Здравствуйте, DOOM, Вы писали:
DOO>А я для себя сделал выводов про вас поболе:
А я про безопасников
DOO>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит).
Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
DOO>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.
Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников. И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.
DOO>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация.
Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.
DOO>4. Снова видно, что вы самостоятельно занимаетесь сбором информации о событии ИБ + управляете инцидентами ИБ (начиная от приема заявки по телефону) — странно, учитывая большое количество систем разного уровня, автоматизирующих эти процессы (и очень даже неплохо, иной раз).
Опять, кому нужно — тот и делает. В противном случае следует существенно пересмотреть зарплатную политику остальных отделов — в сторону существенного увеличения, чтобы они помимо своей работы ещё и вашу выполняли
DOO>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют
Здравствуйте, frogkiller, Вы писали:
F>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки.
Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете...
F>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников.
Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация.
Еще раз повторю — эталонные конфигурации придумали ИТшники — как способ оптимизации процесса поддержки пользователя.
DOO>>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.
F>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников.
Это тупиковая позиция. На западе хорошо понимают, что IT Service Management неразрывно связан с управлением безопасностью — тебе тупо надо уметь отличить инцидент ИТ от инцидента ИБ (тут именно в этом была проблема — инцидент ИТ был принят за инцидент ИБ).
Дак вот — кесарю, кесарево. Завтра ты еще скажешь, что база бухгалтерии нужна бухгалтерам — вот пусть они ее и поддерживают. А вы тогда зачем нужны? Ваша задача предоставлять ИТ сервисы всем заинтересованным сторонам.
F>И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.
Обосновать потребность в таком сервисе — задача безопасников. Сказать, что для этого надо дцать серверов таких-то — задача ИТшников. Если каждый будет решать что надо купить, то ваш ЦОД превратится в неуправляемый зоопарк — поэтому снова повторюсь: такая позиция — тупиковая. Я видел большие организации, где вот так вот подразделения разбежались по своим углам и только и занимаются тем, что доказывают, что это не их задача, а вот этих. Эффективность никакая.
DOO>>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация. F>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.
Может быть
DOO>>4. Снова видно, что вы самостоятельно занимаетесь сбором информации о событии ИБ + управляете инцидентами ИБ (начиная от приема заявки по телефону) — странно, учитывая большое количество систем разного уровня, автоматизирующих эти процессы (и очень даже неплохо, иной раз). F>Опять, кому нужно — тот и делает. В противном случае следует существенно пересмотреть зарплатную политику остальных отделов — в сторону существенного увеличения, чтобы они помимо своей работы ещё и вашу выполняли
Что-то не понял этого твоего замечания.
DOO>>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют F>Вот с этого и надо было начинать
Начинать нельзя. Если ты придешь к руководству и скажешь "дайте 10 млн, потому что" — то тебя не дослушают. Сначала надо долго доказывать почему сейчас плохо и как все может быть хорошо, а в конце сказать, что надо-то всего XXX млн. рублей — еще хорошо бы рассчитать срок окупаемости. Обычно при таком подходе руководство более сговорчиво
Здравствуйте, frogkiller, Вы писали:
F>Здравствуйте, DOOM, Вы писали:
DOO>>А я для себя сделал выводов про вас поболе:
F>А я про безопасников
Вот теперь и представь, какие выводы я делаю о программистах, регулярно читая этот форум
DOO>>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит).
F>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным.
Процесс разработки тут не причем, речь шла о рядовом (с т.з. ИТ-процессов) пользователе.
DOO>>2. Тот факт, что прокси имеет проблемы с ведением логов (я, все же, подозреваю, что это не глюки — а сознательное отключение логирования для части правил на прокси) говорит о том, что конфигурация прокси определяется только, например, ИТшниками, для которых логи это, прежде всего, головная боль — сложно искать что-то нужное, необходимо выискивать место для хранения логов и т.п. Журналы интересны вам — значит вам и контролировать, что конфигурация прокси соответствует вашим требованиям. Т.е. опять проблемы на стыке управления конфигурацией/безопасностью + недостаток внутреннего аудита.
F>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников. И если для сбора и хранения логов нужны машины на несколько миллионов и специальный человек для обработки, то это ваши проблемы, как внести их в годовой бюджет.
У нас это так и реализовано. ИТшники лишь обязаны обеспечить своевременную передачу журналов на наши системы.
DOO>>3. Тот факт, что в этом расследовании ваш партнер на полном серьезе рассматривался как потенциальный злоумышленник (искажающий сведения о событии ИБ) — это тоже повод задуматься. Даже не знаю, что сходу предложить, потому что для меня это крайне нетипичная ситуация.
F>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи.
Ты работал раньше в компании, которая является нашим партнером. Ты работаешь сейчас в компании, которая является нашим партнером. Представляешь, что ждет тебя в третьей компании?
DOO>>4. Снова видно, что вы самостоятельно занимаетесь сбором информации о событии ИБ + управляете инцидентами ИБ (начиная от приема заявки по телефону) — странно, учитывая большое количество систем разного уровня, автоматизирующих эти процессы (и очень даже неплохо, иной раз).
Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>>А я для себя сделал выводов про вас поболе: F>>А я про безопасников KV>Вот теперь и представь, какие выводы я делаю о программистах, регулярно читая этот форум
Фантазия у меня, конечно, богатая, но выводы могут быть довольно разными
DOO>>>1. Тот факт, что сотрудники используют альтернативный браузер говорит, что у вас есть какие-то проблемы в процессе управления конфигурацией/релизами (не верю я, что Опера — ваш корпоративный стандарт). Либо есть проблема с фиксацией фактов нарушения корпоративной политики (т.е. слабоват внутренний аудит). F>>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным. KV>Процесс разработки тут не причем, речь шла о рядовом (с т.з. ИТ-процессов) пользователе.
Это был в первую очередь камень в огород DOOM'а с его "нарушением корпоративной политики".
F>>Это потому, что партнёрство у опсосов довольно специфическое: каждый третий — или секс по телефону или спам или полукриминальные лотереи. KV>Ты работал раньше в компании, которая является нашим партнером. Ты работаешь сейчас в компании, которая является нашим партнером. Представляешь, что ждет тебя в третьей компании?
Всё нормально. Секс по телефону уже был, так что у меня в запасе как минимум одна нормальная попытка должна быть
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, DOOM, Вы писали:
F>>Такое впечатление, что, дай вам волю, вы всех засунете в смирительные рубашки, напрочь парализуя процесс разработки. DOO>Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете...
Как-то ты пренебрежительно о людях отзываешься, а гордыня, между прочим, — смертный грех
F>>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным. DOO>Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников.
Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.
DOO>Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация.
Такая логика применима только для компаний, которые сами ничего не производят, а лишь занимаются перераспределением денег из одних карманов в другие — банки, разные пререпродавцы и т.д.
Какие, к примеру, будут финансовые потери компании-разработчика, если все её сотрудники будут на 5% менее эффективны из-за неудобных инструментов? И не в течении пары лет, а месяцы и годы.
F>>Журналы интересны вам — значит вы и должны обеспечить ресурсы для их ведения и бюджет для реализации, а не перекладывать на плечи айтишников. DOO>Это тупиковая позиция. На западе хорошо понимают, что IT Service Management неразрывно связан с управлением безопасностью — тебе тупо надо уметь отличить инцидент ИТ от инцидента ИБ (тут именно в этом была проблема — инцидент ИТ был принят за инцидент ИБ). DOO>Дак вот — кесарю, кесарево. Завтра ты еще скажешь, что база бухгалтерии нужна бухгалтерам — вот пусть они ее и поддерживают. А вы тогда зачем нужны? Ваша задача предоставлять ИТ сервисы всем заинтересованным сторонам.
Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации?
DOO>>>Вот так. По результатам можно даже неплохой план работ на 2011 г. для руководства подготовить — вдруг профинансируют F>>Вот с этого и надо было начинать DOO>Начинать нельзя. Если ты придешь к руководству и скажешь "дайте 10 млн, потому что" — то тебя не дослушают. Сначала надо долго доказывать почему сейчас плохо и как все может быть хорошо, а в конце сказать, что надо-то всего XXX млн. рублей — еще хорошо бы рассчитать срок окупаемости. Обычно при таком подходе руководство более сговорчиво
Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может. Может быть снижения риска потерь от действий злоумышленников или несчастного случая. И больше какого-то процента от стоимости активов получить всё равно не удастся. Поэтому сговорчивость руководства будет весьма условной. Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, frogkiller, Вы писали:
DOO>>Причем тут разработка? Речь шла про какого-то манагера, который тупо серфил в интернете... F>Как-то ты пренебрежительно о людях отзываешься, а гордыня, между прочим, — смертный грех
Да ладно. Что ж извиняюсь, если кто-то решил, что я в этой фразе показал пренебрежительное отношение к какой-то группе людей...
F>>>Запретив один из инструментов, вы должны предоставить другой не менее удобный. Если не можете предоставить — решайте свои проблемы самостоятельно, не мешая остальным. DOO>>Во-первых, эталонная конфигурация — это порождение ИТшников, а не безопасников. F>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам.
Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда.
У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий).
DOO>>Во-вторых, использование той же Оперы привело к тому, что Владимир и его коллега + немного их партнер потратили время на то, чтобы понять, что вся проблема в Опере. Давайте теперь тупо посчитаем сколько стоит час их работы и к каким прямым финансовым потерям привела эта ситуация. F>Такая логика применима только для компаний, которые сами ничего не производят, а лишь занимаются перераспределением денег из одних карманов в другие — банки, разные пререпродавцы и т.д. F>Какие, к примеру, будут финансовые потери компании-разработчика, если все её сотрудники будут на 5% менее эффективны из-за неудобных инструментов? И не в течении пары лет, а месяцы и годы.
Это сотовый оператор, а не компания-разработчик. И я не говорю, что корпоративный стандарт должен быть обязательно IE — Опера, дак Опера. Просто зоопарк в здравом уме никто держать не станет — это штат тех. поддержки надо, грубо, в 3 раза больший.
F>Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации?
Здрасьте приехали. Безопасник может вообще ничего не понимать в вопросах настройки какой-то конкретной железки или софтины. Как и ИТ-шник, вообще говоря (если речь идет о специалисте соответствующего уровня). Каждый должен заниматься своим делом — задача ИТ подразделения — предоставление ИТ сервисов для работы бизнес-процессов. Задача безопасника — оснащение бизнес-процессов механизмами контроля и оперативный контроль — если ему для этого нужен ИТ сервис, то ИТ его предоставляет.
F>Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может.
Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации. Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов
F>Может быть снижения риска потерь от действий злоумышленников или несчастного случая. И больше какого-то процента от стоимости активов получить всё равно не удастся. Поэтому сговорчивость руководства будет весьма условной.
Если перед руководством маячит угроза прекращения деятельности юр. лица или даже реальный срок (например, за нарушение SOX'а в США), то, поверь, — руководство готово тратить существенно больше отдельных процентов.
Опять же — все зависит от. Например, в тех же банках никто не считает, что ИТ важнее безопасности — там эти вопросы считают одинаково важными и примерно одинаково финансируют.
F>Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства.
А что такое "главное составляющее производства"?
Здравствуйте, DOOM, Вы писали:
F>>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам. DOO>Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда.
Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.
DOO>У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий).
И как это мешает поставить ту же Оперу или ФФ?
DOO>Это сотовый оператор, а не компания-разработчик.
Даже сотовый оператор иногда должен производить что-то помимо услуг связи. Тот же сайт поддерживать, например. И уж очевидно, что этот сайт должен нормально отображаться во всём зоопарке браузеров, а не только в выбранном корпоротивным стандартом. При этом никакое предварительное тестирование не может дать гарантии, что там всё всегда в порядке. Знаешь кто лучший тестировщик? Тысячи хомячков-сотрудников. Особенно в крупной компании типа сотовой связи, у которой филиалы во всех частях страны.
DOO>И я не говорю, что корпоративный стандарт должен быть обязательно IE — Опера, дак Опера. Просто зоопарк в здравом уме никто держать не станет — это штат тех. поддержки надо, грубо, в 3 раза больший.
Не вижу никакого рокет-сайнса в настройке браузера. И если для техподдержки есть разница между настройкой 3-х IE или 2-х IE и одной Оперы — это какая-то плохая техподдержка. Тем более что сейчас большинство пользователей в состоянии сами и установить и настроить большинство офисно-интернетовского софта.
F>>Это некоторое лукавство — бухгалтера (обычно) не обладают соответствующей квалификацией для администрирования базы. А безопасники обязаны быть квалифицированы в том числе и в области настройки оборудования, иначе как они смогут подтвердить его безопасность? И как иначе они смогут выставлять требования к конфигурации? DOO>Здрасьте приехали. Безопасник может вообще ничего не понимать в вопросах настройки какой-то конкретной железки или софтины. Как и ИТ-шник, вообще говоря (если речь идет о специалисте соответствующего уровня). Каждый должен заниматься своим делом — задача ИТ подразделения — предоставление ИТ сервисов для работы бизнес-процессов. Задача безопасника — оснащение бизнес-процессов механизмами контроля и оперативный контроль — если ему для этого нужен ИТ сервис, то ИТ его предоставляет.
Это напомнило мне, как я на заре своей программерской карьеры работал в бывшем "почтовом ящике", а ныне гордом ОАО. Вот там был свой первый отдел, оставшийся с советских времён. И мужичок-безопасник с цепким взглядом, но ничего не понимающий в компах. В результате даже внутренней сети там не было, всё между компами носилось на пронумерованных дискетах. В результате на то, чтобы только прочитать документацию к очередной железке, уходил месяц. А когда, наконец, выбили подключение к сети на одном компе, там приходилось каждый день в специальной тетрадочке записывать посещённые сайты. О какой эффективности тут может идти речь? При этом видимость безопасности была обеспечена
F>>Имхо, это тоже лукавство. Затраты на безопасность — это непроизводственные затраты, поэтому окупаемости для них быть не может. DOO>Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации.
Нарисуй.
DOO>Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов
Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.
А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.
F>>Что, конечно, не означает, что калькуляция рисков и потерь не нужна, но вот не надо к безопасности относиться как главному составляющему производства. DOO>А что такое "главное составляющее производства"?
В данном контексте "главная" — значит такая, чтобы совершать удобные для неё действия в ущерб остальным.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, frogkiller, DOOM
W>Господа, шли бы вы в свои уютные КСВ, а то и в приват.
Да уж, явно не в Этюдах обсуждать, увлеклись
А сколько еще хотелось сказать
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, wildwind, Вы писали:
W>>Здравствуйте, frogkiller, DOOM
W>>Господа, шли бы вы в свои уютные КСВ, а то и в приват. DOO>Да уж, явно не в Этюдах обсуждать, увлеклись DOO>А сколько еще хотелось сказать
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, DOOM, Вы писали:
DOO>>Здравствуйте, wildwind, Вы писали:
W>>>Здравствуйте, frogkiller, DOOM
W>>>Господа, шли бы вы в свои уютные КСВ, а то и в приват. DOO>>Да уж, явно не в Этюдах обсуждать, увлеклись DOO>>А сколько еще хотелось сказать
KV>Welcome
Спасибо, продолжим
Здравствуйте, frogkiller, Вы писали:
F>>>Я придрался к твоей фразе про нарушение корпоративной политики, а это уже к вам, а не к айтишникам. DOO>>Да ну? IT Assets management — ITIL'овский процесс. И термин software usage policy (или даже software compliance policy) — тоже оттуда. F>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.
Нет. Потому что есть большие числа.
Например, чтобы оптимизировать затраты на лицензионное ПО Microsoft есть смысл использовать специальные соглашения типа Enterprise Agreement — условием этого соглашения является стандартизация ПО Microsoft на всех рабочих станциях, охваченных соглашением.
Ну и вообще — нести многомиллионные штрафы только потому, что какой-то чрезмерно умный сотрудник решил, что лично его продуктивность вырастет на 5%, если он вместо корпоративного WinZip будет использовать WinRar (а реально попасть можно на пару лимонов) — это, мягко говоря, неразумно.
DOO>>У нас на работе стандарт — Windows 7 и Office 2010 совсем не потому, что XP и 2003-й какие-то дырявые или что-то еще — просто это стандарт для максимально эффективной совместной работы + выполнение лицензионных требований (мы не имеем права на даунгрейд — ограничение халявных партнерских лицензий). F>И как это мешает поставить ту же Оперу или ФФ?
Почему ты сужаешь тему? Это мешает поставить какой-нибудь Office 2003 или Open Office — мы тоже чью-то продуктивность снижаем? Или не заморачиваясь с кучей форматов (напомню, что у 2010-го формат не совместим даже с 2007-м) и проблемами из-за конвертации (например, документ сконвертированный в 2003-й формат нередко вырастает в размере примерно в 10 раз, форматирование летит почти всегда) мы все-таки повышаем общую продуктивность?
DOO>>Это сотовый оператор, а не компания-разработчик. F>Даже сотовый оператор иногда должен производить что-то помимо услуг связи. Тот же сайт поддерживать, например. И уж очевидно, что этот сайт должен нормально отображаться во всём зоопарке браузеров, а не только в выбранном корпоротивным стандартом. При этом никакое предварительное тестирование не может дать гарантии, что там всё всегда в порядке. Знаешь кто лучший тестировщик? Тысячи хомячков-сотрудников. Особенно в крупной компании типа сотовой связи, у которой филиалы во всех частях страны.
Это слишком дорогой способ тестирования. Тем более, что 99% корпоративных web приложений работают только под IE
F>Не вижу никакого рокет-сайнса в настройке браузера. И если для техподдержки есть разница между настройкой 3-х IE или 2-х IE и одной Оперы — это какая-то плохая техподдержка. Тем более что сейчас большинство пользователей в состоянии сами и установить и настроить большинство офисно-интернетовского софта.
Ты опять забываешь про закон больших числе. У 1000 сотрудников даже использование абсолютно одинакового софта будет порождать огромное количество абсолютно оригинальных проблем. А если этого софта еще и не 1 вариант будет, а 10 — то лучше сразу застрелиться, чем обеспечить работу ИТ в такой компании.
F>Это напомнило мне, как я на заре своей программерской карьеры работал в бывшем "почтовом ящике", а ныне гордом ОАО. Вот там был свой первый отдел, оставшийся с советских времён. И мужичок-безопасник с цепким взглядом, но ничего не понимающий в компах. В результате даже внутренней сети там не было, всё между компами носилось на пронумерованных дискетах. В результате на то, чтобы только прочитать документацию к очередной железке, уходил месяц. А когда, наконец, выбили подключение к сети на одном компе, там приходилось каждый день в специальной тетрадочке записывать посещённые сайты. О какой эффективности тут может идти речь? При этом видимость безопасности была обеспечена
Это ничего не говорит (т.е. я понимаю, что мужичок так и заставлял — именно бумажный журнал, именно на промаркированных дискетах и т.п.), но на практике он должен был лишь говорить, что ему требуется:
— аутентификация при межсетевом взаимодействии (что можно сделать, например, с помощью IPSec)
— учет всех передаваемых данных (реализуют многие системы класса DLP)
— учет ресурсов сети Интернет, куда ходят пользователи (проски).
Знать именно технологии при этом не надо.
Тоже самое, если я тебе предложу автоматизировать процесс управления проектами, то сильно ли тебе поможет какое-нибудь знание Project Server? Или оно скорее помешает?
DOO>>Спорим? Я тебе могу легко нарисовать окупаемость введения той же усиленной аутентификации. F>Нарисуй.
Ну это не совсем честно — я недавно выступал с этой темой и набрал аналитики.
Вкратце фишка такая: по оценке Гартнер пользователь теребит службу ТП по поводу забытого пароля примерно 1.5 раза в год.
Время отработки заявки пользователя — порядка 30 минут.
Накидываем еще 30 минут на тупняк пользователя (он же сначала вспомнить пытался), берем тупо стоимость часа работы пользователя и специалиста ТП и считаем в лоб трудозатраты по их з/п (можно еще налоги приплюсовать основные). Выйдет у тебя порядка 500-700 тыс. руб на 1000 пользователей в год (кстати, калькуляторы есть в иннете можно легко найти по ключевым словам).
Что такое 500-700 тыс. руб. в год? Это, например, деньги достаточные на оснащение всех сотрудников смарт картами. Ридеры + система управления обойдется еще в какую-то сумму, но в результате это все окупится года за 3.
DOO>>Или экономический эффект от внедрения кластера для критического бизнес приложения. Да даже от антивируса легко оценить экономический эффект. Ну а если система защиты гарантирует, что проверяющий не закроет юр. лицо после своей проверки — то тут руководству экономическая выгода очевидна просто-таки сразу, даже без расчетов F>Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.
Это почему еще нахлебники-то? Просто банки у нас очень сильно на ИТ завязаны — вот и приходится их в пример приводить.
F>А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.
Ты смотришь только на одну сторону. Предприятие — это совместная работа людей ради общей цели. Если учитывать интересы только одной категории людей в предприятии, то оно не будет эффективным. Ты пытаешься, почему-то учесть только потребность разработчика. Но если на каждого твоего супер-эффективного разработчика надо держать штат ихз 3-х человек поддержки, то тебя уделает по себестоимости продукта любая другая фирма
DOO>>А что такое "главное составляющее производства"? F>В данном контексте "главная" — значит такая, чтобы совершать удобные для неё действия в ущерб остальным.
В общем ты мне тут пытаешься реально про основной бизнес процесс говорить, т.е. такой процесс, который формирует внешний продукт предприятия. Но есть еще поддерживающие процессы, без которых основной тоже работать не будет. К слову — ты много заводов видел, где у каждого мастера свой индивидуальный станок? Нет, конечно — на их обслуживание понадобилась бы такая толпа народу и такой огромный запас зап. частей и столько народу, который взаимодействует с сервисными организациями, что завод тут же загнулся бы под такой массой.
Здравствуйте, frogkiller, Вы писали:
F>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.
Опыт одного холдинга по несистематичному и весьма схематичному внедрению ITIL.
Внедрение эталонного ПО сократило количество инцидентов, связанных с неправильной работой ПО на рабочих станциях или терминалах примерно на 70%. Время закрытия подобных инцидентов также сократилось более чем вдвое. Это вылилось в возможность сокращения работников первой линии поддержки, включая полное сокращение IT-служб в мелких филиалах. Процесс перехода еще не закончен, поэтому до второй линии поддержки до сих пор доходят инциденты, быстрейшим решением которых является приведение ПО к эталонному. Потому, что развернуть ПО из библиотеки гораздо быстрее (примерно час в нашем случае), чем копаться в мешанине непротестированного ПО.
Так что это вовсе не попытка "красивыми словами пытаются заменить здравый смысл".
Здравствуйте, frogkiller, Вы писали:
F>Вот что-то мне кажется, ты всё время имеешь ввиду какой-нибудь банк или прочих непроизводственных нахлебников.
F>А в случае разработки/производства тебе также придётся учитывать потери за каждый день задержки по вине неудобных инструментов и ограничений. И может статься так, что задержка всего в 1 месяц приведёт к тому, что инстпекторам даже не нужно будет закрывать юр.лицо — оно само прогорит.
У разработчиков, работающих в нормальной команде есть обязательство придерживаться одного стиля, правда ведь? У него также есть обязательство использовать определенную систему контроля версий, набор технологий и, возможно, определенную IDE. Это так же может привести к некоторому снижению работоспособности отдельного разработчика, который мог бы быть теоретически более продуктивным, используя свой стиль, другие библиотеки и не используя систему контроля версий.
Однако, ради общего выигрыша в производительности накладываются ограничения.
Здравствуйте, _ABC_, Вы писали:
F>>Какие-то страшные термины, звучат как ругательства. Такое впечатление, красивыми словами пытаются заменить здравый смысл.
_AB>Опыт одного холдинга по несистематичному и весьма схематичному внедрению ITIL.
_AB>Внедрение эталонного ПО сократило количество инцидентов, связанных с неправильной работой ПО на рабочих станциях или терминалах примерно на 70%. Время закрытия подобных инцидентов также сократилось более чем вдвое. Это вылилось в возможность сокращения работников первой линии поддержки, включая полное сокращение IT-служб в мелких филиалах. Процесс перехода еще не закончен, поэтому до второй линии поддержки до сих пор доходят инциденты, быстрейшим решением которых является приведение ПО к эталонному. Потому, что развернуть ПО из библиотеки гораздо быстрее (примерно час в нашем случае), чем копаться в мешанине непротестированного ПО.
А этот холдинг что-нибудь производит сам?
_AB>Так что это вовсе не попытка "красивыми словами пытаются заменить здравый смысл".
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, frogkiller, Вы писали:
F>А этот холдинг что-нибудь производит сам?
Да что ты так к этому цепляешься? Любой бизнес что-то производит. А уж производит он банковские продукты или "веселого фермера" — это по фигу совершенно.
Здравствуйте, frogkiller, Вы писали:
F>А этот холдинг что-нибудь производит сам?
Оказывает услуги населению, скажем так. В данном случае это не важно. Цена простоя или сниженной производительности определяется вовсе не тем, производит ли предприятие что-либо, или оказывает услуги.
Кстати, из опыта, на крупном производстве цена простоя ПК была намного ниже, чем в данном холдинге.
Здравствуйте, _ABC_, Вы писали:
_AB>У разработчиков, работающих в нормальной команде есть обязательство придерживаться одного стиля, правда ведь? У него также есть обязательство использовать определенную систему контроля версий, набор технологий и, возможно, определенную IDE. Это так же может привести к некоторому снижению работоспособности отдельного разработчика, который мог бы быть теоретически более продуктивным, используя свой стиль, другие библиотеки и не используя систему контроля версий.
_AB>Однако, ради общего выигрыша в производительности накладываются ограничения.
Данный случай с браузером более близок к твоей аналогии про IDE. Вот объясни, пожалуйста, в чём профит даже для командной разработки, если запретить, к примеру пользоваться emacs'ом или eclipse'ом?
Браузер — даже больше, чем средство разработки, в нём всё показывается так, как это видят пользователи. И вот представь, что в рассматриваемом примере с непристойной фоткой зайца вместо девушки действительно имел место взлом. Если сервис массовый, то её увидели бы тысячи, если не миллионы пользователей, и счёт идёт на секунды — чем быстрее ликвидируют последствия, тем меньше урон престижу компании. В случае сотового оператора речь может идти о суммах, значительно превышающих годовую зарплату нескольких сотрудников.
Если собственные сотрудники не пользуются теми же инструментами, что и пользователи, то вряд ли стоит ожидать, что проблему удасться обнаружить и ликвидировать до того, как она станет широко известна. И никакое предварительное тестирование не поможет, поскольку протестировать можно только известные проблемы, а обязательно найдётся парочка неизвестных (ну, или же стоимость такого тестирования будет существенно превышать все остальные расходы). Это относится не только к браузерам, но и даже к операционным системам.
Так что твой выигрыш в удобстве сопровождения зоопарка инструметов в случае разработки скорее всего обернётся проблемами при сопровождении выпускаемого продукта.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, DOOM, Вы писали:
F>>А этот холдинг что-нибудь производит сам? DOO>Да что ты так к этому цепляешься? Любой бизнес что-то производит. А уж производит он банковские продукты или "веселого фермера" — это по фигу совершенно.
Вот не пофигу. Невозможно производить нормальный продукт для массового пользователя, если сам им не пользуешься, и если не работаешь с ним в тех же условиях, что и пользователь.
Внутренний фидбек от коллег, которые сами могут и не быть связаны с производством/разработкой (бухгалтеров, юристов, даже от девочек из отдела кадров и секретарш) может быть настолько ценен, что с лихвой окупит неудобства от сопровождения и затраты на безопасность.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, frogkiller, Вы писали:
F>Вот не пофигу. Невозможно производить нормальный продукт для массового пользователя, если сам им не пользуешься, и если не работаешь с ним в тех же условиях, что и пользователь.
а вот у изготовителей паленой водки взлетел
дисклаймер: для их массового пользователя (цу) паленка нормальный продукт
Здравствуйте, frogkiller, Вы писали:
F> Вот объясни, пожалуйста, в чём профит даже для командной разработки, если запретить, к примеру пользоваться emacs'ом или eclipse'ом?
да хоть одним из них, а все равно останутся поводы для сполчения команды в спорах, например, space vs tab.
Здравствуйте, frogkiller, Вы писали:
F>Здравствуйте, DOOM, Вы писали:
F>>>А этот холдинг что-нибудь производит сам? DOO>>Да что ты так к этому цепляешься? Любой бизнес что-то производит. А уж производит он банковские продукты или "веселого фермера" — это по фигу совершенно.
F>Вот не пофигу. Невозможно производить нормальный продукт для массового пользователя, если сам им не пользуешься, и если не работаешь с ним в тех же условиях, что и пользователь.
Да ладно. Производит какой-нибудь завод металлические чушки — он ими сам не пользуется, однако качество обеспечить способен.
Это твое искусственное расширение зоны тестирования (из специально созданной — на всех работников) — крайне сомнительная фича — ты не можешь оценить, во сколько она обходится и сколько реально приносит — поэтому это не процессный подход — а так, на авось.
В данном случае конкурентное преимущество будет иметь тот, у кого налажена самая эффективная обратная связь (читай — ТП для внешних пользователей не тупит).
Даже твоя тысяча сотрудников — это ничто против миллионов пользователей (а если у тебя пользователей меньше — тогда вопрос нафига тебе столько сотрудников ).
F>Внутренний фидбек от коллег, которые сами могут и не быть связаны с производством/разработкой (бухгалтеров, юристов, даже от девочек из отдела кадров и секретарш) может быть настолько ценен, что с лихвой окупит неудобства от сопровождения и затраты на безопасность. Может быть — здесь ключевая фраза. Ты предлагаешь нести вполне ощутимые затраты, эффект от которых оценить никто не сможет.
А если возвращаться к примеру с 1000 сотрудников и 1000000 пользователей, то твоя мега система будет охватывать 0.1% случаев, которые могут произойти — ты точно уверен, что от этого будет хоть какой-то эффект?
Здравствуйте, frogkiller, Вы писали:
F>Данный случай с браузером более близок к твоей аналогии про IDE. Вот объясни, пожалуйста, в чём профит даже для командной разработки, если запретить, к примеру пользоваться emacs'ом или eclipse'ом?
Например, усложняется процедура ввода в действие новых технологий.
Сложнее обновлять связные компоненты (типа системы контроля версий).
Можно много что придумать.
Здравствуйте, frogkiller, Вы писали:
F>Данный случай с браузером более близок к твоей аналогии про IDE. Вот объясни, пожалуйста, в чём профит даже для командной разработки, если запретить, к примеру пользоваться emacs'ом или eclipse'ом?
Я могу объяснить в чем может быть профит запрета сторонних браузеров. Помимо удобства сопровождения, одной из сторон профита является то, что на разрешенном браузере гарантировано работают все необходимые для работы сайты (дилеров, клиент-банки и т.п.). Объяснять каждому среднестатистическому пользователю с "уверенным уровнем владения ПК", что тот браузер, который он себе установил по указке кого-то, не поддерживается необходимым для работы сайтом, та еще задача.
При этом никто не говорит, что общим случаем внедрения библиотеки эталонного ПО и процесса Asset Management является полное ограничение выбора одним продуктом. Вообще, пользователю может предоставлятся шировкий выбор поддерживаемого ПО, вплоть до разных линеек ОС. ITIL просто позволяет достаточно точно оценить, в какие затраты выльется подобная поддержка.
Здравствуйте, frogkiller, Вы писали:
F> И никакое предварительное тестирование не поможет, поскольку протестировать можно только известные проблемы, а обязательно найдётся парочка неизвестных (ну, или же стоимость такого тестирования будет существенно превышать все остальные расходы). Это относится не только к браузерам, но и даже к операционным системам.
Ну я не знаю как у вас, а у нас тестирование это способ поиска пока еще неизвестных проблем
Здравствуйте, frogkiller, Вы писали:
F>А я про безопасников
Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью. Приведу пример:
Есть компания (кстати, канадский аналог пчелайна, один из [двух] крупнейших национальных операторов связи. Имеется отдел разработки, но основная часть новых разработок выполняется контракторами, работающими onsite. Я являюсь одним из них. У всей команды имеются админские права на своих рабочих машинах, их никто никогда не инспектирует и они ставят какой угодно софт безо всяких ограничений. А всё почему — потому что их время дорого, очень дорого. К примеру, затраты на нашу команду по моим оценкам составляют цифру порядка $5000 в день только на зарплату. При такой цене рабочего времени малейшая разница в производительности экономит компании хорошие деньги. Потому никакой унификации рабочего места нет и в помине — создано всё для того, чтобы сотрудник оборудовал своё место максимально удобным для себя образом.
Вообще порой по итогами моей совместной работы с отделами ИБ некоторых контор как тут, так и в Москве периодически меня посещает мысль, что они больше имитируют деятельность, чем реально что-то делают. Хороший безопасник не должен мешать рабочему процессу своими идиотскими инструкциями и ограничениями, и они должны понимать, что они для компании являются net loss и не более того...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, frogkiller, Вы писали:
F>>А я про безопасников
K>Приведу пример: K>Есть компания (кстати, канадский аналог пчелайна, один из [двух] крупнейших национальных операторов связи. Имеется отдел разработки, но основная часть новых разработок выполняется контракторами, работающими onsite. Я являюсь одним из них. У всей команды имеются админские права на своих рабочих машинах, их никто никогда не инспектирует и они ставят какой угодно софт безо всяких ограничений.
Это не в Канаде ли ввели какой-то налог на интеллектуальную собственность и, по сути, узаконили прочее пиратство?
Дак вот — вам-то хорошо, а у нас можно попасть юридическому лицу за то, что сотрудник поставил на рабочий компьютер ту же миранду (совершенно бесплатную, но нарушающую условия использования сервиса ICQ). Попасть вплоть до закрытия юр. лица. Учитывая нашу "честную" конкуренцию и "непредвзятость" ОГВ — это серьезный риск для компании.
Но это ладно — у нас тоже, например, инженеры сидят под админами — это неизбежно. Только обычно (я надеюсь) ума хватает из своего компьютера помойку не делать и весь экспериментальный софт ставится на виртуалки, но вот, например, на корпоративной vSphere админские права есть только у тех, кому они реально нужны — инженеру хватает делегированных полномочий, если не хватает — пусть просит админа. Почему? Потому что время одного инженера, конечно, ценно, но если он обрушит всю нашу платформу виртуализации (особенно продуктивный кластер), то потери компании будут куда больше, чем з/п этого инженера за год с учетом премий.
Так что не надо про дорогое время одного человека — надо смотреть на специфику бизнеса.
У того же билайна основной контингент пользователей — это совсем даже не разработчики, это пользователи, который надо обучать новой версии корпоративного IM клиента — ибо сами не разберутся — подумай, зачем им зоопарк? Какую к черту продуктивность они повысят своими админскими правами?
K>А всё почему — потому что их время дорого, очень дорого. К примеру, затраты на нашу команду по моим оценкам составляют цифру порядка $5000 в день только на зарплату. При такой цене рабочего времени малейшая разница в производительности экономит компании хорошие деньги. Потому никакой унификации рабочего места нет и в помине — создано всё для того, чтобы сотрудник оборудовал своё место максимально удобным для себя образом.
Как вы любите себя эдакой белой костью мнить... Вот есть гонщик Формулы-1 — его болид уникален, для обеспечения его работоспособности трудится огромная команда, во время гонки там работает 2 стойки какой-то вычислительной техники (подозреваю, это тупо оборудования для записи показаний миллионов датчиков понатыканных в болиде) — однако, почему-то обычные водители ездят на обычных унифицированных автомобилях. А ведь они, сцуко, у же не могут на этих автомобилях развивать скорость в 350 км/ч — обидно да. Какие потери для экономики...
Дак вот — не путай пилота болида и водителя, потому что вторых больше, настолько больше, что первых за ними уже не разобрать.
Поэтому в корпорации будет корпоративный стандарт — но будут отдельные люди, для которых делаются исключения, но тоже в пределах разумного.
K>Вообще порой по итогами моей совместной работы с отделами ИБ некоторых контор как тут, так и в Москве периодически меня посещает мысль, что они больше имитируют деятельность, чем реально что-то делают.
Ну, конечно, авторы-то "Веселого фермера" лучше знают, что такое реальное дело
Тут уж разработчикам (тем более сервисов для сотовых операторов — даже тут уже звучало, что там в большинстве своем) сидеть бы, да в тряпочку молчать. А послушаешь — дак все пишут прошивку для АСУ ТП ядерного реактора, не меньше.
K>Хороший безопасник не должен мешать рабочему процессу своими идиотскими инструкциями и ограничениями,
А ты уверен, что они идиотские? Есть такое понятие — контроль процесса. Т.е. можно выдавать кредит любому Васе Пупкину с улицы, не требовать этих идиотских ограничений в виде справки 2-НДФЛ и документа, удостоверяющего личность. И уж тем более не тратится на эти глупые изучения кредитной истории и т.п. — как же столько времени занимает, столько идиотских инструкций и ограничений (c). Однако, почему-то так не делают. Подумай на досуге почему.
K>и они должны понимать, что они для компании являются net loss и не более того...
Ну да, ну да. Также это должен понимать ИТ отдел в полном составе. Да и ты, друг-разработчик. Разве ты заключаешь договора, которые приносят компании денег? Ты — какой-то ритуал, net loss (c) — платить еще тебе...Деньги-то продажник зарабатывает
P.S. Сорри за некоторую резкость — но по-другому сложно реагировать. Заканичиваем считать, что разработчики — белая кость.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, frogkiller, Вы писали:
F>>А я про безопасников
K>Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью.
В сказочном мире живут разработчики, которые свято верят в свою собственную значимость, сравнимую с доходами, например, сотового оператора. ИТшники (всех направлений) одного из наших филиалов тоже так думали, до тех пор, пока в один прекрасный день у них не изъяли все рабочие станции и серверы, которые находились в офисе. Восстановить работу филиала удалось только через два дня, именно столько понадобилось, чтобы доставить оборудование с резервного склада в МСК (в местном "ЗИП"е такого количества железяк не было и быть не могло), залить серверы и поднять на них конфигурацию с бэкапов, залить и ввести в домен рабочие станции, после чего ждать, когда SMS накатит каждому пользователю нужный ему софт.
Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Так вот убыток, который понес филиал в связи с данным инцидентом, среднестатистический разработчик отобъет в том случае, если будет всю жизнь работать на нас исключительно за еду. А потом передаст эту миссию своим детям, а может быть и внукам. И это при том, что для инфраструктуры в полсотни рабочих станций и пяти серверов, срок полного восстановления равный двум дням — вот это сказка, да, которая стала реальностью исключительно благодаря тому, что во всех филиалах исключительно идентичная инфраструктура а бизнес-процессы завязаны на исключительно стандартизованный софт, а не на тот зоопарк, который был бы удобен каждому из работников.
Вы разработчики? Вот и разрабатывайте и не лезьте туда, где понимаете еще меньше, чем мы понимаем в разработке. Неудобно безопасно работать? Не трындите об этом на форумах, а поднимайте вопросы прежде всего перед своим руководством. У нас в компании, они почти всегда решаются через компромис для обоих сторон. Наши разработчики имеют и админские права на своих машинах и определенную свободу, связанную с установкой произвольного ПО и даже тестовую среду, изолированную от остальных систем, но повторяющую в миниатюре всю инфраструктуру. Там они — цари и боги и мы туда не лезем. Но права и свободы не бывают без обязанностей и ответственности. Поэтому многие разработчики попросту отказываются от этих прав, когда понимают, за что и как им придется отвечать в случае чего. И прекрасно работают и весьма довольны, между прочим.
Ежемесячно, я получаю неплохие деньги просто за то, что выполняю свои обязанности. Но дважды в год, я получаю сумму, сравнимую с полугодовым заработком, размер которой очень сильно зависит от моих KPI. В числе прочих, там есть такие показатели как "вовлченность в бизнес-процессы" и "влияние ИБ на бизнес-процессы". Первое должно стремиться к максимуму, второе к минимуму. Крутись как хочешь. И я считаю это правильным, потому что это не дает мне возможности закручивать гайки исходя из позиции "моя хата с краю, мне ИБ нужно обеспечить", а заставляет искать компромисы, в результате которых остаются довольными всяческие волки при относительно целых овцах.
Но когда (реальный случай) после нескольких лет выстраивания процесса SEC в регионе с учетом всего сказанного выше, появляется чудо вообще не имеющее отношения к ИТ, которое требует поставить ему FF, мотивируя тем, что IE ему банально неудобен, а после получения отказа начинает "анонимно" срать кирпичами на публичных форумах в адрес компании и писать докладные на сотрудников ИБ руководителям, находящимся через два-три уровня иерархии от него, то ничего, кроме желания как можно быстрее расстаться с таким сотрудником, лично у меня не возникает. Расстались и весьма быстро.
Нет никаких безопасников и разработчиков. Есть в первую очередь люди, которые выполняют свои обязанности и между которыми частенько возникают конфликты интересов. Решаемые почти всегда. Если обе стороны подходят именно с позиции "там тоже люди", а не с позиции "я охереть какой дорогой разработчик, вы мне здесь все должны" или "я твое удобство на "№; вертел, у меня из-за тебя ИБ не складывается".
Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Да, забыл сказать, этот пользователь не только остался работать у нас, но и были приняты определенные меры по снятию с него уголовной ответственности, светившей ему тогда чуть более чем полностью.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
немного оффтопа — а "портабловский" фотошоп — это что такое?
по теме — всё же есть разница между "каждый ставит что хочет" и "ставят пиратку", хотя я тебя полностью поддерживаю
Здравствуйте, Antikrot, Вы писали:
A>по теме — всё же есть разница между "каждый ставит что хочет" и "ставят пиратку", хотя я тебя полностью поддерживаю
Чтобы была разница между этим, надо чтобы на предприятии была библиотека ПО и можно было ставить только из этой библиотеки. Иначе всегда появляется риск нарушения лицензионных требований (думаешь легко license compliance отслеживать в большой конторе, при современных нетривиальных условиях лицензирования? Для asset management'а даже отдельные программные продукты есть — ибо это реально сложно). А если софт ставится только из какой-то узаконеной библиотеки, то никакого "каждый ставит, что хочет" уже нет — чтд.
Здравствуйте, Antikrot, Вы писали:
A>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей. A>немного оффтопа — а "портабловский" фотошоп — это что такое?
Это фотошоп, запускающийся без предварительной установки на систему из под пользователя, не обладающего админскими правами. Как правило, для создания этих приложений используется либо среды виртуализации (vmware thinstall, например) либо лоадеры собственного приготовления, подсовывающие процессу фотошопа все что ему нужно, на лету.
Здравствуйте, DOOM, Вы писали:
DOO>Интересно, кто из нас был резче...
А нефиг было на нас наезжать. У меня сейчас настроение не то. В один из наишх филиалов ФСБ по душу ПДн нагрянуло, а я туда — ну никак выехать не могу. А в том филиале представителей нашей дирекции нету, а ФСБ очень нервничает, когда им приходится проводить проверку, а тот, кто готов отвечать на все вопросы, находится в 400км от них.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей. A>>немного оффтопа — а "портабловский" фотошоп — это что такое?
KV>Это фотошоп, запускающийся без предварительной установки на систему из под пользователя, не обладающего админскими правами. Как правило, для создания этих приложений используется либо среды виртуализации (vmware thinstall, например) либо лоадеры собственного приготовления, подсовывающие процессу фотошопа все что ему нужно, на лету.
Здравствуйте, night beast, Вы писали:
NB>ты вообще часто с ФСБ общаешься? где/что смотрят?
Примерно раз в месяц, но ФСБ к проверке лицензионности софта не имеет никакого отношения (ПДн == персональные данные). Проверки, связанные с лицензионностью ПО, курируют специально-заточенные отделы УСТМ (управление специальных технических мероприятий) МВД, более известные, как "отделы К".
NB>какие у них были основания для конфискации остальных машин?
Это весьма спорный вопрос, были-ли они вообще. Вот тут эта тема раскрыта подробнее: http://www.softgaz.com/publ/2-1-0-12 . В общем случае, можно конечно упереться рогом, и попытаться ничего не отдавать, но в среднестатистическом офисе, почему-то никто не хочет быть рэмбой, а нарваться на людей в масках при таком раскладе можно запросто (если они изначально не явились вместе с оперативником).
Гораздо разумнее не сопротивляться при проведении проверки, даже если на лицо отчетливые доказательства нарушения закона со стороны проверяющих. Необходимо лишь позаботиться о том, чтобы эти доказательства попали в протокол, либо четко прослеживались в каких-либо материалах типа записей видеонаблюдения. Потому что потом, на суде, такая проверка будет признана незаконной, ее результаты ничтожными, а оперативника за такое даже свои по голове не погладят.
Здравствуйте, kochetkov.vladimir, Вы писали:
NB>>ты вообще часто с ФСБ общаешься? где/что смотрят?
KV>Примерно раз в месяц, но ФСБ к проверке лицензионности софта не имеет никакого отношения (ПДн == персональные данные). Проверки, связанные с лицензионностью ПО, курируют специально-заточенные отделы УСТМ (управление специальных технических мероприятий) МВД, более известные, как "отделы К".
NB>>какие у них были основания для конфискации остальных машин?
KV>Это весьма спорный вопрос, были-ли они вообще. Вот тут эта тема раскрыта подробнее: http://www.softgaz.com/publ/2-1-0-12 . В общем случае, можно конечно упереться рогом, и попытаться ничего не отдавать, но в среднестатистическом офисе, почему-то никто не хочет быть рэмбой, а нарваться на людей в масках при таком раскладе можно запросто (если они изначально не явились вместе с оперативником).
спасибо. а информация в статье актуальна на текущий момент, или были какие-то изменения в законодательстве?
Добавлю, что тот случай был единственным, где творился подобный беспредел, но там у проверяющих стояла цель "наказать" филиал, а не провести плановую проверку (да, бывает и так). Я непосредственно участвовал при 7 проверках, связанных именно с лицензионностью ПО и во всех остальных случаях, опера были более чем лояльны. Так, в одном из филиалов, мы не смогли на месте подтвердить лицензионность одной софтины на двух рабочих местах, т.к. лицензии на нее хранились в столичном офисе, а бухгалтерские документы о приеме на баланс проверяющих не вполне устроили. Мы договорились, что они опишут состав ПО и железа на этих машинах, опечатают их и оставят на хранение в нашем помещении, которое также будет опечатано. Все это, разумеется, было внесено в протокол осмотра. Через пару дней мы получили копии лицензий и все закончилось чинно и мирно.
А в другом филиале, вообще весело получилось. Звонит мне местный ИТшник, сообщает что нагрянули проверяющие, спрашивает у кого брать копии лицензий, как себя вести и т.п. Я по ходу дела у него спрашиваю "сам-то как думаешь: плановая это проверка или заказуха?", он говорит "секунду, щас выясню..." и, до того, как я успел что-либо ему сказать, громко-так, задает вопрос проверяющим: "скажите, а это плановая проверка или вам нас заказал кто-то?" Охреневшие от такой внезапности проверяющие, быстренько собрали все необходимые бумаги, проверили наугад несколько компов, оформили протокол и смылись в тот же день. Больше мы их не видели
Я это к тому, что там далеко не все являются оборотнями в погонах, только и желающими нагнуть коммерческую организацию и вытрясти с нее бабло. В большинстве случаев, это вполне адекватные люди, которым лишние проблемы нафиг не упали, им нужно лишь выполнить свою работу, получить необходимые бумаги и убраться восвояси, поставив галочку о проведенной проверке. Если взаимодействовать с ними в таком ключе и сразу дать понять, что у нас своя работа — у них своя и, что никто чинить препятствия им не собирается (напротив, всячески помогать), то и они относятся весьма и весьма лояльно и лишних проблем на ровном месте не создают.
Здравствуйте, night beast, Вы писали:
NB>спасибо. а информация в статье актуальна на текущий момент, или были какие-то изменения в законодательстве?
В сущности, ничего не поменялось. Выли изменения, касающиеся ужесточения процесса санкционирования проверки, но МВД нашло лазейку и продолжает действовать по старому (имея на руках лишь санкцию прокурора). После вступления в силу "Закона о полиции" есть поводы для беспокойства, мягко говоря, но не думаю, что это окажет какое-то фактическое влияние на проведение подобных проверок. Если у них стоит цель нагнуть организацию, они это и сейчас сделают влегкую безо всякого "Закона о полиции". А если не стоит, то см. выше, им тоже лишние проблемы не нужны.
Был еще один случай. Проверяющие готовились оформлять изъятие нескольких серверов и по запарке изъяли инфраструктуру СОРМ полным составом. Через 10 минут после нашего звонка в ФСБ с правильными комментариями по поводу происходящего, оттуда примчалась "опергруппа" и весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче и т.п. Госбезопасность в итоге победила вчистую, а у нас ничего не изъяли
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>В общем случае, можно конечно упереться рогом, и попытаться ничего не отдавать, но в среднестатистическом офисе, почему-то никто не хочет быть рэмбой, а нарваться на людей в масках при таком раскладе можно запросто (если они изначально не явились вместе с оперативником).
Небольшая ремарка — у нас проверки лицензионности софта проводят Управление К и ОБЭП — люди в масках, это фишка вторых. Первые обычно более "цивилизованные".
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Antikrot, Вы писали:
A>>по теме — всё же есть разница между "каждый ставит что хочет" и "ставят пиратку", хотя я тебя полностью поддерживаю DOO>Чтобы была разница между этим, надо чтобы на предприятии была библиотека ПО и можно было ставить только из этой библиотеки. Иначе всегда появляется риск нарушения лицензионных требований (думаешь легко license compliance отслеживать в большой конторе, при современных нетривиальных условиях лицензирования? Для asset management'а даже отдельные программные продукты есть — ибо это реально сложно). А если софт ставится только из какой-то узаконеной библиотеки, то никакого "каждый ставит, что хочет" уже нет — чтд.
Мда, в этом случае линух как корпоративный стандарт в заметном выиграше — все, что в официальном репозитории(а там много всего) гарантированно лицензионное.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Мда, в этом случае линух как корпоративный стандарт в заметном выиграше — все, что в официальном репозитории(а там много всего) гарантированно лицензионное.
В общем-то да. Свободный софт, например, быстрее всех мигрирует в облако — там нет чисто лицензионных проблем.
Здравствуйте, Antikrot, Вы писали:
A>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Был еще один случай. A>будешь делать форум про безопасность — сделай там подраздел КУ
думаю, что не буду, по результатам публичного голосования
Здравствуйте, DOOM, Вы писали:
DOO>Это не в Канаде ли ввели какой-то налог на интеллектуальную собственность и, по сути, узаконили прочее пиратство?
Не в курсе, но знаю, что за качание фильмов из торрентов тут не сажают — несколько лет был показательный процесс, в котором американская ассоциация правообладателей проиграла процесс в канадском суде. DOO>Дак вот — вам-то хорошо, а у нас можно попасть юридическому лицу за то, что сотрудник поставил на рабочий компьютер ту же миранду (совершенно бесплатную, но нарушающую условия использования сервиса ICQ). Попасть вплоть до закрытия юр. лица. Учитывая нашу "честную" конкуренцию и "непредвзятость" ОГВ — это серьезный риск для компании.
Гыы
DOO>А ты уверен, что они идиотские? Есть такое понятие — контроль процесса. Т.е. можно выдавать кредит любому Васе Пупкину с улицы, не требовать этих идиотских ограничений в виде справки 2-НДФЛ и документа, удостоверяющего личность. И уж тем более не тратится на эти глупые изучения кредитной истории и т.п. — как же столько времени занимает, столько идиотских инструкций и ограничений (c). Однако, почему-то так не делают. Подумай на досуге почему.
Гы, тут так и делают. Решение по кредиту в большинстве случаев принимают в течение минуты. И никаких бумажек, кроме справки с работы и прав.
K>>и они должны понимать, что они для компании являются net loss и не более того... DOO>Ну да, ну да. Также это должен понимать ИТ отдел в полном составе. Да и ты, друг-разработчик. Разве ты заключаешь договора, которые приносят компании денег? Ты — какой-то ритуал, net loss (c) — платить еще тебе...Деньги-то продажник зарабатывает
Конкретно в текущей компании — мы тоже net loss, я это отлично понимаю. Но это не отменяет того факта, что и безопасники относятся к этой же категории...
DOO>P.S. Сорри за некоторую резкость — но по-другому сложно реагировать. Заканичиваем считать, что разработчики — белая кость.
Я так и думал, что ты воспримешь резко. Но мы же в КСВ?
Здравствуйте, kochetkov.vladimir, Вы писали:
K>><skipped>
Я работаю в ритейловом отделе компании (кстати сегодня мы таки официально вышли live ) и понимаю, что наш тим — это net loss для компании, но и безопасники должны отдавать себе в этом отчёт, стараясь минимизировать своё влияние на бизнес-процессы. У нас, например, продакшен находится датацентре в 20 километрах от нашего офиса и управляется головной компанией, но когда мы начали деплоить приложение туда, то нам моментально предоставили полный контроль над средой — нам дали админские права на все сервера и позволено делать с ними всё, что нам нужно для достижения результата.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Был еще один случай. Проверяющие готовились оформлять изъятие нескольких серверов и по запарке изъяли инфраструктуру СОРМ полным составом. Через 10 минут после нашего звонка в ФСБ с правильными комментариями по поводу происходящего, оттуда примчалась "опергруппа" и весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче и т.п. Госбезопасность в итоге победила вчистую, а у нас ничего не изъяли
Весело там у вас...
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, DOOM, Вы писали:
DOO> Тут уж разработчикам (тем более сервисов для сотовых операторов — даже тут уже звучало, что там в большинстве своем) сидеть бы, да в тряпочку молчать. А послушаешь — дак все пишут прошивку для АСУ ТП ядерного реактора, не меньше.
К слову о реакторах (на достоверность и правдивость не претендует — так, развеяться).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>А нефиг было на нас наезжать. У меня сейчас настроение не то. В один из наишх филиалов ФСБ по душу ПДн нагрянуло, а я туда — ну никак выехать не могу. А в том филиале представителей нашей дирекции нету, а ФСБ очень нервничает, когда им приходится проводить проверку, а тот, кто готов отвечать на все вопросы, находится в 400км от них.
Здравствуйте, koandrew, Вы писали:
DOO>>А ты уверен, что они идиотские? Есть такое понятие — контроль процесса. Т.е. можно выдавать кредит любому Васе Пупкину с улицы, не требовать этих идиотских ограничений в виде справки 2-НДФЛ и документа, удостоверяющего личность. И уж тем более не тратится на эти глупые изучения кредитной истории и т.п. — как же столько времени занимает, столько идиотских инструкций и ограничений (c). Однако, почему-то так не делают. Подумай на досуге почему. K>Гы, тут так и делают. Решение по кредиту в большинстве случаев принимают в течение минуты. И никаких бумажек, кроме справки с работы и прав.
И какой процент по этим кредитам? Все же просто — выше риск, выше компенсация. У нас тоже есть кредиты, которые дают здесь и сейчас при предъявлении одного документа — процент по ним (если правильно посчитать) может быть выше 100 (недавно тут проскакивали сканы).
K>>>и они должны понимать, что они для компании являются net loss и не более того... DOO>>Ну да, ну да. Также это должен понимать ИТ отдел в полном составе. Да и ты, друг-разработчик. Разве ты заключаешь договора, которые приносят компании денег? Ты — какой-то ритуал, net loss (c) — платить еще тебе...Деньги-то продажник зарабатывает K>Конкретно в текущей компании — мы тоже net loss, я это отлично понимаю. Но это не отменяет того факта, что и безопасники относятся к этой же категории...
Это неправильная мерка. Когда компания считает, что в ней деньги приносят только продажники и только их надо всячески ублажать, то у компании появляются заметные перекосы и ни к чему хорошему это не приводит. Надо понимать, что все делают общее дело — вклад каждого, в принципе, измерим. Никто нахлебником не является.
DOO>>P.S. Сорри за некоторую резкость — но по-другому сложно реагировать. Заканичиваем считать, что разработчики — белая кость. K>Я так и думал, что ты воспримешь резко. Но мы же в КСВ?
КСВ — это место, где благородные доны могут поделиться своей точкой зрения на насущные проблемы ИТ мира (ну и обосновать ее, конечно же).
Здравствуйте, koandrew, Вы писали:
K>У нас, например, продакшен находится датацентре в 20 километрах от нашего офиса и управляется головной компанией, но когда мы начали деплоить приложение туда, то нам моментально предоставили полный контроль над средой — нам дали админские права на все сервера и позволено делать с ними всё, что нам нужно для достижения результата.
Либо у вас весь бизнес зависит от этого приложения, либо дали далеко не все права, просто ты не заметил, либо у вас там какая-нибудь виртуальная среда, в которой сделали полный слепок состояния и знали, что в случае чего им потребуется 5 минут, чтобы вернуть все в рабочее состояние либо что-то еще.
Но просто так давать полный контроль над средой и выполнять какие-то работы без четкого плана и анализа рисков — это безрассудство. Когда уроните что-нибудь серьезное, то поймете. У меня были в моей практике выходные проведенные в банке почти в круглосуточном режиме, пока мы пытались разобраться с нашими проблемами, вылезшими в ходе внедрения — а ведь планировали, макетировали — просто из-за недостатка опыта упустили многие вещи.
Здравствуйте, genre, Вы писали:
F>> И никакое предварительное тестирование не поможет, поскольку протестировать можно только известные проблемы, а обязательно найдётся парочка неизвестных (ну, или же стоимость такого тестирования будет существенно превышать все остальные расходы). Это относится не только к браузерам, но и даже к операционным системам.
G>Ну я не знаю как у вас, а у нас тестирование это способ поиска пока еще неизвестных проблем
И успешно все находятся? Ни одна наружу не пролезает? Не верю.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, frogkiller, Вы писали:
G>>Ну я не знаю как у вас, а у нас тестирование это способ поиска пока еще неизвестных проблем F>И успешно все находятся? Ни одна наружу не пролезает? Не верю.
Пролезает конечно. Но фокус в том, что если полагаться на использование инструмента как на тестирование то вылезет еще больше.
Формализованное тестирование находит гораздо больше багов чем использование.
Хотя бы потому, что например средний пользователь ворда использует лишь 5% функционаала
Здравствуйте, DOOM, Вы писали:
DOO>И какой процент по этим кредитам? Все же просто — выше риск, выше компенсация. У нас тоже есть кредиты, которые дают здесь и сейчас при предъявлении одного документа — процент по ним (если правильно посчитать) может быть выше 100 (недавно тут проскакивали сканы).
Проценты в большинстве случаев не превышают 10% годовых, в случае крупных покупок и того меньше.
DOO>Это неправильная мерка. Когда компания считает, что в ней деньги приносят только продажники и только их надо всячески ублажать, то у компании появляются заметные перекосы и ни к чему хорошему это не приводит. Надо понимать, что все делают общее дело — вклад каждого, в принципе, измерим. Никто нахлебником не является.
Тем не менее это так. В программерских конторах программисты и сейлзы зарабатывают бабло совместно, у нас — тока сейлы, мы только проедаем бабки
DOO>КСВ — это место, где благородные доны могут поделиться своей точкой зрения на насущные проблемы ИТ мира (ну и обосновать ее, конечно же).
Не, то, что ты указал — это в форуме "философия", сюда народ ходит поспорить и поругаться
Здравствуйте, DOOM, Вы писали:
DOO>Либо у вас весь бизнес зависит от этого приложения, либо дали далеко не все права, просто ты не заметил, либо у вас там какая-нибудь виртуальная среда, в которой сделали полный слепок состояния и знали, что в случае чего им потребуется 5 минут, чтобы вернуть все в рабочее состояние либо что-то еще.
Мы делаем eCommerce веб-сайт для дочерней компании ОпСоСа, основной бизнес который — продажа барахла через инет. Так что да — это бизнес-критикал проект.
DOO>Но просто так давать полный контроль над средой и выполнять какие-то работы без четкого плана и анализа рисков — это безрассудство. Когда уроните что-нибудь серьезное, то поймете. У меня были в моей практике выходные проведенные в банке почти в круглосуточном режиме, пока мы пытались разобраться с нашими проблемами, вылезшими в ходе внедрения — а ведь планировали, макетировали — просто из-за недостатка опыта упустили многие вещи.
Так всегда бывает — на тестовом окружении всё работает как часы, при деплое в продакшен начинает тормозить и глючить... Посему админы нам и дали карт-бланш — потому что это экономит время всем участникам процесса.
Здравствуйте, koandrew, Вы писали:
K>Так всегда бывает — на тестовом окружении всё работает как часы, при деплое в продакшен начинает тормозить и глючить...
Значит что-то не учли
K>Посему админы нам и дали карт-бланш — потому что это экономит время всем участникам процесса.
В иной конторе вас попросят откатить все в исходное состояние и придти, когда вы будете готовы нормально деплоить приложение — останавливать (или просто создавать риск остановки) основные сервисы ради вас никто не будет (за пределами согласованного технологического окна).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Но когда (реальный случай) после нескольких лет выстраивания процесса SEC в регионе с учетом всего сказанного выше, появляется чудо вообще не имеющее отношения к ИТ, которое требует поставить ему FF, мотивируя тем, что IE ему банально неудобен, а после получения отказа начинает "анонимно" срать кирпичами на публичных форумах в адрес компании и писать докладные на сотрудников ИБ руководителям, находящимся через два-три уровня иерархии от него, то ничего, кроме желания как можно быстрее расстаться с таким сотрудником, лично у меня не возникает. Расстались и весьма быстро.
Ну, такие люди бывают, да. Обычно они долго не задерживаются. Точно также долго не задержится безопасник, который от балды перекроет вообще всё без разбора Это мало связано с темой обсуждения.
KV>Нет никаких безопасников и разработчиков. Есть в первую очередь люди, которые выполняют свои обязанности и между которыми частенько возникают конфликты интересов. Решаемые почти всегда. Если обе стороны подходят именно с позиции "там тоже люди", а не с позиции "я охереть какой дорогой разработчик, вы мне здесь все должны" или "я твое удобство на "№; вертел, у меня из-за тебя ИБ не складывается".
+100500
Например, у нас в результате разумного диалога разработчиков и безопасников появилось вот такое чудо.
KV>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
BTW. Твои прикольные истории, конечно, очень познавательны, но они скорее характеризуют особенности ведения бизнеса в этой стране, а не взаимоотношения между ИТ и ИБ подразделениями в компании.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, kochetkov.vladimir, Вы писали:
K>>Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью.
KV>в один прекрасный день у них не изъяли все рабочие станции и серверы, которые находились в офисе. KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Простите, мы о какой "безопасности" вообще говорим? При чём тут какой-то "фотошоп"? При чём тут IT вообще? Банальный наезд, рейдерство. Ну изьяли бы для изучения на предмет наличия террористических материалов. Или еще по какой причине. Разница-то какая?
Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках?
KV>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
Вот-вот. И люди, которые свято верят, что запрет установки FF как-то помогает вашей крыше победить "ихнюю" кажутся мне всё-таки из мира эльфов.
Здравствуйте, koandrew, Вы писали:
DOO>>КСВ — это место, где благородные доны могут поделиться своей точкой зрения на насущные проблемы ИТ мира (ну и обосновать ее, конечно же). K>Не, то, что ты указал — это в форуме "философия", сюда народ ходит поспорить и поругаться
"Философия" и "КСВ" — по сути один и тот же форум. Разница между ними лишь в том, что в первом все благородные доны просто считают, что их пиписьки немеряно длинные, а здесь, помимо этого, доны еще и глубоко убеждены, что у всех окружающих они неприлично короткие
Здравствуйте, yoriсk.kiev.ua, Вы писали:
YKU>Простите, мы о какой "безопасности" вообще говорим?
Об информационной
YKU>При чём тут какой-то "фотошоп"? При чём тут IT вообще? Банальный наезд, рейдерство. Ну изьяли бы для изучения на предмет наличия террористических материалов. Или еще по какой причине. Разница-то какая?
Прочтите внимательно то, что я написал. Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала.
Что же касается фотошопа, то разница есть. Аж две. Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. А во-вторых, человек, который использует этот фотошоп является преступником, с т.з. действующего законодательства и своими действиями подставляет всю компанию.
YKU>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках?
Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
KV>>Поэтому не надо тут рассказывать про "живут в сказочном мире", это оторвано от реальности еще сильнее.
YKU>Вот-вот. И люди, которые свято верят, что запрет установки FF как-то помогает вашей крыше победить "ихнюю" кажутся мне всё-таки из мира эльфов.
Опять-таки, выделенное — является тезисом, авторские на который принадлежат исключительно вам. Я писал не это и не об этом.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Был еще один случай. Проверяющие готовились оформлять изъятие нескольких серверов и по запарке изъяли инфраструктуру СОРМ полным составом. Через 10 минут после нашего звонка в ФСБ с правильными комментариями по поводу происходящего, оттуда примчалась "опергруппа" и весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче и т.п. Госбезопасность в итоге победила вчистую, а у нас ничего не изъяли
E__>Весело там у вас...
Да нет, не весело. Эту часть своей работы я, честно говоря, ненавижу
Здравствуйте, genre, Вы писали:
G>>>Ну я не знаю как у вас, а у нас тестирование это способ поиска пока еще неизвестных проблем F>>И успешно все находятся? Ни одна наружу не пролезает? Не верю.
G>Пролезает конечно. Но фокус в том, что если полагаться на использование инструмента как на тестирование то вылезет еще больше.
А зачем полагаться только на это?
G>Формализованное тестирование находит гораздо больше багов чем использование.
Но не всё.
G>Хотя бы потому, что например средний пользователь ворда использует лишь 5% функционаала
Зато если в компании хотя бы не сколько десятков человек, получится несколько десятков бета-тестеров, да ещё которым донести фидбек до непосредственных разработчиков гораздо проще, чем внешнему пользователю.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, koandrew, Вы писали:
K>Хороший безопасник не должен мешать рабочему процессу своими идиотскими инструкциями и ограничениями, и они должны понимать, что они для компании являются net loss и не более того...
Знаешь, я видел ситуацию с обеих сторон "баррикады", так что с net loss категорически не соглашусь.
С другой стороны также понимаю что не бывает идеала, чтоб и максимально безопасно и максимально удобно.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, DOOM, Вы писали:
DOO>Значит что-то не учли
Ну да — реальность не так хороша, как теория
DOO>В иной конторе вас попросят откатить все в исходное состояние и придти, когда вы будете готовы нормально деплоить приложение — останавливать (или просто создавать риск остановки) основные сервисы ради вас никто не будет (за пределами согласованного технологического окна).
Пока везде, где я работал, деплой в продакшен делали мы сами...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Значит что-то не учли K>Ну да — реальность не так хороша, как теория
Нет. Это значит, что подготовка не так хороша, как должна быть.
Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру.
DOO>>В иной конторе вас попросят откатить все в исходное состояние и придти, когда вы будете готовы нормально деплоить приложение — останавливать (или просто создавать риск остановки) основные сервисы ради вас никто не будет (за пределами согласованного технологического окна). K>Пока везде, где я работал, деплой в продакшен делали мы сами...
Без плана? Без оценки рисков? Без способов отката к исходному состоянию?
Здравствуйте, DOOM, Вы писали:
DOO>Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру.
Дык это ж проще и быстрее
DOO>Без плана? Без оценки рисков? Без способов отката к исходному состоянию?
Ну бекап, конечно, был. А план — план был "сделать так, чтоб всё работало"
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Знаешь в чем отличие чисто ИТшных интегрторов от ИБшных? Последние всегда должны что-то менять в уже работающем сервисе — это накладывает свой отпечаток, который не очень наблюдается у ИТшных интеграторов — эти как раз привыкли, что им под их эксперименты отдадут всю инфраструктуру. K>Дык это ж проще и быстрее
Да ты что? По живой-то системе.
Представляешь — стоит какой-нибудь SAP и прекрасно работает. Приходишь ты — что-то делаешь, SAP перестает работать. Кому чинить? Тебе. А если там не SAP — а OeBS? Все равно тебе.
Получается, что инженеры должны обладать какими-то всесторонними компетенциями (причем оживить серьезную систему из резервной копии — тоже не всегда просто).
В общем, как раз проще — когда чужое не трогаешь. В своем-то всегда лучше разбираешься.
DOO>>Без плана? Без оценки рисков? Без способов отката к исходному состоянию? K>Ну бекап, конечно, был. А план — план был "сделать так, чтоб всё работало"
Да уж
А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели?
А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто...
Здравствуйте, DOOM, Вы писали:
DOO>Да ты что? По живой-то системе. DOO>Представляешь — стоит какой-нибудь SAP и прекрасно работает. Приходишь ты — что-то делаешь, SAP перестает работать. Кому чинить? Тебе. А если там не SAP — а OeBS? Все равно тебе. DOO>Получается, что инженеры должны обладать какими-то всесторонними компетенциями (причем оживить серьезную систему из резервной копии — тоже не всегда просто). DOO>В общем, как раз проще — когда чужое не трогаешь. В своем-то всегда лучше разбираешься.
Не, у нас, как правило, инфраструктура покупается специально под проект, и ничего, кроме нашего проекта там не стоит.
DOO>Да уж DOO>А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели?
Полный бекап (образ диска) делали админы, мы только делали мини-бекапы по необходимости. По консолям (например консоль балансера) мы работали сами, но при необходимости у нас был "на телефоне" эксперт по данным железякам. DOO>А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто...
АД тоже можно забекапить По поводу миграции железа — мне ни разу не доводилось это делать, потому что железо там ставят под наш проект эксклюзивно.
K>Не, у нас, как правило, инфраструктура покупается специально под проект, и ничего, кроме нашего проекта там не стоит.
Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы.
DOO>>Да уж DOO>>А кто бэкап делал? Тоже вы? А с консолью средства тоже с полными правами работали? Несмотря на то, что вы раньше ее не видели? K>Полный бекап (образ диска) делали админы, мы только делали мини-бекапы по необходимости.
Ага. А че ж не вам-то дали?
DOO>>А если изменения такие, что простой бэкап не помогает? Например, расширение схемы AD... Или изменение оборудования (мигрировали, например, с одной СХД на другую и в процессе поняли, что работу надо откатить?). Это же не так все просто... K>АД тоже можно забекапить
Ну если контроллеров домена штук 20 — то я, честно говоря, не до конца представляю гарантированно правильный порядок действий отката изменений схемы (что-то подсказывает, что бэкапа/восстановления Schema Master'а должно хватить — но вот хз).
K>По поводу миграции железа — мне ни разу не доводилось это делать, потому что железо там ставят под наш проект эксклюзивно.
Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант).
Здравствуйте, DOOM, Вы писали:
DOO>Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы.
Да самом деле дешевле купить новые серваки, чем геморроиться с установкой решений на имеющиеся.
DOO>Ага. А че ж не вам-то дали?
Почему не дали? Просто для этого нам бы пришлось физически ехать в дата-центр, потому мы решили, что они сделают сами. В случае чего у нас был админ on call, который смог бы поднять бэкап. То есть по сути он просто выполнял наши команды.
DOO>Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант).
Ну могу привести в пример продакшен-инфраструктуру текущего проекта:
веб-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система
аппликейшн-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система
сервера БД — 2-узловой кластер под MS SQL 2008 64bit, какое там железо — не в курсе
сервера Endeca (OLAP) — 2-узловой кластер, про железо хз
бекэнд-сервера для Endeca — там Оракл, про физическую структуру не знаю
ну и само собой балансировщик, файрволл и т.п.
Дев-среда попроще — один веб-сервер, один аппсервер, по одному серверу БД, Endeca и её бэкэдна.
Всё это железо куплено специально под проект, сейчас пока инфраструктура онлайн только частично, полное введение в строй запланировано на середину января.
KV>Что же касается фотошопа, то разница есть. Аж две. Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. А во-вторых, человек, который использует этот фотошоп является преступником, с т.з. действующего законодательства и своими действиями подставляет всю компанию.
Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей...
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Это очень тепличные условия. Поэтому ты так и смотришь легко на эти вопросы. K>Да самом деле дешевле купить новые серваки, чем геморроиться с установкой решений на имеющиеся.
Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации).
DOO>>Отсюда на самом деле можно сделать вывод о том, что с крупным Enterprise'ом вы не работаете. Либо ваши проекты настолько велики, что под них строят отдельные ЦОДы (в принципе, для ERP системы это нормальный вариант). K>Ну могу привести в пример продакшен-инфраструктуру текущего проекта: K>веб-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система K>аппликейшн-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система K>сервера БД — 2-узловой кластер под MS SQL 2008 64bit, какое там железо — не в курсе K>сервера Endeca (OLAP) — 2-узловой кластер, про железо хз K>бекэнд-сервера для Endeca — там Оракл, про физическую структуру не знаю K>ну и само собой балансировщик, файрволл и т.п.
Ну да. Соизмеримо с инсталляцией стандартной ERP.
Однако сразу масса вопросов возникает — а что, никакой катастрофоустойчивости? А что, SAN нету?
Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации.
Кроме того, всем перечисленным хозяйством надо управлять — где интеграция с системами управления и мониторинга ЦОД? Кто занимался сетевой интеграцией? Сдается мне, что просто техническую архитектуру для ваших систем делает кто-то еще, кто и решает основную массу вопросов — а вы практически на готовое приходите.
K>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей...
Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц.
В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ.
Здравствуйте, koandrew, Вы писали:
K>Почитав местных безопасников, у меня вообще создаётся впечатление, что они живут в сказочном мире, не имеющим ничего общего с реальностью. Приведу пример: K>Есть компания (кстати, канадский аналог пчелайна, один из [двух] крупнейших национальных операторов связи. Имеется отдел разработки, но основная часть новых разработок выполняется контракторами, работающими onsite. Я являюсь одним из них. У всей команды имеются админские права на своих рабочих машинах, их никто никогда не инспектирует и они ставят какой угодно софт безо всяких ограничений. А всё почему — потому что их время дорого, очень дорого. К примеру, затраты на нашу команду по моим оценкам составляют цифру порядка $5000 в день только на зарплату. При такой цене рабочего времени малейшая разница в производительности экономит компании хорошие деньги. Потому никакой унификации рабочего места нет и в помине — создано всё для того, чтобы сотрудник оборудовал своё место максимально удобным для себя образом.
Подтверждаю слово в слово. В нашинских Западах практически во всех конторах программист сам ставит себе весь софт, стандартный софт — лицензии от конторы, левый — твои проблемы: хочешь ставь, хочешь не ставь — всем положить. Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам. На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали. Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё.
Вспоминаю ситуацию с ИБ в Москве как страшный сон. Старые, тяжёлые на подъём дядьки, которые не особо секут не то что в ИБ, а даже "в компьютерах", спорят до усрачки, какая длина пароля нужна или сколько раз в месяц нужно инспектировать рабочие станции. Особо хардкорные руководители ИБ визируют установку каждого патча KB В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>В сказочном мире живут разработчики, которые свято верят в свою собственную значимость, сравнимую с доходами, например, сотового оператора. ИТшники (всех направлений) одного из наших филиалов тоже так думали, до тех пор, пока в один прекрасный день у них не изъяли все рабочие станции и серверы, которые находились в офисе. Восстановить работу филиала удалось только через два дня, именно столько понадобилось, чтобы доставить оборудование с резервного склада в МСК (в местном "ЗИП"е такого количества железяк не было и быть не могло), залить серверы и поднять на них конфигурацию с бэкапов, залить и ввести в домен рабочие станции, после чего ждать, когда SMS накатит каждому пользователю нужный ему софт.
KV>Изъятое оборудование удалось вернуть лишь через несколько месяцев. Причиной всему этому стал один (я подчеркиваю — один) портабловский фотошоп, имевший место быть у одного из пользователей.
Ну так бандитское государство, бандитские приёмчики, каждый кто может надувает щёки и кладёт огурец в штаны, чтоб казаться круче. Стыдно должно быть, гордиться тем, что контору чуть не убили ради одного сраного фотошопа, до которого даже АДОБЕ нет никакого дела, нечего. Стыд и срам.
Здравствуйте, DOOM, Вы писали:
K>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей... DOO>Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц.
Наличие парковок возле офиса для начальственных членовозов — тоже "непрерывность бизнеса по-русски". Не планируете заняться?
HL>Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам.
Вообще-то это даже не вопрос доверия. Я и дома комп лочу, потому что, например, действия моего сына могут быть вполне себе вредоносные, хоть и неосознанные.
Кроме того, все решается проще — дать тебе в руки смарт карту с интегрированной RFID меткой и сделать на двери в кабинет электронный замок — компьютер у тебя будет сам собой лочиться, потому что без карты ты из кабинета не выйдешь.
HL>На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали.
Ну и закончится это все после первого же деструктивного вируса
HL>Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё.
Как-то это не вяжется с парольной политикой в стиле пассворд1.
HL>Особо хардкорные руководители ИБ визируют установку каждого патча KB
Вообще-то визировать установку патчей должны ИТшники — это им потом тысячу компов оживлять из-за несовместимого апдейта.
HL>В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу.
Что-то никогда такого не видел.
В общем все, что ты сказал, уже много раз обсуждалось в различных темах — пока в компании мало народу, то формализация деятельности только вредит, но когда становится много — формализация необходима. Это можно сравнить с машинами на дороге — когда их мало — ПДД не особо нужны, а когда машин много — без ПДД езды не будет.
А для маленькой компании, которой типа пофиг на безопасность, могу привести один очень характерный инцидент: у вас найдется какой-нибудь очередной умник, работающий под админом, который заразит свою машину вирусом, осуществляющим спаммерские рассылки. Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?
Здравствуйте, iHateLogins, Вы писали:
HL>Наличие парковок возле офиса для начальственных членовозов — тоже "непрерывность бизнеса по-русски". Не планируете заняться?
Не понял твоей фразы. Поясни.
Здравствуйте, DOOM, Вы писали:
K>>Ну могу привести в пример продакшен-инфраструктуру текущего проекта: K>>веб-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система K>>аппликейшн-сервера — 4 штуки, 64 Гб оперативки, 16-ядерная система
DOO>Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо
Для малонагруженых проектов не покупают 16-ядерные сервера с 64 гигами оперативы
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Был еще один случай. Проверяющие готовились оформлять изъятие нескольких серверов и по запарке изъяли инфраструктуру СОРМ полным составом. Через 10 минут после нашего звонка в ФСБ с правильными комментариями по поводу происходящего, оттуда примчалась "опергруппа" и весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче и т.п.
Как мартышки, ей богу.
И главное-то, что безопасность этим ведомствам ну нафиг не сдалась, главное — набить карманы, но справедливую целку этим ведомствам играть всё-таки приходится. Им самим не противно, а?
Здравствуйте, DOOM, Вы писали:
HL>>Наличие парковок возле офиса для начальственных членовозов — тоже "непрерывность бизнеса по-русски". Не планируете заняться? DOO>Не понял твоей фразы. Поясни.
В России понятие термина "безопасность" — это не безопасность (отсутствие опасности), как во всём цивилизованном мире, а силовые показательные мероприятия. Ну а так как парковки в России строить еще никто не догадался, то ентих товарищей частенько заставляют заниматься несвойственными им изначально силово-пугательными функциями, а именно "зачисткой" (мне, пожившему 2 года на Западе, уже становится смешно при слове "зачистка", особенно в этом контексте) "территории" от припаркованных автомашин "нижестоящих сотрудников" Хахахахаха
Здравствуйте, iHateLogins, Вы писали:
HL>В России понятие термина "безопасность" — это не безопасность (отсутствие опасности), как во всём цивилизованном мире, а силовые показательные мероприятия.
Это твои странные фантазии
Здравствуйте, iHateLogins, Вы писали:
HL>Для малонагруженых проектов не покупают 16-ядерные сервера с 64 гигами оперативы
Это сервер начального уровня, эрудированный ты наш.
Если бы речь шла об HPC платформе типа Superdome, то другое дело — а это сам бог велел виртуализировать.
Здравствуйте, DOOM, Вы писали:
HL>>Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам. DOO>Вообще-то это даже не вопрос доверия. Я и дома комп лочу, потому что, например, действия моего сына могут быть вполне себе вредоносные, хоть и неосознанные.
Купи комп своему сыну и сделай так, чтобы он не работал за твоим компом.
DOO>Кроме того, все решается проще — дать тебе в руки смарт карту с интегрированной RFID меткой и сделать на двери в кабинет электронный замок — компьютер у тебя будет сам собой лочиться, потому что без карты ты из кабинета не выйдешь.
Маньяк.
HL>>На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали. DOO>Ну и закончится это все после первого же деструктивного вируса
По моему опыту, самый вредоносный софт — антивирусы. Последний раз видел деструктивный вирус воочию в 1994, помог aidstest. С того времени — ни одного инцидента.
HL>>Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё. DOO>Как-то это не вяжется с парольной политикой в стиле пассворд1.
А в чем не вяжется? Хочешь сказать что кто-то будет чекинить не от своего имени? Типа как в анекдоте "я кодуктора обманул. Деньги положил, билетик не взял"
HL>>Особо хардкорные руководители ИБ визируют установку каждого патча KB DOO>Вообще-то визировать установку патчей должны ИТшники — это им потом тысячу компов оживлять из-за несовместимого апдейта.
бОльшая часть из этих ИТ-ников всё равно не читает полностью всех статей КБ и тупо скопом всё визирует. Зачем нужен этот театр — мне не понятно.
HL>>В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу. DOO>Что-то никогда такого не видел.
Поэтому держат
DOO>В общем все, что ты сказал, уже много раз обсуждалось в различных темах — пока в компании мало народу, то формализация деятельности только вредит, но когда становится много — формализация необходима. Это можно сравнить с машинами на дороге — когда их мало — ПДД не особо нужны, а когда машин много — без ПДД езды не будет.
Формализация нужна, но она не самоцель. цель — снижение издержек и увеличение производительности труда. Анальный прессинг за установку Миранды — это детские комплексы И ТОЛЬКО ОНИ дяди-руководителя ИБ. Лучше бы ИЕ6 на ИЕ8 проапргрейдили, раз такие активные.
DOO>А для маленькой компании, которой типа пофиг на безопасность, могу привести один очень характерный инцидент: у вас найдется какой-нибудь очередной умник, работающий под админом, который заразит свою машину вирусом, осуществляющим спаммерские рассылки. Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?
Почту аутсорсим. IP поменяем за 3 секунды. Еще варианты?
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, DOOM, Вы писали:
K>>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей... DOO>>Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц.
HL>Наличие парковок возле офиса для начальственных членовозов — тоже "непрерывность бизнеса по-русски". Не планируете заняться?
Ты как-то слишком агрессивен, без видимой на то причины, не находишь?
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Что же касается фотошопа, то разница есть. Аж две. Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. А во-вторых, человек, который использует этот фотошоп является преступником, с т.з. действующего законодательства и своими действиями подставляет всю компанию.
K>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности?
Эксплуатация нестандартного ПО в целом и нелицензионного в частности, несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
K>Иными словами — а вы-то [специалисты по ИБ] тут при чём? По-моему это забота совсем других людей...
Здравствуйте, iHateLogins, Вы писали:
HL>Ну так бандитское государство, бандитские приёмчики, каждый кто может надувает щёки и кладёт огурец в штаны, чтоб казаться круче.
Ты ошибся форумом. Тебе в "политику"
HL>Стыдно должно быть, гордиться тем, что контору чуть не убили ради одного сраного фотошопа, до которого даже АДОБЕ нет никакого дела, нечего.
Моя гордость за произошедшее в ходе проверки, не более чем плод твоего воображения. А вот тем, что работу офиса удалось восстановить в столь короткое время — да, горжусь. Нет, не стыдно.
HL>Стыд и срам.
Здравствуйте, iHateLogins, Вы писали:
HL>Я сам руководитель отдела разработки
Ты хоть раз работал в компании, где хотя > 10K сотрудников?
HL>В 100% случаев отдел ИБ превращается...
Согласись, то что если тебя "имели в виду" отдельные сотрудники служб ИБ еще не значит, что они все содомиты Или, ты хочешь сказать, что тебя "имели ввиду", вплоть до достижения статистической значимости этого события?
Здравствуйте, kochetkov.vladimir, Вы писали:
K>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? KV>Эксплуатация нестандартного ПО в целом и нелицензионного в частности, несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
Как-то несёт душком канцелярщины. Казалось бы, говорит человек, а звучит, как робот
Здравствуйте, kochetkov.vladimir, Вы писали:
HL>>Я сам руководитель отдела разработки KV>Ты хоть раз работал в компании, где хотя > 10K сотрудников?
Да.
HL>>В 100% случаев отдел ИБ превращается...
KV>Согласись, то что если тебя "имели в виду" отдельные сотрудники служб ИБ еще не значит, что они все содомиты Или, ты хочешь сказать, что тебя "имели ввиду", вплоть до достижения статистической значимости этого события?
А меня-то что иметь в виду? Это они руководство "имели в виду" чтоб бюджеты раздувать. Но со стороны их работа была, скажем так, мерзостная. Помощи — ноль, одно раздувание щёк и прессинг каких-то случайных людей (меня это не касалось). Важно: это была _российская_ контора. В буржуйских конторах с N*10K рабочих станций, где я работал, я даже не знал, есть ли отдел ИБ или нет. Может они где-то сидели и что-то мониторили, но это было незаметно. Может быть даже их работа была полезна, не в курсе.
Здравствуйте, DOOM, Вы писали:
HL>>Для малонагруженых проектов не покупают 16-ядерные сервера с 64 гигами оперативы DOO>Это сервер начального уровня, эрудированный ты наш.
Здравствуйте, iHateLogins, Вы писали:
HL>Купи комп своему сыну и сделай так, чтобы он не работал за твоим компом.
Во-первых, рановато.
Во-вторых, ему все равно за мой будет интереснее сесть — там же папа работает.
DOO>>Кроме того, все решается проще — дать тебе в руки смарт карту с интегрированной RFID меткой и сделать на двери в кабинет электронный замок — компьютер у тебя будет сам собой лочиться, потому что без карты ты из кабинета не выйдешь. HL>Маньяк.
А что такого? Очень удобно. Еще карту сделать бесконтактную, дак вообще красота будет.
HL>По моему опыту, самый вредоносный софт — антивирусы.
Это смотря откуда руки растут
HL>Последний раз видел деструктивный вирус воочию в 1994, помог aidstest. С того времени — ни одного инцидента.
Ну не так давно была какая-то поделка, заменяющая все файлы на какое-то обращение с матерками — эта поделка привела к каким-то нереальным потерям у кучи организаций.
DOO>>Как-то это не вяжется с парольной политикой в стиле пассворд1. HL>А в чем не вяжется? Хочешь сказать что кто-то будет чекинить не от своего имени? Типа как в анекдоте "я кодуктора обманул. Деньги положил, билетик не взял"
Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я.
DOO>>Вообще-то визировать установку патчей должны ИТшники — это им потом тысячу компов оживлять из-за несовместимого апдейта. HL>бОльшая часть из этих ИТ-ников всё равно не читает полностью всех статей КБ и тупо скопом всё визирует. Зачем нужен этот театр — мне не понятно.
Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды.
DOO>>В общем все, что ты сказал, уже много раз обсуждалось в различных темах — пока в компании мало народу, то формализация деятельности только вредит, но когда становится много — формализация необходима. Это можно сравнить с машинами на дороге — когда их мало — ПДД не особо нужны, а когда машин много — без ПДД езды не будет. HL>Формализация нужна, но она не самоцель. цель — снижение издержек и увеличение производительности труда.
Я о том же.
HL>Анальный прессинг за установку Миранды — это детские комплексы И ТОЛЬКО ОНИ дяди-руководителя ИБ. Лучше бы ИЕ6 на ИЕ8 проапргрейдили, раз такие активные.
Вообще-то это одно и тоже. Вопрос сопровождения DSL (Definitive Software Library) — но, чтобы от этой DSL толк был, надо чтобы софт был только оттуда. А есть там миранда или IE8 — это детали.
HL>Почту аутсорсим. IP поменяем за 3 секунды. Еще варианты?
Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета.
Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов.
У вашего босса уведут ключ интернет банка и подоят корпоративный счет.
Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней.
Хватит? Или еще надо? И это не выдумки какие-то — это я все вполне реальные инциденты перечисляю.
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, DOOM, Вы писали:
HL>>>Для малонагруженых проектов не покупают 16-ядерные сервера с 64 гигами оперативы DOO>>Это сервер начального уровня, эрудированный ты наш.
HL>Оптимизировать надо.
Это ты разработчику скажи. Я уже предложил один из способов оптимизации.
Здравствуйте, iHateLogins, Вы писали:
HL>А меня-то что иметь в виду? Это они руководство "имели в виду" чтоб бюджеты раздувать. Но со стороны их работа была, скажем так, мерзостная. Помощи — ноль, одно раздувание щёк и прессинг каких-то случайных людей (меня это не касалось). Важно: это была _российская_ контора.
Вспоминается мне одно очень жесткое выступление представителя службы ИБ иностранной компании, который рассказывал сколько ему удалось уголовных дел успешно возбудить против сотрудников, потыривших корпоративные секреты
HL>В буржуйских конторах с N*10K рабочих станций, где я работал, я даже не знал, есть ли отдел ИБ или нет. Может они где-то сидели и что-то мониторили, но это было незаметно. Может быть даже их работа была полезна, не в курсе.
Ага-ага.
А компании Trend Micro, Symantec, Sophos, CA, McAffee и т.п. — это всякие русские шарашкины конторки, которые изготавливают продукт для российских компаний с параноидальными дядечками из отделов ИБ
Не иначе.
Здравствуйте, DOOM, Вы писали:
HL>>Купи комп своему сыну и сделай так, чтобы он не работал за твоим компом. DOO>Во-первых, рановато. DOO>Во-вторых, ему все равно за мой будет интереснее сесть — там же папа работает.
И как только раньше семьи жили, без локинга компов, а?
HL>>Последний раз видел деструктивный вирус воочию в 1994, помог aidstest. С того времени — ни одного инцидента. DOO>Ну не так давно была какая-то поделка, заменяющая все файлы на какое-то обращение с матерками — эта поделка привела к каким-то нереальным потерям у кучи организаций.
Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей.
DOO>>>Как-то это не вяжется с парольной политикой в стиле пассворд1. HL>>А в чем не вяжется? Хочешь сказать что кто-то будет чекинить не от своего имени? Типа как в анекдоте "я кодуктора обманул. Деньги положил, билетик не взял" DOO>Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я.
За "прикидывание шлангом" и преднамеренное враньё есть другие статейки, вплоть до увольнения. В наших краях репутацию стараются не портить по ерунде.
DOO>>>Вообще-то визировать установку патчей должны ИТшники — это им потом тысячу компов оживлять из-за несовместимого апдейта. HL>>бОльшая часть из этих ИТ-ников всё равно не читает полностью всех статей КБ и тупо скопом всё визирует. Зачем нужен этот театр — мне не понятно. DOO>Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды.
Не понимаю, с чем ты споришь? С тем, что читают и вникают?
HL>>Анальный прессинг за установку Миранды — это детские комплексы И ТОЛЬКО ОНИ дяди-руководителя ИБ. Лучше бы ИЕ6 на ИЕ8 проапргрейдили, раз такие активные. DOO>Вообще-то это одно и тоже. Вопрос сопровождения DSL (Definitive Software Library) — но, чтобы от этой DSL толк был, надо чтобы софт был только оттуда. А есть там миранда или IE8 — это детали.
Да вот нифига не детали. Миранда на рабочем компе даже с точки зрения той же безопасности — в тыщу раз меньшая угроза, чем дырявый насквозь ИЕ6.
HL>>Почту аутсорсим. IP поменяем за 3 секунды. Еще варианты? DOO>Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета.
Ну ботнет-то можно отследить и без анального прессинга сотрудников.
DOO>Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов.
Вот на ИП телефонию пароль посложнее, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов.
DOO>У вашего босса уведут ключ интернет банка и подоят корпоративный счет.
Деньги просто так, даже зная логины и пароли, не выведешь, по крайней мере у нас. Куда их перечислять? За рубеж — не дадут без личного обращения в банк, а по стране — так все аккаунты проверены, завтра же "на том конце" человечка оприходуют в случае чего.
DOO>Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней.
Она просто не будет заходить на наш сервер. Вы же не думаете, что она проломит Вам голову ломом (случайно, конечно) за пару дней до дедлайна, почему вы думаете, что она будет куда-то логиниться и что-то ломать?
DOO>Хватит? Или еще надо? И это не выдумки какие-то — это я все вполне реальные инциденты перечисляю.
Да выдумки всё это. Проекты фейлятся не из-за девочек-маньячек, а из-за ленивых сотрудников, дебильного на голову менеджмента или вороватого руководства.
Здравствуйте, DOOM, Вы писали:
HL>>А меня-то что иметь в виду? Это они руководство "имели в виду" чтоб бюджеты раздувать. Но со стороны их работа была, скажем так, мерзостная. Помощи — ноль, одно раздувание щёк и прессинг каких-то случайных людей (меня это не касалось). Важно: это была _российская_ контора. DOO>Вспоминается мне одно очень жесткое выступление представителя службы ИБ иностранной компании, который рассказывал сколько ему удалось уголовных дел успешно возбудить против сотрудников, потыривших корпоративные секреты
И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то?
HL>>В буржуйских конторах с N*10K рабочих станций, где я работал, я даже не знал, есть ли отдел ИБ или нет. Может они где-то сидели и что-то мониторили, но это было незаметно. Может быть даже их работа была полезна, не в курсе. DOO>Ага-ага. DOO>А компании Trend Micro, Symantec, Sophos, CA, McAffee и т.п. — это всякие русские шарашкины конторки, которые изготавливают продукт для российских компаний с параноидальными дядечками из отделов ИБ
Опять не пойму, с чем ты споришь. Антивирусы в буржуинии много где ставят, но прессинга со стороны ИБ нет. Просто AV включен в базовый имидж и всё, никаких бледжеков и шлюх.
Здравствуйте, iHateLogins, Вы писали:
HL>И как только раньше семьи жили, без локинга компов, а?
Раньше и без компов жили. Что же их сейчас не использовать?
HL>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей.
А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню.
Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе.
DOO>>Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я. HL>За "прикидывание шлангом" и преднамеренное враньё есть другие статейки, вплоть до увольнения. В наших краях репутацию стараются не портить по ерунде.
Дак ты докажи сначала. А чтобы доказать тебе что надо? Правильно — надежную аутентификацию + логи. А кто этим будет заниматься? Правильно — безопасник.
DOO>>Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды. HL>Не понимаю, с чем ты споришь? С тем, что читают и вникают?
Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется.
HL>Да вот нифига не детали. Миранда на рабочем компе даже с точки зрения той же безопасности — в тыщу раз меньшая угроза, чем дырявый насквозь ИЕ6.
А если из-за этой миранды по какой-то непонятной причине у тебя перестанет работать какое-то корпоративное приложение? ИТшник потратит на твою проблему не один день — потому что она уникальна — оплачивать эти рабочие часы итшника ты сам будешь? Унификация нужна для управляемости. А дырявость сферического приложения в вакууме в целом на безопасность не влияет — все зависит от окружения.
P.S. Тот же IE6 — требование целой кучи ынтырпрайз приложений, когда там будет поддержка IE8 — никто не знает, вот и сидят на 6-м.
DOO>>Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета. HL>Ну ботнет-то можно отследить и без анального прессинга сотрудников.
А я где-то призывал "анально прессовать"?
DOO>>Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов. HL>Вот на ИП телефонию пароль посложнее
Ага. Уже что-то у тебя выторговали. HL>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов.
И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ.
У нас, кстати, когда-то так было — очень неудобно.
DOO>>У вашего босса уведут ключ интернет банка и подоят корпоративный счет. HL>Деньги просто так, даже зная логины и пароли, не выведешь, по крайней мере у нас. Куда их перечислять? За рубеж — не дадут без личного обращения в банк, а по стране — так все аккаунты проверены, завтра же "на том конце" человечка оприходуют в случае чего.
Ну глупый попался — вам-то все равно ущерб — какое-то время оборотные средства будут недоступны.
DOO>>Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней. HL>Она просто не будет заходить на наш сервер. Вы же не думаете, что она проломит Вам голову ломом (случайно, конечно) за пару дней до дедлайна, почему вы думаете, что она будет куда-то логиниться и что-то ломать?
А зачем вам под систему делать выделенный сервер? Че бы не хранить все на одном файловом серваке?
HL>Да выдумки всё это. Проекты фейлятся не из-за девочек-маньячек, а из-за ленивых сотрудников, дебильного на голову менеджмента или вороватого руководства.
Всяко бывает. Если не обращать внимания на безопасность, то можно завалить проект, например, из-за отсутствия системы резервного копирования.
А если обращать, то можно продолжить работу, даже, если твой офис взорвали террористы (если это актуально для твоего бизнеса).
Здравствуйте, iHateLogins, Вы писали:
HL>И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то?
А, дак ты из тех, кто сам себе предмет спора выдумывает? А где тут вообще кто-то про какой-то прессинг сказал? Речь идет вообще о том, что необходимо выполнять ряд определенных мероприятий (в том числе по ИБ), чтобы бизнес нормально функционировал.
Здравствуйте, DOOM, Вы писали:
HL>>И что? Таки да, там есть отделы ИБ, но их не видно, не слышно, они работают по реальным угрозам (и не имеют из-за установленной Миранды). С чем споришь-то? DOO>А, дак ты из тех, кто сам себе предмет спора выдумывает? А где тут вообще кто-то про какой-то прессинг сказал? Речь идет вообще о том, что необходимо выполнять ряд определенных мероприятий (в том числе по ИБ), чтобы бизнес нормально функционировал.
Мне есть с чем сравнить. Я довольно долго работал в Москве, как на буржуйские, так и на российские конторы, и уже 2 года — на Западе. Разница между подходом к ИБ между российскими и западными компаниями — ПРОПАСТЬ. Вроде тема такая же, а реализовано всё по-другому. И софт можно ставить, и прессинга нет, и щёки в западных конторах ИБ-ники не надувают. Хотя тематика-то, повторюсь, такая же: "чтобы было безопасно", "бизнес функционировал", "ляля тополя". Только российские конторки валятся как подкошенные, а буржуинские работают десятки лет. Значит можно не гоняться за Мирандами и, тем не менее, хорошо "функционировать бизнес", не так ли?
Здравствуйте, DOOM, Вы писали:
HL>>И как только раньше семьи жили, без локинга компов, а? DOO>Раньше и без компов жили. Что же их сейчас не использовать?
Ох, моя аналогия не настолько простая, как тебе показалось. Раньше папа дома рисовал документики на бумажке, складывал в папочку. И без сильной криптографии детям объяснял, что рисовать каляки маляки на них не стоит.
HL>>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей. DOO>А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню. DOO>Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе.
Начнем с того, что 10000 компов в ОДНОЙ сети — это уже маразм. Делите на участки, делайте локальные филиалы, до 10 тыщ компов в ОДНОЙ сети — это полная бредятина.
DOO>>>Может быть веселее. Случайно похерит кто-нибудь что-нибудь, а потом будет шлангом прикидываться — я не я. HL>>За "прикидывание шлангом" и преднамеренное враньё есть другие статейки, вплоть до увольнения. В наших краях репутацию стараются не портить по ерунде. DOO>Дак ты докажи сначала. А чтобы доказать тебе что надо? Правильно — надежную аутентификацию + логи. А кто этим будет заниматься? Правильно — безопасник.
Клава фонит дай те боже как, пароли на ура перехватываются в 20 метровой зоне. И что, это мешает кому-то доказывать? Нет. Ну так и в нашем случае, цифровых и не только следов достаточно и без "надежного крипто", даже тех, что ведутся по умолчанию в винде.
DOO>>>Увидишь, как встает одна и та же программа на 1000 идентичных компьютеров — вопросы отпадут. Потому что их этой тысячи хотя бы на 10 будут проблемы вплоть до переустановки винды. HL>>Не понимаю, с чем ты споришь? С тем, что читают и вникают? DOO>Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется.
Звучит красиво. В реальности же "диспетчеры службы поддержки" получают свои 20-30 тыщ рублей и качества их работы — РОВНО на эту сумму. Какие там КБ, какое внимание к деталям
HL>>Да вот нифига не детали. Миранда на рабочем компе даже с точки зрения той же безопасности — в тыщу раз меньшая угроза, чем дырявый насквозь ИЕ6. DOO>А если из-за этой миранды по какой-то непонятной причине у тебя перестанет работать какое-то корпоративное приложение? ИТшник потратит на твою проблему не один день — потому что она уникальна — оплачивать эти рабочие часы итшника ты сам будешь? Унификация нужна для управляемости. А дырявость сферического приложения в вакууме в целом на безопасность не влияет — все зависит от окружения. DOO>P.S. Тот же IE6 — требование целой кучи ынтырпрайз приложений, когда там будет поддержка IE8 — никто не знает, вот и сидят на 6-м.
Да никто ничего делать не хочет. Видел кучу примеров, когда "ынтырпрайзы", все такие растакие, банально теряли исходники. Вот и сидят на дырявом 6-м, сводя на нет все свои усилия по безопасности.
DOO>>>Ваши компьютеры станут частью ботнета. После чего многие провайдеры заблокируют ваш сегмент — получите эдакую нестабильную работу интернета. HL>>Ну ботнет-то можно отследить и без анального прессинга сотрудников. DOO>А я где-то призывал "анально прессовать"?
DOO>>>Ваш сервер IP телефонии взломают (ибо пароль там пассворд1) — сделают через него дцать звонков в азиатские страны — вам счет на пару лямов. HL>>Вот на ИП телефонию пароль посложнее DOO>Ага. Уже что-то у тебя выторговали.
Ну на внешние системки пароли посложнее.
HL>>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов. DOO>И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ. DOO>У нас, кстати, когда-то так было — очень неудобно.
Перезвони по мобиле, делов-то.
DOO>>>У вашего босса уведут ключ интернет банка и подоят корпоративный счет. HL>>Деньги просто так, даже зная логины и пароли, не выведешь, по крайней мере у нас. Куда их перечислять? За рубеж — не дадут без личного обращения в банк, а по стране — так все аккаунты проверены, завтра же "на том конце" человечка оприходуют в случае чего. DOO>Ну глупый попался — вам-то все равно ущерб — какое-то время оборотные средства будут недоступны.
Не слышал про таких идиотов.
DOO>>>Девочка секретарша с правами админа на сервере случайно похерит ваш проект, который сдавать через пару дней. HL>>Она просто не будет заходить на наш сервер. Вы же не думаете, что она проломит Вам голову ломом (случайно, конечно) за пару дней до дедлайна, почему вы думаете, что она будет куда-то логиниться и что-то ломать? DOO>А зачем вам под систему делать выделенный сервер? Че бы не хранить все на одном файловом серваке?
Виртуализация нынче довольно доступная штука.
HL>>Да выдумки всё это. Проекты фейлятся не из-за девочек-маньячек, а из-за ленивых сотрудников, дебильного на голову менеджмента или вороватого руководства. DOO>Всяко бывает. Если не обращать внимания на безопасность, то можно завалить проект, например, из-за отсутствия системы резервного копирования.
И сколько таких проектов, заваленных из-за отсутствия бэкапов? Десятая доля процента, сотая?
DOO>А если обращать, то можно продолжить работу, даже, если твой офис взорвали террористы (если это актуально для твоего бизнеса).
Вероятнее тогда уж эпидемия чумы или нашествие инопланетян.
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, kochetkov.vladimir, Вы писали:
K>>>Я вот только одного не понимаю — каким боком легальность/нелегальность ПО относится к информационной безопасности? KV>>Эксплуатация нестандартного ПО в целом и нелицензионного в частности, несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
HL>Как-то несёт душком канцелярщины. Казалось бы, говорит человек, а звучит, как робот
Здравствуйте, iHateLogins, Вы писали:
HL>>>, да и препейд у нас — мы не паримся за просаженные раньше времени 200 баксов. DOO>>И что ни разу не было, что офис ВНЕЗАПНО остался без телефонии? Да и вообще своеобразно — говоришь-говоришь, а тут БАЦ. DOO>>У нас, кстати, когда-то так было — очень неудобно.
HL>Перезвони по мобиле, делов-то.
ну собственно вот это предложение говорит о том, что ты даже не пытаешься себе представить маштабы бедствия.
Да даже в небольшой фирме обрыв конференц-колла с клиентом может стоить контракта. А в крупной?
Здравствуйте, iHateLogins, Вы писали:
HL>Мне есть с чем сравнить. Я довольно долго работал в Москве, как на буржуйские, так и на российские конторы, и уже 2 года — на Западе. Разница между подходом к ИБ между российскими и западными компаниями — ПРОПАСТЬ. Вроде тема такая же, а реализовано всё по-другому. И софт можно ставить, и прессинга нет, и щёки в западных конторах ИБ-ники не надувают. Хотя тематика-то, повторюсь, такая же: "чтобы было безопасно", "бизнес функционировал", "ляля тополя". Только российские конторки валятся как подкошенные, а буржуинские работают десятки лет. Значит можно не гоняться за Мирандами и, тем не менее, хорошо "функционировать бизнес", не так ли?
В общем-то ты споришь с тем, что сам себе выдумал. Здесь ты это и изложил.
Почему это я никогда с подобным "анальным прессингом" не сталкивался? А я даже на режимных объектах работал, если че.
Конкретно твой опыт может быть отрицательным — у нас не только безопасников хороших мало. У нас и айтишников хороших сложно найти и программистов тем более — что теперь...
Здравствуйте, iHateLogins, Вы писали:
HL>Здравствуйте, DOOM, Вы писали:
HL>>>И как только раньше семьи жили, без локинга компов, а? DOO>>Раньше и без компов жили. Что же их сейчас не использовать? HL>Ох, моя аналогия не настолько простая, как тебе показалось. Раньше папа дома рисовал документики на бумажке, складывал в папочку. И без сильной криптографии детям объяснял, что рисовать каляки маляки на них не стоит.
А теперь можно не надеяться на сознательность 2-х летнего ребенка, а просто залочить компьютер — удобно ведь.
HL>>>Заражение вирусами не коррилирует с установленным антивирусом, а коррелирует только с уровнем образованности пользователей. DOO>>А ты все 10000 пользователей компьютеров обучишь уровню компьютерной грамотности достаточному, чтобы не хватать вирусы, в том числе, пролезшие через дыры ПО? Ню-ню. DOO>>Понятно же, что если у тебя 10000 компьютеров с простыми паролями, без антивирусов и персональных МЭ, то достаточно одного облажавшегося, чтобы потом вся твоя сеть потихоньку ложилась. И главное — даже нет инструмента этому воспрепятствовать — вот тогда обидно бы стало тебе. HL>Начнем с того, что 10000 компов в ОДНОЙ сети — это уже маразм. Делите на участки, делайте локальные филиалы, до 10 тыщ компов в ОДНОЙ сети — это полная бредятина.
Ну правильно. Надо найти у собеседника в тезисе какую-нибудь ничего не значащую мелочь и попытаться перевести тему на нее.
Сеть она, как правило, одна — а ее уже делят на сегменты — это принятая терминология. Поэтому у нас есть такие термины, как, например, "сеть Интернет".
HL>Клава фонит дай те боже как, пароли на ура перехватываются в 20 метровой зоне.
Только ухом ты этот фон не уловишь — еще технику надо, а значит вероятность реализации такой угрозы значительно ниже.
Но ты не понял — я же сказал, что накосячивший будет отнекиваться, утверждая, что это сделал не он, а кто-то воспользовался его простым паролем/незалоченным компьютером и т.п. Замаешься доказывать.
HL>Нет. Ну так и в нашем случае, цифровых и не только следов достаточно и без "надежного крипто"
Так. А криптография у тебя из каких фантазий вынырнула?
HL>, даже тех, что ведутся по умолчанию в винде.
Ну дак ты их настрой сначала — они ж по умолчанию практически не ведутся. Я же не говорю, что обязательно покупать какое-то отдельное решение — инструменты могут быть произвольные.
DOO>>Читаю, вникают, тестируют, готовятся к развертыванию, инструктируют диспетчеров службы поддержки. Много что делают — и это не "театр" — это работа, потому что, если бизнес встанет из-за какого-то апдейта, то ИТшники по шапке так получат, что мало не покажется. HL>Звучит красиво. В реальности же "диспетчеры службы поддержки" получают свои 20-30 тыщ рублей и качества их работы — РОВНО на эту сумму. Какие там КБ, какое внимание к деталям
Ты либо исключительно троллинга ради тут рассуждаешь, либо действительно не умеешь вникать в то, что тебе пишут. Надоело уже очевидные вещи тебе объяснять.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Эксплуатация нестандартного ПО в целом
верно KV>и нелицензионного в частности,
а вот это не имеет значения KV>несет риски для бизнеса, напрямую связанные с ИТ-инфраструктурой и повышающие вероятность реализации информационных угроз.
KV>Каких именно людей эта забота?
Ну у нас вопросами лицензирования обычно занимаются админы... Лицензионность/нелицензионность не относится к ИБ — к ИБ относится сам факт наличия софта.
Здравствуйте, kochetkov.vladimir, Вы писали:
YKU>>Простите, мы о какой "безопасности" вообще говорим? KV>Об информационной
Неа. Это называется как-то иначе. Бо с таким подходом у нас каждый сотрудник вохры занимается "информационной безопасностью": он охраняет бухгалтерию и её гроссбухи от взлома. фомкой.
KV>Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых.
Вот так вот изьятие всего на свете? Или может светил там штраф в размере уж не знаю, сколько там по УК РФ? Причём, поскольку это было сделано в единственном экземпляре по личной инициативе сотрудника, то и компания как-бы вся в белом.
KV>Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала.
Самое ценное и трудновосстановимое — это информация на тех самых изьятых серверах и компах. И как же отсутствие зоопарка вам помогло?
YKU>>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках? KV>Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
Правда? Чьи же это слова: "если бы это не был банальный наезд и редейрство"? А фраза "весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче" — она в чьей голове родиласть? Или и есть "информационная безопасность" в действии?
Здравствуйте, koandrew, Вы писали:
KV>>и нелицензионного в частности, K>а вот это не имеет значения
имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного.
KV>>Каких именно людей эта забота? K>Ну у нас вопросами лицензирования обычно занимаются админы...
Вот мы и подбираемся к самому главному. У нас — тоже
K>Лицензионность/нелицензионность не относится к ИБ к ИБ относится сам факт наличия софта.
не, ну вам, разработчикам, конечно виднее: что относится к ИБ, а что нет, я даже боюсь тут спорить
P.S: хочу воспользоваться возможностью: не подскажешь заодно, если в левом боку периодически как будто покалывает — это к хирургу или лучше начать с терапевта? Спасибо.
Здравствуйте, yoriсk.kiev.ua, Вы писали:
YKU>Здравствуйте, kochetkov.vladimir, Вы писали:
YKU>>>Простите, мы о какой "безопасности" вообще говорим? KV>>Об информационной
YKU>Неа. Это называется как-то иначе. Бо с таким подходом у нас каждый сотрудник вохры занимается "информационной безопасностью": он охраняет бухгалтерию и её гроссбухи от взлома. фомкой.
И здесь мы подошли к главному. Как ты думаешь, есть ли разница между понятием "информационная безопасность" и "безопасность информационных систем"? Кстати, вынужден сразу огорчить, вопросы физдоступа являются неотъемлемой частью первого понятия, и даже во всяческих коранах типа ISSP этот факт отражен, если что. Просвещайся: http://dorlov.blogspot.com/2010/03/issp-04-5.html
KV>>Из-за фотошопа могли бы изъять даже в том случае, если бы это не был банальный наезд и редейрство, во-первых. YKU>Вот так вот изьятие всего на свете?
Могли бы изъять. Могли бы и нет. Это меня волнует.
YKU>Или может светил там штраф в размере уж не знаю, сколько там по УК РФ?
А вот это меня не волнует совершенно, это не моя зона ответственности.
YKU>Причём, поскольку это было сделано в единственном экземпляре по личной инициативе сотрудника, то и компания как-бы вся в белом.
Т.е. ты считаешь нормальной политикой сдать сотрудника с потрохами и не париться по этому поводу? А ведь "сколько там по УК РФ" исчисляется не столько в рублях, сколько в годах, на секундочку.
KV>>Дело в столько в фотошопе, сколько в том, что благодаря отсутствию зоопарка нам удалось быстро восстановить бизнес в отдельно-взятом похеренном филиала. YKU>Самое ценное и трудновосстановимое — это информация на тех самых изьятых серверах и компах. И как же отсутствие зоопарка вам помогло?
Как ты думаешь, что проще: залить все рабочие станции из единого образа с предустановленным софтом, ввести их в домен под старыми именами, после чего просто подождать пока system management server не накатит специфичное но стандартное ПО, которое использовал каждый конкретный пользователь на каждой конкретной машине, после чего подтянуть роуминг профили пользователей и дать им возможность работать практически в том же окружении, что бы у них до инцидента. Или же заливать и настраивать каждое рабочее место в отдельности с тем софтом, которое пользователь сам себе нарыл в интернетах? Или может это должно быть проблемой пользователей?
YKU>>>Сами же ниже пишите, что все в итоге сводится к битвам людей в погонах. Они таки корочками меряются или наличием фотошопов на флешках? KV>>Выделенное родилось где-то в вашей голове, я затрудняюсь как-либо прокомментировать это. Я подобного не заявлял
YKU>Правда? Чьи же это слова: "если бы это не был банальный наезд и редейрство"? А фраза "весь филиал, запасшись попкорном наблюдал как представители двух ведомств выясняют: чья работа важнее, у кого звание выше, кто с кем служил, у кого спец подразделения круче" — она в чьей голове родиласть? Или и есть "информационная безопасность" в действии?
Если ты невнимательно прочитал то, что я писал выше по поводу этих историй и причин по которым я их рассказал, то могу лишь посочувствовать и порекомендовать прочитать их снова, после чего вернуться к началу этого предложения. Ты либо зациклишься, либо наконец поймешь, какое отношение они имеют к обсуждаемой теме. Меня устроит любой из вариантов
Здравствуйте, DOOM, Вы писали:
DOO>Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации).
Может быть, но проекты, в которых я учавствовал тут, мелкими консолями не назовёшь.
DOO>Ну да. Соизмеримо с инсталляцией стандартной ERP. DOO>Однако сразу масса вопросов возникает — а что, никакой катастрофоустойчивости? А что, SAN нету?
SAN есть. Куча серверов нужна не сколько для скорости, сколько для отказуйстойчивости. DOO>Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации.
Не такое уж и малонагруженное приложение — проектная нагрузка 20000 пользователей с требуемым временем отклика меньше 0.5 с. Виртуализация кстати здесь почему-то не в почёте — везде, где я контрактил, использовалось физическое железо. DOO>Кроме того, всем перечисленным хозяйством надо управлять — где интеграция с системами управления и мониторинга ЦОД? Кто занимался сетевой интеграцией? Сдается мне, что просто техническую архитектуру для ваших систем делает кто-то еще, кто и решает основную массу вопросов — а вы практически на готовое приходите.
Так и есть. Админы подготовили нам среду (поставили ОС, настроили файрволлы и т.п.) и отдали её нам на растерзание За мониторинг приложения отвечаем мы (соответствующий компонент интегрирован в ядро системы), за мониторинг серверов отвечает балансер (он имеет пробы на всех узлах, в случае чего автоматически выводит ноду из кластера и отсылает мыло заинтересованным лицам).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного.
Объяснишь?
KV>Вот мы и подбираемся к самому главному. У нас — тоже
Тогда повторяю свой вопрос — при чём тут ИБ?
KV>не, ну вам, разработчикам, конечно виднее: что относится к ИБ, а что нет, я даже боюсь тут спорить
Это не нам виднее — просто я вижу, как это здесь организовано. Спецов из отдела ИБ я здесь видел пару раз — когда они проводили тренинг по методам защиты веб-приложений от взломов. ВСЁ. Я всё ещё продолжаю верить, что тут вы лезете не в своё дело...
KV>P.S: хочу воспользоваться возможностью: не подскажешь заодно, если в левом боку периодически как будто покалывает — это к хирургу или лучше начать с терапевта? Спасибо.
Здравствуйте, DOOM, Вы писали:
DOO>Все связано. ИБ отвечает за обеспечение функционирования бизнес процессов. В том числе, непрерывность бизнеса традиционно рассматривается как что-то на стыке ИТ, ИБ и прочих заинтересованных лиц. DOO>В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ.
За "обеспечение функционирования бизнес процессов" отвечают админы и внутренняя техподдержка (в небольших конторах это часто одни и те же люди) == ИТ. ИБ тут мимо. Задача ИБ по моим представлениям (и по тому, что я вижу здесь) — консультации ИТ и отделы разработки по вопросам безопасности, возникающим в процессе их деятельности. Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ" — как правило, сетевой архитектор занимается ИБ, при необходимости привлекаются внешние консультанты-контракторы. Потому что здесь популярно мнение, что спецы по ИБ как штатные единицы не нужны на постоянной основе, и их берут на контракты при необходимости...
Здравствуйте, DOOM, Вы писали:
DOO> Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?
Что-то я не совсем понял, как внешний офисный IP влияет на хождение почты?
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Смотря чего. Если вопрос о всяких мелких консолях, то по выделенному серверу для них — дорогое удовольствие (в первую очередь, с точки зрения эксплуатации). K>Может быть, но проекты, в которых я учавствовал тут, мелкими консолями не назовёшь.
Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой).
K>SAN есть. Куча серверов нужна не сколько для скорости, сколько для отказуйстойчивости.
И что — тоже новую под ваш проект построили?
DOO>>Ну и на самом деле, совершенно непонятно, почему для малонагруженных web и application серверов используется физическое железо, а не платформа виртуализации. K>Не такое уж и малонагруженное приложение — проектная нагрузка 20000 пользователей с требуемым временем отклика меньше 0.5 с.
Это очень подходящие штуки для виртуализации — у вас же, например, 20000 пользователей поди не все время, а только в какие-то пики. Остальное время ваши железяки просто воздух греют.
K>Виртуализация кстати здесь почему-то не в почёте — везде, где я контрактил, использовалось физическое железо.
Интересно. У моего коллеги есть знакомый в Канаде — как раз большой эксперт в части виртуализации. Значит в других конторах он проталкивает решения.
K>Так и есть. Админы подготовили нам среду (поставили ОС, настроили файрволлы и т.п.) и отдали её нам на растерзание За мониторинг приложения отвечаем мы (соответствующий компонент интегрирован в ядро системы), за мониторинг серверов отвечает балансер (он имеет пробы на всех узлах, в случае чего автоматически выводит ноду из кластера и отсылает мыло заинтересованным лицам).
Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился.
DOO>>В том же ITIL'е, например, управление безопасностью — один из процессов управления ИТ. K>За "обеспечение функционирования бизнес процессов" отвечают админы и внутренняя техподдержка (в небольших конторах это часто одни и те же люди) == ИТ. ИБ тут мимо.
K>Задача ИБ по моим представлениям (и по тому, что я вижу здесь) — консультации ИТ и отделы разработки по вопросам безопасности, возникающим в процессе их деятельности.
Нет. А кто режим будет устанавливать? Отдел разработки? Или отдел ИТ? ИБ != КБ (компьютерная безопасность) ИБ — это гораздо более широкая тема, она, например, ближе к экономической безопасности (все равно все к деньгам сводится). Во многих банках, например, процедура оценки рисков единая — она не разделена на оценку финансовых рисков или рисков ИБ.
Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом.
K>Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ"
CISO это тоже чисто русский термин
А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК
K> — как правило, сетевой архитектор занимается ИБ
Просьба к Владимиру — оставь, пожалуйста, здесь ссылку на твой пост-сказку про то, как админ стал специалистом по ИБ.
А ты почитай
И вообще — почему сетевой сразу. Вот я, например, даже не сетевик — у меня нет даже базовых сертификатов (типа CCNA/CCDA), но я разрабатываю комплексные системы защиты информации
K>, при необходимости привлекаются внешние консультанты-контракторы.
У нас тоже. По любому поводу практически
K>Потому что здесь популярно мнение, что спецы по ИБ как штатные единицы не нужны на постоянной основе, и их берут на контракты при необходимости...
Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал
Здравствуйте, Anton Batenev, Вы писали:
AB>Здравствуйте, DOOM, Вы писали:
DOO>> Уже через несколько часов ваш внешний IP (который скорее всего один) будет во всех черных списках спаммеров всея иннета. После этого ваша почта перестанет нормально работать (если вы ее сами у себя держите). Вот и все. Нужна безопасность?
AB>Что-то я не совсем понял, как внешний офисный IP влияет на хождение почты?
Что ни разу не видел ошибки 550? Или не имел дела с организациями типа http://www.spamcop.net/?
Принцип очень простой — в сети есть куча honeypot'ов с подложными адресами (а то и целыми почтовыми доменами) + есть массовые сервисы типа hotmail или того же gmail — все эти ребята активно сливают с каких IP ими был получен спам, а когда твой IP станет светиться в этих сводках слишком часто — добро пожаловать в RBL.
P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а).
Здравствуйте, DOOM, Вы писали:
DOO>Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой).
Ну дык можно выделить вам для всех ваших "серверок" отдельную машину.
DOO>И что — тоже новую под ваш проект построили?
Без понятия, если честно. Меня этот вопрос не интересовал как-то...
DOO>Это очень подходящие штуки для виртуализации — у вас же, например, 20000 пользователей поди не все время, а только в какие-то пики. Остальное время ваши железяки просто воздух греют.
Хз, наша задача — обеспечить соответствие требованиям, в них написано — 20000 юзеров /0.5с в течение часа.
DOO>Интересно. У моего коллеги есть знакомый в Канаде — как раз большой эксперт в части виртуализации. Значит в других конторах он проталкивает решения.
Ну если он эксперт — то понятно, почему продвигает Каждый кулик своё болото хвалит.
DOO>Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился.
Наш проект — это главный бизнес компании — ритейл всякой мелочёвки. 80% наших продаж идут через веб-сайт. Собственно мой поинт в том, что нам дают доступ туда, куда нам нужно, и не чинят препонов, вынуждая работать через вторые/третьи руки, как было в некоторых конторах в Москве...
Здравствуйте, DOOM, Вы писали:
DOO>Нет. А кто режим будет устанавливать? Отдел разработки? Или отдел ИТ? ИБ != КБ (компьютерная безопасность) ИБ — это гораздо более широкая тема, она, например, ближе к экономической безопасности (все равно все к деньгам сводится). Во многих банках, например, процедура оценки рисков единая — она не разделена на оценку финансовых рисков или рисков ИБ. DOO>Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом.
Демагогия. ИБ = "информационная безопасность". Лицензионность софта не в их компетенции, потому что софт — это не информация, и то, что они пытаются туда влезть, не делает им чести...
DOO>CISO это тоже чисто русский термин DOO>А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК
К чему это?
K>> — как правило, сетевой архитектор занимается ИБ DOO>Просьба к Владимиру — оставь, пожалуйста, здесь ссылку на твой пост-сказку про то, как админ стал специалистом по ИБ. DOO>А ты почитай DOO>И вообще — почему сетевой сразу. Вот я, например, даже не сетевик — у меня нет даже базовых сертификатов (типа CCNA/CCDA), но я разрабатываю комплексные системы защиты информации
Читал. Звучит "с душком"...
DOO>Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал
Ну-ну. Опять звучит как оправдание. Безопасность никому не нужна — нужны безопасные продукты, безопасная сеть и т.п. Это — продукты.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Воооот. А типичная ИБшная штука — это что-то, что надо поставить на существующие серверы/рабочие станции + некий управляющий серверок (как правило небольшой). K>Ну дык можно выделить вам для всех ваших "серверок" отдельную машину.
Можно. Но некоторые, например, умудряются совместить кучу таких консолек на одной физической машине (без виртуализации) — потом там не так чихнул и все падает...
DOO>>Ну это называется халява — все рисковые операции сделали за вас. Что тут с того, что вам дали ковыряться в полный рост на серверах, которые вообще никак еще не влияют на бизнес вашего заказчика? Вот если б вам административный доступ на коммутаторы ядра дали бы и сказали — да копайтесь там, как надо, ничего страшного — вот тут бы я точно удивился. K>Наш проект — это главный бизнес компании — ритейл всякой мелочёвки. 80% наших продаж идут через веб-сайт. Собственно мой поинт в том, что нам дают доступ туда, куда нам нужно, и не чинят препонов, вынуждая работать через вторые/третьи руки, как было в некоторых конторах в Москве...
Ты так и не понял — вам ничего не дали. Вам дали преднастроенную платформу, все опасные операции выполнили другие — а кого волнует, что вы сделаете на пустой платформе? Играйтесь сколько хотите. В этом, кстати, серьезное отличие проектов по вводу в действие чего-то нового от проектов, где что-то модернизируется/докручивается — платформенные задачи решил и уже, скорее всего, ничего не сломаешь — можно сидеть и не париться. А вот когда "по живому" резать надо — тут некоторые действительно только своими руками делают, а тебя не пускают. Я их понимаю: если что-то поломается — отвечать-то им.
Здравствуйте, koandrew, Вы писали:
DOO>>Ты видишь очень маленький кусочек вершины айсберга и судишь о процессе в целом. K>Демагогия. ИБ = "информационная безопасность". Лицензионность софта не в их компетенции, потому что софт — это не информация, и то, что они пытаются туда влезть, не делает им чести...
Софт — это средство обработки информации — вообще, говоря, стандартный такой объект защиты.
ИБшник должен обеспечить контроли в бизнес процессах компании, которые не позволят нарушить бизнес. Нелицензионное ПО может нарушить бизнес — значит на это должны обращать внимание ИБшники. Но не обязательно они должны рулить этим вопросом. Рулят пусть ИТшники — а от ИБ просто будут требования сформулированы.
DOO>>CISO это тоже чисто русский термин DOO>>А HIPAA, SOX и прочие страшные слова — это на самом деле замаскированные стандарты ФСТЭК K>К чему это?
К твоей фразе:
K>Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ"
Эти документы предъявляют серьезные требования к процессу — без выделенного специалиста не обойтись.
K>Читал. Звучит "с душком"...
Зато верно отражает суть заблуждения.
DOO>>Безопасность — не продукт, а процесс. Тоже один русский безопасник сказал K>Ну-ну. Опять звучит как оправдание. Безопасность никому не нужна — нужны безопасные продукты, безопасная сеть и т.п. Это — продукты.
Что это за продукт такой — "безопасная сеть"? Бизнесу надо, чтобы его процессы работали и их нельзя было легко нарушить. Вот и все. Но чтобы это обеспечить недостаточно просто купить какой-то софт или железо — надо постоянно заниматься обеспечением безопасности. Начиная от таких банальных задач, как анализ журналов и заканчивая сотрудничеством с руководством компании, дабы адекватно реагировать на изменения бизнеса.
А ты упорно считаешь, что можно придти поставить какую-то ерунду и все внезапно станет безопасным...
Здравствуйте, koandrew, Вы писали:
K> Вообще я ни разу не видел в конторах тут штатной единицы "специалист по ИБ" — как правило, сетевой архитектор занимается ИБ,
при твоих масштабах странно
K>при необходимости привлекаются внешние консультанты-контракторы.
ну а кто может определить необходимость, как не "специалист по ИБ"?
Здравствуйте, koandrew, Вы писали:
K> "информационная безопасность"
и ключевое слово — безопасность, а не информационная. безопасность бизнеса. у них задача такая. а на флешке или в голове вынести попытаешься — им все равно, и то и то отнимут.
Здравствуйте, koandrew, Вы писали:
K> Спецов из отдела ИБ я здесь видел пару раз — когда они проводили тренинг по методам защиты веб-приложений от взломов. ВСЁ.
Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы.
K>Я всё ещё продолжаю верить, что тут вы лезете не в своё дело...
На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты.
Здравствуйте, DOOM, Вы писали:
DOO> Что ни разу не видел ошибки 550? Или не имел дела с организациями типа http://www.spamcop.net/?
Смотри, есть офисная сетка с одним IP. Есть почтовый сервер организации с другим IP (а есть еще backup mx с третьим). MTA, который использует DNSBL, анализирует IP соединившегося (в нашем случае внешний офисный) и отклоняет его. А наш почтовый сервер как работал, так и продолжает спокойно работать (и его на всякий случай страхует backup mx).
Проблемы могут начаться когда рассылка идет через почтовый сервер организации (т.е. вирус использует логин/пароль пользователя для авторизации и отправки), но головняк со с почтой перманентен (то кто-нибудь фильм отправит, то менеджер всех клиентов поздравит поставив адреса в СС) — тут обычно все датчики настроены чутко и шалости не проходят.
DOO> P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а).
Эм. А что это? Или имеется ввиду Small Business Server с какой-нибудь приблудой на борту?
З.Ы. Будучи активным поставщиком "свежего мяса" для spamcop мне иногда очень жалко, что IP банят всего на сутки (не так уж и страшно попадать в BL). Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом).
Здравствуйте, _Raz_, Вы писали:
_R_>и ключевое слово — безопасность, а не информационная. безопасность бизнеса. у них задача такая. а на флешке или в голове вынести попытаешься — им все равно, и то и то отнимут.
Вот это и есть классическая подмена понятий. ИБ != безопасности бизнеса.
Здравствуйте, _Raz_, Вы писали:
_R_>при твоих масштабах странно
Вот потому и интересуюсь, чем местные представители профессии занимаются фулл-тайм. Тут как-то обходятся консалтерами
_R_>ну а кто может определить необходимость, как не "специалист по ИБ"?
Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.
Здравствуйте, _Raz_, Вы писали:
_R_>Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы.
Да нет, наоборот, хорошие — минимум вмешательства при максимуме эффекта. Учитесь
_R_>На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты.
Опять подмена понятий.
Здравствуйте, _Raz_, Вы писали:
_R_>это есть классическое не понимание
Нет. Безопасность бизнеса — понятие куда более широкое, и ИБ — лишь один его аспект. Моя претензия именно в том, что ИБшники лезут за пределы своей ответственности...
Здравствуйте, koandrew, Вы писали:
_R_>>при твоих масштабах странно K>Вот потому и интересуюсь, чем местные представители профессии занимаются фулл-тайм. Тут как-то обходятся консалтерами
похоже на русский подход — пока петух не кллюнул
_R_>>ну а кто может определить необходимость, как не "специалист по ИБ"? K>Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.
а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то
Здравствуйте, koandrew, Вы писали:
K>Нет. Безопасность бизнеса — понятие куда более широкое, и ИБ — лишь один его аспект. Моя претензия именно в том, что ИБшники лезут за пределы своей ответственности...
Здравствуйте, _Raz_, Вы писали:
_R_>похоже на русский подход — пока петух не кллюнул
Моё ИМХО в том, что тут у бизнеса есть куда больше опыта в оценке рисков...
_R_>а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то
Зачем? Специалист по ИБ нас консультирует, не принимая прямого участия в процессе. А "старший сисадмин" отвечает за другую сферу. За приложение отвечаем мы, разработчики.
Здравствуйте, koandrew, Вы писали:
_R_>>Плохие спецы. Да же нет. Плохи люди обязанные думать о надежности системы. K>Да нет, наоборот, хорошие — минимум вмешательства при максимуме эффекта. Учитесь
Чему? Две строчки выше перечитай
_R_>>На форуме? А, в принципе все равно, у них работа такая — лезть во ВСЕ аспекты. K>Опять подмена понятий.
для начала напоминаю про фэйли гигантов веба.
_R_>>похоже на русский подход — пока петух не кллюнул K>Моё ИМХО в том, что тут у бизнеса есть куда больше опыта в оценке рисков...
вот тут показательно. можно в буквах? ну там в формулах или как, я не знаю. что бы коэфицент россии присутствовал?
_R_>>а он обязан присутствовать! как! ну как вы выпускаете систему с кучей пользователей без специалиста по безопасности? да, я помню твои слова о "старшем сисадмине", но, согласись — не то K>Зачем? Специалист по ИБ нас консультирует, не принимая прямого участия в процессе. А "старший сисадмин" отвечает за другую сферу. За приложение отвечаем мы, разработчики.
1. Специалист не на полной ставке -> человек его задействующий должен обладать квалификацией (подозреваю, что и интуицией)
2. Как! Специалист по безопасноти не может консультировать просто так. Он должен знать вашу систему. Или она у вас статична?
3. Ради КСВ — какда это за приложение отвечали разработчики?
Здравствуйте, koandrew, Вы писали:
K>Нет. "Думать о безопасности системы" — это наша обязанность. А задача ИБшника — направлять наши мысли в правильное русло
Здравствуйте, _Raz_, Вы писали:
_R_>вот тут показательно. можно в буквах? ну там в формулах или как, я не знаю. что бы коэфицент россии присутствовал?
Хз, это моё субъективное ИМХО
_R_>1. Специалист не на полной ставке -> человек его задействующий должен обладать квалификацией (подозреваю, что и интуицией)
Для "появления" интуиции у нас были соответствующие тренинги, чтобы дать общее представление о предмете. Ну и прошлый опыт тоже имеется. _R_>2. Как! Специалист по безопасноти не может консультировать просто так. Он должен знать вашу систему. Или она у вас статична?
Нет, его задача — доводить до разработчика best practices, проводить тесты на проникновение и выдавать рекомендации к исправлению выявленных недочётов.
_R_>3. Ради КСВ — какда это за приложение отвечали разработчики?
Всегда. Тоже ради КСВ
Здравствуйте, koandrew, Вы писали:
K>Для "появления" интуиции у нас были соответствующие тренинги, чтобы дать общее представление о предмете. Ну и прошлый опыт тоже имеется.
Общее представление о предмете, конечно, хорошо, но смешно. Спроси у Кочеткова сколько он аббревиатур знает.
И, я так понял, на основе этих знаний вы пошли строить свою большую систему?
Здравствуйте, _Raz_, Вы писали:
K>> "информационная безопасность" _R_>и ключевое слово — безопасность, а не информационная. безопасность бизнеса.
Безопасность бизнеса для многих российских конторок — это организация мигалок для проезда начальства. Ну а что, дядя спешит на рейс подписывать договор — чем не безопасность обеспечить ему проезд про встречке? Будете заниматься?
Здравствуйте, DOOM, Вы писали:
HL>>В России понятие термина "безопасность" — это не безопасность (отсутствие опасности), как во всём цивилизованном мире, а силовые показательные мероприятия. DOO>Это твои странные фантазии
Да какие такие фантазии, как будто я не работал в российских конторах. Цирк да и только, особенно по части ИБ.
AB>Смотри, есть офисная сетка с одним IP. Есть почтовый сервер организации с другим IP (а есть еще backup mx с третьим). MTA, который использует DNSBL, анализирует IP соединившегося (в нашем случае внешний офисный) и отклоняет его. А наш почтовый сервер как работал, так и продолжает спокойно работать (и его на всякий случай страхует backup mx).
Так. Из контекста ты выпал. Мы говорим сейчас про гипотетический small business, которому забить на безопасность — потому что, типа, ничего ему не страшно. Как следствие — IP будет вообще один (ты бы еще сказал, что должна быть своя автономная система ). И сервер, естественно, тоже один.
То, что даже в такой ситуации, можно придумать несложные способы защиты я, естественно, не спорю.
Просто демонстрирую, что актуальные угрозы ИБ можно даже для столь малого бизнеса обнаружить.
DOO>> P.S. Естественно, это относится к случаю организации с собственной почтовой системой (например, это покупатели SBS'а). AB>Эм. А что это? Или имеется ввиду Small Business Server с какой-нибудь приблудой на борту?
Ну да, там же на борту и Exchange есть.
AB>З.Ы. Будучи активным поставщиком "свежего мяса" для spamcop мне иногда очень жалко, что IP банят всего на сутки (не так уж и страшно попадать в BL).
Очень многие попадают в эти листы за счет отсутствия защиты от некорректных bounce messages — пожалел бы таких
AB>Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом).
Дак они тебя своей рекламой достали или именно с их сегмента спам валит?
_R_>>ну а кто может определить необходимость, как не "специалист по ИБ"? K>Необходимость в нашей сфере (разработке софта) указана в ТЗ. Специалист по ИБ тут ни при чём.
Да. А с орг. мерами-то как?
А кто проанализирует, что ты обязан в своем продукте реализовать ПОИБ? А ведь в некоторых сферах это обязательное требование — я же не просто так тот же HIPAA поминал. А еще PCI DSS есть (для тебя PDA DSS ближе). Есть законы, например, у нас это 152-й, 98-й, 395-й — а еще куча подзаконных актов.
ТЗ — не защитит тебя от нарушения законодательства или отраслевых требований по ИБ.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, _Raz_, Вы писали:
_R_>>Чему? Две строчки выше перечитай
K>Нет. "Думать о безопасности системы" — это наша обязанность.
Кесарю — кесарево. У вас, извините, и знаний-то соответствующих нет.
Здравствуйте, DOOM, Вы писали:
DOO> Так. Из контекста ты выпал. Мы говорим сейчас про гипотетический small business, которому забить на безопасность — потому что, типа, ничего ему не страшно. Как следствие — IP будет вообще один (ты бы еще сказал, что должна быть своя автономная система ). И сервер, естественно, тоже один.
Так на сколько я понял, офисный IP сидит за NAT/прокси и ни о каком почтовом сервере на этом же IP речи быть не должно. Или я не понял и почтовый "сервер" стоит тут же у директора под столом а весь трафик хитророутится (но это же сообще шаражка какая-то получается)?
AB>> Так, например, меня достала спамом компания "Айдеко", которая по иронии судьбы занимается решениями по защите от электронных угроз (в т.ч. и антиспамом). DOO> Дак они тебя своей рекламой достали или именно с их сегмента спам валит?
Своей рекламой. Наверняка со своего же сегмента (хотя я не проверял). Это я написал к тому, что spamcop их банит на очень маленькое время и все очень быстро возвращается на круги своя.
Здравствуйте, _Raz_, Вы писали:
_R_>Общее представление о предмете, конечно, хорошо, но смешно. Спроси у Кочеткова сколько он аббревиатур знает.
Общее представление о предмете позволяет задать правильные вопросы специалистам. А аббривеатур я тоже много знаю
_R_>И, я так понял, на основе этих знаний вы пошли строить свою большую систему?
Ну да, и даже более того — сходу прошли аудит и тесты на проникновение
Здравствуйте, DOOM, Вы писали:
DOO>А причем тут техника-то? Я вот достаточно неплохо разбираюсь в определенных разделах законодательства, например — без этого в нашем деле никак. DOO>Ты опять путаешь безопасность компьютерную с безопасностью информационной.
Нет, не путаю. Информационная безопасность — риск технический.
DOO>Так не бывает. Все падает, сыпется и т.п. Только за счет незримой работы итшников сохраняется видимость того, что все работает как часы.
Бывает K>>Всеми этими задачами должны заниматься (и занимаются, по крайней мере в тех конторах, где мне довелось работать тут) админы. DOO>Есть люди, которые озвучивают требования — это в нашем случае ИБшники DOO>Есть люди, которые исполняют требования — это в нашем случае ИТшники. DOO>Есть люди, которые контролируют выполнение требований — это опять ИБшники или внешние проверяющие. DOO>1-е и 3-е — личности заинтересованные. DOO>2-е, теоретически, нет. Поэтому рассчитывать на то, что они сами себе соответствующие задачи поставят — неразумно. С тем же успехом можно ждать, что ИТшники, вдруг, начнут какие-то задачи бухгалтеров выполнять.
Почему же тут обходятся без ИБшников?
K>>Ещё раз — задача спецов ИБ ИМХО чисто консультативная DOO>Ну можно это и так назвать. Но это не консультирование, а выдвижение требований — заказ услуг у соседних подразделений.
DOO>Поверь мне, ИБшникам свое существование оправдывать не надо.
А что же тогда вы тут делаете?
Здравствуйте, DOOM, Вы писали:
DOO>Да. А с орг. мерами-то как? DOO>А кто проанализирует, что ты обязан в своем продукте реализовать ПОИБ? А ведь в некоторых сферах это обязательное требование — я же не просто так тот же HIPAA поминал. А еще PCI DSS есть (для тебя PDA DSS ближе). Есть законы, например, у нас это 152-й, 98-й, 395-й — а еще куча подзаконных актов. DOO>ТЗ — не защитит тебя от нарушения законодательства или отраслевых требований по ИБ.
Всё это — прописано аналитиками в ТЗ — это их задача поставить задачу таким образом, чтобы все законы были выполнены.
Здравствуйте, DOOM, Вы писали:
DOO>Кесарю — кесарево. У вас, извините, и знаний-то соответствующих нет.
Всё у нас есть. Не стоит считать себя самым умным, а всех остальных — идиотами...
Здравствуйте, koandrew, Вы писали: K>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>имеет, т.к. эксплуатация этого типа ПО несет больше рисков, нежели просто нестандартного. K>Объяснишь?
Там где варез, там малварь. В гораздо больших количествах, нежели при использовании нестандартного, но легального ПО. Да, примерно 2/3 срабатываний антивирусов на кейгены и кряки — false positives, но даже оставшейся трети хватает за глаза. Это я тебе говорю как человек, начинающий каждый свой рабочий день с чтения сводок корелляций, IDS и AV. Это риск ИБ в лучшем виде.
Варез, в отличии от нестандартного ПО, также становится крайне опасен в том случае, если на его использование начинают завязывать бизнес-процессы. Потому что в этом случае, рано или поздно, придется его либо покупать (финансовые потери), либо сносить (читай — ломать бизнес-процессы). И это тоже риск по ИБ. Потому что имеет место угроза прерывания бизнеса из-за эксплуатируемой информационной системы. Что есть показатель "непрерывности бизнеса" и к какой сфере деятельности относится его обеспечение по части эксплуатации информационных систем — нагугли сам, плс.
При обычной плановой проверке со стороны всевозможных органов, весьма высока вероятность того, что из-за вареза будет изъят весь парк компьютерной техники. И это также риск по ИБ, т.к. восстановление инфраструктуры после такой проверки — есть ни что иное, как реализация плана disaster recovery (также рекомендовано к самостоятельному гуглению на предмет того, к какой области относится это понятие).
И наконец последнее. В большнинстве своем, варез представляет собой проприетарный код с закрытыми исходниками. В случае его легального приобретения, с поставщиком существует договоренность об ответственности за реализацию угроз ИБ в результате экплуатации данного софта, о поддержке, возможно о предоставлении некоторой внутренней документации и т.п. В случае вареза этого нет. Но нет и исходников, документации и вообще чего-либо, на основании чего можно было бы оценить, насколько безопасно можно использовать данное ПО в нашей инфраструктуре. У нас в 2003м году был случай, почти 1-в-1 тот, что сегодня рассказал мыщъх в КУ. Сотрудник бизнес-подразделения (не технического), с подачи поставщика одного e-commerce решения, развернул у себя VMWare Workstation для запуска демо-версии продукта (они распространяли их в виде виртуальной машины). Разумеется, ни ИТ, ни ИБ в курсе не было. Что-то там у него не заработало, представитель поставщика (сам в ИТ дуб-дубом) связался с их админами и шаманил в виртуалке до тех пор, пока их решение не заработало. Уж не знаю каким хреном, но он включил на ней DHCP. А сетевуха компа сотрудника шарилась с сетевухами виртуалки (т.е. никакого NAT'а, все по-честному). А IPшник в виртуалке был старательно вбит ручками...
На следующий день, когда большая часть счастливчиков, оказавшихся в одной подсети с этим орлом начала буквально штурмовать helpdesk было очень весело. И ИТшникам и ИБшникам.
Рисков по ИБ в чистом виде не существует. Точнее, они конечно есть, но никому неинтересны. Что компании с нарушения конфиденциальности какой-либо информации, если это не создает компании никаких проблем? А если реализация угрозы конфиденциальности информации в ИС влечет за собой потерю пары миллионов — это финансовый риск или технический? А если помимо пары миллионов внезапно появляется риск множественных судебных преследований — это финансовый, юридический или все же технический риск? А если риск связан с тем, что сотрудник запомнит конфиденциальную информацию и вечером с потрохами, по памяти, воспроизведет ее конкурентам — это уже не риск ИБ? Видимо это "психологический" риск, если следовать твоей логике
Допускаю, что это тяжело понять, но еще раз: безопасность информации и безопасность информационных систем — это разные вещи, хотя и пересекающиеся. Мы — говорим о первом, вы — о втором.
KV>>Вот мы и подбираемся к самому главному. У нас — тоже K>Тогда повторяю свой вопрос — при чём тут ИБ?
Мне действительно искренне жаль, что ты и iHateLogins явно имели "честь" наблюдать ту ИБ, которая выросла после того, как сокращенные сотрудники бывшего КГБ не знали куда себя приткнуть. Ту ИБ, работники которой считают, что они не в состоянии обеспечивать безопасность того, чем они не владеют, и которые стремились взять под тотальный контроль всю информацию, циркулирующую в компании.
Но это неправильный подход к обеспечению ИБ и ни я, ни DOOM, не относимся к таким компаниям. Обеспечивать безопасность информации должны ее владельцы, реальные владельцы из бизнес-подразделений. Мы лишь даем им политики и регламенты, адаптированные к их бизнес-процессам, чтобы они, не будучи профессионалами в нашей области, смогли обеспечивать эту самую безопасность. Обеспечивать безопасность информационных систем должны те, кто обеспечивает их экплуатацию, потому что никто лучше них, этого сделать просто не сможет. Мы лишь даем им НФТ, чеклисты и технические регламенты, адаптированные под их системы, чтобы они, также не будучи профессионалами в области БИС, могли ее обеспечивать. Мы лишь контролируем то, что они ее обеспечивают, отслеживаем события безопасности в инфраструктуре и расследуем инциденты, связанные с тем, что "не обеспечили" для исключения вероятности повторения подобного в будущем. С разработчиками еще проще: НФТ от нас на входе процесса разработки и аудит соответствия продукта нашим требованиям на выходе. Плюс обучение всех вышеперечисленных групп сотрудников, если это необходимо. Вот, ИБ, примерно "при этом".
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>Почему это я никогда с подобным "анальным прессингом" не сталкивался?
K>Может потому, что ты его организовывал?
Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код... Намекать мне на то, что я в общем-то не программист, если что, а у тебя многолетний опыт. Но я, исходя из того, что видел в паре-тройке известных мне софтверных компаний, буду продолжать убеждать тебя в том, что ты именно быдлокодер и никто иной. Просто потому что я видел только быдлокодеров, да и то так... издалека. И хотя я ничего не понимаю в процессах разработки, но буду настаивать на том, что мое мнение о тебе и всех этих ваших процессах является единстсвенно правильным и объективным. Скажи, ты долго продержишься в таком режиме общения?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код... Намекать мне на то, что я в общем-то не программист, если что, а у тебя многолетний опыт. Но я, исходя из того, что видел в паре-тройке известных мне софтверных компаний, буду продолжать убеждать тебя в том, что ты именно быдлокодер и никто иной. Просто потому что я видел только быдлокодеров, да и то так... издалека. И хотя я ничего не понимаю в процессах разработки, но буду настаивать на том, что мое мнение о тебе и всех этих ваших процессах является единстсвенно правильным и объективным. Скажи, ты долго продержишься в таком режиме общения?
KV>Так почему ты себя ведешь именно так?
Так и запишем — у суровых сотрудников ИБ атрофировалось чувство юмора...
Здравствуйте, koandrew, Вы писали:
KV>>Так почему ты себя ведешь именно так? K>Так и запишем — у суровых сотрудников ИБ атрофировалось чувство юмора...
Чувство юмора, оно разное бывает. От невинных шуток до подколок на которые имеет право тот, кто уже вдоволь над собой дал посмеяться. Я так думаю, по крайне мере.
Но ок, атрофировалось, так атрофировалось, видимо пора мне его себе восстанавливать. Я займусь этим
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Чувство юмора, оно разное бывает. От невинных шуток до подколок на которые имеет право тот, кто уже вдоволь над собой дал посмеяться. Я так думаю, по крайне мере.
Значит, в точку попал — раз вы даже чувства юмора потеряли KV>Но ок, атрофировалось, так атрофировалось, видимо пора мне его себе восстанавливать. Я займусь этим
Здравствуйте, kochetkov.vladimir, Вы писали:
DOO>>>Почему это я никогда с подобным "анальным прессингом" не сталкивался? K>>Может потому, что ты его организовывал? KV>Может хватит уже? Представь, что я, на пару с DOOM'ом, начну гонять тебя по этой теме "ссаными тряпками" (с), настаивая на том что ты быдлокодер. Ты будешь приводить аргументы, оправдываться, ссылаться на стандарты и общепринятые практики, рассказывать какой у тебя замечательный код...
Аналогия не вполне корректная. Никто не против существования направления ИБ как такового. Вопрос в реализации. Пока я вижу ПРИНЦИПИПИАЛЬНО разные подходы к организации ИБ в России и на Западе. А именно:
Запад:
1) Специалисты-консультанты по ИБ, участвующие в проекте, консультируют и/или аудируют реализацию ИБ
2) Штатных сотрудников по ИБ практически нет, кроме разве что очень ограниченного круга финансовых/государственных организаций
3) Лицензиями, локингом рабочих станций и развертыванием ПО занимаются админы.
Россия:
1) Специалисты по ИБ занимаются лицензиями, локингом компов, анальным прессингом сотрудников, "непрерывностью бизнеса", отмазами от МВД, встревают в каждый проект, подписывают реализацию ИБ в каждом проекте
2) Покрывают чёрные делишки руководства (выдрать грязно записи из базы, поменять проводки)
3) Выполняют "план по валу" по части прессинга рядовых сотрудников
4) Читают чужую почту и файлы
5) Тормозят бизнес-процессы компании, требуя согласование всех изменений процессов
6) Контролируют системы учёта времени и прессингуют сотрудников за длинные обеды и ранние уходы
7) "Продают" идею о том, какие все рядовые сотрудники воры или хотя бы нарушители драгоценных политик по ИБ, руководству
Нужно ли ИБ рядовой компании? ДА. Согласен ли я с подходомами к ИБ в большинстве российских компаний? НЕТ.
О, вот это уже нормальный аргументированный разговор пошел, здорово
HL>Запад: HL>1) Специалисты-консультанты по ИБ, участвующие в проекте, консультируют и/или аудируют реализацию ИБ HL>2) Штатных сотрудников по ИБ практически нет, кроме разве что очень ограниченного круга финансовых/государственных организаций
DOOM, так вообще по-моему и является таким консультантом на проектах и аутсорсе, в каком-то смысле (пусть он меня поправит, если что), а меня уж точно вполне можно рассматривать как консультанта, которому оказалось проще и дешевле платить ежемесячный оклад, нежели обращаться по мере необходимости.
HL>3) Лицензиями, локингом рабочих станций и развертыванием ПО занимаются админы.
Да, у нас именно так. А еще у нас:
HL>Россия: HL>1) Специалисты по ИБ занимаются лицензиями,
Не лицензиями. Контролем за обеспечением лицензионной политики со стороны ИТ подразделений и взаимодействием с контролирующими органами.
HL>локингом компов, анальным прессингом сотрудников,
Первым мы не занимаемся точно, что такое второе я так и понял. Но если речь идет о дисциплинарных взысканиях, то у меня нет на них полномочий, следовательно и заниматься этим я не могу.
HL>"непрерывностью бизнеса",
Business continuity, как одно из направлений ИБ пришла именно с запада вместе с их риск-менеджментом, к твоему сведению. В России про это понятие слышали единицы компаний, даже на текущий момент. Но опять-таки, мы лишь определяем требования к непрерывности по ИБ и контролируем их исполнение, не более того.
HL>отмазами от МВД,
Не понял. Что ты подразумеваешь под "отмазой"? Да, с МВД взаимодействую я, хотя бы потому что имею диплом юриста. Предлагаешь переложить эту обязанность на админов?
HL>встревают в каждый проект, подписывают реализацию ИБ в каждом проекте
Не в каждый, а в котором заказчиком проекта риски по ИБ определены, как существенные для бизнеса.
HL>2) Покрывают чёрные делишки руководства (выдрать грязно записи из базы, поменять проводки)
По ряду причин, в компании которая котируется на NYSE сие провернуть крайне тяжело, даже здесь. И уж точно мы ничего не покрываем.
HL>3) Выполняют "план по валу" по части прессинга рядовых сотрудников
Нет у нас никакого такого плана. Как и полномочий прессовать рядовых сотрудников.
HL>4) Читают чужую почту и файлы
Только в присутствии владельца этой информации и с его согласия.
HL>5) Тормозят бизнес-процессы компании, требуя согласование всех изменений процессов
Нет. Нас привлекают (если это небоходимо) сами владельцы бизнес-процессов.
HL>6) Контролируют системы учёта времени и прессингуют сотрудников за длинные обеды и ранние уходы
Тут тебя уже унесло в сторону службы внутренней безопасности. ИБ тут вообще не причем. Так или иначе, но у нас нет системы учета времени и контроля за часами входа-выхода сотрудников.
HL>7) "Продают" идею о том, какие все рядовые сотрудники воры или хотя бы нарушители драгоценных политик по ИБ, руководству
Не понял о чем ты. Можно конкретный пример?
HL>Нужно ли ИБ рядовой компании? ДА.
Нет. Она нужна только в той компании, где риски по ИБ являются существенным фактором влияния на бизнес. А рядовая она при этом или нет, не так уж и важно.
HL>Согласен ли я с подходомами к ИБ в большинстве российских компаний? НЕТ.
Ок, я перечислил наш подход, в общих чертах. С чем там не согласен ты?
HL>Подтверждаю слово в слово. В нашинских Западах практически во всех конторах программист сам ставит себе весь софт, стандартный софт — лицензии от конторы, левый — твои проблемы: хочешь ставь, хочешь не ставь — всем положить. Куча менеджеров и директоров не ЛОЧИТ компы, уходя домой, потому что доверяет сотрудникам. На половине серверов пароли — кверти или пассворд1. Я сам руководитель отдела разработки, так вот, мне посрать, кто чем пользуется, главное — чтобы работу делали. Хошь мак притаскивай — мне пофиг, главное чтобы чекины в ТФС регулярно от твоего имени были, вот и всё.
Аналогичная фигня, хоть и не запад. За каменной стеной(в смысле, с надежной с точки зрения IT защитой) спрятаны сервера, на которых важные данные. А девелоперские компы это так — даже если сейчас в едином порыве сгорят все жесткие диски, потеряем мы только время на установку и настройку новых ОС(и тоже у всех стоит то, что нравится).
Лочить комп — а это-то зачем??
HL>Вспоминаю ситуацию с ИБ в Москве как страшный сон. Старые, тяжёлые на подъём дядьки, которые не особо секут не то что в ИБ, а даже "в компьютерах", спорят до усрачки, какая длина пароля нужна или сколько раз в месяц нужно инспектировать рабочие станции. Особо хардкорные руководители ИБ визируют установку каждого патча KB В 100% случаев отдел ИБ превращается тупо в узаконенный "рэкет" владельцев компании, что-то типа "разгоните ИБ — завирусим всю сеть", ей Богу.
Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
Бугага. Подтверждаю, это далеко не только у тебя такой опыт Напыщенные дядьки считают, что их лакированные ботинки или суровый вид — это и есть реальная безопасность.
Я к флешках под админом, кстати, нормально отношусь. Но, как говорится, или крестик сними, или трусы надень Т.е. или суровые дядьки и реально защищённая сеть, или доверие к сотрудникам и пароли на стикерах.
Здравствуйте, Eugeny__, Вы писали:
E__>Лочить комп — а это-то зачем??
Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
Здравствуйте, olegkr, Вы писали:
E__>>Лочить комп — а это-то зачем?? O>Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
Не проще было найти виновника и засадить ему люлей?
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, DOOM, Вы писали:
DOO>>А причем тут техника-то? Я вот достаточно неплохо разбираюсь в определенных разделах законодательства, например — без этого в нашем деле никак. DOO>>Ты опять путаешь безопасность компьютерную с безопасностью информационной. K>Нет, не путаю. Информационная безопасность — риск технический.
Вот так уверенно это заявляешь, а потом еще обижаешься, когда говорю, что ты в этом не разбираешься.
В гугле хотя бы введи термин и почитай, что про него пишут.
Кто должен разбираться с тем, насколько компания выполняет требования закона о персональных данных?
DOO>>Есть люди, которые озвучивают требования — это в нашем случае ИБшники DOO>>Есть люди, которые исполняют требования — это в нашем случае ИТшники. DOO>>Есть люди, которые контролируют выполнение требований — это опять ИБшники или внешние проверяющие. DOO>>1-е и 3-е — личности заинтересованные. DOO>>2-е, теоретически, нет. Поэтому рассчитывать на то, что они сами себе соответствующие задачи поставят — неразумно. С тем же успехом можно ждать, что ИТшники, вдруг, начнут какие-то задачи бухгалтеров выполнять. K>Почему же тут обходятся без ИБшников?
Да как это обходятся? Я ж тебе выше поминал уже всяких CISO — это наше словечко то? Или посмотри конторы типа US-CERT... Да у них там этому вопросу все гораздо круче, чем у нас. Это у нас должность безопасника 90% контор выделяют ставку, только когда с них это по закону требуют — а там, как ни странно, без всякого пинка сверху это делают.
DOO>>Поверь мне, ИБшникам свое существование оправдывать не надо. K>А что же тогда вы тут делаете?
Хороший вопрос. Троллей кормим наверное.
AB>Так на сколько я понял, офисный IP сидит за NAT/прокси и ни о каком почтовом сервере на этом же IP речи быть не должно. Или я не понял и почтовый "сервер" стоит тут же у директора под столом а весь трафик хитророутится (но это же сообще шаражка какая-то получается)?
Это, что предлагает Small Business Server
ISA (TMG) + Exchange + AD + что-то там еще.
Т.е. у тебя будет NAT на ISA + публикация почтовика во внешнюю сеть.
DOO>> Дак они тебя своей рекламой достали или именно с их сегмента спам валит? AB>Своей рекламой. Наверняка со своего же сегмента (хотя я не проверял). Это я написал к тому, что spamcop их банит на очень маленькое время и все очень быстро возвращается на круги своя.
Здравствуйте, koandrew, Вы писали:
K>Всё это — прописано аналитиками в ТЗ — это их задача поставить задачу таким образом, чтобы все законы были выполнены.
И что-то мне еще говорит, что под ТЗ ты понимаешь совсем не документ по ГОСТ 34.602-89.
Как ты будешь выполнять требования, относящиеся к нетехническим методам защиты?
Здравствуйте, koandrew, Вы писали:
K>Всё у нас есть. Не стоит считать себя самым умным, а всех остальных — идиотами...
А я не считаю кого-то идиотом. Чтобы что-то знать профессионально просто головы на плечах недостаточно.
А ты со своим, вообще говоря, обывательским взглядом на этот вопрос думаешь, что у тебя есть специальные знания — это заблуждение. Такое же, как у Шеридана, например, когда он думает, что у него есть специальные знания по программированию.
DOO>>Почему это я никогда с подобным "анальным прессингом" не сталкивался? K>Может потому, что ты его организовывал?
Кстати, ни разу, как ни странно. Я никогда не был связан именно с организацией режима — сначала я был в компаниях, по сути, эдаким внутренним исследователем, потом уже связался с интеграторством.
E__>>Угу. Никогда не забуду. Крупная торговая компания. Они очень боятся утечки данных к конкурентам, и говорят об этом с таким пафосом, что иногда хочется заржать. Главный офис, все сверкает, куча суровых напыщеных дядек, сверкающих взглядом со своих охранных постов, электронные пропуска, куча турникетов(пока добрался до отдела девелоперов, штуки 4 прошел — я гостем был, договаривался по технической части одного совместного проекта). Вот только когда у меня попросили флешку, чтобы слить на нее разные доки, ее вставили в комп под админом, в ихнем домене, со всеми правами. Комп — винда хп с автораном...
HL>Бугага. Подтверждаю, это далеко не только у тебя такой опыт Напыщенные дядьки считают, что их лакированные ботинки или суровый вид — это и есть реальная безопасность.
Это потому что начальство часто вообще не понимает ничерта в компах. А вот дядьки выглядят солидно, и вообще. Но все-таки так не везде.
HL>Я к флешках под админом, кстати, нормально отношусь. Но, как говорится, или крестик сними, или трусы надень Т.е. или суровые дядьки и реально защищённая сеть, или доверие к сотрудникам и пароли на стикерах.
+1.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
E__>>>Лочить комп — а это-то зачем?? O>>Когда я работал в одной конторе все стали лочить поголовно без всякой команды, даже когда на пару минут в туалет отлучались. А то всякие разные странности с компами стали происходить, то время назад начинало тикать, то игрушка в самый ответственный момент сходила с ума и начинала самостоятельно немцев резать, то винда отправляла грозные и прикольные сообщения коллегам и шефу, типа "Шеф, пошли выйдем, разговор есть", шеф выходит, через 10 минут возвращается "чего надо-то?", "отправитель" и шеф в недоумении смотрят друг на друга.
HL>Не проще было найти виновника и засадить ему люлей?
"Засадить ему люлей" звучит как-то стремновато... Имелось ввиду "надавать"?
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, DOOM, Вы писали:
DOO> Это, что предлагает Small Business Server DOO> ISA (TMG) + Exchange + AD + что-то там еще. DOO> Т.е. у тебя будет NAT на ISA + публикация почтовика во внешнюю сеть.
Покупать серверную винду ради софтверного NAT-а при стоимости обыкновенного аппаратного шлюза в 2 т.р. и почтового сервера от бесплатного до 1-5$ в мес (с антивирусами, антиспамами и прочими плюшками) вкупе с содержанием железа в офисе находится за гранью моего понимания рационального.
AB>Покупать серверную винду ради софтверного NAT-а при стоимости обыкновенного аппаратного шлюза в 2 т.р. и почтового сервера от бесплатного до 1-5$ в мес (с антивирусами, антиспамами и прочими плюшками) вкупе с содержанием железа в офисе находится за гранью моего понимания рационального.
А что такого? Железо — HP MicroServer ~ 500$
Софт — MS Small Business Server ~ 300$
На выходе имеем:
1. Полноценный шлюз в интернет (назвать TMG простым NAT'ом это, мягко говоря, занизить его возможности).
2. Полноценную службу каталога AD (ты можешь, конечно, построить что-то на Samba4 — но, поверь, это ни фига не просто и это не для Small Business).
3. Минимальную систему для управления рабочими станциями (System Center Essentials)
4. Средства совместной работы (Exchange + Sharepoint)
5. (не во всех редакциях) — СУБД MS SQL Server.
Как бе ты привел совершенно несравнимую замену.
Еще сделай скидку на то, что на сопровождение винды, как ни крути, найти человека проще.
Да и шлюз за 1-2 тыс. руб — та еще фигня. Лучше уж тогда на 800-ю серию циски разориться. Я вот дома уже отказался от "аппаратного шлюза за 1-2 тыс. руб." — заменил своим домашним сервачком с полностью управляемым мною линуксом