Обновить
4
Шамин Александр@nmouse

Пользователь

0,3
Рейтинг
2
Подписчики
Отправить сообщение

У меня вопрос исключительно методологический. ИБ работает так, как работает. Каждый случай взаимодействия с ними на моей практике уникален, есть случае, когда они реально говорят "НЕТ", что я и не поддерживаю так-как считаю, что их задача принять меры и обезопасить, то решение, которое озвучили. Как минимум учувствовать в проработке подходящего решения, а не просто вырубать любые доступы.

Ну у меня был случай, когда мне нужно было готовить платежный шлюз к PCI DSS, а у местного ИБ нет такой темы в регламентах: поругались-поскакали-эскалировали. В итоге, вместе сели регламент пилить для организации в параллель с подготовкой, я используя свой предыдущий опыт банках, они свой опыт по защите ПДн и тайны связи. Но тут бизнес был заинтересован отжиматься, и да я работал в подрядчике-вендоре.

Также знаю и встречал случае, где мнения ИБ вообще никого не волнует. Опыт взаимодействия с ИБ имеется.

Я таких тоже знаю и сразу вываливаются ситуации со СДЭК, Яндекс-Едой, М-Видео, Спортмастер. Сейчас ИБ проще делает: пишут специальную бумажечку с отказом от ответственности, если их требования игнорируют. А потом, если что-то вдруг происходит: увозят не ИБшника, а конкретное лицо, которое нарушело. Как-то было такое: сидим работаем, слышим за дверью кабинета шум-гам-суета, выглядываем, а там маски-шоу тащат кого-то уже по коридору. Потом новенькая тачка этого челика года три возле офиса опечатанная стояла-пылилась.

ИБ специалистов можно можно как сервис организовать, если своих нет или свободных нет, то можно привлечь на почасовой основе. Даже бигтехи так делают, например, тот же ИБ или специалистов по СУБД внешних привлекают. Не надо стесняться того, что экспертиза внутри недоступна и запросить помощь из вне. Я и сам консультировал ребят несколько раз, например, есть идея устроить ран и нужно по-быстрому прикинуть во что это станется и через сколько инвестиции отобьются. Или на стриме всегда продуктовый подход, но тут нарисовался контракт, который сейчас и в перспективе позволит поднять прилично бабла, но для этого нужно перейти на водопад и точно исполнить контракт, а потом вернуться обратно к продуктовым гибким способам достижения целей.

Понятно. Первый кто покидает корабль при виде воды не разобравшись: точно пробоина или прохудилась труба на кухне с питьевой водой. Не осуждаю, но такой подход не уважаю.

Тогда не понимаю: зачем Вам ответы на данные вопросы, если Вы всё равно сольётесь в непонятной/подозрительной ситуации? :) Пусть разбираются те кто остался ;)

По моему опыту, личной инициативой и благомини намереньями вымощена дорога к тому самому шкафу, где у рукпроекта хранятся те самые скелеты его неуспешных проектов, поверьте, у меня, за больше чем десяток лет, целое шубохранилище (я правда туда же закидываю успешные проекты, у которых первоначальный виден поменялся, но цели, сроки и бюджет сохранились).

Всегда должен быть business needed, если его нет, то и ничего не будет сделано, либо будет сделано "в стол". Хотя бывало и такое, что из стола доставали через какое-то время, адаптировали и внедряли )))

У меня опыт не только внутри, но с партнёрами и в вендорах. Соглашусь, к вендорам, часто, ИБ относится как к известной субстанции и даже не стесняются об этом говорить прямо 😁 но тут уже вопрос к спонсорам на стороне заказчика

Долгое время был частенько с ИБ на ножах (персоналка, PCI DSS, банковская тайна, тайна связи. ГИС - это всё с чем работаю, обычно). Но как-то попал в одного телеком провайдера и как-то с ребятами притерлись и нормально сотрудничали, да местами искрило, но был диалог, а не посылания и эскалации.

С тех пор сразу диалог с ИБ:

1) Что хотим сделать, зачем хотим сделать, как хотим сделать, можно насыпать какие бенифиты могут быть для ИБ, если они есть;

2) Если отказ, то прошу примеры векторов атаки => идем прорабатываем концепт, с учётом защиты от указанных векторов. Часто так получалось, что ИБ само давало подсказки в виде каких-нибудь статей

3) Приходим повторно с доработанными предложениями.

4) ИБшники (во множественном числе не просто так, у них бывает много направлений) предлагают докрутки объясняют зачем и почему, плюс у себя какие-то докрутки.

5) Идём считаем во сколько это всё встрянет и сравниваем с планируемым профитом. Если перевешивает профит - идём и делаем.

Пункты 2, 3, 4, обычно, выполняются в цикле, пока, не придете к одному или нескольким вариантам.

Наверное, стоит рассмотреть отдельно, если в организации теоретически есть СС или гостайна, там бесполезно. Сам не сталкивался, но опосредственно наблюдал: "заваривают" так, что проще и дешевле еще раз читануть регламент или местный стандарт ИБ, а потом забить болт

Ну как это не осталось? Осталась конкуренция, только, на знаю хорошо или плохо, у нас это всё под ковром идёт и что-то иногда вываливается наружу из каких-нибудь комитетов Госдумы.

Там же в открытую лобисты (что является, по сути, законодательно узаконенным взяточниством) долбятся за госконтракты и лобирование интересов корпораций на международном уровне.

Даже сейчас последняя шумиха вокруг AI и спутникового интернет оказалась в итоге вокруг военки и разведсообщества ))

Есть такие две компании: Electronic Arts и Disney... я промолчу про Microsoft... вроде бы они не имеют русских, или если хотите российских корней, но какие у них огромные кладбища, кладбищА... Купленных когда-то (или взятых под крыло) компаний, проектов и франшиз... Сейчас, если заглянуть в новостную повестку по теме xbox или Sony Entertainment, то можно увидеть за последние полгода такую драму, что наша, как Вы выразились "чеболизации/кейрэцузации" - это какая-то сельская дискотека, где одни отстаивают употребление гудухи, а другие водяры )))

Мы как-то в одном банке решали задачу проброса сквозного идентификатора через весь платежный тракт (авторизация, клиринг и обогащение отчетности). Всё бы ничего, но по одному виду платежного инструмента нужно было бросать через платёжную систему на нашего же эмитента, а там, как известно, "привет" эмитенту не прокинешь. Намучались с платежками, тогда их было больше одной, но в итоге пришлось всё равно костылить.

Вы же зачем-то написали )))

Системдизайн интересное, на мой взгляд, движение и я периодически какой-нибудь кейс, например, у Саша Поломодова возьму да почитаю (хотя я Рукпроекта уже много лет и в техничку мне нечасто надо). Но всё я его рассматриваю больше как кукибук, который возвели в обязательность, что в свою очередь привело к обычной проблеме: народ боится спорить с the best practices, причем срабатывает это на уровне подсознания и приходится, иногда, народ месяцами качать, чтобы ребята решились более творчески посмотреть на задачу.

Есть такая беда, пруфами делиться не получится, ибо NDA. Года два с половиной назад столкнулся на одной программе проектов с похожей ситуацией: НТ есть, но практикуется от случая к случаю, когда что-то сложное корячит команда, что может повлиять на производительность. Bare metal'ы добавлять в прод - дорого, да и уже пошли в запросах тачки с 4 ТБ оперативы (которые, в общем-то делают HP и Dell и сильно в штучном виде).

Придумали выход: перепиливать архитектуру высоконагруженных платформ, чтобы их затаскивать на XaaS'ы и максимально размазывать горизонтально. Чтобы доказывать, что это всё заведется нужна была прям методология НТ для каждой системы, чтобы четкая была доказательная база, а не "вроде норм", особенно с учетом что реферальное железо на тестовый стенд закинуть один в один с продом - задача была почти нерешаемая.

Сходили в компании к своим НТшникам - описать не могу NDA, но всё как обычно в общем-то, да и они больше специализировались на фронт системах, а у нас "глубокий бэк". Пошли искать на рынок, и действительно: на рынке прям упоротых НТ не то чтобы много. Надыбали одного, прям топчик и в бумаги с цифрами умеет. Плюс некоторые ребята в НТ что-то могли, но нормально теоретизировать на цифрах и бумаге не было опыта.

Поняли, что с нашим зоопарком мы так будем ехать медленно и долго. Ну и решили организовать High-Load Club - с мотивацией, обилками и другими ништяками. Народ пошел и как-то веселее стало ))

Я в такие оптимизации еще в 2009м играл, тогда мы транзакционную платформу со 100тпс входящих финансовых транзакций раскачали так, что больше 90% запросов летели в кеш у СУБД, которой была MS SQL 2000, правда, Enterprise версия, но без включения кластеризации. И никаких микросервисов, но модульная архитектура :)

Вопрос: Что произошло за пятнадцать лет, что разработчики стали больше думать не о том, как правильно спроектировать и разработать систему, а о том как модно-современно?

Кстати, а конфигом не могли бы поделиться железки под Тарантул? А то у меня были проекты с несколькими командами, которые на него залазили, так у одной в требованиях значился bare metal с 4ТБ оперативы, а всего таких нужно было 3 из-за георезервирования.

Всё равно не домотали :) по крайней мере, в моём представлении.

С последствиями войны я столкнулся впервые в начале 90х, когда хлынули беженцы из Таджикистана и с Кавказа. Про кавказцев ничего сказать не могу - они приехали-осмотрелись-уехали, а с двумя детьми из Таджикистана я учился в одном классе - было сильно видно, что семья не сильно богато живёт.

А про санкции я слышал еще в 1998, когда в больнице лежал: отец одного из пациентов отшутился, что головняка прибавилась, так как кто-то с ними расчитался по бартеру из-за того, что компания находится под санкциями. А папа у него где-то в тульском КБ работал

А чего Вы так промотали-то, почти к финалу? Вернитесь 2014й, может в 2008й... А лучше в 1994й.

В другую страну поехать, мда... А я помню девяностые и начало нулевых. Помню соседей, у которых никогда не было мяса или рыба только пойманная самими в реке, я помню, как я всё лето фигачил на 30 сотках, чтобы вырастить картофель и что-то ещё, чтобы было самим что есть и кормить скотину...

Языковые школы, блин, я помню как у меня раза три за лето слезала кожа от загара... И загар начинал светлеть только ближе к апрелю следующего года.

Ездили друг к другу в разные страны? я помню людей в своём посёлке, из них, наверное, процентов 90% из тех кто родился в конце 80х, никогда не были в областном центре до середины нулевых, а если и были, то по делам военкоматным или казённым.

Смешной вы, если честно :)

Зы. Процессинги эквайринговые и эмитентские я тоже реализовывал, терминальное оборудование ресертифицировал в платежках и новые платежные системы вкорячивал в эквайринг отдельных банков. С банкоматами так же ковырялся, но больше по расчетной части. Так что с опытом по кАрткам не вы один на Хабре ;)

Если честно, то никогда не слышал о картах на физических носителях платежной системы Золотая корона, хотя платежами и эмиссией с банковскими картами ковыряюсь с 2011 года.

Попробовал погуглить, но ничего не нашел на эту тему.

А с Короной я работал немного по линии c2c и c2a/а2с... И костыли помню с виртуальными картами, которые изначально были.

А то что у вас было какое-то решение, описание которого я сейчас даже нагугли не могу, но что же у многих банков были и есть свои локальные решения... Тот же pro100 от Сбера явно был более популярен и внутри МКАДа.

А как принимали решение - я тут ничего сказать не могу - я свечку не держал

/// информацию нашел по платику Короны в архивах интернета за 2005 и 2012 годы, но объём эмиссии всё равно не понятен

Действительно, во времена повсеместного распространения Google Wave наследников, типа slack, ползанье по личкам и кидание скриншотов из уютной тележечки - как-то несерьезно выглядит 🤔 может автор гиперболлировал случай, когда PM всю дорогу был на нейрале, или проект катился самокатом. Такое бывает даже в перечисленных автором конторах 🤗 в прошлом году точно знаю что бывало

Смешной Вы человек, как будто за печкой провели последние несколько лет :) но, судя по вашим статьям, fintech - не Ваш домен, но если кратко, то Visa и MC сами свалили. До сих пор помню тот вечер, когда я сначала увидел новости, а потом уже уведомление для партнеров... А потом как мы полгода переставали процессы автоматизации в банке, кстати, ребята активно шли на обсуждение и реализацию необходимого функционала - огромная благодарность команде Диспут+ и причастным, а то ещё пару месяцев "на руках", и мы точно бы сдохли... Причём физически.

Если говорить о других платёжках, то их всех сдуло с рынка, так как НСПК под санкции заехал и далеко не все захотели подставляться. А так я помню, как в Турции Мир нормально работал, а потом перестал 😁

А я помню лето 2014, и как мы в панике наводили межхосты, сразу после того как Visa и MC хлопнули два банка.

Спасибо за статью, немного всплакнул вспоминая свои почти 15 лет в финтехе, из которых 12 - это карточный бизнес :)

1
23 ...

Информация

В рейтинге
2 864-й
Откуда
Москва, Москва и Московская обл., Россия
Дата рождения
Зарегистрирован
Активность

Специализация

Менеджер проекта
Ведущий