Здравствуйте, Anton Batenev, Вы писали:

AB>Здравствуйте, DOOM, Вы писали:

DOO>> Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?

AB>Что-то я не совсем понял, как внешний офисный IP влияет на хождение почты?
Что ни разу не видел ошибки 550? Или не имел дела с организациями типа http://www.spamcop.net/?
Принцип очень простой — в сети есть куча honeypot'ов с подложными адресами (а то и целыми почтовыми доменами) + есть массовые сервисы типа hotmail или того же gmail — все эти ребята активно сливают с каких IP ими был получен спам, а когда твой IP станет светиться в этих сводках слишком часто — добро пожаловать в RBL.
P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а).

Здравствуйте, DOOM, Вы писали:

DOO>Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой).
Ну дык можно выделить вам для всех ваших "серверок" отдельную машину.

DOO>И что — тоже новую под ваш проект построили?
Без понятия, если честно. Меня этот вопрос не интересовал как-то...

DOO>Это очень подходящие штуки для виртуализации — у вас же, например, 20000 пользователей поди не все время, а только в какие-то пики. Остальное время ваши железяки просто воздух греют.
Хз, наша задача — обеспечить соответствие требованиям, в них написано — 20000 юзеров /0.5с в течение часа.

DOO>Интересно. У моего коллеги есть знакомый в Канаде — как раз большой эксперт в части виртуализации. Значит в других конторах он проталкивает решения.
Ну если он эксперт — то понятно, почему продвигает Каждый кулик своё болото хвалит.

DOO>Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился.
Наш проект — это главный бизнес компании — ритейл всякой мелочёвки. 80% наших продаж идут через веб-сайт. Собственно мой поинт в том, что нам дают доступ туда, куда нам нужно, и не чинят препонов, вынуждая работать через вторые/третьи руки, как было в некоторых конторах в Москве...

Здравствуйте, DOOM, Вы писали:

DOO>Нет. А кто режим будет устанавливать? Отдел разработки? Или отдел ИТ? ИБ != КБ (компьютерная безопасность) ИБ — это гораздо более широкая тема, она, например, ближе к экономической безопасности (все равно все к деньгам сводится). Во многих банках, например, процедура оценки рисков единая — она не разделена на оценку финансовых рисков или рисков ИБ.
DOO>Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом.
Демагогия. ИБ = "информационная безопасность". Лицензионность софта не в их компетенции, потому что софт — это не информация, и то, что они пытаются туда влезть, не делает им чести...

DOO>CISO это тоже чисто русский термин
DOO>А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК
К чему это?

K>> — как правило, сетевой архитектор занимается ИБ
DOO>Просьба к Владимиру — оставь, пожалуйста, здесь ссылку на твой пост-сказку про то, как админ стал специалистом по ИБ.
DOO>А ты почитай
DOO>И вообще — почему сетевой сразу. Вот я, например, даже не сетевик — у меня нет даже базовых сертификатов (типа CCNA/CCDA), но я разрабатываю комплексные системы защиты информации
Читал. Звучит "с душком"...

DOO>Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал
Ну-ну. Опять звучит как оправдание. Безопасность никому не нужна — нужны безопасные продукты, безопасная сеть и т.п. Это — продукты.

Здравствуйте, koandrew, Вы писали:

K>Здравствуйте, DOOM, Вы писали:

DOO>>Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой).
K>Ну дык можно выделить вам для всех ваших "серверок" отдельную машину.
Можно. Но некоторые, например, умудряются совместить кучу таких консолек на одной физической машине (без виртуализации) — потом там не так чихнул и все падает...


DOO>>Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился.
K>Наш проект — это главный бизнес компании — ритейл всякой мелочёвки. 80% наших продаж идут через веб-сайт. Собственно мой поинт в том, что нам дают доступ туда, куда нам нужно, и не чинят препонов, вынуждая работать через вторые/третьи руки, как было в некоторых конторах в Москве...
Ты так и не понял — вам ничего не дали. Вам дали преднастроенную платформу, все опасные операции выполнили другие — а кого волнует, что вы сделаете на пустой платформе? Играйтесь сколько хотите. В этом, кстати, серьезное отличие проектов по вводу в действие чего-то нового от проектов, где что-то модернизируется/докручивается — платформенные задачи решил и уже, скорее всего, ничего не сломаешь — можно сидеть и не париться. А вот когда "по живому" резать надо — тут некоторые действительно только своими руками делают, а тебя не пускают. Я их понимаю: если что-то поломается — отвечать-то им.

Здравствуйте, koandrew, Вы писали:

DOO>>Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом.
K>Демагогия. ИБ = "информационная безопасность". Лицензионность софта не в их компетенции, потому что софт — это не информация, и то, что они пытаются туда влезть, не делает им чести...
Софт — это средство обработки информации — вообще, говоря, стандартный такой объект защиты.
ИБшник должен обеспечить контроли в бизнес процессах компании, которые не позволят нарушить бизнес. Нелицензионное ПО может нарушить бизнес — значит на это должны обращать внимание ИБшники. Но не обязательно они должны рулить этим вопросом. Рулят пусть ИТшники — а от ИБ просто будут требования сформулированы.

DOO>>CISO это тоже чисто русский термин
DOO>>А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК
K>К чему это?
К твоей фразе:

K>Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ"

Эти документы предъявляют серьезные требования к процессу — без выделенного специалиста не обойтись.

K>Читал. Звучит "с душком"...
Зато верно отражает суть заблуждения.

DOO>>Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал
K>Ну-ну. Опять звучит как оправдание. Безопасность никому не нужна — нужны безопасные продукты, безопасная сеть и т.п. Это — продукты.
Что это за продукт такой — "безопасная сеть"? Бизнесу надо, чтобы его процессы работали и их нельзя было легко нарушить. Вот и все. Но чтобы это обеспечить недостаточно просто купить какой-то софт или железо — надо постоянно заниматься обеспечением безопасности. Начиная от таких банальных задач, как анализ журналов и заканчивая сотрудничеством с руководством компании, дабы адекватно реагировать на изменения бизнеса.
А ты упорно считаешь, что можно придти поставить какую-то ерунду и все внезапно станет безопасным...

Здравствуйте, koandrew, Вы писали:

K> Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ" — как правило, сетевой архитектор занимается ИБ,

при твоих масштабах странно

K>при необходимости привлекаются внешние консультанты-контракторы.

ну а кто может определить необходимость, как не "специалист по ИБ"?

Здравствуйте, koandrew, Вы писали:

K> "информационная безопасность"

и ключевое слово — безопасность, а не информационная. безопасность бизнеса. у них задача такая. а на флешке или в голове вынести попытаешься — им все равно, и то и то отнимут.

Здравствуйте, koandrew, Вы писали:

K> Спецов из отдела ИБ я здесь видел пару раз — когда они проводили тренинг по методам защиты веб-приложений от взломов. ВСЁ.

Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы.

K>Я всё ещё продолжаю верить, что тут вы лезете не в своё дело...

На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты.

Здравствуйте, iHateLogins, Вы писали:

HL> IP поменяем за 3 секунды. Еще варианты?

толку то, когда sa-sa. знаем такие конторы

Здравствуйте, DOOM, Вы писали:

DOO> Что ни разу не видел ошибки 550? Или не имел дела с организациями типа http://www.spamcop.net/?

Смотри, есть офисная сетка с одним IP. Есть почтовый сервер организации с другим IP (а есть еще backup mx с третьим). MTA, который использует DNSBL, анализирует IP соединившегося (в нашем случае внешний офисный) и отклоняет его. А наш почтовый сервер как работал, так и продолжает спокойно работать (и его на всякий случай страхует backup mx).

Проблемы могут начаться когда рассылка идет через почтовый сервер организации (т.е. вирус использует логин/пароль пользователя для авторизации и отправки), но головняк со с почтой перманентен (то кто-нибудь фильм отправит, то менеджер всех клиентов поздравит поставив адреса в СС) — тут обычно все датчики настроены чутко и шалости не проходят.

DOO> P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а).

Эм. А что это? Или имеется ввиду Small Business Server с какой-нибудь приблудой на борту?

З.Ы. Будучи активным поставщиком "свежего мяса" для spamcop мне иногда очень жалко, что IP банят всего на сутки (не так уж и страшно попадать в BL). Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом).

Здравствуйте, DOOM, Вы писали:

DOO>Софт — это средство обработки информации — вообще, говоря, стандартный такой объект защиты.
Мдя.
DOO>ИБшник должен обеспечить контроли в бизнес процессах компании, которые не позволят нарушить бизнес. Нелицензионное ПО может нарушить бизнес — значит на это должны обращать внимание ИБшники. Но не обязательно они должны рулить этим вопросом. Рулят пусть ИТшники — а от ИБ просто будут требования сформулированы.
"информационная безопасность" != "безопасность бизнеса". "Левое" ПО — это юридический риск, а не технический.

DOO>Что это за продукт такой — "безопасная сеть"? Бизнесу надо, чтобы его процессы работали и их нельзя было легко нарушить. Вот и все. Но чтобы это обеспечить недостаточно просто купить какой-то софт или железо — надо постоянно заниматься обеспечением безопасности. Начиная от таких банальных задач, как анализ журналов и заканчивая сотрудничеством с руководством компании, дабы адекватно реагировать на изменения бизнеса.
DOO>А ты упорно считаешь, что можно придти поставить какую-то ерунду и все внезапно станет безопасным...
Это когда всё работает и не падает ©
Всеми этими задачами должны заниматься (и занимаются, по крайней мере в тех конторах, где мне довелось работать тут) админы.
Ещё раз — задача спецов ИБ ИМХО чисто консультативная, тот факт, что они лезут в чужие сферы ответственности, выглядит как попытка оправдать своё существование и имитирование деятельности.

Здравствуйте, _Raz_, Вы писали:

_R_>и ключевое слово — безопасность, а не информационная. безопасность бизнеса. у них задача такая. а на флешке или в голове вынести попытаешься — им все равно, и то и то отнимут.

Вот это и есть классическая подмена понятий. ИБ != безопасности бизнеса.

Здравствуйте, _Raz_, Вы писали:

_R_>при твоих масштабах странно
Вот потому и интересуюсь, чем местные представители профессии занимаются фулл-тайм. Тут как-то обходятся консалтерами

_R_>ну а кто может определить необходимость, как не "специалист по ИБ"?
Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.

Здравствуйте, _Raz_, Вы писали:

_R_>Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы.
Да нет, наоборот, хорошие — минимум вмешательства при максимуме эффекта. Учитесь

_R_>На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты.
Опять подмена понятий.

Здравствуйте, koandrew, Вы писали:

K>Вот это и есть классическая подмена понятий. ИБ != безопасности бизнеса.

это есть классическое не понимание

Здравствуйте, _Raz_, Вы писали:

_R_>это есть классическое не понимание

Нет. Безопасность бизнеса — понятие куда более широкое, и ИБ — лишь один его аспект. Моя претензия именно в том, что ИБшники лезут за пределы своей ответственности...

Здравствуйте, koandrew, Вы писали:

_R_>>при твоих масштабах странно
K>Вот потому и интересуюсь, чем местные представители профессии занимаются фулл-тайм. Тут как-то обходятся консалтерами

похоже на русский подход — пока петух не кллюнул

_R_>>ну а кто может определить необходимость, как не "специалист по ИБ"?
K>Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.

а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то

Здравствуйте, koandrew, Вы писали:

K>Нет. Безопасность бизнеса — понятие куда более широкое, и ИБ — лишь один его аспект. Моя претензия именно в том, что ИБшники лезут за пределы своей ответственности...

Это какая то частная ситуация?

Здравствуйте, _Raz_, Вы писали:

_R_>похоже на русский подход — пока петух не кллюнул
Моё ИМХО в том, что тут у бизнеса есть куда больше опыта в оценке рисков...

_R_>а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то
Зачем? Специалист по ИБ нас консультирует, не принимая прямого участия в процессе. А "старший сисадмин" отвечает за другую сферу. За приложение отвечаем мы, разработчики.

Здравствуйте, koandrew, Вы писали:

_R_>>Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы.
K>Да нет, наоборот, хорошие — минимум вмешательства при максимуме эффекта. Учитесь

Чему? Две строчки выше перечитай

_R_>>На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты.
K>Опять подмена понятий.

Могу повториться (^^^^^^)