Pull to refresh

Comments 58

Одна из граней «бизнеса по-русски».
Вся хрень в том, что в этой деятельности нет бизнеса как такового
а русского ещё меньше, зато есть гешефт и хуцпа
UFO just landed and posted this here
Есть в этом некий смысл. В некоторых компаниях винды забирают обновления с локальных серверов, а туда попадают только те обновления которые посчитал нужным добавить специальный человек, системный администратор или спец по безопасности или ещё кто, это уже детали. Ясен пень что исходников у него нет, о банально проверить не сломается ли их корпоративный софт, который написан 15 лет назад от очередного обновления он может. И в ряде случаев может предотвратить массовый отказ корпоративного ПО. Майкрософт это конечно хорошо, но стабильность бизнеса не должна напрямую от него зависеть. Правда отдавать такую сертификацию обновлений на сторону смысла не вижу. Помнится было когда-то обновление от которого клавиатуры с мышками чуть не у половины обновившихся поотпадали. Сейчас правда беглым гуглением не нашёл когда это было, и в чём состояли детали, точно давно лет 7-8 наверно назад. Так вот именно тогда я впервые на каком-то форуме прочитал, что человек у себя на работе сначала тестит каждое обновление винды у себя, а уж потом обновляет корпоративную сетку, так вот он смог это предупредить.
То что вы тут описали — это нормальная работа системного администратора, которая к сертификации по «руководящим документам» отношения не имеет.

Как раз возможна ситуация, при которой вам надо установить обновление, а вам не разрешают.
Два месяца назад выпустился из самого известного айтишного вуза Питера как специалист по защите информации.

5 лет рассказывали в основном не интересные технические особенности, способы защиты, и.т.д., а именно про правовую хрень и про то, что «пофиг на реальную защищенность — клиенту нужна бумажка». Как-то так.
Работаю на госконтору. Вся защита информации реально проходит только на бумаге. Основная проблема нашей законной защиты в том, что стандарты и технические условия отстали лет на 20 от технологий. Вот и приходится защищаться и по документам и в реале. Причем защита в реале получается незаконной и идет в нарушение всего и вся.
Нынче любой модный ВУЗ имеет кафедру, так или иначе связанную с Информационной Безопасностью. Чему там учат по факту, я могу только догадываться. Но догадки эти не самые позитивные. Что же получается, и СПбГУ не «держат марку»? Это печально, что и у Вас «сварганили» абы что. Московский ведущий ВУЗ выпускает специалистов по ИБ относительно недавно и на базе кафедры мат. кибернетики, и среди московских технических ВУЗов имеет не самую высшую «народную репутацию». Но при этом юридическая подготовка преимущественно факультатива и весьма корректа.
Думаю, под «самым известным айтишным вузом Питера» подразумевался всё-таки ИТМО.
В провинции довольно принципиальный преподаватель, законодательную часть дал очень хорошо, а потом еще лучше проконтролировал, что все всё поняли :)
С технической точки зрения — криптография и иже с ним, в общих чертах. Так что у нас обратная ситуация выходит — законы знаем, защищаться не очень можем.
А вам не кажется, что работа безопасника — это во многом именно работа бумажная, сидение над стандартами, законами и руководящими документами, и написание политик ИБ, инструкций и методик? Технические вопрос ЗИ, с учетом скорости развития технологий, изменяются довольно быстро, в отличие от вопросов юридических и организационных. В принципе, работать непосредственно с техникой должен сисадмин, который за этим и нужен.
UFO just landed and posted this here
Не все так плохо. Есть и реальные проекты по инфобезу, где бумажки — третий приоритет. Первые два — реальная безопасность и нормальное usability.
UFO just landed and posted this here
Нормальное usability, на мой взгляд, имеет прямое отношение к информационной безопасности. Можно спроектировать систему так, что она будет нормально защищена, но пользоваться ей будет сложно.

Придется открывать всякие курсы по подготовке пользователей. Хотя это тоже дополнительные деньги :)
UFO just landed and posted this here
За 20 с лишним лет сформировалось элементарные требования к UI. Ничего придумывать не надо, достаточно посмотреть на любую программу. Если это окно действия, то обязательно, помимо кнопки «OK» должна быть кнопка «Cancel».
Иногда программисты, забывают даже про такие мелочи.
Насчет персонала и самообучения. Генри Форд говорил в свое время: «Только два стимула заставляют работать людей: жажда заработной платы и боязнь ее потерять».
Если всё так плохо, почему до сих пор не перешли на какой-нибудь более вменяемый факультет?
UFO just landed and posted this here
UFO just landed and posted this here
бред про родиться не в России, и честь и хвала про самообразование. Сам закончил айти ВУЗ, и испытывал теже проблемы и стремления и интересы, правда нет такого упорства как у Вас. А за границей делать нечего если у тебя не семь пядей во лбу. Рядовых инженеров и там хватает, и учаться они так же. И я уверен еще тверже Вас, что все решается желанием и упорством, а не место рождения.
Смешно. Но логично. Унылому студенту — унылый факультет.
UFO just landed and posted this here
Задам такой же вопрос — а что вы ждете от специальности «Комплексная защита объектов информатизации»? ЗИ — это очень, нет, даже ОЧЕНЬ комплексный вопрос, и компьютерная безопасность тут играет не самую главную роль. Почему? А какая, скажи мне, разница, в каком представлении существует защищаемая информация — на бумаге, на винте/флешке, или защищаемые сведения голосом произносятся? Все это надо защищать. И это все — работа безопасника.
UFO just landed and posted this here
Ну, тогда надо было идти или на программирование (если хочется искать уязвимости в софте) или на сетевые технологии — и там, и там вопросы обеспечения безопасности, применимо к данной сфере, должны даваться хорошо. Но именно «должны даваться» — есть подозрение, что высшее образование в РФ все больше и больше напоминает фикцию.

Про сисадмина. Уметь компьютерную безопасность — это не его работа, при всем моем. Вопросы безопасности тесно увязаны с законодательством (та же криптуха), стандартами, как нашими, так и международными, менеджментом и т.д. Для решения чисто технических вопросов ему это уметь нет нужды, так как все указания, грубо говоря, планирование, что должно быть реализовано в проектируемой системе защиты, ему спускается от тех же самых безопасников. В идеальном случае, как вы понимаете. И, к слову сказать, в некоторых ситуациях бумажка действительно решает. Потому что работать приходится не на сферическом предприятии в вакууме, а в реальной жизни, где есть всякие регулирующие органы, требования законодательства и т.д. и т.п. И, если вы работаете с информацией, защита которой регламентируется государством, то бумажка реально будет решать. Хотя бы потому, что таково требование законодательства.

И правовое обеспечение тут играет немаловажную роль — хотя бы в вопросах обеспечения криптографической защиты информации. Но и в прочих моментах — особенно в плане контроля над персоналом, допущенным к обработке защищаемой информации. А это один из крайне важных моментов обеспечения ИБ.

Хотя, если я вас правильно понял, вы просто ошиблись с выбором специальности.
UFO just landed and posted this here
И почему вы так уверены что исходников нет? Больше пол ядра NT есть у доступе даже у студентов, и весь билд энвайромент, так что кастомные сборки ядер делать можно. В некоторых случаях стратегического партнёрства MS даёт посмотреть на сырцы. Я не утверждаю что они анализируют все исходники, но и исключать такую возможность тоже нельзя.
Хорошо. Представим себе, что Microsoft передала исходники своей ОС компании СИС и периодически, по мере выхода обновлений, передает исходники этих обновлений (кто в это верит?).

Компании СИС однажды эти исходники не понравились. Чего от этого изменится? Microsoft пофиксит обновление, чтобы оно удовлетворяло «руководящим документам»?
Я не пытаюсь оправдать данную конкретную компанию, и уж тем более не знаю что она будет делать. Я просто говорю что мнения о сверх секретности исходников винды сильно преувеличены. Я просто их своими глазами видел и сборки ядра с изменениями. И это в обычном университете. Те-же антивирусные компании имеют доступ много до чего. Для меня в своё время было прям ошеломительно узнать.
Да и если исходники не нравятся, значит баг какой-то обнаружили или потенциальную уязвимость. Я думаю MS не пропустит инфу о баге мимо ушей а вовремя отреагирует очередным патчем. Это я всё к чему? К тому, что такая бизнес модель мне не кажется ущербной изначально. В том смысле, что я вижу некоторые способы организовать это всё нормально. Как это реализовано в реальности мне совершенно неведомо. И на конференции я не был и доклад не слышал, да и название такой конторы в первый раз вижу.
Вы допускаете в своих рассуждениях одну ошибку — вы считаете, что при сертификации ищутся баги и уязвимости
Я же написал, что я не знаю как происходит на самом деле, но думаю, что можно это так организовать, чтобы это приносило реальную пользу. Я о том что промашки и маразмы одной конкретной реализации не нужно распространять на всю сферу такого рода услуг.
В этом посте речь и идет ровно об одной реализации
А про ту сертификацию которую вы говорите я не только слышал но и соприкасался в реальности. Это когда в 2011 году у предприятия сертифицирована XP с ie6 и обновлять они его не имеют права, а денег и желания на сертификацию других браузеров у них нет. А такие компании могут ещё и сайты заказывать. Именно поэтому при доле ie6 < 1% всё еще заказываются и делаются сайты под него рассчитанные. Особенно банковские клиенты удалённого банкинга.
Именно. И юзают ie6, вместо того чтобы юзать более новые версии того же IE, в которых закрыты реальные уязвимости.
Модель не отвечает жизненным реалиям. Сотня, другая знающих свой продукт специалистов Microsoft не нашли уязвимость, а СИС, значит, найдет? :)
А вдруг мс специально заложит уязвимость по просьбе госдепа?
А потом предоставит исходники с этой уязвимостью для сертификации?
То есть вы зотите сказать, что СИС самим своим наличием предотвращает такие уязвимости?
UFO just landed and posted this here
У меня другой вопрос. Выходит обновление МС, компания сис его высочайше одобряет, и за деньги ставит свою подпись на бумажке, условно говоря. Обновление оказывается вредным. Как отвечает компания сис? Я могу подать на нее иск?
Этот вопрос задавали. Насколько я понял, компания сис никак не отвечает.
Сертификат выдают после определенной серии тестов. До сих пор для их проведения нужны люди. Как результат такая сертификация стоит хороших денег и в случае программно-аппаратных комплексов фиксируется все. В том числе версии ПО и суммы их целостности, так-как это гарантирует быструю проверку нарушения безопасности. Вопрос больше тут состоит когда уже это будет делаться роботами в автоматическом режиме и за умеренные деньги.

Я вам кстати другой пример могу привести. Сертификация АСР или биллингов. По сути дела сертификация сводится к метрологии. Правильно ли считает вот этот конкретный билллинг. При этом изменения которые производит биллинг метрологическими быть не могут. И насколько помню сертификация такого класса ПО есть только в пределах СНГ.
Радует что в микрософт сидят грамотные люди которые знают как делать деньги.
Самое смешное что эта сертификация не о чем не говорит.
Дыры в дровах и другом ПО все равно во время сертификации ни кто не найдет.
Сертификация необходима для выполнения требований пресловутых ФЗ, в том числе и ФЗ-152 о Перс. данных. Где каждое по и железка должна иметь сертификат ФСТЭК, а если крипта то и ФСБ, если класс системы К1-К3.
Согласен с автором, что все это буквально деньги из воздуха. Но скорее всего ближайшие пару лет ничего не измениться в этом плане.
UFO just landed and posted this here
В прошлом году со сходным докладом выступал представитель ФСБ. Это был единственный докладчик, у которого не было презентации, он просто рассказывал. Сначала он рассказывал о том, что усилия по сертификации что винды, что Линукса примерно равны и оцениваются в год работы. А потом стал нести традиционный FUD о том, что открытые проекты имеют качество кода и защищённость хуже, чем винда. В общем, симптоматичненько.
Участвовал в одном проекте по защите файлобменника с web-интерфейсом. Участниками обмена были как российские компании, так и западные (причем крупные). Все делалось по ГОСТам. Российские компании использовали сертифицированные средства криптозащиты, а западным мы предложили решение на основе OpenSSL и sTunnel (в OpenSSL есть ГОСТы).

Безопасники западных компаний с радостью согласились. Сами по инструкции собрали комплект из сорцов.
Информация к размышлению: контрольная сумма у сертифицированных продуктов всего 4 байта
Деньги не только из воздуха, но еще и на ветер.
Как поживает ваш ГОСТ криптопровайдер? :)
Не получили еще на него сертификат?
Из всего этого пока один плюс — меня приглашали на работу в одну достаточно известную контору, чтобы создать криптопровайдер и сертифицировать его. Но я прямо ответил, что продукт уровня Крипто-Про написать нереально и никакого желания бежать на хромой кобыле за реактивным самолетом у меня нет.

До этого был еще неплохой отклик от автора работающего криптопровайдера, который пытался объяснить мне ряд тонкостей, из чего я понял только одно, что разобраться с этим с моим опытом нереально.
В недавнем времени узнал, что есть такой продукт компании Алтэкс-Софт и СИС Net Check.
Если есть подключение к Интернету, с горем пополам обновляется (не все обновления). Кстати, из представленного списка критических обновлений, обновляются далеко не все!
Что делать, если ВЛВС..? Брать внешний носитель, идти в интернет, качать обновления, а потом переносить их в папочку на сервере, откуда клиенты будут кушать обновления. А если вдруг, откуда не возьмись, на флэшке вирус?? Получается вирус может попасть в ВЛВС, а там куда выведет кривая американской мечты=)
Итого. Система абсолютно не отработана. Деньги из ничего делают, а ФСТЭК молчит, как рыба…
Заходим на указанный адрес, жмем контакты и получаем окошко «неправильный ключ» (который, похоже, относится к Яндекс-картам).
Может, забыли себя сертифицировать на использование Яндекс.карт?..
Да, кстати. Чтобы получить возможность скачивать эти сертифицированные обновления, вы должны у СИС купить eToken. Они является дистрибютером этих ключей. Так сказать, еще доп. доход.
Sign up to leave a comment.

Articles