При переходе по ссылке предлагается не скачать полный отчёт, а передать свои ПДн, поставив галку в согласии на обработку ПНд, но ознакомившись не с политикой обработки ПДн, а правилами рекламных рассылок мне. Я конечно же этого делать не буду (хотя tempmail и фиктивные данные принимаются).
В статье хотя бы вкратце можно было написать, приложения каких ОС проверялись и каким методом. Одни голые цифры.
Это "неправильные" безопасники, только бумажные. Поверьте, таких становится всё меньше. Не всем нужны оценки соответствия, аттестации и сертификации, но, к сожалению, в последнее время всё больше гайки закручивают.
Доступ к данным продуктива для обучения ML больше должен интересовать владельца данных и юристов, надеюсь, что у Вас безопасникина основе их решения ограничивают, а не для того, чтобы показать собственную значимость.
Хотят, чтобы работали в понятных системах, потому что лень разбираться в новых (хотя по первому предложению их скорее всего формальными бумажками завалили и времени нет).
Это Вы описали свои мечты, как должно быть? Вангую, что на третьем шаге любой более-менее ценящий себя разработчик будет бежать от такой госухи. Ну или у Вас очень спецефические продукты, где очень узко-направленные разработчики.
Тем куча, нарисовать можно всё что для граза приятно.
А вот функцилнальность не развивается (хотя можеь это просто здесь консерватизм приветствуется). Например нет динамических рабочих столов (когда не задаешь в настройках определенное количество, а можно в процессе запуска новой программы сразу перекинуть её на новый сразу же созданный рабочий стол).
Там самое главное церемония. И интересно как к реальной защите данных относятся специалисты с лицензтей ТЗКИ (не исключаю, что из их составе есть действительно хорошие специалисты)
Понятно, что статья ради того, чтобы записались на курс. Но зачем все скрипты в виде картинок не лучшего качества публиковать (может конечно стал хуже видеть :)
И скрипт нужно немного подправить
#!/bin/bash
# Creating a script that adds a new user on a local system.
# A username must be supplied as an argument to the script.
# Optionally, provide a comment for the account as an argument.
# A password will be automatically generated for the account.
# The username, password, and host for the account will be displayed.
# Make sure the script is being executed with superuser privileges.
if [[ "${UID}" -ne 0 ]]
then
echo 'Please run with sudo or as root.'
exit 1
fi
# If they don't supply at least one argument, then give them help.
if [[ "${#}" -lt 1 ]]
then
echo "Usage: ${0} USER_NAME [COMMENT]..."
echo 'Create an account on the local system with the name of USER_NAME and comment field of COMMENT.'
exit 1
fi
# The first parameter is the user name
USER_NAME="${1}"
# The rest of the parameters are for the account comments.
shift
COMMENT="${@}"
# Generate a password
PASSWORD=$(date +%s%N | sha256sum | head -c48)
# Create the account.
useradd -c "${COMMENT}" -m ${USER_NAME}
# Check to see if the useradd command succeeded
# We don't want to tell the user that an account was created when it hasn't been.
if [[ "${?}" -ne 0 ]]
then
echo 'The account could not be created.'
exit 1
fi
# Set the password
echo ${PASSWORD} | passwd --stdin ${USER_NAME}
# Check to see if the passwd command succeeded.
if [[ "${?}" -ne 0 ]]
then
echo 'The password for the account could not be set.'
exit 1
fi
# Force password change on first login.
passwd -e ${USER_NAME}
# Display the username, password, and the host where the user was created.
echo
echo 'username:'
echo "${USER_NAME}"
echo
echo 'password:'
echo "${PASSWORD}"
echo
Смог осилить текст. Много таких есть подразделений по ИБ. Руководитель из бывших погон. Набирает к себе своих сослуживцев, которые после выхода на раннюю пенсию на гражданке не смогли себя найти. Почти полностью подразделение становится бумажниками. А по факту работает один сотруник, или не служивший или младший по званию.
Я конечно понимаю, что авторы статей не вникают и быстрее быстрее стараются опубликовать текст, чтобы быть первыми. Но давайте не перемешивать термины:
Аттестация информационных систем
Сертификация программного обеспечения
Лицензия на виды деятельности (например, деятельность по разработке и производству средств защиты информации - по безопасной разработке пока не регламентировано)
Ну а что конкретно хотели донести авторы статьи знают только они :)
Никто закладок не боялся, приказали убегать потому, что нужно как-то кормить отечественных разработчиков ОС. А то, что они просто названия меняют в пакетах, не редко нарушая лицензиии и никаких проверок не проводят, пренебрегают.
Зависит от того, насколько заказчик смог составить (вычитать) ТЗ исполнителю. Вот и получается, что интегратор выпускает пачку шаблонных документов, только изменяя названия заказчика. Заказчик считает, что обложен этими бумажками и ничего больше делать не нужно.
Риски в банке бывают разными. Например не могу припомнить, когда при сработавшем риске утечки персональных данных сотрудников этого банка всем необходимо было искать работу.
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..
Спасибо, отчёт скачал. А учитывалось ли, что несмотря на то, что приложения запрашивают права не всегда при установке их предоставляют?
Ссылку на политику наверное не ту вставили просто по ошибке, когда форму верстали :)
А зачем вообще сейчас нужен GRUB, Lilo... когда одна ОС установлена (например, на сервере)?
Утекли итоги обработки (сомневаюсь) даннвх, собранных из открытых источников
При переходе по ссылке предлагается не скачать полный отчёт, а передать свои ПДн, поставив галку в согласии на обработку ПНд, но ознакомившись не с политикой обработки ПДн, а правилами рекламных рассылок мне. Я конечно же этого делать не буду (хотя tempmail и фиктивные данные принимаются).
В статье хотя бы вкратце можно было написать, приложения каких ОС проверялись и каким методом. Одни голые цифры.
У каждого свой путь, но все они схожи
https://www.digitalocean.com/community/tutorials/how-to-harden-linux-security
https://www.linode.com/docs/guides/securing-your-server/
https://www.cyberciti.biz/tips/linux-hardening-checklist.html
https://www.linux.com/training-tutorials/hardening-linux-server/
https://www.tecmint.com/linux-server-hardening-security-tips/
https://www.howtoforge.com/linux_server_hardening
https://www.linuxsecurity.com/resource_files/whitepapers/linux-server-hardening-checklist.pdf
https://www.linux.com/news/hardening-linux-server-part-1
https://www.linux.com/news/hardening-linux-server-part-2
https://www.linux.com/news/hardening-linux-server-part-3
https://www.linux.com/news/hardening-linux-server-part-4
https://www.linux.com/news/hardening-linux-server-part-5
https://www.linux.com/news/hardening-linux-server-part-6
https://www.linux.com/news/hardening-linux-server-part-7
https://www.linux.com/news/hardening-linux-server-part-8
https://www.linux.com/news/hardening-linux-server-part-9
https://www.linux.com/news/hardening-linux-server-part-10
https://www.linux.com/news/hardening-linux-server-part-11
https://www.linux.com/news/hardening-linux-server-part-12
https://www.linux.com/news/hardening-linux-server-part-13
..ю
Это "неправильные" безопасники, только бумажные. Поверьте, таких становится всё меньше. Не всем нужны оценки соответствия, аттестации и сертификации, но, к сожалению, в последнее время всё больше гайки закручивают.
Доступ к данным продуктива для обучения ML больше должен интересовать владельца данных и юристов, надеюсь, что у Вас безопасникина основе их решения ограничивают, а не для того, чтобы показать собственную значимость.
Хотят, чтобы работали в понятных системах, потому что лень разбираться в новых (хотя по первому предложению их скорее всего формальными бумажками завалили и времени нет).
Главное вовремя выявить и признаться самому себе, что что-то не то
Это Вы описали свои мечты, как должно быть? Вангую, что на третьем шаге любой более-менее ценящий себя разработчик будет бежать от такой госухи. Ну или у Вас очень спецефические продукты, где очень узко-направленные разработчики.
Есть личный номер телефона, есть служебный. Так же и с почтой.
Ну не все... ну в части публикации инструкций по обходу блокировок например...
Тем куча, нарисовать можно всё что для граза приятно.
А вот функцилнальность не развивается (хотя можеь это просто здесь консерватизм приветствуется). Например нет динамических рабочих столов (когда не задаешь в настройках определенное количество, а можно в процессе запуска новой программы сразу перекинуть её на новый сразу же созданный рабочий стол).
Там самое главное церемония. И интересно как к реальной защите данных относятся специалисты с лицензтей ТЗКИ (не исключаю, что из их составе есть действительно хорошие специалисты)
Понятно, что статья ради того, чтобы записались на курс. Но зачем все скрипты в виде картинок не лучшего качества публиковать (может конечно стал хуже видеть :)
И скрипт нужно немного подправить
Смог осилить текст. Много таких есть подразделений по ИБ. Руководитель из бывших погон. Набирает к себе своих сослуживцев, которые после выхода на раннюю пенсию на гражданке не смогли себя найти. Почти полностью подразделение становится бумажниками. А по факту работает один сотруник, или не служивший или младший по званию.
Я конечно понимаю, что авторы статей не вникают и быстрее быстрее стараются опубликовать текст, чтобы быть первыми. Но давайте не перемешивать термины:
Аттестация информационных систем
Сертификация программного обеспечения
Лицензия на виды деятельности (например, деятельность по разработке и производству средств защиты информации - по безопасной разработке пока не регламентировано)
Ну а что конкретно хотели донести авторы статьи знают только они :)
Никто закладок не боялся, приказали убегать потому, что нужно как-то кормить отечественных разработчиков ОС. А то, что они просто названия меняют в пакетах, не редко нарушая лицензиии и никаких проверок не проводят, пренебрегают.
Тут смешалось. В первоисточнике ничего нет про аттестацию систем, только про сертификацию средств.
Зависит от того, насколько заказчик смог составить (вычитать) ТЗ исполнителю. Вот и получается, что интегратор выпускает пачку шаблонных документов, только изменяя названия заказчика. Заказчик считает, что обложен этими бумажками и ничего больше делать не нужно.
Риски в банке бывают разными. Например не могу припомнить, когда при сработавшем риске утечки персональных данных сотрудников этого банка всем необходимо было искать работу.
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..