Пример. Я приехал в магазин за трубой, но нужной длины не оказалось. Купил более длинную, лишнее отрезал и выкинул. Но была альтернатива поехать в другой магазин. А вот если производили условных труб перестанут производить их разной длины, а будут штамповать только длинные. Им то все равно заплатят за всю длину, а что с ней дальше будет им без разницы и тогда альтернативы уже не будет.
А с транзисторами какая альтернатива?
Так это же плюс, а не минус, оптимизация.
Более того, произведенный транзистор существенно более ограничен, по сравнению с теоретическим, ради лучшего извлечения полезного эффекта в схеме.
Отчасти видимо так. Но изначально речь шла все-таки об устройствах, которые могут делать больше того, для чего используются фактически. Универсальность все-таки не совсем то и в где-то более, где-то менее, но эффективна.
Именно поэтому во многом и появился этот комментарий)
Представьте, делается железка с производительностью на 10 функций, но в зависимости от того, куда ее запихнут или от оплаченной лицензии (не суть) будет выполнять меньшее количество функций. Такая практика с большой вероятностью может стать мейнстримом. С точки зрения разработчика такой железки это удобно. Покупатель все равно платит за всю железку + лицензию или внешний обвес. С точки зрения ресурсной базы и всем, что за эти тянется - беда.
Каждый год 31 декабря мы ходим баню. Каждые полгода должна быть статья про нерациональное использование ресурсов: https://habr.com/ru/post/596517/
Сам не кодер, но в универе было программирование. Грустно конечно.
Это тянет за собой такое же нерациональное использование материалов, из которых сделано железо, а многие из них редки и стоят недешево. Следующим вагоном сюда идет нерациональное использование труда по обслуживанию всего этого добра (софт, железо, генерация и поставка энергии). Ужас.
Есть тенденции не только в компьютерной техники. Набирают популярность различные универсальные блоки, функционал которых зависит от модели (лицензии), но при этом с технической стороны абсолютно идентичные.
Учебное заведение должно дать понять, что учится нужно всегда и еще желательно научить учится наиболее эффективно. Тут как раз еще есть время, найти для себя оптимальные механизмы. Также дать базовые знания в профильных областях. Многое устаревает в процессе обучения и с этим ничего нельзя сделать.
На счет того, что кому-то там удалось пролезть без опыта. Без конкретики вообще не стоит на такие истории обращать внимания.
Вообще не понимаю, чего автор напрягается. В начале всегда тяжело. Тоже ИБ-образование и первые 3 года, скажем так, не пойми чем занимался.
Из каждого собеса надо делать выводы и расценивать, как опыт. И если молчат, лучше все-таки задать вопрос. Могу сказать, что с большой долей вероятности именно такой мой вопрос позволил напомнить о себе и в итоге взяли на работу после повторного собеседования.
Из практических советов. Смотря чем вы хотите заниматься в ИБ. Можете разобраться с настройкой конкретных средств защиты. Или изучить актуальное законодательство (ПД, КИИ сейчас очень актуально).
Видел такое. Человек с образованием ИБ, но совсем не безопасник по призванию.
И админов видел, которые еще и безопасники по призванию.
В небольшом коллективе может быть такое, что «тон» задавать некому.
Хотя четкое следование НМД и ОРД уже много лучше, чем ничего.
И чтобы это делать призвание не нужно.
Там где, уже ИБ-подразделение, как правило, проблемы такой нет.
На счет личного это одно, люди не понимают рисков открытого доступа материалов, которые выкладывают. Но я все-таки больше про работу.
«ИБ-пофигизм»:
— вешать стикеры с паролями на монитор;
— проще сказать свой пароль, чем оформлять коллеге нужные доступы на время отпуска;
— нежелание понимать, почему не стоит использовать Интернет, флешки в нерабочих целях;
— со стороны админов не раз сталкивался с выдачей прав сильно шире, чем необходимо, вплоть до админских, чтобы пользователь сам «мог решить проблему» и т.д.
Люди, которые устраивались на работу после того, как стали действовать требования к ИБ, соблюдают их охотнее, чем те, при которых эти правила были введены.
Это же классика. Люди не хотят меняться. Они будут упорно биться за то, как привыкли. Столкнулся с этим на практике.
С ростом количества компаний, где ИБ работает в той или иной степени, следом растет количество людей, которые пришли и стали соблюдать, а не борются против нововведений, которые «только мешают». Постепенно ситуация будет улучшаться.
Хотелось бы, чтобы это произошло, как можно раньше, но то, что с чем сталкиваюсь говорит именно о тех, сроках, которые я обозначил.
Ну давайте так. На момент описанной ситуации мне было 30. Коллега немного старше, сейчас ему чуть за 40. В плане экономической безопасности он действительно профессионал. Страницы ВК у него своей нет. Есть фейковая для выполнения работы.
Вот и представьте, сколько он еще будет работать. И таких людей очень много.
В 2000-х в России массово только специальности по ИБ для «гражданки» в ВУЗах появляться стали. Ни о какой вменяемой ИБ в организациях и не слышали.
Не буду пытаться оценивать в процентах, но повторюсь, что даже сейчас полно мест, где ИБ расценивается как бесполезная трата средств (до беды).
С каким самым эпичным фактом «ИБ-пофигизма» вы сами сталкивались на работе?
«ИБ-пофигизм» везде и всюду, и масштабы его не имеют границ.
На предыдущей работе коллега, отвечающий за экономическую безопасность, игнорировал ИБ от слова совсем. При этом доступы у него были весьма существенные. Единственный аргумент, который работал, состоял в том, что я ему говорил, если будут какие-то последствия, то попадет мне, как ответственному за ИБ.
А еще каждый раз когда вспоминаю про «ИБ-пофигизм» на предприятии, связанном с оборонкой, волосы дыбом встают.
Вообще мой опыт подсказывает, что для снижения уровня «ИБ-пофигизма» нужно еще лет 10-20, пока банально произойдет смена на более адекватно понимающих возможные проблемы. «ИБ-пофигизма» много именно со стороны людей «старой закалки».
У нас в регионе в плане конкуренции с приходом яндекса все постепенно ухудшалось.
Не знаю, как в других регионах, но у нас уже в тот момент, когда в 2020 ФАС запретила яндексу покупку везет, этот самый везет был подконтролен яндексу.
Работало это так. На вызов через приложение везет приезжали машины яндекса. На вопрос водителям яндекс, приехавшим на вызов через везет, почему они приехали, отвечали, что им заказ пришел как обычно в яндекс. Т.е. или руками или еще как-то заказ перекидывался. Потом везет просто перестал работать. Тоже самое было с убер.
Была надежда на ситимобил. После захода (тоже в 2020) они демпинговали сильно, но потом примерно уровнялись с яндексом. А теперь закрылись.
Пока не заметил, что яндекс наглеет с ценами, но что будет дальше вопрос открытый.
В ответе говорится, что когда я заключал с ними договор, то согласился с тем, что они могут делать с моими ПД по сути все, что им вздумается (в том числе передавать третьим лицам) до тех пор, пока действует договор.
Ни по одному пункту данных, которые они обязаны предоставлять, в ответе информации нет, что ставит под сомнение их утверждение выше.
Кроме того, в том же запросе я отзывал у них согласие на любые действия с ПД, кроме непосредственно связанных с исполнением договора. Судя по ответу они это проигнорировали.
Вот если бы то, что уже указано в законах стало работать как надо был бы прорыв. Написал недавно в РКН, что на запрос Сбер не предоставил данные в соответствии с 14 статьей 152-ФЗ. РКН запрос переслал в прокуратуру Москвы (юр. адрес Сбера), а прокуратура в свою очередь переадресовала запрос Сберу, который мне прислал копию ответа, который я от него раньше получил. Круг замкнулся. Смешно, что плакать хочется.
Выводить лучше деньги суммами, не превышающими 200 тыс. руб.
Я так понял, если нужно вывести миллион, вы предлагаете разбить действие на 5 операций. Дробление один из признаков подозрительных операций. Это вообще автоматом сотруднику финмониторинга подсветит и будет проверка.
Вообще самый простой способ при наличии вопросов от банков для организаций подтвердить реальность и законность ведения хозяйственной деятельности. Если такая деятельность есть, то это не сложно. Для физлиц тоже нужно подтвердить законность получения средств. Здесь конечно могут быть сложности при больших суммах, но в целом опять же если все законно, то никаких проблем не будет.
Но у меня такое ощущение, что ваш материал для тех, кто ведет не совсем законную деятельность и вы даете советы, как сделать видимость, что все законно. Это плохая идея. Любой банк (при желании) легко выведет такого клиента на чистую воду и вынудит закрыть счета, т.к. проблемы по линии финмониторинга не нужны. Какие-то банки конечно могут закрывать глаза пока лицензию не отберут.
Как в прошлом сотрудник СБ банка, несколько лет сидевший в одном кабинете с сотрудником, занимающимся финмониторингом скажу, что в тексте много неточностей и даже присутствуют откровенно вредные советы.
Оформление без слез не взглянешь.
Часто пароли руководителей известны подчиненным, причем происходит это по желанию руководителя. Вот проблема, где надежность не спасет и какого-то вразумительного рецепта, против такой практики нет.
Ставить диагнозы "на дому" плохая идея, но хуже, когда эти часто надуманные болезни начинают лечить. А ведь хватает таких людей. Потом про некоторых отличившихся новости пишут.
Формально вы правы. На практике сначала выполняется определение уровня защищенности с составлением акта, где сразу указывается тип актуальных угроз для системы.
Согласно Методики моделирования угроз использование НДВ (угрозы 1 и 2 типов по ПП № 1119) - это способ реализации, доступный нарушителю с уровнем возможностей Н4 (спецслужбы иностранных государств). Поэтому обычно указывается, что актуальны угрозы 3-го типа, не связанные с наличием НДВ. После этого готовится модель угроз, в которой не должно быть противоречий этому заявлению.
1 и 2 типы должны видимо рассматриваться в системах с гостайной или близких к ней, т.е. для систем, для которых актуальными источниками угроз являются спецслужбы иностранных государств.
Пример. Я приехал в магазин за трубой, но нужной длины не оказалось. Купил более длинную, лишнее отрезал и выкинул. Но была альтернатива поехать в другой магазин. А вот если производили условных труб перестанут производить их разной длины, а будут штамповать только длинные. Им то все равно заплатят за всю длину, а что с ней дальше будет им без разницы и тогда альтернативы уже не будет.
А с транзисторами какая альтернатива?
Так это же плюс, а не минус, оптимизация.
Отчасти видимо так. Но изначально речь шла все-таки об устройствах, которые могут делать больше того, для чего используются фактически. Универсальность все-таки не совсем то и в где-то более, где-то менее, но эффективна.
В целом про ситуация. Можно поискать примеры, но особо смысла нет.
Мне кажется, что могут появится такого плана устройства, которые будут очень массовыми.
Именно поэтому во многом и появился этот комментарий)
Представьте, делается железка с производительностью на 10 функций, но в зависимости от того, куда ее запихнут или от оплаченной лицензии (не суть) будет выполнять меньшее количество функций. Такая практика с большой вероятностью может стать мейнстримом. С точки зрения разработчика такой железки это удобно. Покупатель все равно платит за всю железку + лицензию или внешний обвес. С точки зрения ресурсной базы и всем, что за эти тянется - беда.
Каждый год 31 декабря мы ходим баню.Каждые полгода должна быть статья про нерациональное использование ресурсов: https://habr.com/ru/post/596517/Сам не кодер, но в универе было программирование. Грустно конечно.
Это тянет за собой такое же нерациональное использование материалов, из которых сделано железо, а многие из них редки и стоят недешево. Следующим вагоном сюда идет нерациональное использование труда по обслуживанию всего этого добра (софт, железо, генерация и поставка энергии). Ужас.
Есть тенденции не только в компьютерной техники. Набирают популярность различные универсальные блоки, функционал которых зависит от модели (лицензии), но при этом с технической стороны абсолютно идентичные.
Главное, чтобы не было, как с автострахованием из-за автоюристов. Некоторые хитрозадые, а страдают все.
Учебное заведение должно дать понять, что учится нужно всегда и еще желательно научить учится наиболее эффективно. Тут как раз еще есть время, найти для себя оптимальные механизмы. Также дать базовые знания в профильных областях. Многое устаревает в процессе обучения и с этим ничего нельзя сделать.
На счет того, что кому-то там удалось пролезть без опыта. Без конкретики вообще не стоит на такие истории обращать внимания.
Вообще не понимаю, чего автор напрягается. В начале всегда тяжело. Тоже ИБ-образование и первые 3 года, скажем так, не пойми чем занимался.
Из каждого собеса надо делать выводы и расценивать, как опыт. И если молчат, лучше все-таки задать вопрос. Могу сказать, что с большой долей вероятности именно такой мой вопрос позволил напомнить о себе и в итоге взяли на работу после повторного собеседования.
Из практических советов. Смотря чем вы хотите заниматься в ИБ. Можете разобраться с настройкой конкретных средств защиты. Или изучить актуальное законодательство (ПД, КИИ сейчас очень актуально).
И админов видел, которые еще и безопасники по призванию.
В небольшом коллективе может быть такое, что «тон» задавать некому.
Хотя четкое следование НМД и ОРД уже много лучше, чем ничего.
И чтобы это делать призвание не нужно.
Там где, уже ИБ-подразделение, как правило, проблемы такой нет.
Полно тех, кто считает что RAIDа достаточно.
«ИБ-пофигизм»:
— вешать стикеры с паролями на монитор;
— проще сказать свой пароль, чем оформлять коллеге нужные доступы на время отпуска;
— нежелание понимать, почему не стоит использовать Интернет, флешки в нерабочих целях;
— со стороны админов не раз сталкивался с выдачей прав сильно шире, чем необходимо, вплоть до админских, чтобы пользователь сам «мог решить проблему» и т.д.
Люди, которые устраивались на работу после того, как стали действовать требования к ИБ, соблюдают их охотнее, чем те, при которых эти правила были введены.
Это же классика. Люди не хотят меняться. Они будут упорно биться за то, как привыкли. Столкнулся с этим на практике.
С ростом количества компаний, где ИБ работает в той или иной степени, следом растет количество людей, которые пришли и стали соблюдать, а не борются против нововведений, которые «только мешают». Постепенно ситуация будет улучшаться.
Хотелось бы, чтобы это произошло, как можно раньше, но то, что с чем сталкиваюсь говорит именно о тех, сроках, которые я обозначил.
Ну давайте так. На момент описанной ситуации мне было 30. Коллега немного старше, сейчас ему чуть за 40. В плане экономической безопасности он действительно профессионал. Страницы ВК у него своей нет. Есть фейковая для выполнения работы.
Вот и представьте, сколько он еще будет работать. И таких людей очень много.
В 2000-х в России массово только специальности по ИБ для «гражданки» в ВУЗах появляться стали. Ни о какой вменяемой ИБ в организациях и не слышали.
Не буду пытаться оценивать в процентах, но повторюсь, что даже сейчас полно мест, где ИБ расценивается как бесполезная трата средств (до беды).
«ИБ-пофигизм» везде и всюду, и масштабы его не имеют границ.
На предыдущей работе коллега, отвечающий за экономическую безопасность, игнорировал ИБ от слова совсем. При этом доступы у него были весьма существенные. Единственный аргумент, который работал, состоял в том, что я ему говорил, если будут какие-то последствия, то попадет мне, как ответственному за ИБ.
А еще каждый раз когда вспоминаю про «ИБ-пофигизм» на предприятии, связанном с оборонкой, волосы дыбом встают.
Вообще мой опыт подсказывает, что для снижения уровня «ИБ-пофигизма» нужно еще лет 10-20, пока банально произойдет смена на более адекватно понимающих возможные проблемы. «ИБ-пофигизма» много именно со стороны людей «старой закалки».
У нас в регионе в плане конкуренции с приходом яндекса все постепенно ухудшалось.
Не знаю, как в других регионах, но у нас уже в тот момент, когда в 2020 ФАС запретила яндексу покупку везет, этот самый везет был подконтролен яндексу.
Работало это так. На вызов через приложение везет приезжали машины яндекса. На вопрос водителям яндекс, приехавшим на вызов через везет, почему они приехали, отвечали, что им заказ пришел как обычно в яндекс. Т.е. или руками или еще как-то заказ перекидывался. Потом везет просто перестал работать. Тоже самое было с убер.
Была надежда на ситимобил. После захода (тоже в 2020) они демпинговали сильно, но потом примерно уровнялись с яндексом. А теперь закрылись.
Пока не заметил, что яндекс наглеет с ценами, но что будет дальше вопрос открытый.
В ответе говорится, что когда я заключал с ними договор, то согласился с тем, что они могут делать с моими ПД по сути все, что им вздумается (в том числе передавать третьим лицам) до тех пор, пока действует договор.
Ни по одному пункту данных, которые они обязаны предоставлять, в ответе информации нет, что ставит под сомнение их утверждение выше.
Кроме того, в том же запросе я отзывал у них согласие на любые действия с ПД, кроме непосредственно связанных с исполнением договора. Судя по ответу они это проигнорировали.
Вот если бы то, что уже указано в законах стало работать как надо был бы прорыв.
Написал недавно в РКН, что на запрос Сбер не предоставил данные в соответствии с 14 статьей 152-ФЗ.
РКН запрос переслал в прокуратуру Москвы (юр. адрес Сбера), а прокуратура в свою очередь переадресовала запрос Сберу, который мне прислал копию ответа, который я от него раньше получил. Круг замкнулся.
Смешно, что плакать хочется.
Я так понял, если нужно вывести миллион, вы предлагаете разбить действие на 5 операций. Дробление один из признаков подозрительных операций. Это вообще автоматом сотруднику финмониторинга подсветит и будет проверка.
Вообще самый простой способ при наличии вопросов от банков для организаций подтвердить реальность и законность ведения хозяйственной деятельности. Если такая деятельность есть, то это не сложно. Для физлиц тоже нужно подтвердить законность получения средств. Здесь конечно могут быть сложности при больших суммах, но в целом опять же если все законно, то никаких проблем не будет.
Но у меня такое ощущение, что ваш материал для тех, кто ведет не совсем законную деятельность и вы даете советы, как сделать видимость, что все законно. Это плохая идея. Любой банк (при желании) легко выведет такого клиента на чистую воду и вынудит закрыть счета, т.к. проблемы по линии финмониторинга не нужны. Какие-то банки конечно могут закрывать глаза пока лицензию не отберут.
Оформление без слез не взглянешь.
Часто пароли руководителей известны подчиненным, причем происходит это по желанию руководителя. Вот проблема, где надежность не спасет и какого-то вразумительного рецепта, против такой практики нет.
Ставить диагнозы "на дому" плохая идея, но хуже, когда эти часто надуманные болезни начинают лечить. А ведь хватает таких людей. Потом про некоторых отличившихся новости пишут.
Формально вы правы. На практике сначала выполняется определение уровня защищенности с составлением акта, где сразу указывается тип актуальных угроз для системы.
Согласно Методики моделирования угроз использование НДВ (угрозы 1 и 2 типов по ПП № 1119) - это способ реализации, доступный нарушителю с уровнем возможностей Н4 (спецслужбы иностранных государств). Поэтому обычно указывается, что актуальны угрозы 3-го типа, не связанные с наличием НДВ. После этого готовится модель угроз, в которой не должно быть противоречий этому заявлению.
1 и 2 типы должны видимо рассматриваться в системах с гостайной или близких к ней, т.е. для систем, для которых актуальными источниками угроз являются спецслужбы иностранных государств.