Чтобы это стало актуальным, компания должна дорасти до DLP в том или ином виде. А когда у вас появляется DLP и регулярный процесс мониторинга выходящих наружу файлов, появляется и регламент передачи в ИБ паролей от запароленных архивов (всех или по требованию).
Как-то видел компанию, в которой практиковалась принудительная смена пароля раз в месяц. В итоге, пароль либо менялся с добавлением циферки к тому же самому, либо записывался на бумажке на мониторе.
Есть такой параметр, который называется «грань идиотизма». Функция безопасности от прилагаемых усилий растёт ровно до достижения грани идиотизма. А потом начинает падать. :)
Как говаривал Мордак: «безопасность — величина обратная удобству. В моём идеальном мире никто не сможет пользоваться ничем».
Начнём с того, что стоимость безопасности (всей!) никогда не должна превышать 10% от выручки. А в безопасность входит не только ИБ, но и масса разных факторов, включая, например, взят… эээ… исполнение требований пожарной безопасности. Вот и получается, что в небольших компаниях, если они не связаны специальными требованиями по ИБ (например лицензией на работу с гостайной или PCI DSS), безопасность информационная идёт в последюю очередь. А если обстоятельства всё таки требуют принятия мер, то используется некий «минимально жизнеспособный продукт» (одна камера на входе).
С ростом компании по закону больших чисел растёт количество чувствительных инцидентов ИБ, которое требует принятия определённых мер. И тогда на предприятии появляется… Нет, не стажерка с горящими глазами, а унылый бюрократ, глаза которого давно потухли и душа обрела смирение. Он начинает сочинять регламенты и пытаться натягивать их на бизнес-процессы. Главная суперспособность, нужная этому человеку — умение объяснять, для чего вводятся те или иные ограничения и, самое главное, находить компромиссы с бизнесом. Бизнесу всегда будут нужны доступы везде, доступы отовсюду, возможность рассылать все файлы на свете, писать их на флэшки. Задачи бизнеса — априори важнее. Бизнес всегда добьётся своего. Перед бизнесом надо уметь отступать, находя точки соприкосновения и договариваясь («окей, давайте вы будете пересылать файлы себе домой в rar с паролем не меньше 10 символов а дома поставите вот этот антивирус»… «Окей, если нельзя не посылать клиенту его номер банковской карты по почте, давайте вы будете его маскировать, а недостающие символы показывать в личном кабинете»).
Все варианты, которые он согласует с бизнесом будут даже не наименьшим из зол. Они будут плохими, отвратительными, но это всё равно будет лучше, чем ничего.
Второй головной болью безопасника будет ИТ. С ИТ надо уметь договариваться. Если с ИТ поссориться, никакие хорошие отношения с руководством компании не помогут реализовать и десятую долю своих регламентов, да и вообще работать не получится. Знавал я компании, где сетевой сегмент отдела информационной безопасности был огорожен высоченным забором файрволлов. Оттуда можно было идти в интернет, но нельзя было идти никуда внутрь периметра, чтобы не дай бог безопасники, что нибудь не поломали. Когда в одной такой компании состав подразделения ИБ поменялся полностью, мне от моего безвестного предшественника достался компьютер, на котором единственной программой, помимо Офиса, была WoT, за которой не имеющий возможности делать хоть какую-то работу сотрудник коротал свои бесполезные дни.
Дело-то всё в том, что админы всегда заняты. В любой нормальной компании у них всегда есть огромный список задач, которые надо выполнить вчера. Они не могут, как тот сферический «хороший админ» в безвоздушном пространстве «всё настроить и ничего не делать», потому, что компания растёт и развивается, появляются новые филиалы, новое оборудование, новые сети. И тут безопасник со своими требваниями, которые админ и рад бы выполнить (только не в части ограничения своего доступа, разумеется), но времени нет. Поэтому с админом тоже надо дружить и договариваться. Разбивать задачи на маленькие кусочки, впихивать их в его график.
Всё? Нет, не всё. Ещё есть программисты (которым нужен админский доступ на компьютер, потому, что иначе невозможно писать софт), бухгалтера со своими бухгалтерскими форумами прямо на том же компьютере, где банк-клиент, со своими флэшками на этом компьютере, дизайнеры со своим… И к каждому, к каждому надо найти подход, иначе все эти регламенты так и останутся бумажками на случай, если произойдёт инцидент и придёт какая нибудь проверка.
В девяноста девяти процентах компаний они таковыми и являются, невзирая на все аудиты.
Успокаивает две вещи. Во первых такая ситуация не только в информационной безопасности, но и в любой другой. А во вторых — наша вселенная спроектирована в рассчёте на троечников. Нам всегда безумно везёт. Процент аварий там, где они могли бы произойти, ограблений там, где плохая охрана, пожаров там, где нет пожарной сигнализации — статистически невелик. Тем и спасаемся.
Виталий, очевидно, имеет ввиду, что цена старта для Ангары заранее неизвестна.
Что касается старта для Союзов в Куру, то его цена слабо коррелирует с ценой аналогичного старта на Восточном, поскольку в Куру конструкции немного бывшие в употреблении — демонтированные из Плесецка.
«Долётывающий своё» Союз-2 первый раз полетел в 2004 году и летать будет ещё довольно долго. В то же время, с Ангарой есть разные сложности в разворачивании серийного производства. Поэтому решили делать старт сейчас и под заведомо летающую ракету.
В принципе, изначально идея была, что площадку можно использовать для космических пусков без особых инвестиций — там было ещё пять, кажется, ШПУ УР-100Н, из которых планировали запускать Рокоты, но к моменту, когда Рокоты стали летать, выяснилось, что гражданская полезная нагрузка плохо переживает старты из ШПУ и в Плесецке для Рокотов построили наземный старт. На этом идея пускать Рокоты из Свободного тихо загнулась, а с ней и «космодром».
Никакого космодрома в смысле инфраструктуры там не было. Был позиционный район ликвидированной дивизии РВСН, из которого осуществили несколько космических пусков с мобильной пусковой установки типа Тополь.
Есть в википедии и на форумах типа Новости Космонавтики. Но надо понимать, что все пуски имеют свойство двигаться вправо, поэтому за год я бы не планировал: пуск может спокойно уехать на месяц-два.
В те годы даже в СССР несколько десятков тысяч человек имели дома компьютер (серии БК или Микро-80 совместимый).
Модемов, правда, ни у кого не было, ввиду отсутствия сервисов.
Есть такой параметр, который называется «грань идиотизма». Функция безопасности от прилагаемых усилий растёт ровно до достижения грани идиотизма. А потом начинает падать. :)
Начнём с того, что стоимость безопасности (всей!) никогда не должна превышать 10% от выручки. А в безопасность входит не только ИБ, но и масса разных факторов, включая, например, взят… эээ… исполнение требований пожарной безопасности. Вот и получается, что в небольших компаниях, если они не связаны специальными требованиями по ИБ (например лицензией на работу с гостайной или PCI DSS), безопасность информационная идёт в последюю очередь. А если обстоятельства всё таки требуют принятия мер, то используется некий «минимально жизнеспособный продукт» (одна камера на входе).
С ростом компании по закону больших чисел растёт количество чувствительных инцидентов ИБ, которое требует принятия определённых мер. И тогда на предприятии появляется… Нет, не стажерка с горящими глазами, а унылый бюрократ, глаза которого давно потухли и душа обрела смирение. Он начинает сочинять регламенты и пытаться натягивать их на бизнес-процессы. Главная суперспособность, нужная этому человеку — умение объяснять, для чего вводятся те или иные ограничения и, самое главное, находить компромиссы с бизнесом. Бизнесу всегда будут нужны доступы везде, доступы отовсюду, возможность рассылать все файлы на свете, писать их на флэшки. Задачи бизнеса — априори важнее. Бизнес всегда добьётся своего. Перед бизнесом надо уметь отступать, находя точки соприкосновения и договариваясь («окей, давайте вы будете пересылать файлы себе домой в rar с паролем не меньше 10 символов а дома поставите вот этот антивирус»… «Окей, если нельзя не посылать клиенту его номер банковской карты по почте, давайте вы будете его маскировать, а недостающие символы показывать в личном кабинете»).
Все варианты, которые он согласует с бизнесом будут даже не наименьшим из зол. Они будут плохими, отвратительными, но это всё равно будет лучше, чем ничего.
Второй головной болью безопасника будет ИТ. С ИТ надо уметь договариваться. Если с ИТ поссориться, никакие хорошие отношения с руководством компании не помогут реализовать и десятую долю своих регламентов, да и вообще работать не получится. Знавал я компании, где сетевой сегмент отдела информационной безопасности был огорожен высоченным забором файрволлов. Оттуда можно было идти в интернет, но нельзя было идти никуда внутрь периметра, чтобы не дай бог безопасники, что нибудь не поломали. Когда в одной такой компании состав подразделения ИБ поменялся полностью, мне от моего безвестного предшественника достался компьютер, на котором единственной программой, помимо Офиса, была WoT, за которой не имеющий возможности делать хоть какую-то работу сотрудник коротал свои бесполезные дни.
Дело-то всё в том, что админы всегда заняты. В любой нормальной компании у них всегда есть огромный список задач, которые надо выполнить вчера. Они не могут, как тот сферический «хороший админ» в безвоздушном пространстве «всё настроить и ничего не делать», потому, что компания растёт и развивается, появляются новые филиалы, новое оборудование, новые сети. И тут безопасник со своими требваниями, которые админ и рад бы выполнить (только не в части ограничения своего доступа, разумеется), но времени нет. Поэтому с админом тоже надо дружить и договариваться. Разбивать задачи на маленькие кусочки, впихивать их в его график.
Всё? Нет, не всё. Ещё есть программисты (которым нужен админский доступ на компьютер, потому, что иначе невозможно писать софт), бухгалтера со своими бухгалтерскими форумами прямо на том же компьютере, где банк-клиент, со своими флэшками на этом компьютере, дизайнеры со своим… И к каждому, к каждому надо найти подход, иначе все эти регламенты так и останутся бумажками на случай, если произойдёт инцидент и придёт какая нибудь проверка.
В девяноста девяти процентах компаний они таковыми и являются, невзирая на все аудиты.
Успокаивает две вещи. Во первых такая ситуация не только в информационной безопасности, но и в любой другой. А во вторых — наша вселенная спроектирована в рассчёте на троечников. Нам всегда безумно везёт. Процент аварий там, где они могли бы произойти, ограблений там, где плохая охрана, пожаров там, где нет пожарной сигнализации — статистически невелик. Тем и спасаемся.
Что касается старта для Союзов в Куру, то его цена слабо коррелирует с ценой аналогичного старта на Восточном, поскольку в Куру конструкции немного бывшие в употреблении — демонтированные из Плесецка.
Раз: www.youtube.com/watch?v=QIzXI-mlJjs
Два: www.youtube.com/watch?v=EYw7NRVSWxA
Вот ракета Старт-1 и её МИК:
ruscosmos.narod.ru/KA/glavnaia/Rak_nos/FOTO/Start.jpg
Вот её предстартовая подготовка:
space.hobby.ru/photos/topol.jpg (оцените инфраструктуру пусковой площадки)
А вот, что такое площадка Восточного:
map.spetsstroy.ru/upload/resize_cache/iblock/32c/710_404_1/2-20151008_startovyy_kompleks_08.jpg
Несмотря на близость расположения, всё это строилось на пустом месте и с нуля.
Модемов, правда, ни у кого не было, ввиду отсутствия сервисов.