информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Менты и Управление "Р" - немного размышлений... 21.05.02 03:40  Число просмотров: 3881
Автор: bdy Статус: Незарегистрированный пользователь
<"чистая" ссылка>
[Часть вторая, она же последняя ;)]

>> дело не сводится к "быстренько решил сиюминутную проблемку,
>> получил деньги, попрощался", то почему бы не потратить
>> толику времени на повышение производительности собственного
>> труда? IMNSHO, нынешние виндовсы NT-вого разлива, при всех
>> своих недостатках, в этом плане не хуже коммерческих унихов
>> 8-10-летней давности ...

> ну-ну. вот именно о производительности труда я и забочусь. я
> предпочитаю не вытачивать детали из самостоятельно отлитых
> заготовок ;) а использовать "конструктор",
> составные части которого сделаны профессионалами и прошли
> независимую проверку.

;) В общих словах наши предпочтения почти совпадают (мне все равно, кем сделано -- профессионалами или любителями, лишь бы их квалификация в нужной мне области была достаточно высока). Только вот если SN и можно назвать "конструктором", то лишь в самом первом приближении. Ну и насчет "независимой" "проверки" -- давай не будем смешить тапочки ;-\

>> > кроме того, ты стоимость такого решения прикинул?
>>
>> Мне такие прикидки приходится делать регулярно. И потом
>> озвучивать их клиентам.

> я себе представляю: "не, нафиг вам нормальное средство защиты от НСД
> за $300, я вам за $20 на коленке из скриптов рулез соберу не хуже!"

По себе судишь? ;-\

Нет, разговор был примерно (по памяти) такой: "Во-первых, то, что они предлагают, нужного уровня защиты обеспечить не в состоянии (вот обзор основных аспектов), в отличие от нашей системы. Во-вторых, ну вы же взрослые люди, подумайте сами: с чего бы это вдруг ФСБ(**) так озаботилось вашей защитой (да еще и просит, в общем-то, смешные деньги), а?"
(**) Именно оттуда этот SN и пытались втереть. Наверное, из большой и чистой любви к продукту совсем такой неаффилированной частной фирмы ;)

> знаешь, сколько мне приходилось возить фейзом по клавиатуре
> разработчиков доморощенных защит системы "рулез немерянный,
> самособранный"?

Знаешь, сколько мне приходилось возить фейсом по клавиатуре тупорылых коекакеров из "солидных организаций" (особенно бывших "ящиков"), которым бамажки и чрезмерно раздутое ЧСВ заменяли мозги / желание работать?

> даже если ты умнее и образованее каждого отдельно взятого
> разработчика SN,
> я не поверю, что твои разработанные за несколько дней скрипты и
> примочки будут лучше,

Я в свою очередь позволю себе усомниться в том, что твои настройки, произведенные врукопашную через редактирование конфигурации (заведомо ограниченной), окажутся лучше моих, произведенных по классической технологии (использованием скриптов, и т.п.).

> чем результат многолетнего труда коллектива разработчиков, после его
> экспертизы другим коллективом.

Это не аргумент. Вот тот же виндовс в ходе многолетнего тупорыльства тьмы его разработчиков лишь относительно недавно дорос (по совокупности, и то небесспорно) до уровня явно устаревших унихов.
И собственноручно* приготовленный шашлычок скорее всего окажется намного лучше, чем разогретая продукция какого-нибудь комбината ("результат многолетнего труда разработчиков") по производству свежемороженных полуфабрикатов, несмотря на наличие у последнего лицензии, сертификатов, положительных заключений всевозможных инспекций, совершенно не мешающих таковым выпускать втч откровенно вредные для здоровья продукты.

* Что не означает самостоятельного изготовления всех исходных продуктов и инструментария, придумывания всякий раз своих, абсолютно оригинальных, рецептов и т.п.

>> > его надо продумать,
>> Точно. Как и любое другое. И полагаться в этом
>> ответственном деле на всякие там информзащиты -- глупо.

> а на никому неизвестных кулибиных, пишущих скрипты на коленке?

Не надо по себе судить о других. Я "на коленке" не пишу, и в своем регионе достаточно известен.

>> > сделать, настроить, документировать -
>>
>> SN не надо настраивать? Произведенную конфигурацию
>> документировать? И чем написание скриптов хуже поиска
>> нужной функциональности (зачастую безуспешного) в таких вот
>> монолитных монстрах? Речь ведь не о том, чтобы "взять и

> насчет монолитности - см. выше насчет "конструктора".

Аналогично.

> документировать, естесвенно, проще SN, чем тучу скриптов.

Ну это смотря что за скрипты, и кто их писал. У тебя это, видимо, не слишком хорошо получается ... ;)
С обьективной же точки зрения, функционально ограниченные системы навроде SN вынуждают извращаться / идти на серьезные компромиссы. По меньшей мере в первом случае документирование сложнее, чем при использовании прямых путей.

> искать нужную функциональность не нужно, ее нужно знать.

О ней нужно сначала прочитать в документации. Потом найти (=спозиционироваться) и использовать. Если нужной функциональности в нужном виде нет, приходится изобретать выходы из положения, которые нередко сводятся к все той же необходимости писать что-то свое либо к "походу в булочную через Северный полюс".

> а вот в скриптах ее придется создавать...

В скриптах: нужные знания, в силу бОльшей общности,ужев голове настраивающего (мы ведь работуспециалистарассматриваем, верно?). Если нужная в выбранных инструментах функциональность есть, и "лежит на поверхности", скрипты, разумеется, не нужны. Если не на поверхности, зачастую набрать пару команд быстрее, проще, и куда правильнее с точки зрения дальнейшего сопровождения, чем выкапывать ее из не лучшим образом [в этом аспекте] сделанного продукта. Если ее нет, да, она создается, что нередко проще (по меньшей мере в долгосрочной перспективе), чем попытки остаться в навязанных рамках при помощи каких-нибудь трюков и обходных путей.

>> написать все с нуля", но о добавлении к готовым базовым
>> модулям специфичных для данного конкретного случая мелочей.
>> То, что напихано "до кучи" в SN, один черт в половине
>> случаев в том их виде непригодно или недостаточно.

> ну так и не используй не нужное ;)

Ну так и не использую. Совсем. Ибо ту малость, которая бы еще пригодилась, проблематично отделить от откровенной халтуры. Не лучше бы было сконцентрироваться на меньшем количестве фич, но сделать их хорошо?
В любом случае такой дизайн не делает чести разработчикам, потому как затрудняет использование и оставляет больше места для потенциальных эксплойтов.

>> > специалист, который может это сделать стоит больших
>> денег.
>>
>> И которой по-любому нужен для обеспечения безопасности
>> уровня "high".
>> А для уровня "нехай" нет смысла тратиться на сей
>> навороченный "усилитель атрибутов Hidden и Read-Only".

> а, ну так и не сравнивай мухрайку для скрывания порнокартинок от
> коллег с нормальной ситсемой разграничения доступа.

Это SN-то "нормальная система разграничения доступа", при том что ее уровень -- это уровень навороченного (в большинстве своем без особой пользы) "усилителя атрибутов"? LOL ;-\

> тебя никто не заставляет ставить дома SN

Хорошо хоть пока не заставляют ...

> или на систему, в которой информация стоит $1 :))

Для большинства систем, в которых информация стоит дороже, ставить SN, по большому счету, преступление. Для прочих (крайне простых, при всей важности информации) -- оверкилл.

>> Хотя, может, магическое слово "сертификат" и отпугнет пару
>> малолеток, верующих в искренность намерений государства
>> защитить таким образом неквалифицированных пользователей от
>> некачественных продуктов ;-\

> молодой человек, "сертификат" нужен не для отпугивания малолеток, это
> так, jfyi :)

Безусловно -- не только для отпугивания малолеток, и даже не в первую очередь. Но в ряде случаев его используют именно для этого, так что некоторое преимущество перед честными "мухрайками" SN таки имеет ;)

>> > а если он задумает уйти?
>>
>> То он оставит после себя документацию. И, как приличный
>> человек, перед уходом введет в курс дела преемника.

> кремлевский мечтатель...

Для меня это реальность. Для тебя нет? Прими соболезнования.

>> > от кого ждать поддержки?
>> От следующего специалиста. Которого, если он, конечно,

> который начнет все переделывать по-своему. в сад...

Если на то есть достаточные основания -- почему бы и нет? Впрочем, как правило, если уровни квалификации специалистов близки, то и предлагаемые решения схожи или признаются равноценными -> переделки не требующими. Да даже если следующий специалист окажется менее квалифицированным, но просто достаточно разумным, то он, IMNSHO, предпочтет повысить свой уровень, вместо того, чтобы сносить пусть не совсем понятно как, но работающее ...

>> впрочем, и из документации SN ...
>>
>> > и аппаратную часть ты на коленке сваяешь?
>> Что ты имеешь в виду под "аппаратной частью"?

> то и имею. эл. замок "Соболь", SN-card.

Давай не будем мешать все в кучу -- "Соболь" это отдельный продукт, наличие аналогов признают сами SN-щики. Тем более, что полный набор его функций далеко не всем нужен (по крайней мере, в том виде).

Про функциональность SN-card ниже.

>> К оборудованию для авторизации минимально необходимое
>> обычно прилагается изготовителем.

> ЧИГО?! во-первых, давай не будем путать термины идентификаци,
> аутентификация и авторизация - это суть вещи разные.

Да, безусловно. Пардон, зациклился на авторизации -- здесь имелась в виду аутентификация [с идентификацией].

> и про какое железо конкретно ты говоришь?

Смарткард-ридеры, etc.

>> Для предотвращения загрузки с внешних носителей в
>> подавляющем большинстве случаев установка отдельной платы
>> -- явный оверкилл.

> расскажи способ лучше. только не надо про пароли в биос

Отчего же "не надо"? BIOS можно и перепрошить / установить на MB перемычку ...
Флоп можно перевесить на другой DMA-канал (после чего исходный BIOS грузить с него не сможет).
В конце концов, в сетевую плату установить соответствующий бутром сейчаси SN-щики такие предлагают).

> - сильно зависит от модели,

И что же там, по-твоему, так "сильно зависит"?

> да и обходится без вскрытия корпуса...

Это каким же образом (с учетом вышеизложенного, т.е., например, дефолтные master-пароли в пролете)?

>> > или попытаешься мне доказать, что существует стойкая
>> программная
>> > защита? ;)
>>
>> Стойкость -- понятие относительное. Что именно и от чего
>> (кого) защищаем?

> от квалифицированнго злоумышленника, который может написать и
> принести с собой любую программу.

Еще раз: что именно и от чего защищаем? Информацию (стоимость?) от разового сьема? От подмены? От установки "закладки", которая будет это делать регулярно? От подлога при аутентификации? Сколько времени есть у злоумышленника на изучение защищаемой системы, взлом и заметание следов? Стоит ли защищаемое таких усилий? Есть ли у него там аккаунт? Что это за аккаунт (роль, права)?

> без аппаратной блокировки - нечего делать.

Выше я уже говорил о криптовании всего раздела / диска.

>> Ну, почему обозвал, я обьясню: распальцовки не
>> соответствуют реальным потенциям, продукт явно не
>> оправдывает затраченных усилий.

> можно по пунктам? что из заявленнго в доке ("распальцовки") не
> соответствует реальным возможностям продукта ("потенциям").

См. ответы vgarry и XR.

Почему, кстати, именно "в доке"? Самые перлы у них в статьях на сайте, например:

'В. Гайкович, заместитель генерального директора НИП "Информзащита" (выступление на конференции "Безопасность информации", апрель 1997 года)
[....]
Селекционный отбор программистов дал свои результаты. На сегодняшний день в команде разработчиков действует более 20 человек, каждый из которых является профессионалом в своей области.'

или

'В. Гайкович, заместитель генерального директора АО НИП "Информзащита"
Д. Ершов, начальник аналитического отдела АО НИП "Информзащита"
[....]
Именно поэтому специалисты НИП "Информзащита" постоянно заботятся о развитии средств гибкого управления во всех создаваемых ими СЗИ. В этом одна из основных причин успеха и основное качественное отличие СЗИ с торговой маркой "Secret Net" ото всех аналогичных продуктов других разработчиков.'

Гибкость SN (особенно дискреционного разграничения доступа) просто потрясает (особенно в сравнении с "продуктами других разработчиков") -- видимо, "селекционный отбор программистов" шел в направлении каких угодно областей, кроме программирования ;))

>> >> > ты лично видел эту систему,
>> >> Да.
>>
>> > какую версию?
>>
>> Не помню уже. Какое это имеет значение? Неужели при виде

> приплыли... самому не смешно?

Почему мне должно быть смешно? В вышепоскипанном я обьяснил свою позицию. Тебе что-то непонятно в этом обьяснении? Ты с чем-то несогласен?
Давай рассматривать (ну кроме как в исторических вопросах) последнюю версию (4.0) ...
Впрочем, с точки зрения начального тезиса, пусть бы это была даже самая первая версия -- она ж не 60ми годами датируется, а 90ми ...

>> Ты, судя по всему, претендуешь на знание того, "что она
>> может обеспечить при грамотной настройке" ... Приведенный
>> выше пример задачи (про БД), надеюсь, поможет установить
>> обоснованность этих претензий ;-\

> ответ выше.

Там ты всего лишь перефразировал мои формулировки. Опять не сказав ничего конкретного, специфичного для продукта, достоинства которого взялся отстаивать.

> если хочешь подробнее,

Мне не нужно "подробнее", как не нужен весь этот SN: используемый мною набор инструментов, начавший складываться задолго до его появления, перекрывает его функциональность во всех требуемых аспектах.

> то мое время стоит $30-$40 в час.

Мое время стоит не дешевле (для мелких консультаций, наиболее близкого к данному случаю вида, $50/час).

> готов заключить контракт? ;)

Я всего лишь предложил для обоснованиятвоейточки зрения (платить за отстаивание которой считаю полным абсурдом) указать на моменты, которые полагал ключевыми для наших разногласий. На примере упрощенной модельной задачи, не имеющей самостоятельного практического значения, не претендуя на готовое к практическому употреблению решение. В этом письме уже и примеры на базе других систем привел ...

>> Да если бы он хотя бы юниксовый уровень обеспечивал ...
>> А насчет безболезенности спору нет -- "главное, поменьше
>> думать", да? ;)

> главное - достичь результата в срок и с мин. затратами...

Угу. Камень преткновения, видимо, в том, что лично я не преследую цели под прикрытием сертификатов навешать клиенту лапши на уши, получить деньги и свалить, хотя для достижениятакогорезультата, SN, наверное, просто идеально подходит ;-\
<law>
Продолжение!:) 18.03.02 10:01  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
А вот и продолжение недавней моей истории:
Со мной повестку в военкомат получил мой друг и мы с ним в тот раз вместе ходили и вместе смылись оттуда не пройдя мед.ком.
Теперь ему пришла повторная повестка в военкомат с пометкой "повтор". Это напоминая при том, что мы еще только заканчиваем учебу.
Однако настойчивые они:(((

з.ы.
Мне еще не приходила, но кто знает:(((
Теперь кстати интересная картина получается. Нам вручили повестки на призывную, но мы нигде не подписывались и конечно идти не собираемся.. вот и думали, что военкомат успокоится, а они вот как. Давят до последнего:( И я так понимаю как только мы не прийдем за нами начнут охоту.
Стремно! особенно после того как у меня блат обломался в "некоторые" органы:(((

Лирика: а так хочется пивка попить на свежем воздухе..
Продолжение!:) 24.03.02 07:47  
Автор: zonny <Sasha> Статус: Member
<"чистая" ссылка>
Надо было в Академию ФСБ идти
совет 19.03.02 05:02  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
иди в менты.
тем кто после вуза присваивают лейтенанта.
может, будешь по профилю работать:)
В менты так просто не возьмут. 08.04.02 10:41  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
после кризиса 98г. поехала моя крыша от полного безденежъя. Моя знакомая работала в ментовке, через нее подел заявление, прошел собеседование, психологический тест и т.д. Осталось пройти мед комисию. И тут началось. Во первых ездить прешлось на другой конец Москвы, работают эти врачи всего пол дня, народу у них... вообщем лучше приезжать часа за 2 до начала. Но это еще не проблеммы. Проблеммы у самих врачей. Шел я для работы в компьютерном отделе, а медики смотрели так, как будто я на должность спец агента иду.
Очень понравилось у ухагорлоноса. Кабинет абсолютно не звукоизоляционный. Шум стоит жуткий. Поставила меня еще около двери (а в коредоре гвал стоит) и давай мне что то там шептать (а у нее еще окошко открыто, шум от машин с улици). Есно я ничего не слышу. Ну говорит со слухом у вас проблеммы. Так и записала. Я потом в нормальную клинику сходил, деньги заплатил (это потом уже было), так там мне заявили, что такой великолепный слух еще поискать надо. Так вот.
У терапевта прикольно было. Молодая женщина подходит в плонтую, а под халатом ничего нет... а груди у нее... и начинает мне сердце слушать... "а что это - говорит - оно у Вас так стучит ?" Действительно с чего бы это ? Давление мне померила, естественно оно зашкалило... вообщем не прошел я мед комисию. И слава богу.
Да... Тыб пригласил этого терапевта на ужин... 08.04.02 13:37  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
дЫк.. 19.03.02 10:03  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> иди в менты.
> тем кто после вуза присваивают лейтенанта.
> может, будешь по профилю работать:)

дЫк работаю над этим:) Пробиваю управление "р":)))
А что, можно без армии в менты??? 19.03.02 15:59  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Да. Армия нужна для поступления в сержантскую школу 22.03.02 22:50  
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
можно, только... 19.03.02 19:22  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
1. берут не всех, например, наркоманы и пидоры там не нужны:)
2. з/п очень маленькие, в Москве, говорят, побольше - Лужков доплачивает.
3. уволиться - сложно, найти работу после работы в милиции - тоже проблематично
4. характер портится.
так что еще не факт, что армия хуже. бандформирования есть не только в Чечне, в Москве их тоже больше чем хотелось бы.
можно, только... 20.03.02 17:40  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 1. берут не всех, например, наркоманы и пидоры там не
> нужны:)
Хмм... странно тада как туда наркоманы попадают!?:)))
Кстати мед комиссию а можно все же пройти!

> 2. з/п очень маленькие, в Москве, говорят, побольше -
> Лужков доплачивает.
ИМХО не одной зарплатой жив мент:))

> 3. уволиться - сложно, найти работу после работы в милиции
> - тоже проблематично
Почему проблематично?
Уволиться?
Безпроблем! Подписываешь сначала контракт на 5 лет...работал - свободен!

> 4. характер портится.
> так что еще не факт, что армия хуже. бандформирования есть
> не только в Чечне, в Москве их тоже больше чем хотелось бы.
Бандитов бояться - на улицу не ходить!
можно, только... 20.03.02 19:51  
Автор: йцукенг <jcukeng> Статус: Member
<"чистая" ссылка>
> ИМХО не одной зарплатой жив мент:))
таких сажают. и, думаю, в "Р" таких очень мало. тем паче, лейтенантов.
ps. на "зоне" к бывшим сотрудникам МВД относятся с особой нежностью, если все же устроишься, взятками особо не увлекайся:).
Для мнтов существуюст спец. тюрьмы, где сидят только МВДшники 06.04.02 10:45  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
Всем известный факт.
И встречный вопрос: а что все менты отслужили?:))) 19.03.02 18:43  
Автор: Miraclе Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Можно! Ябы даже сказал нужно.. при поступлении на службу дело изымается из военкомата!
Блин народ ну вы не ох**ли? :E 20.03.02 20:20    Штраф: 10 [Glory]
Автор: douglas <я знаю - я сволочь, не надо мне об этом напоминать> Статус: Registered
<"чистая" ссылка>
Мля он на ментовскую зарплату и за инет не расплатиться. Есть другой вариант(не проверял, не знаю точно) - после 1-го окончания универа поступаешь на какой-нибудь саксный факультет не менее засратого института и получаешь отсрочку на 6 лет - за это время можно много что придумать. С докторами дело не пройдет - раз в полгода по новым законам ты должен пройти медосмотр(даже если у тебя нет ноги или руки). Вообще тебе опять же надо получить отсрочку. А там уж и альтернативка утвердиться...
Менты и Управление "Р" - немного размышлений... 22.03.02 20:11  
Автор: Renkvil <Boris> Статус: Member
<"чистая" ссылка>
> Мля он на ментовскую зарплату и за инет не расплатиться.

Я тут не совсем понял: разговор идёт о ментах или всё-же Управлении "Р"?

Если о ментах - то компьтеры и инет им нужны как сисадмину жезл, а если о управлении "Р", о коем изначально и была речь - то это ИМО не менты.
Туда берут не после Школы Милиции, это хорошие/очень хорошие/лучшие (нужное подчеркнуть) специалисты в области безопасности, конечно не всмысле запускания эксплоита под Апачи итд.
Например в одном крупном российском городе организовали на физическом факультете курс "Компьютерная Безопасность", который курирует ФСБ.
Конкурс там был ТААААКОЙ!
Блата и взяток, которые обычно всегда присутствуют, не было,оченьсерьёзные люди ничего не смогли сделать - брали дучших.
Из физ-мат школы, которая где-то 3-4-ая в России туда попали пара человек, один победитель разных там областных олимпиад, не хакер но отличный математик и физик.
Он быстро научился программировать, если будет надо, за месяц выучит всё для раздела hacking.
У меня возникает смутные догадки, что их будущим работодателем может оказаться "Р".
И ещё мне кажется, что на интернет им хватит, и не только себе но и своему дому.
По выделенке.
На оборонке в России не экономят - "cyberwar" aka Information Warfare это реально, а уровень развития таких стран как США и Китай в этой области довольно высок.
Ракеты и танки уже не так актуальны, а вот когда выкрадут чертежи атомной подводной лодки или взломают центр ПВО установок будет не до смеха.
Так вот чтобы не было этого "будет" люди и работают.

P.S. А что, ни у кого нет знакомых работающих/в перспективе в управлении "Р" и им подобным?

Борис.
Менты и Управление "Р" - немного размышлений... 29.06.02 01:27  
Автор: 123mitya Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> P.S. А что, ни у кого нет знакомых работающих/в перспективе
> в управлении "Р" и им подобным?

Для того, чтобы служить в разных *CБ , кроме прочего, вам нужна рекомендация от уже служащего в этом самом *СБ или от нач. секретного отдела вашей воинской части.

Это раз.

Окончание ВУЗа со специальностью типа "Защита информации" (если не ошибаюсь, 2208) никак не связана в перспективе с вашим поступлением на службу в *СБ.

Это два.

А где работать потом с такой специальностью, после ВУЗа, чтобы по специальности работать ? Сис. админом ? В банке?

О какой "защите информации" вообще идет речь, когда в любой банк могут приезхать, например, чиновники от ЦБ и выгрестивсюлюбую документацию и электронную документацию проверяемого банка?

Не смешите мои тапочки.
Менты и Управление "Р" - немного размышлений... 01.07.02 07:58  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> О какой "защите информации" вообще идет речь, когда в любой
> банк могут приезхать, например, чиновники от ЦБ и выгрести
>всюлюбую документацию и электронную документацию
> проверяемого банка?
>
> Не смешите мои тапочки.

тапочки у кого-то слишком смешливые. если банк - не курятник однодневный, управляющего и юриста нанимали не на вокзале - никто ничего не выгребет, как краевед говорю ;)
это во-первых ;)
а во-вторых, в модели угроз банка приоритеты выглядят несколько по- другому, поэтому владельцу смешливых тапочек хочется посоветовать рассуждать о предмете после некоторого знакомства с ним.

информацию в банках защищать можно и нужно. в том числе и от слишком ретивых чиновников из ЦБ/налоговой. применяются для этого и технические, и юридические методы. судя по учебным планам специальности "ЗИ" необходимые знания студентам даваться должны. к сожалению, оценить пока не довелось - не общался с выпускниками...
Менты и Управление "Р" - немного размышлений... 06.07.02 17:33  
Автор: 123mitya Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > О какой "защите информации" вообще идет речь, когда в
> любой
> > банк могут приезхать, например, чиновники от ЦБ и
> выгрести
> >всюлюбую документацию и электронную документацию
> > проверяемого банка?
> >
> > Не смешите мои тапочки.
>
> тапочки у кого-то слишком смешливые. если банк - не
> курятник однодневный, управляющего и юриста нанимали не на
> вокзале - никто ничего не выгребет, как краевед говорю ;)
> это во-первых ;)
> а во-вторых, в модели угроз банка приоритеты выглядят
> несколько по- другому, поэтому владельцу смешливых тапочек
> хочется посоветовать рассуждать о предмете после некоторого
> знакомства с ним.

Только от самих себя и защищают. Касаемо защиты от чиновников - это просто смешно, либо вы работаете не в российском банке.
Менты и Управление "Р" - немного размышлений... 08.07.02 09:17  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Только от самих себя и защищают. Касаемо защиты от
> чиновников - это просто смешно, либо вы работаете не в
> российском банке.
именно в российском. самом обычном, коммерческом. а до этого работал в ЦБ. так что проблему знаю с обеих сторон, и повторю еще раз: если юриста и управляющего нанимали не на вокзале, то беспредела не будет, все четко по закону.
кстати, эта тема (доступ ЦБ, налоговой и т.п. к банковской инфе о клиентах) почти постоянно обсасывается в юридическом разделе форума www.bankir.ru. рекомендую зайти, там масса интересного ;)
Менты и Управление "Р" - немного размышлений... 23.03.02 16:48  
Автор: bdy Статус: Незарегистрированный пользователь
<"чистая" ссылка>

> Если о ментах - то компьтеры и инет им нужны как сисадмину
> жезл,

Дай-то Бог, чтобы они тоже так думали ...

> а если о управлении "Р", о коем изначально и была
> речь - то это ИМО не менты.
> Туда берут не после Школы Милиции, это хорошие/очень
> хорошие/лучшие (нужное подчеркнуть) специалисты в области

Кгм ... Я не шибко разбираюсь в структуре этих структур ;), но ребята,
которые сделали SecretNet (по их словам, обеспечивающий защиту АРМ ГАС "Выборы") -- ламеры перворазряднейшие. Нахватались по верхам, толком ничего не поняли из мимолетом увиденного, и изобрели свой велосипед, существенно уступающий уже имевшемуся на тот момент freeware / shareware софту.

> безопасности, конечно не всмысле запускания эксплоита под
> Апачи итд.
> Например в одном крупном российском городе организовали на
> физическом факультете курс "Компьютерная Безопасность",
> который курирует ФСБ.
> Конкурс там был ТААААКОЙ!

В моем родном городе (>1млн населения) тоже не так давно открыли подобное, тоже на физфаке, тоже с огромным конкурсом, курируемый теми же (неофициально обещано трудоустройство в эту славную организацию, разумеется только "лучшим выпускникам";). Мой знакомый туда поступил. Первый год был занят в основном лекциями про то, какие бяки американцы и как нужно Родину любить ;)

> Блата и взяток, которые обычно всегда присутствуют, не
> было,оченьсерьёзные люди ничего не смогли сделать -
> брали дучших.

Не знаю, не знаю, тот мой знакомый ничем таким особенным на самом деле не выделялся. И я, честно говоря, сомневаюсь, что из него получится специалист выше среднего уровня -- склад ума не тот.

> Из физ-мат школы, которая где-то 3-4-ая в России туда
> попали пара человек, один победитель разных там областных
> олимпиад, не хакер но отличный математик и физик.
> Он быстро научился программировать, если будет надо, за

На том уровне, на котором можно "быстро научиться программировать", можно быстро и математику с физикой выучить ;)

> месяц выучит всё для раздела hacking.

Hacking -- это стиль жизни, состояние души, если угодно. "Выучить" (тем более "все") его невозможно.
Поднатаскаться на cracking -- можно, но за месяц не более, чем на применение готовых эксплойтов.

> У меня возникает смутные догадки, что их будущим
> работодателем может оказаться "Р".
> И ещё мне кажется, что на интернет им хватит, и не только
> себе но и своему дому.
> По выделенке.
> На оборонке в России не экономят - "cyberwar" aka

К деньгам нужно еще и голову приложить. Свободную от предрассудков и собственной же идеологической лапши.

> Information Warfare это реально, а уровень развития таких
> стран как США и Китай в этой области довольно высок.
> Ракеты и танки уже не так актуальны, а вот когда выкрадут
> чертежи атомной подводной лодки или

Вы сами себе противоречите.

> взломают центр ПВО установок будет не до смеха.

Угу. По -дцатому разу это уже не смешно.

> Так вот чтобы не было этого "будет" люди и работают.

Для того, чтобы "не было этого" нужно просто выгнать нахрен того "специалиста", что воткнул его в общедоступный бэкбон.
1  |  2  |  3 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach