ИБ для конторы разработчиков ПО

[@leahch]

Это конспект диплома? Ну, поздравляю!

Начальнику транспортного цеха хотелось бы услышать экономическую составляющую сего опуса.. Особеннно для "контор аутсорсников"... А то Вы тут наговорили на несколько сотен килобаксов непроизводственного ПО :)

[@timru]

Экономическая с перечислением конкретного ПО и стоимости лицензий может считаться рекламой с одной стороны и нарушением NDA с другой. По этой причине текст округлен, а в описании указано - используйте как основание для работы с ЛПР.

Надеюсь что в указанных уровнях и перечисленных терминах можно будет гуглом найти все перечисленные в неопубликованной части текста решения.

[@leahch]

Тка тогда это ничуть не лучше всяких перечислений типа "ХХХ лучших инструментов для YYY". Это, увы, даже не рекомендации к применению.

А Ваши слова - пойди и загугли, сильно отдают "иди нафиг, не мешай пиариться".

Хорошо, другой вопрос, где Вы, лично, видели "конторы разработчиков" больше 50 человек?! Я и такие-то по пальцам одной руки пересчитаю. Обычно "контора разработчиков" сильно меньше этого числа, и практически все бюджеты уходят на ПО, аренду и нормальные зарплаты.

Уж кого нужно за ИБ уговаривать, это не "конторы", а заказчиков этих контор. Там и бюджеты на порядок больше, и ответственность...

А тут - кликбейтный заголовок и пустота!

[@timru]

Да. Одна из компаний - разработчик по 1С - +160 человек в штате и 45 человек подрядчиков. Они сливались с компанией разработчиком, которая их купила и занималась финтехом.

Одна из причин аудита - требования заказчиков по ИБ.

[@leahch]

О, как бы 200+ уже сильно не "контора", а фирма, пережившая порядка трех кризисов управления и роста. Тем более, сливается с кем-то большим. Тут и системных администраторов в штате будет человек 10, будет кому внедрять, тестировать и исследовать.
Тогда да, список актуален, но, увы, не заголовок.

[@Anywake]

Выводы, сделанные в документе, основываются на всей доступной и предоставленной мне информации:

Сборище, а можно данные требования подкрепить чем то? Вы же понимание, что часть требований на уровне поехать кукухой? Понимаете, да?

Например:

Firewall правила, которые разрешают порты более чем 4-года

А давайте каждый год отключать порты для AD между VLAN,ами c целью инвентаризации... знал(ю) такого. Имитация бурной деятельности с огромным ущербом для конторы.

Львиная доля требований требует отдельных бумажкососателей (хорошо если знания в ИТ будут) и отдельных Итишников с непробиваемой психикой для их обслуживания.

[@timru]

Об отключении портов:

Вы правы, но если не обратить внимание на преамбулу текста.

Описанные ошибки были мною обнаружены в инфраструктуре нескольких предприятий и агрегированы из нескольких отчетов. Открытые порты со сроком более 4-х лет сочетаются с сотрудниками, которые уже уволились и для какой задачи они открыты не знал ни один действующий сотрудник ИТ отдела.

Об подкреплении:

Есть один из форматов аудита - опрос. Возможно требование завышены, но я считаю, что если админ или сетевик не может ответить для чего та или иная настройка, он не владеет инфраструктурой. Нет документации, уволился сотрудник и прочее - отговорки, в случае если человек работает больше чем 3 месяца. До трех, считаю, что сотрудник не адаптировался к компании.

[@Anywake]

если админ или сетевик не может ответить для чего та или иная настройка, он не владеет инфраструктурой

Владеть в этом виде сложно, разве все упомнишь? В этом момент бОльшая проблема в том, что он не знает где об этом можно узнать. Иными словами - отсутствие документации по инфраструктуре. Порты могу быть годами открыты, но для чего - нужно записывать.

Верно понял конспект?

Почему тогда "ИБ для конторы разработчиков ПО" если это вообще бич глобальный рас...тва "админов" контор? Схоронил себе как чек-лист проблем. Иногда начав опрос, можно его закончить в реанимации, такое твориться на базовом уровне, ужас просто...