Lang Опубликовано 20 ноября, 2009 Поделиться Опубликовано 20 ноября, 2009 Ну что я могу сказать... Прочти и забудь -) (только не надо сразу за такое резюме убивать -)) ZmeyTF выкинул на всеобщее обсуждение разношерстных безопасников отличный документ, с которым я был чуток не согласен (идеологически и технологически). С точки зрения системного аналитика документ практически (да и во всех смыслах) безупречен (если не считать того, что не был учтен сетевой кусок системы). Тут - аплодирую. С точки зрения бизнеса... Они и читать не будут. Они спросят - а где деньги? А где власть? Я чего взорвался... Я вынужден продавать свои мозги. И у меня всегда есть заказчик, платящий деньги. И имеющий свои интересы. Если смогу сделать свою информационную систему, только для себя и за свои деньги, сразу же доложу. Но я не <барон> Рейтер, и у меня нет почтовых голубей, которых можно поджарить... -) Ссылка на комментарий Поделиться на другие сайты More sharing options...
gene Опубликовано 21 ноября, 2009 Поделиться Опубликовано 21 ноября, 2009 приказ "через 2 часа нарисовать эскиз техпроекта расписанный по функционалу рабочему" Если он реально знает о чем говорит, и знает как это работает в живую, то 2 часа ему хватит чистого времени. Я предельно серьезно говорю о времени. Он напишет только то, что сам знает на сей момент - именно с технической точки зрения. Это если спец грамотный. А если не очень, то напишет нечто наукообразное по принципу Бендера:"Побольше непонятного". Так можно контроллер сконфигурировать, но только не систему (неважно - ИБ или какую другую). В широко известных продуктах, вы можете минимизировать риски «замыкания» всех потоков секретов на одного (одну) группу людей. Всегда есть точка замыкания всех потоков во всех самодостаточных системах. Это топ-менеджемент, а не рядовые исполнители. Системные администраторы становятся достаточно хорошо заменяемы. Эту глупую мысль автор позаимствовал у Уильяма Гейтса - из его лозунга нуль-администрирования. Любая истина, доведенная до абсолюта становится абсурдом, в области админства и ИБ таким абсурдом стала новая ОС от Гугла, где админ вообще не нужен. Т.е. точкой замыкания всех секретов становится сам Гугл ! Логично - ведь не сама машина ходит - машинист машину водит. И имеют свойство оставлять после себя бекдуры и уносить с собой интересные базы. (Кстати, вот проблема... Что с этими сисадминами делать - ума не приложу) Как же так - Вы описали сложную систему по защите .... от кого? Ваш проект не предусматривает контроля за админскими действиями?! Так зачем он нужен?! А между тем такие системы есть, только не в решениях МС. Требовать чтобы система была документирована, и внести ответственность за некорректное документирование. Некорректное сиречь не вовремя, не полностью и так далее. Преклоняюсь перед оптимизмом автора !!! Только требовать он может...у кого? У того, кому он не начальник, а начальнику тех, у кого требуют, это по фигу? Это наша Раша :) Сисадмины самые ленивые люди, ленивее только кодеры. Раз в месяц проводит "экспресс-аудит", тыкать пальцем в документацию и гвоорить "покажи как оно на саммо деле" Через пару месяцев все будет более-менее нормально, и не стесняться пользоваться всякими сканерами защишенности Пара месяцев..... Продолжение оптимизма, совсем уж оторванное от реалий. Типа "я пахал - должно расти". Поэтому я выбрал бы Windows Server 2008 R2. Я бы тоже Далее все красиво и грамотно. Правда много незнакомых аббревиатур, опять придется много читать )) А вот яркий пример непонимания места систем ИБ в бизнесе, их совокупной стоимости владения и, извините, автор, - поверхностного знания самой 2008 системы. Большая часть специализированного ПО на 2008\Вин7 работать пока не может, 99% самописного ПО не мигрируют по эту ОС, требуемые ресурсы для ее развертывания не предполагают автомиграции с 003\ХР, подготовленных специалистов по 2008 кот наплакал и то качество их ужасное. Пассаж про ДХЦП в стартовом опусе просто умиляет своей наивностью ! Так для чего автор выстраивает такую систему - для обеспечения бизнеса или для самосовершенствования в области ИТ? На этом фоне 40 штук зелени звучат как издевка - два куска железа под сервера, ОС, ИСА и офис для установки на них будут стоить дороже :) А это ведь даже не информационная система - это ее пусть и главная, но небольшая часть без людей. То есть, я достаточно просто и в тоже время унифицировано и централизованно решаю таким образом несколько важных проблем, как то: Контролировать подключения внешних устройств (флешки, жесткие диски, плееры и так далее) Да ничего Вы не решаете ! Это видимость принятия каких-то мер, заложенная в этой ОС, а ей надо управлять !!!!! Управление - это динамика, это непрерывный процесс, это главный элемент управления - люди. Вы пробовали установить ограничения на использование хотя бы флешек? Поделитесь опытом, а я потом поделюсь своим. 2) Службы регистрации трудоспособности HRA. Позволяют реализовать «карантин» Да-да! Идея понравилась. Но как это будет выглядеть на практике - сложный вопрос. Тем более этому "карантину" ой сколько подготовительной работы должно предшествовать.. Первый, кто туда влетит - один из топ-менеджеров. После чего эта функция будет отключена навсегда самим автором :) Ну да, просто для реализации проектов необходимо всегда помнить про стандартизацию и унификацию, как ПО так и железа. Начать можно с малого - каждый сотрудник пишет служебку, где указывает, что ему необходимо для работы и обосновывает. Все остальное запрещается, и разрешается только по такой же записке А это уже не смешно - это грустно. А юзер не знает, что ему надо ! Или хочет то, что под Вин7 не работает в принципе! И как автор представляет себе процесс разрешения\запрещения без учета лицензионности, возможных требований по сертификации и проч.? Просто как оборот бумаг? В комнату не входил (АСКУД не зафиксировала), а на компьютер в этой комнате залогинился ... Вот-вот - это же кто-то должен ручками отследить. Что-то служба ИБ прирастает персоналом прямо на глазах:) Далее я бы сел писать первые драфты регламентов. Да-да. Именно регламентов работы. Вот тут абсолютная истина, с одним но - это наша Раша..... Вы все не напишите, а соучаствовать с Вами никто, включая сисадминов, заинтересованно не будет. В составе сервера Windows идет очень мощный пакет SharePoint Services. Вот тут возникает вопрос обмена почтой. Для организации телефонии я бы стал использовать решение на VoIP. А вот пошло мельчение и влезание не в свое дело: выбор ПО, его настройка и сопровождение не есть дело ИБ, это дело подразделения ИТ. Т.е. опять вопрос - для чего создается система - для ИБ? Вы просто плохо знаете шарепойнты кмк, там отличная система контекстного поиска. Тут, как говорится, дело вкуса. При наличии 2008 конечно оно правильно. Только контекстное наполнения в интересах ИБ еще надо как-то организовать, а просто так куда-то в документы заглядывать - убивать смысл СУИБ на корню. Антивирусы. Копий и голов было сложено много в прямо таки эпических битвах «какой антивирус самый лучший» В приведенном случае, самым лучшим решением будет антивирусная защита от … опять Микрософт. Да, любовь к Билли в данном случае перехлестнула зравый смысл :) Вы ее просто не видели на серверах - лучше сразу уволиться :) Ведущие произвоодители антивирусов - ТрендМикро, например - еще 10 лет назад приняли решение отказаться от такого принципа построения антивирусной защиты для сетей, которую сейчас активно впаривает МС. Вот как! Да. И удивлен, что ничего у Вас не сказано о файрволах. Ну использование клиентских файерволлов внутри сети, это неоднозначная вещь. Улыбнуло: а почему речь только о клиентских ФВ? В теме задавали уже вопрос про вланы, сегментирование, ИДС - это не дело клиентов, это дело даже не спеца по ИБ, это идеология построения всей информационной системы, которая должна быть заложена еще на этапе ее проектирования. Для организации доступа в Интернет, и публикации сервисов, таких как доступ к почте, ограничение доступа к заранее определенным сайтам наверное лучше всего в такой ситуации подойдет MS ISA 2006. Ну тут проблем очень много. Все не закроешь, прокси никто не отменял. Контролировать, обрабатывать, реагировать придется. И одной исой скорее всего не обойдешься. Автор просто не знает про другие системы сетевой защиты, в которых функционал в десятки раз выше ИСЫ. Тут кто чего умеет уже, кому то на юниксах проще и понятней, кому то с ИСОй. Я недавно задавал такой простой и неказистый вопрос людям. Если сотрудник хочет пользоваться почтой из дома, разрешите? Да. А если он дома на своем ip поднимет бекконект прокси, и будет на него с работы заходить, канал под контролем будет? Промолчали сертифицированные спецы :о)) Термин-то какой - бекконнект :) Конечно, спецы промолчали - как на глупый вопрос можно серьезно ответить? Ну я уже второй день безработный, соскучусь, попробую написать Искренне сочувствую. Только не впадайте в уныние или в эйфорию - от скуки СУИБ не делается. "Вы ничего не понимаете в ИБ, и считаете что ИБ это процесс настройки софта" Вы блестяще подтвердили этот факт, полностью отвергнув мнение о необходимости предварительного бизнес-планирования СУИБ на основе действующих ГОСТов, нормативных актов в области защиты информации и реальной практики управления именно СУИБ, а не отдельными кусочками, имеющими отношение к ИБ. Стартовый опус автора есть пересказ презентаций с мероприятия МС "Платформа 2009", он содержит оптимистичные заявления У.Гейтса о новой эре в информатизации с акцентом на безопасность. Ничего реально применимого в настоящее время в России в качестве СУИБ там нет. В любой системе, в том числе СУИБ, есть два главных фактора, определяющих ее эффективность: управляемость и стоимость владения. Если с калькулятором перечитать еще раз рекламу автора, то ее смысл реально изменитя на противоположный. ZmeyTF Я, может быть, слишком резковат в выражениях, прошу не воспринимать лично. А то, что Вы эту тему подняли - за это Вам большой респект! Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZmeyTF Опубликовано 21 ноября, 2009 Автор Поделиться Опубликовано 21 ноября, 2009 gene Вы откуда взяли про СУИБ? Кто говорил про СУИБ? Далее, Вы "немножко" переврали комменты, и зачем то приписали их мне :о)) Перечтите первый пост, там есть все ограничения и уточнения, которые Вы указали. Это касается файерволлов, IDS и так далее. "Термина" back-connect proxy может быть нет, но netcat в своей документации называется именно так, например. По поводу "самописного" ПО и Windows 7, никто не отменял технологии использования "виртуальных" машин это во-первых, во-вторых никто не говорил, что всем в обязательном порядке необходимо это делать, в-третьих в 90% контор в МСК сидят менеджеры, с офисом и клиентской частью 1с. Без всякого "самописного" ПО. Я понимаю, что Вам сложно решать ситуации, когда "хочется юзеру чего-то", но это немножко из другой оперы задачка. Ну про пассажи, чего автор знает и не знает, и рекламу, это вообще весело :о))) Комплексы сисадминов, такие комплексы :о))) Вы с высокой степенью регулярности критикуете присутствующих, это нормально, если бы не "стиль" в котором Вы это делаете. Может быть сами чего-то напишете? Ну чтобы можно было понять и зауважать уровень знаний? Например этот Ваш ответ, ну не дает полного представления :о))) Ссылка на комментарий Поделиться на другие сайты More sharing options...
gene Опубликовано 21 ноября, 2009 Поделиться Опубликовано 21 ноября, 2009 Ну, снова здравстуйте :) Автор постинга любезно и быстро отреагировал на мою эскападу, потому м я стараюсь уважать коллегу, но с сарказмом. Коллега - без обид ! :) gene Вы откуда взяли про СУИБ? Кто говорил про СУИБ? Фишка в том, что то, о чем был Ваш стартовый посыл, и есть попытка сформулировать концепцию системы упраления ИБ - СУИБ. Я в окончании предыдущего своего коммента посмел указать, что Вы не видите разницы между СУИБ как системой и прочим дерьмом, которое к ней не относится. Это есть факт, и Вы его сейчас опять подтвердили. Далее, Вы "немножко" переврали комменты, и зачем то приписали их мне :о)) Перечтите первый пост, там есть все ограничения и уточнения, которые Вы указали. Это касается файерволлов, IDS и так далее. " Вряд ли. Фишка в том, что я был там, где Вам читали эту ..... Я ее слушал. И не в этом дело - суть в основах религии: Вы изложили доктрины мусульман в еврейском понимании. Ну, ничего личного - это пример восприятия христианином. :) Термина" back-connect proxy может быть нет, но netcat в своей документации называется именно так, например. Не мельчите, хрен с ним. То, что в упомянутом Вами мане так упоминается, известно только Вам (без обид - оно так и есть) - в мане этого нет. Но в силу своей работы я уже трижды ..... гасил... (Вы нет в счет) этот... пусть будет термин. По поводу "самописного" ПО и Windows 7, никто не отменял технологии использования "виртуальных" машин это во-первых, ну, как говориться, брат, - тебя несел и снизу :) Где бузина, а где дядько?! Ну давайте и про самописки регламент напишем, только при их скородействии на виртуале топ-менеджеры такое тебе (Вам, блин) скажут....- и не спасибо. В общем, не в струю про безопасность и ее надо. во-вторых никто не говорил, что всем в обязательном порядке необходимо это делать, [/b Блин, а кого ж я цитировал?! ]в-третьих в 90% контор в МСК сидят менеджеры, с офисом и клиентской частью 1с. Без всякого "самописного" ну, постараюсь сдержать эмоции..... Если Вы про ТАКОЕ - то мы гоаорим не про СУИБ, а про дебильство и развод на теме ИБ, Я понимаю, что Вам сложно решать ситуации, когда "хочется юзеру чего-то", но это немножко из другой оперы задачка. Это есть реальная житуха, брат! Ну про пассажи, чего автор знает и не знает, и рекламу, это вообще весело :о))) Комплексы сисадминов, такие комплексы :о))) Благодарю за чувство юмора - я просил о том - ничего личного. Вы с высокой степенью регулярности критикуете присутствующих, это нормально, если бы не "стиль" в котором Вы это делаете. Может быть сами чего-то напишете? Ну чтобы можно было понять и зауважать уровень знаний? Например этот Ваш ответ, ну не дает полного представления :о))) Ну, полтора десятка постов за два года, из которых большая часть пререкания с автором сайта, не дают оснований говорить о регулярности критики :) Полное представление об ИБ в одном посте - это из серии фантастики. Это инпосибл. Термин "зауважать" меня немного напрягает: надо адекватно оценивать уровень уважающего. Уважаемый автор! Вы сделали очень хорошее дело, когда "со скуки" подняли эту тему. Я считаю себя специалистом в области ИБ, я работаю в этой сфере почти 30 лет -за это время и технологии, и принципы, и содержание изменились на тысячи порядков, и это нормально, это прогресс. Осталась неизменной суть любого процесса управления: люди, знающие и могущие, определяют эффективность этого процесса. В современном состоянии ИБ столько же глупостей, сколько их было при проектировании хрущевской Мать-бомбы - тьма криков, ноль эффективности. Как пример - всем известный Газпром: понты - тьма, людей - море, знаний - ноль, эффект - как у импотента с лесбиянкой. Уважаемый автор! Если Вы бросили скуку и всерьез хотите поддерживать данную тему - я Вам помощник и соучастник потому, что мне это интересно. С уважением и примите и проч. ....... Ссылка на комментарий Поделиться на другие сайты More sharing options...
CI-KP Опубликовано 21 ноября, 2009 Поделиться Опубликовано 21 ноября, 2009 ...я стараюсь уважать коллегу, но с сарказмом. А можно - без старания, но и без понтов? То, что вы называете сарказмом, а по сути является понтами, причем довольно недорогими, мешает воспринимать информацию. Можете обижаться, если нравится. Но реально надоело. Прошу Вас высказываться по существу. Убедительно прошу. 1. Это инпосибл. 2. при этом я еще и доктор наук :) Без комментариев. Ну, если кто в обиде в пальцы - я дам весьма конкрентые примеры феноменальной тупости и некомпетентности в этой организации. Не надо. Дайте лучше примеры Ваших достижений. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.