Давно, но когда-то РКН ходил и просил, а его все посылали. Теперь они ничего не просят, а выставляют требование опираясь на законодательство. На мой взгляд, не без перегибов. Как-то мне один руководитель сказал, что если систему долго игнорировать или открыто слать, то она превращается в кувалду.
И действительно, такое много раз наблюдал, например, по линии СБ и ИБ... и знаете, это давало плоды: в 2022м не было масштабных сливов инфы, там, где безы лютовал или где с ними вели нормальный диалог.
Но вот организация локализации хранения персы - это не так сложно с точки зрения технического решения, сопровождать это на должном уровне - трындец. Поэтому я прекрасно пониманию, почему конторы артачатся.
По сути, что такое "пропаганда" - это распространение информации, если ты что-то публично упоминаешь, то технически ты распространяешь об этом информацию
Система ркн построена так, что они сами могут запостить противоправный контент, сами на него пожаловаться, а потом рассказывать какие они молодцы, что заблокировали сайт (и ещё пачку ресурсов, просто потому, что точечно не могут заблокировать). Под угрозой блокировки любой сайт, позволяющий оставлять сообщения, а если есть личные сообщения, то там уже террористы и т.п.
Обычная контрольная закупка, что не так? Вы никогда учения не проводили что ли? Но сам не сталкивался, народ говорил, что если специального фидбек адреса нет, то пишут на абуз-мыло, если через неделю ноль реакции, то в список, а там уже как раскатиться.
Надо вести активную просветительскую деятельность, но по личным наблюдениям она ведётся на некоторых радиостанциях и в общественном транспорте, что явно не достаточно. В той же школе урок разговоры о важном вполне может включать эту тему, причем в формате последних новостей о мошеннических схемах.
Какие Ваши предложения? Вопрос-то не к школам, вопрос-то глобальный, школоло копируют своих родителей еще и с хорошим инкрементом
Оно само вываливалось: проплаченное продвижение постов и прямая реклама, что на на fb, что на инсте (meta объявлена в РФ экстремистской организацией). Но влетели они после того, как Клегг сказал, что призывы о смерте российского мирняка - это норма. Правда, после как их забанили, несколько раз корректировал посты и еще куча всего сыпал в твитер.
Но сейчас им РКН может спокойно предъявить то, что они не хранят данные пользователей на территории РФ. Думаю, что теперь с РКН, просто посыпая голову пеплом, договориться не получится.
Чет Netflix нифига не пишет, почему он блокирует оплаченный доступ к своей библиотеке, просто, когда приезжаешь в РФ - видишь болт.
Да и многие компании прекратили доступ к своим библиотекам, где было куплено и где было обещано о доступе когда я захочу.
Или может быть расскажите о поведении oracle, sap, hp или может быть Dell, когда я с ноутом за полляма бегал по Москве в июле 2022 в поисках ремонта, а ноут новый и был куплен в декабре 2021.
Может и так, дело было шесть лет назад, но нитки действительно нам выделили отдельные. Но безы так же сказали, что при таком подходе: "шифрование на уровне оптики", - невозможно собрать трафик, так как на уровне физики идёт полная тарабарщина и необходимо знать как конфигурацию, так и ключи. Мы заявку завели, через неделю получили: "тестируйте".
Скрам от Васи - это вполне рабочая тема, особенно, учитывая то, что Scrum - это framework и конечную реализацию крутишь уже сам и/или вместе с командой.
Канбан с матом и пивом по пятницам - тоже рабочий вариант: сидишь такой в пятницу вечером, ковыряешь метри и материшься, так как всё по книжке, а пропусная способность нифига не увеличилась. И вот ты какую-нибудь тему придумал и истерически доказал, что у тебя всё попёрло. Описал вводные и результат, запатентовал 👍
не больше 12 человек в команде
Вообще-то подход two pizza team, там максимум 10, а лучше 8 или вообще 7. Но знаю примеры 25 - тяжело, но работало, да и виртуально команда была побита на 2,5 команды плюс отдельно девопсы и поддержка операционку гребла. Да и всё это было больше похоже на канбан с замесом cicd и релизами два раза в неделю.
стендапы максимум 15 минут
Бывает и больше, но, действительно, человеку сложно сохранять внимание больше 15-20 минут, на чем-то что его несильно интересует.
спринты от 1 до 4 недель
Спринт может быть и пять недель: что мешает? Это чисто истерическая тема, зависящая от множества факторов.
индустриальный стандарт
Не то что бы индустриальный стандарт, набор артефактов, наверное, всё таки... Опять же никто сходу не скажет, что конкретно вот при таких вводных нужно точно делать вот так и будет точно счастье. Опять же, народ уже почти двадцать лет хлебальники друг другу бьёт на тему: является ли Канбан-метод Agile или нет, с передической разборкой является ли он методом или всё-таки уже методологией )))
Всё сложно. Никогда не будьте столько категоричны, когда дело касается чего что основано на истерических наблюдениях.
Наземные операторы в оптоволокне тоже ничего не шифруют.
Вообще не всегда, помню аттестовывали одну систему и её компоненты требовали георезервирования, соответственно, минимум два разнесенных географически ЦОДа, причем ГОСушные VPN шлюзы не удовлетворяли требованиям по защите канала, пришлось "черное волокно", хз как это работает, но наши безы сказали, что это шифрование на физическом уровне оптики.
Ни разу не прочитал PMBOK от корки до корки, иногда, когда в тупике и бьёшься об стену, что-то поковыряешься в нём или в SAFe, переспишь пару ночей с мыслями разными, и друг начинаешь понимать, что бьёшь ты не об стену, а об столб... Ну, а со столбом уже попроще 😁
На любой финтех-продукт распространяются требования стандарта информационной безопасности PCI DSS
В корне неверное утверждение. В PCI DSS вляпываются только в случае, если у вас летают карточные данные, соответственно, если кусок инфры с этим не связан, то и тащить его в закрытый контур нет смысла.
Кстати, у вас же была дочка Деньги Мэйл, у них должны были быть построены процессы по ИБ, относящиеся к PCI DSS, если этого не было, то не понятно как вас банки-эквайеры подпустили к себе, не заставив навести порядок.
Кстати, обратите внимание на требования PCI DSS 4.0: там есть новые требования о том, что PAN при хранении нужно напрямую шифровать (с ротацией ключей хотя бы раз в год, не забываем перешифровывать) и его хеши нужно солить, соль ротировать. В архитектуре это прям сильно нужно учесть, если вы действительно хотите заниматься нормальной поддержкой всего этого и делать хоть какую-то внятную продуктовую аналитику и борьбу с фродом.
В остальной интересная борьба с легаси и миграция с железа на облако - проходили, было захватывающе.
Кстати, у вас в конюшне появился MAX, а он, как я понимаю, работает с ГИС'ами, если не самому придётся получать такой сертификат, может статься так, что придётся и ему какие-то куски заводить под PCI DSS (надо же его как-то будет монетизировать и архитектурно решили что-то в него впилить). Так вот главное помнить: стандарты ИБ PCI DSS и ГИС не полностью идентичны и нужно готовиться к каждой эпопеи раздельно.
Монолит: MVP, маленькая команда? О_о Вы когда нибудь видел как разворачивается инстанс того же шерпоинт, например, или SAP? Или другой тяжелый интерпрайс?
Согласен, что для обновления монолитных платформ частенька нужна некоторая сноровка и подготовка и на CI/CD их поставить проблема, хотя решаемо с костылями в процессах, хотя много раз видел, как костыли в процессах объявлялись практикой, когда лучше вариант придумать не получается.
Стала. У одной знакомой HR, девочки на ресерче идут разбирать почтовый ящик или отклики в качестве наказания, а рефералки - в качестве поощрения, потому KPI реально выполнить только по рефералкам, либо через коллег, которым тот или иной кандидат не подошёл и они им поделились
М-да, местами, на собесе приходится играть сначала в бизнес-аналитика, а потом и в системного. Как-то раз дошло до того, что убеждал HR и двух стримовых продуктов, что им конкретная позиция нафиг не нужна, точнее нужна только для преодоления конкретного возникшего кризиса.
Но у меня, слава Богу, в подавляющем большинстве случаев, когда приходит ресерчер и/или HR, то ребята понимают о чём говорят и что/кто им надо. Но когда сам откликаешься, то бывает начинается "веселье".
Тоже на люмии интерфейс нравился, жаль утопил мобилку :(
Давно, но когда-то РКН ходил и просил, а его все посылали. Теперь они ничего не просят, а выставляют требование опираясь на законодательство. На мой взгляд, не без перегибов. Как-то мне один руководитель сказал, что если систему долго игнорировать или открыто слать, то она превращается в кувалду.
И действительно, такое много раз наблюдал, например, по линии СБ и ИБ... и знаете, это давало плоды: в 2022м не было масштабных сливов инфы, там, где безы лютовал или где с ними вели нормальный диалог.
Но вот организация локализации хранения персы - это не так сложно с точки зрения технического решения, сопровождать это на должном уровне - трындец. Поэтому я прекрасно пониманию, почему конторы артачатся.
Я как-то готовился к подкасту и мне вот такой комментарий ребята скинули https://www.garant.ru/news/1533921/
По сути, что такое "пропаганда" - это распространение информации, если ты что-то публично упоминаешь, то технически ты распространяешь об этом информацию
Хабр общественная площадка с многомиллионной аудиторией, а не СМИ. При чем здесь СМИ?
Обычная контрольная закупка, что не так? Вы никогда учения не проводили что ли? Но сам не сталкивался, народ говорил, что если специального фидбек адреса нет, то пишут на абуз-мыло, если через неделю ноль реакции, то в список, а там уже как раскатиться.
Какие Ваши предложения? Вопрос-то не к школам, вопрос-то глобальный, школоло копируют своих родителей еще и с хорошим инкрементом
Оно само вываливалось: проплаченное продвижение постов и прямая реклама, что на на fb, что на инсте (meta объявлена в РФ экстремистской организацией). Но влетели они после того, как Клегг сказал, что призывы о смерте российского мирняка - это норма. Правда, после как их забанили, несколько раз корректировал посты и еще куча всего сыпал в твитер.
Но сейчас им РКН может спокойно предъявить то, что они не хранят данные пользователей на территории РФ. Думаю, что теперь с РКН, просто посыпая голову пеплом, договориться не получится.
Вряд ли, Сбер проиграл в этой войне с ЦБРФ
Чет Netflix нифига не пишет, почему он блокирует оплаченный доступ к своей библиотеке, просто, когда приезжаешь в РФ - видишь болт.
Да и многие компании прекратили доступ к своим библиотекам, где было куплено и где было обещано о доступе когда я захочу.
Или может быть расскажите о поведении oracle, sap, hp или может быть Dell, когда я с ноутом за полляма бегал по Москве в июле 2022 в поисках ремонта, а ноут новый и был куплен в декабре 2021.
На Североамериканском рынке карты с чипами до сих пор в диковинку, 15 лет скоро будет как эту тему качают.
Может и так, дело было шесть лет назад, но нитки действительно нам выделили отдельные. Но безы так же сказали, что при таком подходе: "шифрование на уровне оптики", - невозможно собрать трафик, так как на уровне физики идёт полная тарабарщина и необходимо знать как конфигурацию, так и ключи. Мы заявку завели, через неделю получили: "тестируйте".
Скрам от Васи - это вполне рабочая тема, особенно, учитывая то, что Scrum - это framework и конечную реализацию крутишь уже сам и/или вместе с командой.
Канбан с матом и пивом по пятницам - тоже рабочий вариант: сидишь такой в пятницу вечером, ковыряешь метри и материшься, так как всё по книжке, а пропусная способность нифига не увеличилась. И вот ты какую-нибудь тему придумал и истерически доказал, что у тебя всё попёрло. Описал вводные и результат, запатентовал 👍
Вообще-то подход two pizza team, там максимум 10, а лучше 8 или вообще 7. Но знаю примеры 25 - тяжело, но работало, да и виртуально команда была побита на 2,5 команды плюс отдельно девопсы и поддержка операционку гребла. Да и всё это было больше похоже на канбан с замесом cicd и релизами два раза в неделю.
Бывает и больше, но, действительно, человеку сложно сохранять внимание больше 15-20 минут, на чем-то что его несильно интересует.
Спринт может быть и пять недель: что мешает? Это чисто истерическая тема, зависящая от множества факторов.
Не то что бы индустриальный стандарт, набор артефактов, наверное, всё таки... Опять же никто сходу не скажет, что конкретно вот при таких вводных нужно точно делать вот так и будет точно счастье. Опять же, народ уже почти двадцать лет хлебальники друг другу бьёт на тему: является ли Канбан-метод Agile или нет, с передической разборкой является ли он методом или всё-таки уже методологией )))
Всё сложно. Никогда не будьте столько категоричны, когда дело касается чего что основано на истерических наблюдениях.
Вообще не всегда, помню аттестовывали одну систему и её компоненты требовали георезервирования, соответственно, минимум два разнесенных географически ЦОДа, причем ГОСушные VPN шлюзы не удовлетворяли требованиям по защите канала, пришлось "черное волокно", хз как это работает, но наши безы сказали, что это шифрование на физическом уровне оптики.
А так да - тебе надо ты и шифруй ))
Ни разу не прочитал PMBOK от корки до корки, иногда, когда в тупике и бьёшься об стену, что-то поковыряешься в нём или в SAFe, переспишь пару ночей с мыслями разными, и друг начинаешь понимать, что бьёшь ты не об стену, а об столб... Ну, а со столбом уже попроще 😁
В корне неверное утверждение. В PCI DSS вляпываются только в случае, если у вас летают карточные данные, соответственно, если кусок инфры с этим не связан, то и тащить его в закрытый контур нет смысла.
Кстати, у вас же была дочка Деньги Мэйл, у них должны были быть построены процессы по ИБ, относящиеся к PCI DSS, если этого не было, то не понятно как вас банки-эквайеры подпустили к себе, не заставив навести порядок.
Кстати, обратите внимание на требования PCI DSS 4.0: там есть новые требования о том, что PAN при хранении нужно напрямую шифровать (с ротацией ключей хотя бы раз в год, не забываем перешифровывать) и его хеши нужно солить, соль ротировать. В архитектуре это прям сильно нужно учесть, если вы действительно хотите заниматься нормальной поддержкой всего этого и делать хоть какую-то внятную продуктовую аналитику и борьбу с фродом.
В остальной интересная борьба с легаси и миграция с железа на облако - проходили, было захватывающе.
Кстати, у вас в конюшне появился MAX, а он, как я понимаю, работает с ГИС'ами, если не самому придётся получать такой сертификат, может статься так, что придётся и ему какие-то куски заводить под PCI DSS (надо же его как-то будет монетизировать и архитектурно решили что-то в него впилить). Так вот главное помнить: стандарты ИБ PCI DSS и ГИС не полностью идентичны и нужно готовиться к каждой эпопеи раздельно.
Монолит: MVP, маленькая команда? О_о Вы когда нибудь видел как разворачивается инстанс того же шерпоинт, например, или SAP? Или другой тяжелый интерпрайс?
Согласен, что для обновления монолитных платформ частенька нужна некоторая сноровка и подготовка и на CI/CD их поставить проблема, хотя решаемо с костылями в процессах, хотя много раз видел, как костыли в процессах объявлялись практикой, когда лучше вариант придумать не получается.
Риск: несовместимость двух систем - это пять, просто. В смысле, всю проектную команду на мороз, ибо нафиг вы там вообще собрались
Понравилось )) прям удовольствие получил.
Спасибо
Стала. У одной знакомой HR, девочки на ресерче идут разбирать почтовый ящик или отклики в качестве наказания, а рефералки - в качестве поощрения, потому KPI реально выполнить только по рефералкам, либо через коллег, которым тот или иной кандидат не подошёл и они им поделились
М-да, местами, на собесе приходится играть сначала в бизнес-аналитика, а потом и в системного. Как-то раз дошло до того, что убеждал HR и двух стримовых продуктов, что им конкретная позиция нафиг не нужна, точнее нужна только для преодоления конкретного возникшего кризиса.
Но у меня, слава Богу, в подавляющем большинстве случаев, когда приходит ресерчер и/или HR, то ребята понимают о чём говорят и что/кто им надо. Но когда сам откликаешься, то бывает начинается "веселье".