занимался сетевой интеграцией? Сдается мне, что просто техническую архитектуру для ваших систем делает кто-то еще, кто и решает основную массу вопросов — а вы практически на готовое приходите.
Так и есть. Админы подготовили нам среду (поставили ОС, настроили файрволлы и т.п.) и отдали её нам на растерзание За мониторинг приложения отвечаем мы (соответствующий компонент интегрирован в ядро системы), за мониторинг серверов отвечает балансер (он имеет пробы на всех узлах, в случае чего автоматически выводит ноду из кластера и отсылает мыло заинтересованным лицам).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного.
Объяснишь?
KV>Вот мы и подбираемся к самому главному. У нас — тоже
Тогда повторяю свой вопрос — при чём тут ИБ?
KV>не, ну вам, разработчикам, конечно виднее: что относится к ИБ, а что нет, я даже боюсь тут спорить
Это не нам виднее — просто я вижу, как это здесь организовано. Спецов из отдела ИБ я здесь видел пару раз — когда они проводили тренинг по методам защиты веб-приложений от взломов. ВСЁ. Я всё ещё продолжаю верить, что тут вы лезете не в своё дело...
KV>P.S: хочу воспользоваться возможностью: не подскажешь заодно, если в левом боку периодически как будто покалывает — это к хирургу или лучше начать с терапевта? Спасибо.
Здравствуйте, DOOM, Вы писали:
DOO>Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц. DOO>В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ.
За "обеспечение функционирования бизнес процессов" отвечают админы и внутренняя техподдержка (в небольших конторах это часто одни и те же люди) == ИТ. ИБ тут мимо. Задача ИБ по моим представлениям (и по тому, что я вижу здесь) — консультации ИТ и отделы разработки по вопросам безопасности, возникающим в процессе их деятельности. Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ" — как правило, сетевой архитектор занимается ИБ, при необходимости привлекаются внешние консультанты-контракторы. Потому что здесь популярно мнение, что спецы по ИБ как штатные единицы не нужны на постоянной основе, и их берут на контракты при необходимости...
Здравствуйте, DOOM, Вы писали:
DOO> Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?
Что-то я не совсем понял, как внешний офисный IP влияет на хождение почты?
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации). K>Может быть, но проекты, в которых я учавствовал тут, мелкими консолями не назовёшь.
Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой).
K>SAN есть. Куча серверов нужна не сколько для скорости, сколько для отказуйстойчивости.
И что — тоже новую под ваш проект построили?
DOO>>Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации. K>Не такое уж и малонагруженное приложение — проектная нагрузка 20000 пользователей с требуемым временем отклика меньше 0.5 с.
Это очень подходящие штуки для виртуализации — у вас же, например, 20000 пользователей поди не все время, а только в какие-то пики. Остальное время ваши железяки просто воздух греют.
K>Виртуализация кстати здесь почему-то не в почёте — везде, где я контрактил, использовалось физическое железо.
Интересно. У моего коллеги есть знакомый в Канаде — как раз большой эксперт в части виртуализации. Значит в других конторах он проталкивает решения.
K>Так и есть. Админы подготовили нам среду (поставили ОС, настроили файрволлы и т.п.) и отдали её нам на растерзание За мониторинг приложения отвечаем мы (соответствующий компонент интегрирован в ядро системы), за мониторинг серверов отвечает балансер (он имеет пробы на всех узлах, в случае чего автоматически выводит ноду из кластера и отсылает мыло заинтересованным лицам).
Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился.
DOO>>В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ. K>За "обеспечение функционирования бизнес процессов" отвечают админы и внутренняя техподдержка (в небольших конторах это часто одни и те же люди) == ИТ. ИБ тут мимо.
K>Задача ИБ по моим представлениям (и по тому, что я вижу здесь) — консультации ИТ и отделы разработки по вопросам безопасности, возникающим в процессе их деятельности.
Нет. А кто режим будет устанавливать? Отдел разработки? Или отдел ИТ? ИБ != КБ (компьютерная безопасность) ИБ — это гораздо более широкая тема, она, например, ближе к экономической безопасности (все равно все к деньгам сводится). Во многих банках, например, процедура оценки рисков единая — она не разделена на оценку финансовых рисков или рисков ИБ.
Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом.
K>Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ"
CISO это тоже чисто русский термин
А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК
K> — как правило, сетевой архитектор занимается ИБ
Просьба к Владимиру — оставь, пожалуйста, здесь ссылку на твой пост-сказку про то, как админ стал специалистом по ИБ.
А ты почитай
И вообще — почему сетевой сразу. Вот я, например, даже не сетевик — у меня нет даже базовых сертификатов (типа CCNA/CCDA), но я разрабатываю комплексные системы защиты информации
K>, при необходимости привлекаются внешние консультанты-контракторы.
У нас тоже. По любому поводу практически
K>Потому что здесь популярно мнение, что спецы по ИБ как штатные единицы не нужны на постоянной основе, и их берут на контракты при необходимости...
Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал