Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Почему это я никогда с подобным "анальным прессингом" не сталкивался?
K>Может потому, что ты его организовывал?
Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код... Намекать мне на то, что я в общем-то не программист, если что, а у тебя многолетний опыт. Но я, исходя из того, что видел в паре-тройке известных мне софтверных компаний, буду продолжать убеждать тебя в том, что ты именно быдлокодер и никто иной. Просто потому что я видел только быдлокодеров, да и то так... издалека. И хотя я ничего не понимаю в процессах разработки, но буду настаивать на том, что мое мнение о тебе и всех этих ваших процессах является единстсвенно правильным и объективным. Скажи, ты долго продержишься в таком режиме общения?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код... Намекать мне на то, что я в общем-то не программист, если что, а у тебя многолетний опыт. Но я, исходя из того, что видел в паре-тройке известных мне софтверных компаний, буду продолжать убеждать тебя в том, что ты именно быдлокодер и никто иной. Просто потому что я видел только быдлокодеров, да и то так... издалека. И хотя я ничего не понимаю в процессах разработки, но буду настаивать на том, что мое мнение о тебе и всех этих ваших процессах является единстсвенно правильным и объективным. Скажи, ты долго продержишься в таком режиме общения?
KV>Так почему ты себя ведешь именно так?
Так и запишем — у суровых сотрудников ИБ атрофировалось чувство юмора...
Здравствуйте, koandrew, Вы писали:
KV>>Так почему ты себя ведешь именно так? K>Так и запишем — у суровых сотрудников ИБ атрофировалось чувство юмора...
Чувство юмора, оно разное бывает. От невинных шуток до подколок на которые имеет право тот, кто уже вдоволь над собой дал посмеяться. Я так думаю, по крайне мере.
Но ок, атрофировалось, так атрофировалось, видимо пора мне его себе восстанавливать. Я займусь этим
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Чувство юмора, оно разное бывает. От невинных шуток до подколок на которые имеет право тот, кто уже вдоволь над собой дал посмеяться. Я так думаю, по крайне мере.
Значит, в точку попал — раз вы даже чувства юмора потеряли KV>Но ок, атрофировалось, так атрофировалось, видимо пора мне его себе восстанавливать. Я займусь этим
Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>>Почему это я никогда с подобным "анальным прессингом" не сталкивался? K>>Может потому, что ты его организовывал? KV>Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код...
Аналогия не вполне корректная. Никто не против существования направления ИБ как такового. Вопрос в реализации. Пока я вижу ПРИНЦИПИПИАЛЬНО разные подходы к организации ИБ в России и на Западе. А именно:
Запад:
1) Специалисты-консультанты по ИБ, участвующие в проекте, консультируют и/или аудируют реализацию ИБ
2) Штатных сотрудников по ИБ практически нет, кроме разве что очень ограниченного круга финансовых/государственных организаций
3) Лицензиями, локингом рабочих станций и развертыванием ПО занимаются админы.
Россия:
1) Специалисты по ИБ занимаются лицензиями, локингом компов, анальным прессингом сотрудников, "непрерывностью бизнеса", отмазами от МВД, встревают в каждый проект, подписывают реализацию ИБ в каждом проекте
2) Покрывают чёрные делишки руководства (выдрать грязно записи из базы, поменять проводки)
3) Выполняют "план по валу" по части прессинга рядовых сотрудников
4) Читают чужую почту и файлы
5) Тормозят бизнес-процессы компании, требуя согласование всех изменений процессов
6) Контролируют системы учёта времени и прессингуют сотрудников за длинные обеды и ранние уходы
7) "Продают" идею о том, какие все рядовые сотрудники воры или хотя бы нарушители драгоценных политик по ИБ, руководству
Нужно ли ИБ рядовой компании? ДА. Согласен ли я с подходомами к ИБ в большинстве российских компаний? НЕТ.
О, вот это уже нормальный аргументированный разговор пошел, здорово
HL>Запад: HL>1) Специалисты-консультанты по ИБ, участвующие в проекте, консультируют и/или аудируют реализацию ИБ HL>2) Штатных сотрудников по ИБ практически нет, кроме разве что очень ограниченного круга финансовых/государственных организаций
DOOM, так вообще по-моему и является таким консультантом на проектах и аутсорсе, в каком-то смысле (пусть он меня поправит, если что), а меня уж точно вполне можно рассматривать как консультанта, которому оказалось проще и дешевле платить ежемесячный оклад, нежели обращаться по мере необходимости.
HL>3) Лицензиями, локингом рабочих станций и развертыванием ПО занимаются админы.
Да, у нас именно так. А еще у нас:
HL>Россия: HL>1) Специалисты по ИБ занимаются лицензиями,
Не лицензиями. Контролем за обеспечением лицензионной политики со стороны ИТ подразделений и взаимодействием с контролирующими органами.
HL>локингом компов, анальным прессингом сотрудников,
Первым мы не занимаемся точно, что такое второе я так и понял. Но если речь идет о дисциплинарных взысканиях, то у меня нет на них полномочий, следовательно и заниматься этим я не могу.
HL>"непрерывностью бизнеса",
Business continuity, как одно из направлений ИБ пришла именно с запада вместе с их риск-менеджментом, к твоему сведению. В России про это понятие слышали единицы компаний, даже на текущий момент. Но опять-таки, мы лишь определяем требования к непрерывности по ИБ и контролируем их исполнение, не более того.
HL>отмазами от МВД,
Не понял. Что ты подразумеваешь под "отмазой"? Да, с МВД взаимодействую я, хотя бы потому что имею диплом юриста. Предлагаешь переложить эту обязанность на админов?
HL>встревают в каждый проект, подписывают реализацию ИБ в каждом проекте
Не в каждый, а в котором заказчиком проекта риски по ИБ определены, как существенные для бизнеса.
HL>2) Покрывают чёрные делишки руководства (выдрать грязно записи из базы, поменять проводки)
По ряду причин, в компании которая котируется на NYSE сие провернуть крайне тяжело, даже здесь. И уж точно мы ничего не покрываем.
HL>3) Выполняют "план по валу" по части прессинга рядовых сотрудников
Нет у нас никакого такого плана. Как и полномочий прессовать рядовых сотрудников.
HL>4) Читают чужую почту и файлы
Только в присутствии владельца этой информации и с его согласия.
HL>5) Тормозят бизнес-процессы компании, требуя согласование всех изменений процессов
Нет. Нас привлекают (если это небоходимо) сами владельцы бизнес-процессов.
HL>6) Контролируют системы учёта времени и прессингуют сотрудников за длинные обеды и ранние уходы
Тут тебя уже унесло в сторону службы внутренней безопасности. ИБ тут вообще не причем. Так или иначе, но у нас нет системы учета времени и контроля за часами входа-выхода сотрудников.
HL>7) "Продают" идею о том, какие все рядовые сотрудники воры или хотя бы нарушители драгоценных политик по ИБ, руководству
Не понял о чем ты. Можно конкретный пример?
HL>Нужно ли ИБ рядовой компании? ДА.
Нет. Она нужна только в той компании, где риски по ИБ являются существенным фактором влияния на бизнес. А рядовая она при этом или нет, не так уж и важно.
HL>Согласен ли я с подходомами к ИБ в большинстве российских компаний? НЕТ.
Ок, я перечислил наш подход, в общих чертах. С чем там не согласен ты?
HL>Подтверждаю слово в слово. В нашинских Западах практически во всех конторах программист сам ставит себе весь софт, стандартный софт — лицензии от конторы, левый — твои проблемы: хочешь ставь, хочешь не ставь — всем положить. Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам. На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали. Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё.
Аналогичная фигня, хоть и не запад. За каменной стеной(в смысле, с надежной с точки зрения IT защитой) спрятаны сервера, на которых важные данные. А девелоперские компы это так — даже если сейчас в едином порыве сгорят все жесткие диски, потеряем мы только время на установку и настройку новых ОС(и тоже у всех стоит то, что нравится).
Лочить комп — а это-то зачем??
HL>Вспоминаю ситуацию с ИБ в Москве как страшный сон. Старые, тяжёлые на подъём дядьки, которые не особо секут не то что в ИБ, а даже "в компьютерах", спорят до усрачки, какая длина пароля нужна или сколько раз в месяц нужно инспектировать рабочие станции. Особо хардкорные руководители ИБ визируют установку каждого патча KB В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу.
Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
Бугага. Подтверждаю, это далеко не только у тебя такой опыт Напыщенные дядьки считают, что их лакированные ботинки или суровый вид — это и есть реальная безопасность.
Я к флешках под админом, кстати, нормально отношусь. Но, как говорится, или крестик сними, или трусы надень Т.е. или суровые дядьки и реально защищённая сеть, или доверие к сотрудникам и пароли на стикерах.
Здравствуйте, Eugeny__, Вы писали:
E__>Лочить комп — а это-то зачем??
Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
Здравствуйте, olegkr, Вы писали:
E__>>Лочить комп — а это-то зачем?? O>Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
Не проще было найти виновника и засадить ему люлей?
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>А причем тут техника-то? Я вот достаточно неплохо разбираюсь в определенных разделах законодательства, например — без этого в нашем деле никак. DOO>>Ты опять путаешь безопасность компьютерную с безопасностью информационной. K>Нет, не путаю. Информационная безопасность — риск технический.
Вот так уверенно это заявляешь, а потом еще обижаешься, когда говорю, что ты в этом не разбираешься.
В гугле хотя бы введи термин и почитай, что про него пишут.
Кто должен разбираться с тем, насколько компания выполняет требования закона о персональных данных?
DOO>>Есть люди, которые озвучивают требования — это в нашем случае ИБшники DOO>>Есть люди, которые исполняют требования — это в нашем случае ИТшники. DOO>>Есть люди, которые контролируют выполнение требований — это опять ИБшники или внешние проверяющие. DOO>>1-е и 3-е — личности заинтересованные. DOO>>2-е, теоретически, нет. Поэтому рассчитывать на то, что они сами себе соответствующие задачи поставят — неразумно. С тем же успехом можно ждать, что ИТшники, вдруг, начнут какие-то задачи бухгалтеров выполнять. K>Почему же тут обходятся без ИБшников?
Да как это обходятся? Я ж тебе выше поминал уже всяких CISO — это наше словечко то? Или посмотри конторы типа US-CERT... Да у них там этому вопросу все гораздо круче, чем у нас. Это у нас должность безопасника 90% контор выделяют ставку, только когда с них это по закону требуют — а там, как ни странно, без всякого пинка сверху это делают.
DOO>>Поверь мне, ИБшникам свое существование оправдывать не надо. K>А что же тогда вы тут делаете?
Хороший вопрос. Троллей кормим наверное.
AB>Так на сколько я понял, офисный IP сидит за NAT/прокси и ни о каком почтовом сервере на этом же IP речи быть не должно. Или я не понял и почтовый "сервер" стоит тут же у директора под столом а весь трафик хитророутится (но это же сообще шаражка какая-то получается)?
Это, что предлагает Small Business Server
ISA (TMG) + Exchange + AD + что-то там еще.
Т.е. у тебя будет NAT на ISA + публикация почтовика во внешнюю сеть.
DOO>> Дак они тебя своей рекламой достали или именно с их сегмента спам валит? AB>Своей рекламой. Наверняка со своего же сегмента (хотя я не проверял). Это я написал к тому, что spamcop их банит на очень маленькое время и все очень быстро возвращается на круги своя.
Здравствуйте, koandrew, Вы писали:
K>Всё это — прописано аналитиками в ТЗ — это их задача поставить задачу таким образом, чтобы все законы были выполнены.
И что-то мне еще говорит, что под ТЗ ты понимаешь совсем не документ по ГОСТ 34.602-89.
Как ты будешь выполнять требования, относящиеся к нетехническим методам защиты?
Здравствуйте, koandrew, Вы писали:
K>Всё у нас есть. Не стоит считать себя самым умным, а всех остальных — идиотами...
А я не считаю кого-то идиотом. Чтобы что-то знать профессионально просто головы на плечах недостаточно.
А ты со своим, вообще говоря, обывательским взглядом на этот вопрос думаешь, что у тебя есть специальные знания — это заблуждение. Такое же, как у Шеридана, например, когда он думает, что у него есть специальные знания по программированию.
DOO>>Почему это я никогда с подобным "анальным прессингом" не сталкивался? K>Может потому, что ты его организовывал?
Кстати, ни разу, как ни странно. Я никогда не был связан именно с организацией режима — сначала я был в компаниях, по сути, эдаким внутренним исследователем, потом уже связался с интеграторством.
E__>>Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
HL>Бугага. Подтверждаю, это далеко не только у тебя такой опыт Напыщенные дядьки считают, что их лакированные ботинки или суровый вид — это и есть реальная безопасность.
Это потому что начальство часто вообще не понимает ничерта в компах. А вот дядьки выглядят солидно, и вообще. Но все-таки так не везде.
HL>Я к флешках под админом, кстати, нормально отношусь. Но, как говорится, или крестик сними, или трусы надень Т.е. или суровые дядьки и реально защищённая сеть, или доверие к сотрудникам и пароли на стикерах.
+1.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
E__>>>Лочить комп — а это-то зачем?? O>>Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
HL>Не проще было найти виновника и засадить ему люлей?
"Засадить ему люлей" звучит как-то стремновато... Имелось ввиду "надавать"?
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, DOOM, Вы писали:
DOO> Это, что предлагает Small Business Server DOO> ISA (TMG) + Exchange + AD + что-то там еще. DOO> Т.е. у тебя будет NAT на ISA + публикация почтовика во внешнюю сеть.
Покупать серверную винду ради софтверного NAT-а при стоимости обыкновенного аппаратного шлюза в 2 т.р. и почтового сервера от бесплатного до 1-5$ в мес (с антивирусами, антиспамами и прочими плюшками) вкупе с содержанием железа в офисе находится за гранью моего понимания рационального.
AB>Покупать серверную винду ради софтверного NAT-а при стоимости обыкновенного аппаратного шлюза в 2 т.р. и почтового сервера от бесплатного до 1-5$ в мес (с антивирусами, антиспамами и прочими плюшками) вкупе с содержанием железа в офисе находится за гранью моего понимания рационального.
А что такого? Железо — HP MicroServer ~ 500$
Софт — MS Small Business Server ~ 300$
На выходе имеем:
1. Полноценный шлюз в интернет (назвать TMG простым NAT'ом это, мягко говоря, занизить его возможности).
2. Полноценную службу каталога AD (ты можешь, конечно, построить что-то на Samba4 — но, поверь, это ни фига не просто и это не для Small Business).
3. Минимальную систему для управления рабочими станциями (System Center Essentials)
4. Средства совместной работы (Exchange + Sharepoint)
5. (не во всех редакциях) — СУБД MS SQL Server.
Как бе ты привел совершенно несравнимую замену.
Еще сделай скидку на то, что на сопровождение винды, как ни крути, найти человека проще.
Да и шлюз за 1-2 тыс. руб — та еще фигня. Лучше уж тогда на 800-ю серию циски разориться. Я вот дома уже отказался от "аппаратного шлюза за 1-2 тыс. руб." — заменил своим домашним сервачком с полностью управляемым мною линуксом
