У вас такой запрос, что хоть заиндексируйся — прироста не будет. Из users вы дергаете примерно половину записей (предполагаю, что мужчин и женщин там поровну), а потом все это соединяете со своими 10 миллионами записей в calls.
Имхо, от такого исследования толку нет — в рабочей системе таким запросам явно не место. И начинающим программистам (для которых, как я понимаю, вы это все и делали) лучше дать совет использовать соединения там где они нужны, используя при этом правильные индексы и думать над тем, что реально выполняет их запрос.
Мне кажется, имело бы смысл, написать про возможные проблемы при использовании того или иного уровня изоляции транзакций: грязные чтения, неповторяющиеся чтения, etc.
Угу… Особыми… Они обратились в испытательную лабораторию, им проверили эти дистрибутивы, выдали на них сертификаты, а теперь альтэкс-софт делает деньги «из воздуха» (как и все фирмы, продающие «сертифицированное» ПО). Очень порадовал NOD — мы купили у них всего 1 дистрибутив и теперь можем ставить его на все машины. А альтэкс-софт хочет чтобы мы на каждую машину ставили отдельно купленный дистрибутив, при том что на большой части используется один и тот же дистр винды и корпоративные лицензии.
Если вы хотите свои 300 дистрибутивов не менять, можете обратиться в спец. испытательную лабораторию, их список есть на сайте ФСТЭКа (прямая ссылка на список: fstec.ru/_doc/labs/_labs.xls). Только встанет вопрос с обновлениями. При покупке в том самом альтекс-софте обновляться можно будет с их серверов, «сертифицированными» обновлениями.
Тут дело в том, что если вы не позционируете свою СУБД как средство защиты, то она не обязательно должна быть сертифицирована.
Т.е. на этапе составления угроз вы выбираете актуальные для вас угрозы и решаете какими средствами/методами вы будете их «закрывать». ФСТЭК говорит, что, в принципе, для небольшой компании обрабатывающей только ПДн сотрудников, можно «закрыться» исключительно организационными мерами (увы, не говорят как). Если вы пишете, что какую-то угрозу «закрываете» с помощью своей СУБД — то она должна быть сертифицирована ФСТЭК как средство СЗИ.
Имхо, тут лучше еще добавить ссылку на приказ трех, потому что класс системы зависит не только от «качества» обрабатываемых ПДн (категории самих данных), но и от их количества. Т.е., если в вашей организации работает 100500 человек и в вашей ИСПДн для них для всех считается зарплата — это будет ИСПДн класса К3, а не К2 (хотя сами ПДн относятся ко второй категории).
Для нас сейчас вопрос «Уведомлять-не уведомлять» весьма актуален. С одной стороны, по ч.2 статьи 22 152 ФЗ («2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;») уведомлять никого мы не обязаны, с другой — ведь правда могут проверять тех кто «не отметился»… Печально это все.
Имхо, от такого исследования толку нет — в рабочей системе таким запросам явно не место. И начинающим программистам (для которых, как я понимаю, вы это все и делали) лучше дать совет использовать соединения там где они нужны, используя при этом правильные индексы и думать над тем, что реально выполняет их запрос.
Если вы хотите свои 300 дистрибутивов не менять, можете обратиться в спец. испытательную лабораторию, их список есть на сайте ФСТЭКа (прямая ссылка на список: fstec.ru/_doc/labs/_labs.xls). Только встанет вопрос с обновлениями. При покупке в том самом альтекс-софте обновляться можно будет с их серверов, «сертифицированными» обновлениями.
Т.е. на этапе составления угроз вы выбираете актуальные для вас угрозы и решаете какими средствами/методами вы будете их «закрывать». ФСТЭК говорит, что, в принципе, для небольшой компании обрабатывающей только ПДн сотрудников, можно «закрыться» исключительно организационными мерами (увы, не говорят как). Если вы пишете, что какую-то угрозу «закрываете» с помощью своей СУБД — то она должна быть сертифицирована ФСТЭК как средство СЗИ.
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;») уведомлять никого мы не обязаны, с другой — ведь правда могут проверять тех кто «не отметился»… Печально это все.