Комментарии 24
Спасибо! Теперь действительно кажется, что любые коробочные решения похожи на черный ящик и их надо прям смотреть-смотреть.
аутсорс сейчас — это частый способ резать косты на разработку даже при всех сопряжённых с этим рисках информационной безопасности.
Аутсорс разработка в 1С (и прочем энтерпрайзе) всегда дороже, и соответственно, покупают его не для того, чтобы "резать косты". Если мы не о приходящем раз в месяц фрилансере "помочь закрыть месяц", а о более-менее серьезных задачах.
Извините, но и остальная статья на примерно таком же уровне владения вопросом.
Согласен, причем не просто дороже, а непредсказуемо дороже. Даже у очень крупных интеграторов уровень среднего непредсказуем, про культуру разработки вообще молчу.
В контексте больших проектов и крупных компаний я вполне согласен с вами - там действительно цель совсем не в урезании костов, а в ускорении сроков реализации проекта (в особенности, если своей необходимой экспертизы нет/мало, а растить ее долго).
Но не стоит тут забывать про формы сотрудничества типа ГПХ/СМЗ или небольших ИП - они вполне могут привлекаться для более мелких задач на вполне себе постоянной основе. Не говорю уже о тенденции последних лет, когда встречаются компании, которые как раз целенаправленно, с целью именно сокращения OPEX, переводят штатных разработчиков в на форму взаимоотношений по типу ГПХ/СМЗ/ИП (нет больничных/отпускных, других страховых отчислений от работодателя + техническое обеспечение такого "сотрудника" ложится также полностью на него самого). Все это в конечном итоге в реальности тоже ведь аутсорс, хоть и принимает такие странные формы.
Из опыта: стандартный отчёт -> сохранить в эксель -> отправить на почту. База активных клиентов у конкурентов.
DCOM, внешние обработки, подключения на левые адреса - это все, конечно тоже имеет смысл рассматривать, но в них ли угроза?.
Банально, с вырезанными внешними коммуникациями, сотрудник распечатал отчёт и вынес прям в бумаге.
Ну в общем: аутсорсеры, конечно, могут так постараться, что бы состряпать вам "ядовитую" платформу, но куда им до обычных пользователей.
на такие случаи разделение доступа к записям БД или по какой то аналитике или как в банках доступ только поштучно с логированием этого самого доступа.
У управляющего персонала, а его априори пока меньше, свои способы мотивации к соблюдения секретности и это прям настоящая дыра, но это, опять же, уже близко к уровню и рискам руководства.
А вот с обфускацией данных, т.е. к примеру для цифровых итоговых показателей в отчете совершенно не нужны реальные наименования 1000 ведущих клиентов, их можно заменить на Ивановых Петровых и Сидоровых - с такими решениями я не сталкивался.
Ну как бы если сотрудник может на рабочей машине "просто распечатать" конфединциальную инфу - ну ой, а не безопасность. Я работал в Каспере в момент раскола, и уже тогда инфовоч имел решение по контролю печати. Даже если тогда оно работало не очень, то спустя почти 20 лет появилось уже дофига решений. Ну и в целом DLP это про контроль рабочей станции, откуда есть доступ к грифованным/классифицированным документам. Так что сохранение в эксель ещё не означает покидание контура, и ключевой аспект нужен именно на этом. Чтобы ни через телеграм веб, ни через scp и прочее инфа не улетела с защищенного рабочего места.
Именно, дело не в 1С, а в общей культуре безопасности.
Пакетное решение DLP на 50 станций стоит в районе 1млн. Я вас уверяю, большинство собственников скажет - хрен с ней этой базой пользователей. Мне кажется тут многие живут в волшебном мире корпораций с огромными бюджетами, но нет, ПО за 1млн покупать мало кто готов в малом и даже среднем бизнесе.
все же 1 млн это даже не лада-гранта по нынешним временам, среднячек то мог бы себе позволить, если не в кредит?
А тут дьявол кроется в деталях - это стоимость только лицензий на 1 год или железа+внедрения+настройки+сопровождения+реагирования? Купить любой инструмент мало, надо уметь его внедрить в процессы, развивать и поддерживать потом. В случаях с малым и средним бизнесом, отпугивает не стоимость лицензий чаще, а то, какие накладные расходы это понесет за собой на дистанции.
Да и будем честны - DLP не панацея и любой из тех, кто плотно работал с этим классом продуктов, внедрял, решал проблемы и разгребал инциденты, писал исключения, может с уверенностью сказать, что обойти его не то чтобы невозможно. Само решение хорошее, но оно должно работать в комплексе с отстроенными процессами - классические подходы "всем все запретить" сейчас уже не пройдут.
Забыли упомянуть про мобильное приложение 1С, которое может целиком крутиться на мобильном девайсе, включая базу данных, и не требует Интернет-подключения
У вас в Озоне для 1С настроены CI/CD и процесс тестирования, в чем смысл этой статьи?
Очевидно ozon большой, не везде есть ci cd и тестирование.
При таких размерах компании, если бы их не было, было бы очень и очень больно.
То, что описано в статье выше - собирательный образ основных узких мест, которые встречались при столкновении с продуктами 1С и процессами, построенными на них в разного размера и направленности бизнеса компаниях.
Смысл прост - представьте, что вы относительно новичок в ИБ, продукты 1С встречали тольк на слуху, пришли в новую компанию, а там вам говорят, что ценным активом для бизнеса являются продукты 1С и их хотелось бы проаудировать и привести в порядок.
Если грамотный человек захочет выгрузить какие-то данные из 1С - он это сделает. Всё остальное это стрельба в ногу обычным пользователям.
Так вопрос 100% надежности вроде и никогда не стоял. В конечном итоге можно зайти и через БД. Главное что бы стоимость сего мероприятия была неподъемна не самым подготовленным людям.
Я бы тут даже расширил тогда, так как этот постулат, в конечном итоге, легко масштабируется и на любую иную систему.
Самая безопасная эта та система, которая потушена, и к ней не имеют ни логического ни физического доступа никто, но само собой в реальности так нельзя сделать и вот тут уже и начинается борьба компромиссов удобства/работоспособности/безопасности.
А что мешает вести разработку в хранилище конфигурации, чтобы доступ у разработчиков был только к тестовым данным?
Я уж извиняюсь, но вы где-то в прошлом застряли.
Нет никаких сложностей в том, чтобы использовать различные стенды. И доступ к проду разработчикам не давать. А на тестовых стендах пусть делают что захотят
CI/CD, git в компаниях с развитой квалификацией используют. Напрямую разработчику лезть в конфигурацию не нужно, достаточно из Jenkins или girlab нажать кнопку и релизная ветка разольется на прод
Строго говоря:
Конфигурация (.cf) - это метаданные плюс код;
Информационная база - конфигурация ( точнее, конфигурации - их несколько) плюс данные.
Взгляд на 1С глазами безопасника