17 сентября, вторник 01:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Об умирающих парадигмах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #91
    Сообщение от Идущий Посмотреть сообщение
    отвечать я буду с позиции кассира банка.
    только ответили не на те вопросы, что были заданы

    Комментарий


    • #92
      Сообщение от Toparenko Посмотреть сообщение
      Основания?
      Это нигде и ничем не запрещено.
      Так ли?
      Ну и что помешало iPhone отнести к Сети? Ведь "Это нигде и ничем не запрещено".

      Комментарий


      • #93
        Сообщение от pushkinist Посмотреть сообщение
        только ответили не на те вопросы, что были заданы
        Эт точно.
        Особенно мне понравился вопросы по цепям и организации защиты от электромагнитных излучений коры головного мозга.
        Ну, извиняйте, пойду учить матчасть.

        Комментарий


        • #94
          Сообщение от Идущий Посмотреть сообщение
          Ну и что помешало iPhone отнести к Сети? Ведь "Это нигде и ничем не запрещено".
          Этот вопрос возвращаю Вам

          И что помешало Вам корпоративный iPhone отнести к информационной/автоматизированной сети организации?

          Комментарий


          • #95
            Сообщение от Toparenko Посмотреть сообщение
            Этот вопрос возвращаю Вам

            И что помешало Вам корпоративный iPhone отнести к информационной/автоматизированной сети организации?
            Мне это помешало сделать описание способа взаимодействия с АС: откуда им не пользуйся - обязательно наблюдается проход через МСЭ организации, т.е. этот предмет всегда "снаружи" - в Сети. Самое интересное заключается в том, что самому субъекту без разницы корпоративный это iPhone или нет, да и iPhone ли это.

            Комментарий


            • #96
              Сообщение от Идущий Посмотреть сообщение
              откуда им не пользуйся - обязательно наблюдается проход через МСЭ организации, т.е. этот предмет всегда "снаружи" - в Сети.
              Я бы не был столько категоричным, что данный "предмет" всегда снаружи и всегда через МЭ

              Случаи разные бывают... (с)

              Комментарий


              • #97
                Сообщение от Toparenko Посмотреть сообщение
                ...
                Случаи разные бывают... (с)
                Эт точно.
                Только откуда-то (вероятно навеяна при изучении матчасти) всплыла фраза "Цель оправдывает средства" (с). И маячит эта фраза, как только встречается некий набор слов типа "требование бизнеса", "бизнеспотребность" и т.д.

                Комментарий


                • #98
                  Сообщение от Идущий Посмотреть сообщение
                  Прежде чем начнете читать ответы, обязательно стоит учесть следующее:
                  1. мир состоит не только из менеджеров по продажам
                  Логично. Все мои рассуждения применяются также к юристам, бухгалтерам, разработчикам, кадровикам и десяткам других должностей в нашей компании. Исходим из этого.

                  Сообщение от Идущий Посмотреть сообщение
                  2. менеджеры по продажам не имеют полного доступа ко всей информации компании, в которой они работают
                  Они имеют доступ к достаточному объему информации. Например, к сведениям о выпуске новых продуктов, ценность которых составляет несколько десятков )если не сотен) миллионов долларов.

                  Сообщение от Идущий Посмотреть сообщение
                  3. Вы предложили мне отвечать на вопросы, задаваемые с позиции менеджера, отвечать я буду с позиции кассира банка.
                  Не понимаю почему вы сменили тему разговора, но извольте. Кассир, так кассир. Но т.к. у нас в компании кассиров нет, то я буду рассматривать не кассира (его рассмотрел malotavr), а бухгалтера. Идет?

                  Сообщение от Идущий Посмотреть сообщение
                  Не видел ни одного кассира или бухгалтера, осуществляющего банковские операции с использованием указанного Вами оборудования.Вводить платежки с использованием Nokia e61i или iPhone можно, но уж очень не удобно и медлено.
                  Так у вас же нет iPhone, как вы можете говорить о том, что неудобно. У наших бухгалтеров это не вызывает проблем. Разумеется основной объем информации они вводят с лэптопов, но при необходимости могут и с iPhone. Технология и процессы это позволяют.

                  Сообщение от Идущий Посмотреть сообщение
                  У Вас очень большой опыт работы, не могли бы Вы поделиться информацией о том как кассиры и операционисты банков ведут свои работы в части работы с наличностью в аэропорту, кафе, электричке, самолете, парке и т.п.
                  Есть такое понятие в прогрессивном мире, как NVO - Network Virtual Organization. Т.е. это та организация, в которой не человек следует за рабочим местом, а наоборот. Человек работает там, где ему удобно или там, где у него возникла необходимость. Вот, например, сейчас, в условиях смога, жары и гари, большинство сотрудников работает из дома.

                  Сообщение от Идущий Посмотреть сообщение
                  Здесь действительно проблема - я вместе со ФСТЭк-ом так же оказываюсь в затруднительном положении, по тому что не могу себе представить самостоятельно разговаривающий лэптоп. А если речь идет о Вас самом, то я не уверен, что что Вы будете в зале ожидания аэропорта обсуждать что-либо важное.
                  Почему нет. Вот я сейчас в аэропорту сижу и уже обсудил контракт на несколько миллионов ;-) Бизнес важнее. Вам уже не раз это пытались сказать.

                  Сообщение от Идущий Посмотреть сообщение
                  Конечно iPhone содержит информацию и является разновидностью коммуникационного обрудования и средством информатизации. Только очень сомнительно, что iPhone в указанных Вами местах будет применен Вами например для управления платежами компании CISCO. Иными словами, указанное Вами оборудование не применяется для ведения работ бухгалтерами и кассирами.
                  Применяется. Не решайте за мою компанию ;-)

                  Сообщение от Идущий Посмотреть сообщение
                  Кроме того, эти работники не смогут выполнять свои должностные обязанности в указанных Вами местах.
                  Смогут и могут и выполняют.

                  Сообщение от Идущий Посмотреть сообщение
                  iPhone в руках не держал, но раз Вы говорите, что в нем нет таких функций, то значит это так и есть. Однако, та информация о которой Вы пытаетесь рассказать (данные о контрактах допустим) и несодержится в Вашем iPhone. Очень сомнительно, что бы такая крупная организация смогла разместить всю свою информацию в Вашем iPhone.
                  Содержится. Только не вся, конечно. Но в СТР-К и нет указаний о "все или ничего".

                  Сообщение от Идущий Посмотреть сообщение
                  И поскольку этой информациии в Вашем iPhone нет, то Вы подключаетесь к некой АС как ее пользователь. В этой самой АС и производится все то, о чем Вы рассказываете. Или станенте утверждать, что сервера с информацией Ваша компания размещает "в аэропорту, кафе, электричке, самолете, парке и т.п."?
                  У нас cloud computing используется активно. Так что в кафе может и не размещает, а где-то за пределами территории нашей компании вполне.

                  Сообщение от Идущий Посмотреть сообщение
                  Не видел. А Вы видели кассира оформляющего операцию с использованием iPhone, лэптопов Lenovo, HP, Toshiba, ASUS?
                  Видел. В большинстве международных компаний давно уже сотрудники пользуются не стационарными ПК, а ноутами.

                  Сообщение от Идущий Посмотреть сообщение
                  Если предположить, что Ваш iPhone является хранилищем всей информации Вашей компании, то я то же не смогу определить границы КЗ. Здесь мы с Вами едины во мнении по отношению к Вашему iPhone.
                  Предположите, что он хранит не всю, а часть информации. Вам станет легче определить КЗ?

                  Сообщение от Идущий Посмотреть сообщение
                  А может не стоит в аэропорту пользоваться лэптопом? А вдруг забудете его там, увлекшись iPhone?А пример кассового обслуживания в России и за ее пределами привести можете?
                  Я уже выше привел. Бухгалтер, которого отправили на курсы, в штаб-квартиру, будет вести операции и оттуда. Т.е. за пределами России. В т.ч. и из гостиничного номера. И опять же бизнесу наплевать на то, что безопасник не в состоянии обеспечить безопасность за пределами территории офиса. Значит безопасника надо менять на более профпригодного.

                  Сообщение от Идущий Посмотреть сообщение
                  Да действительно задача. Не мог же я подозревать, что в столь уважаемая компания владеет только одним iPhone и одним лэптопом, которые отдала Вам на период командировки, и у нее болше ничего нет, а Вас заставила вести эти самые карточку и журнал.
                  Если следовать вашей логики и предположить, что журнал меняем на лог и он якобы должен вестись самим iPhone, то подскажите название приложения, которое эту задачу выполнит. Я, увы, не смог найти в AppStore такого.

                  Сообщение от Идущий Посмотреть сообщение
                  Не стоит так огорчаться, раз Вам доверили все оборудование компании (iPhone и лэптоп), к которому подключаются "2 с лишним миллиона пользователей", то скоро он сам к Вам придет с утвержденным списком.
                  Дело в том, что к Web-сайту подключаются пользователи из 200 с лишним стран мира. А сам сайт расположен в США и как, извините, я буду согласовывать список с руководством компании в США, если я тут нахожусь. Там вообще иная юрисдикция... Но чтобы вам было проще, я облегчу задачу. Возьмем только офис компании Сиско в Москве. Один офис и никакого дистанционного доступа. Задача - составить список пользователей, имеющих доступ в КЗ. Да вот незадача. К нам в офис часто приезжают сотрудники других наших офисов заграницей. И они никого заранее не ставят в известность, что они к нам приедут. Приехали, сели за свободный стол и работают в сетке, которая использует единые правила доступа по всему миру. И как я буду оформлять допуск таких сотрудников, да еще, о, Боже, представителей иностранной державы, к КЗ? А если взять пример только с россиянами, то у нас в компании, с целью помощи заказчикам и партнерам, разрешен доступ с их компьютеров в Интернет через НАШУ физическую сеть (правда, с жесткими ограничениями доступа и через отдельный сегмент). И как быть в таком случае? Вариант "отказать" не рассматривается.

                  Сообщение от Идущий Посмотреть сообщение
                  Это как? Вы же выше утверждали, что обрабатываете информацию компании на этих устройствах. Попытайтесь объяснить как эта информация оказалась на Вашем iPhone минуя корпоративный МСЭ.Не здесь ли лежит тот самый камень, о который спотыкаемся?
                  Может быть я сам создал эту информацию? Или получил ее у заказчика на флешке? Через МСЭ она не проходила.

                  Комментарий


                  • #99
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Логично. ...
                    Прекрасный разговор слепого с глухим.
                    Благодарю за обучение в ведении переговоров.
                    Ушел учить матчасть.

                    Комментарий


                    • На период перерыва в изучении матчасти (тяжело учиться):

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Логично. Все мои рассуждения применяются также к юристам, бухгалтерам, разработчикам, кадровикам и десяткам других должностей в нашей компании. Исходим из этого.
                      ...
                      Не понимаю почему вы сменили тему разговора, но извольте. Кассир, так кассир. Но т.к. у нас в компании кассиров нет, то я буду рассматривать не кассира (его рассмотрел malotavr), а бухгалтера. Идет?
                      ...
                      Так у вас же нет iPhone, как вы можете говорить о том, что неудобно. У наших бухгалтеров это не вызывает проблем. Разумеется основной объем информации они вводят с лэптопов, но при необходимости могут и с iPhone. Технология и процессы это позволяют.
                      ...
                      Есть такое понятие в прогрессивном мире, как NVO - Network Virtual Organization. Т.е. это та организация, в которой не человек следует за рабочим местом, а наоборот. Человек работает там, где ему удобно или там, где у него возникла необходимость. Вот, например, сейчас, в условиях смога, жары и гари, большинство сотрудников работает из дома.
                      ...
                      Я уже выше привел. Бухгалтер, которого отправили на курсы, в штаб-квартиру, будет вести операции и оттуда. Т.е. за пределами России. В т.ч. и из гостиничного номера. И опять же бизнесу наплевать на то, что безопасник не в состоянии обеспечить безопасность за пределами территории офиса. Значит безопасника надо менять на более профпригодного.
                      ...
                      Очень логично. Мне про бухгалтера понравилось: сидит он значит в штаб-квартире, а ему туда и Москвы спецсвязью доставляют первичные документы типа счетов, накладных, табелей учета и т.д. Бухгалтер берет iPhone и начинает с его помощью заносить данные в систему бухучета, потом печатает выходные документы и спецсвязью рассылает их на подпись. Вдруг ему попался счет с визой на оплату - не беда, берет iPhone (к которому СЗИ и СКЗИ не производят) и с использованием системы ДБО российского банка осуществляет этот платеж.
                      Не кажется ли Вам, что мое утрированное изложение, базирующееся на Ваших данных, не соответствует действительности. Это ведь всего лишь усиление акцентов Вашего изложения.
                      Хотите про кадровика? Только просьба уточнить с учетом ФЗ152 или без него?
                      А юристы? В состоянии работать без первичных документов? Во время обдумывания решений могут и в парке посидеть, только когда начинают работать - вряд ли предпочтут iPhone.
                      Ну а разработчики ПО всегда мечтали только о iPhone, еще до своего рождения. Или вы имели ввиду конструкторов схемотехники, каких либо железяк и т.д. Вот незадача, для них специально разрабатывали графические рабочие станции. Но они объявили забастовку - на хотим мощные графические РС, давайте нам iPhone - с ними в парках очень удобно сидеть. А промышленный шпионаж - это измышления плохих людей, что б лишить нас возможности работать с iPhone.
                      Может управление грузопервозками, газотранспортной системой, энергосетями, электростанциями, заводами, фабриками, полетами, навигацией и т.д. осуществляется с iPhone и лэптопов в парках, аэропортах, кафе и т.д.?

                      Я соглашусь с Вами, что отдельные виды работ можно производить из дома, но никогда не соглашусь, что все виды работ любой организации можно произвести дома.

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Они имеют доступ к достаточному объему информации. Например, к сведениям о выпуске новых продуктов, ценность которых составляет несколько десятков )если не сотен) миллионов долларов.
                      Конечно имеют, только к теххарактеристикам и рекламному описанию, а не к описанию техпроцессов производства этого оборудования. Новые продукты выпустили для продажи - задача этих людей продать произведенное оборудование. Создание некой тайны вокруг рекламного буклета, выдаваемого за техдокументацию, только способствует продаже этого оборудования.

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Почему нет. Вот я сейчас в аэропорту сижу и уже обсудил контракт на несколько миллионов ;-) Бизнес важнее. Вам уже не раз это пытались сказать.
                      Здесь возразить нечего: обсудили, так обсудили - подписанных бумаг нет, обсуждайте хоть до второго пришествия.


                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Если следовать вашей логики и предположить, что журнал меняем на лог и он якобы должен вестись самим iPhone, то подскажите название приложения, которое эту задачу выполнит. Я, увы, не смог найти в AppStore такого.
                      malotavr, так кто передергивает?
                      Вот исходный текст вопроса:
                      п.5.3.4 Учет съемных носителей информации ...осуществляется по карточкам или журналам установленной формы - вот незадача, но как это сделать для iPhone или для моего лэптопа при нахождении меня в командировке, я не знаю.
                      Вот ответ на него:
                      Да действительно задача. Не мог же я подозревать, что в столь уважаемая компания владеет только одним iPhone и одним лэптопом, которые отдала Вам на период командировки, и у нее болше ничего нет, а Вас заставила вести эти самые карточку и журнал.

                      Это ответ на мой ответ:
                      Если следовать вашей логики и предположить, что журнал меняем на лог и он якобы должен вестись самим iPhone, то подскажите название приложения, которое эту задачу выполнит. Я, увы, не смог найти в AppStore такого.

                      При этом и я и Лукацкий считаем iPhone частью какой-то системы: он считает его частью АС, а я - частью Сети. В первичном вопросе он пытался разобраться со своим iPhone, как носителем информации. Теперь он начал утверждать, что его iPhone является самостоятельной АС, для которой нужно завести журнал и карточку.

                      Ни кто не мешал Алексею рассмотреть в этом случае его любимый iPhone как интелектальный носитель информации (отчуждаемый автономной носитель). Ведь источником информации является АС, из которой она взята. АС однозначно фиксирует в своих логфайлах, что ее пользователь Алексей Лукацкий взял файл с конкретной информацией. А если в АС зарегистрирован и iPhone Лукацкого (карточка носителя информации), то образуется готовая запись журнала:
                      файл с конкретной информацией скопирован Алексеем Лукацким на устройство ХХХХ(это его iPhone согласно карточки учета) в ДД.ММ.ГГГГ ЧЧ:ММ:СС.

                      Ну а если Лукацкий взял у заказчика файл для работы и передал его в АС с использованием iPhone, то появится другая запись:
                      файл с конкретной информацией скопирован Алексеем Лукацким с устройства ХХХХ(это его iPhone согласно карточки учета) в ДД.ММ.ГГГГ ЧЧ:ММ:СС.

                      Больше всего добивает, что это так и делается. Но обязательно нужно говорить, что требования выполнить невозможно.
                      Соедините теперь КЗ с iPhone, как носителем информации, обладающим дополнительными функциями. КЗ при транспортировке носителей не определяют.

                      Закончился перерыв в изучении матчасти - пошел учить дальше.

                      Комментарий


                      • Вот практический вопрос. Естественно не смотрим на решение суда т.к. оно ОЧЕНЬ своеобразно

                        Пож. объясните как и какими сертифицированными средствами будем защищать валидатор кондуктора

                        Комментарий


                        • Сообщение от Toparenko Посмотреть сообщение
                          Вот практический вопрос. Естественно не смотрим на решение суда т.к. оно ОЧЕНЬ своеобразно

                          Пож. объясните как и какими сертифицированными средствами будем защищать валидатор кондуктора
                          Передать валидатор кондуктора в лабораторию для проведения специсследований, по завершении которых валидатор следует опломбировать и опечатать СЕРТИФИЦИРОВАННЫМИ защитными наклейками.
                          В случае обнаружения недопустимых ЭМИ валидатор эксплуатировать только совместно с генератором шума диапазона от 0.1 до 1000.
                          Дополнительно обязать кондуктора пройти обучение по защите ПДн с получением удостоверения установленного образца, после чего рука кондуктора (которой он будет прикрывать экран от его просмотра любопытными пассажирами) приобретет особые защитные свойства в части противодействия распространению видовой информации.
                          В дальнейшем для исключения длительной процедуры проведения специсследований валидаторов предлагается СЕРТИФИЦИРОВАТЬ их производство, на котором будут оклеивать валидаторы. В случае обнаружения недопустимых ЭМИ обязать производителя встраивать в валидатор генераторы шума, с мощностью достаточной для противодействя съему информации и дипазоне не подлежащем регистрации (0.1-1000).

                          Комментарий


                          • Сообщение от Идущий Посмотреть сообщение
                            Передать валидатор кондуктора в лабораторию для проведения специсследований, по завершении которых валидатор следует опломбировать и опечатать СЕРТИФИЦИРОВАННЫМИ защитными наклейками.
                            В случае обнаружения недопустимых ЭМИ валидатор эксплуатировать только совместно с генератором шума диапазона от 0.1 до 1000.
                            Дополнительно обязать кондуктора пройти обучение по защите ПДн с получением удостоверения установленного образца, после чего рука кондуктора (которой он будет прикрывать экран от его просмотра любопытными пассажирами) приобретет особые защитные свойства в части противодействия распространению видовой информации.
                            В дальнейшем для исключения длительной процедуры проведения специсследований валидаторов предлагается СЕРТИФИЦИРОВАТЬ их производство, на котором будут оклеивать валидаторы. В случае обнаружения недопустимых ЭМИ обязать производителя встраивать в валидатор генераторы шума, с мощностью достаточной для противодействя съему информации и дипазоне не подлежащем регистрации (0.1-1000).
                            И вообще выдвать кондукторам и пассажирам, на время поездки, свинцовые трусы. А также в помощь каждому кондуктору амбала с аккумуляторами для "валидатора в защищенном исполнении"

                            Забыли, что в памяти валидатора сохраняются данные о считанных проездных (в том числе льготных) и, в дальнейшем, эта информация загружается в систему учета проезда.

                            В разультате Вы защищаете не самый актуальный канал утечки и совсем не защитили основной

                            А теперь добавьте валидаторы со связью по радиоканалу (например Московский наземный общественный транспорт) ...

                            Комментарий


                            • Сообщение от Идущий Посмотреть сообщение
                              Мне про бухгалтера понравилось: сидит он значит в штаб-квартире, а ему туда и Москвы спецсвязью доставляют первичные документы типа счетов, накладных, табелей учета и т.д. Бухгалтер берет iPhone и начинает с его помощью заносить данные в систему бухучета, потом печатает выходные документы и спецсвязью рассылает их на подпись. Вдруг ему попался счет с визой на оплату - не беда, берет iPhone (к которому СЗИ и СКЗИ не производят) и с использованием системы ДБО российского банка осуществляет этот платеж.
                              Не кажется ли Вам, что мое утрированное изложение, базирующееся на Ваших данных, не соответствует действительности. Это ведь всего лишь усиление акцентов Вашего изложения.
                              Не кажется. Вы почему-то считаете, что бухгалтер работает только с бумагами. Я вас разочарую. Он работает с документами. А документы бывают и в электронной форме.

                              Сообщение от Идущий Посмотреть сообщение
                              Хотите про кадровика? Только просьба уточнить с учетом ФЗ152 или без него?
                              Хочу.

                              Сообщение от Идущий Посмотреть сообщение
                              А юристы? В состоянии работать без первичных документов? Во время обдумывания решений могут и в парке посидеть, только когда начинают работать - вряд ли предпочтут iPhone.
                              В состоянии. Вы слышали про такое понятие, как электронный документооборот?

                              Сообщение от Идущий Посмотреть сообщение
                              Ну а разработчики ПО всегда мечтали только о iPhone, еще до своего рождения. Или вы имели ввиду конструкторов схемотехники, каких либо железяк и т.д.
                              Вот что ж вы такой непонятливый-то? Вам же уже не раз показали, что речь не в iPhone, а в устройстве, ОТЛИЧНОМ от обычного ПК. Давайте заменим iPhone на iPad или лучше на Cius (все-таки он больше на корпоративный продукт похож; да и документы создавать позволяет). Вам стало легче?

                              Сообщение от Идущий Посмотреть сообщение
                              Может управление грузопервозками, газотранспортной системой, энергосетями, электростанциями, заводами, фабриками, полетами, навигацией и т.д. осуществляется с iPhone и лэптопов в парках, аэропортах, кафе и т.д.?
                              Вы никогда не видели как инженеры Siemens иногда занимаются поддержкой SCADA-решений?

                              Сообщение от Идущий Посмотреть сообщение
                              Я соглашусь с Вами, что отдельные виды работ можно производить из дома, но никогда не соглашусь, что все виды работ любой организации можно произвести дома.
                              А кто вам сказал, что речь идет обо всех. Достаточно 10 и даже 5 процентов. И даже одного. Еще раз повторю. Проблема в том, что вы не можете в современном динамичном бизнесе очертить КЗ.

                              Сообщение от Идущий Посмотреть сообщение
                              Конечно имеют, только к теххарактеристикам и рекламному описанию, а не к описанию техпроцессов производства этого оборудования. Новые продукты выпустили для продажи - задача этих людей продать произведенное оборудование. Создание некой тайны вокруг рекламного буклета, выдаваемого за техдокументацию, только способствует продаже этого оборудования.
                              Я вас разочарую. Вот я по вашей терминологии "просто менеджер", но у меня есть доступ к информации, о которой вы пишете.

                              Сообщение от Идущий Посмотреть сообщение
                              Ну а если Лукацкий взял у заказчика файл для работы и передал его в АС с использованием iPhone, то появится другая запись:
                              файл с конкретной информацией скопирован Алексеем Лукацким с устройства ХХХХ(это его iPhone согласно карточки учета) в ДД.ММ.ГГГГ ЧЧ:ММ:СС.
                              Как появится? Сама? Или кто-то должен ее туда внести?

                              Сообщение от Идущий Посмотреть сообщение
                              КЗ при транспортировке носителей не определяют.
                              Если мы примем, что iPhone является носителем, то я его не только транспортирую, но и работаю с ним. Постоянно...

                              Комментарий


                              • Сообщение от Toparenko Посмотреть сообщение
                                И вообще выдвать кондукторам и пассажирам, на время поездки, свинцовые трусы. А также в помощь каждому кондуктору амбала с аккумуляторами для "валидатора в защищенном исполнении"

                                Забыли, что в памяти валидатора сохраняются данные о считанных проездных (в том числе льготных) и, в дальнейшем, эта информация загружается в систему учета проезда.

                                В разультате Вы защищаете не самый актуальный канал утечки и совсем не защитили основной

                                А теперь добавьте валидаторы со связью по радиоканалу (например Московский наземный общественный транспорт) ...
                                Вероятно, Вы правы, т.к. с валидаторами не знаком. Так же не знаю, что хранится в этих штуках и откуда оно там появляется.

                                Комментарий


                                • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  ...Еще раз повторю. Проблема в том, что вы не можете в современном динамичном бизнесе очертить КЗ.
                                  ...
                                  Может это Вы не можете очертить КЗ? У меня такой проблемы нет.
                                  ИБ это не техническая проблема - это состояние души. Потерю совести весьма затруднительно компенсировать аппаратно-программными и организационными мерами.

                                  Комментарий


                                  • Сообщение от Идущий Посмотреть сообщение
                                    Может это Вы не можете очертить КЗ? У меня такой проблемы нет.
                                    Так вам же уже не первый раз говорят и просят - покажите "как". Ведь с этого все и началось. Покажите, как очертить КЗ в условиях динамичного использования лэптопов и применения cloud computing, когда я вообще не знаю, где обрабатываются и хранятся мои данные. Вас ведь никто не обвиняет ни в чем и не подозревает. Просто у многих есть мнение, что это невозможно. Вы утверждаете, что это не так. Так поделитесь... Если это ваше ноу-хау, то так и скажите.

                                    Сообщение от Идущий Посмотреть сообщение
                                    ИБ это не техническая проблема - это состояние души. Потерю совести весьма затруднительно компенсировать аппаратно-программными и организационными мерами.
                                    Сильное утверждение. Про состояние души я еще могу как-то понять. Но вот про потерю совести уже с трудом. Остается только надеяться, что это не я потерял совесть.

                                    Комментарий


                                    • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Так вам же уже не первый раз говорят и просят - покажите "как". Ведь с этого все и началось. Покажите, как очертить КЗ в условиях динамичного использования лэптопов и применения cloud computing, когда я вообще не знаю, где обрабатываются и хранятся мои данные. Вас ведь никто не обвиняет ни в чем и не подозревает. Просто у многих есть мнение, что это невозможно.
                                      Хорошо. Давайте еще раз.
                                      Введем понятие ядра системы - это то, где находится и обрабатывается вся информация. Рассмотрите динамическую перифирию как метод доступа и не более. Не рассказываете о том, что у Вас множество ядер, т.к. это не так. Наложите на ядро специальную структуру доступа и защиты, отличные от доступа и защиты ядра. Добавьте динамическую перифирию - она не будет считаться частью ядра. У Вас получается "пузрьковая" архитектура, описанная ранее malotavr-ом. Задача сведется к защите отдельных "пузырей". Так ведь подобным образом и Ваша сеть функционирует, только Вы не хотите так смотреть, мотивируя это тем, что если на мобильном устройстве находится часть данных из ядра, то устройство принадлежит ядру.



                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      Сильное утверждение. Про состояние души я еще могу как-то понять. Но вот про потерю совести уже с трудом. Остается только надеяться, что это не я потерял совесть.
                                      Это по жизни, а не о Вас. Это совесть не позволяет брать чужое или подглядывать (НСД).

                                      Комментарий


                                      • Сообщение от Идущий Посмотреть сообщение
                                        Хорошо. Давайте еще раз.
                                        Введем понятие ядра системы - это то, где находится и обрабатывается вся информация.
                                        Согласен. Только вот у меня часть данных обрабатывается в облаке, принадлежащем третьим лицам. Да и находятся эти третьи лица иногда в совершенно иной юрисдикции (и стране).

                                        Сообщение от Идущий Посмотреть сообщение
                                        Рассмотрите динамическую перифирию как метод доступа и не более.
                                        Так я так и рассматриваю. Но в СТР-К не сказано, что требования по защите ядра отличаются от защиты периферии. И то и иное подлежит защите. Разумеется, я, в теории, знаю как защитить ядро своей сети. Но именно что в теории. Т.к. у меня в ядре Wi-Fi активно используется. Как он соотносится с термином КЗ?

                                        Но вернемся к периферии. Что, к ней требования СТР-К не применяются? Применяются. Я и спрашиваю, как их применить, если в качестве периферийного устройства у меня iPhone или iPad?

                                        Сообщение от Идущий Посмотреть сообщение
                                        Не рассказываете о том, что у Вас множество ядер, т.к. это не так.
                                        Так ;-) Даже если не брать облако, то у нас ЦОДов больше одного. А что это, как не ядро?

                                        Сообщение от Идущий Посмотреть сообщение
                                        Наложите на ядро специальную структуру доступа и защиты, отличные от доступа и защиты ядра. Добавьте динамическую перифирию - она не будет считаться частью ядра.
                                        Проблема не в ядре, а именно в периферии. Собственно все обсуждение идет именно по ней.

                                        Сообщение от Идущий Посмотреть сообщение
                                        только Вы не хотите так смотреть, мотивируя это тем, что если на мобильном устройстве находится часть данных из ядра, то устройство принадлежит ядру.
                                        Нет. Я говорю, что на мой iPhone содержит часть данных и получает доступ к ядру. Он является частью всей системы, подлежащей защите по СТР-К. И как его защитить по этим требованиям я не знаю. Именно его, а не ядро и другие "понятные" устройства.

                                        Комментарий


                                        • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Согласен. Только вот у меня часть данных обрабатывается в облаке, принадлежащем третьим лицам. Да и находятся эти третьи лица иногда в совершенно иной юрисдикции (и стране).
                                          Вы опять за свое. Спрашивали принцип - я его рассказал.

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Так я так и рассматриваю. Но в СТР-К не сказано, что требования по защите ядра отличаются от защиты периферии. И то и иное подлежит защите. Разумеется, я, в теории, знаю как защитить ядро своей сети. Но именно что в теории. Т.к. у меня в ядре Wi-Fi активно используется. Как он соотносится с термином КЗ?
                                          Но в СРК-К отстутствуют требования по защите Сети. Есть защита от Сети. А взаимодействие разных систем обязано функционировать с ипользованием МЭ - это тоже в СТР-К заложено. Wi-Fi для использования в ядре не заложено, но заложено для доступа к ядру из других сегментов Вашей и не Вашей сети. По этой причине Wi-Fi к КЗ ядра не имеет отношения.

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Но вернемся к периферии. Что, к ней требования СТР-К не применяются? Применяются. Я и спрашиваю, как их применить, если в качестве периферийного устройства у меня iPhone или iPad?
                                          Так не стоило уходить. Мобильные устройства не являются частью ядра.

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Так ;-) Даже если не брать облако, то у нас ЦОДов больше одного. А что это, как не ядро?

                                          Проблема не в ядре, а именно в периферии. Собственно все обсуждение идет именно по ней.
                                          Уже чуть лучше, но не то. Повтор:Мобильные устройства не являются частью ядра.

                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Нет. Я говорю, что на мой iPhone содержит часть данных и получает доступ к ядру. Он является частью всей системы, подлежащей защите по СТР-К.
                                          Зачем повторяться? Вся система состоит из сегментов. Каждый сегмент имеет свою защиту. Часть из сегментов подлежит защите по СТР-К, другая часть - нет. Вы забыли, что СТР-К действует в первую очередь на сегменты.

                                          Комментарий


                                          • Сообщение от Идущий Посмотреть сообщение
                                            Вы опять за свое. Спрашивали принцип - я его рассказал.
                                            Принцип "вообще" я знаю. Я спрашивал, как вы его применяете к конкретной и практической ситуации. Вы не ответили. У меня обработка конфиденциальной информации ведется в облаке, принадлежащем не мне. И я даже не знаю, где физически располагаются сервера, обрабатывающие мою информацию. Вот как сюда вы СТР-К примените?

                                            Сообщение от Идущий Посмотреть сообщение
                                            Так не стоило уходить. Мобильные устройства не являются частью ядра.
                                            И поэтому они не подлежат защите по СТР-К?

                                            Сообщение от Идущий Посмотреть сообщение
                                            Зачем повторяться? Вся система состоит из сегментов. Каждый сегмент имеет свою защиту. Часть из сегментов подлежит защите по СТР-К, другая часть - нет. Вы забыли, что СТР-К действует в первую очередь на сегменты.
                                            СТР-К действует на конфиденциальную информацию, а не на места ее местонахождения.

                                            Комментарий


                                            • Сообщение от Идущий Посмотреть сообщение
                                              Вероятно, Вы правы, т.к. с валидаторами не знаком. Так же не знаю, что хранится в этих штуках и откуда оно там появляется.
                                              Начать можно с Википедии - данные с 2007 года несколько устарели, но все-таки хоть чтой-то для начала

                                              Далее смотрим, что такое социальная карта: Москва, Подмосковье, Красноярский край, Томская обл., Саратовская обл., Свердловская обл., Башкортостан, Питер и т.д....

                                              Социальная карта, как минимум, используется для проезда в общественном транспорте. После "монетизации льгот" транспортные предприятия обязаны вести учет проезда льготников => они должны собирать и представлять сведения считанные с социальных карт. В наземном транспорте эти сведения (например в Москве) передаются в режиме реального времени (т.е. по радиоканалу) т.к. в системе введены ограничения использования одной и той же карты по времени.

                                              Таким образом имеем завязку системы пропуска в общественный транспорт с региональной ИСПДн льготников - т.ч., даже с учетом Резниковского законопроекта, все равно к данным системам остаются требования предъявляемые ФСБ и ФСТЭК (та самая прадигма, которая обсуждается в данной ветке).

                                              Кроме того в ряде регионов социальная карта является еще и банковскими картами - т.е. кроме ПДн еще есть риски утраты реальных денег. А для пользователей, учитывая целевую аудиторию, эти утечки денег могут быть критическими (что такое для бабульки-пенсионерки потерять пенсионные начисления/накопления)... В соседней ветке я уже писал про хищения с социальных карт

                                              Как видите здесь контролируемая зона будет 0 метров, периметр размазан по субъекту РФ, в систему завязан целый ряд хозяйствующих субъектов и органов управления от федерального до муниципального уровня. О доверенном персонале я бы вообще не вел речь ибо его количество "тонет" в общей массе допущенного персонала...

                                              Комментарий


                                              • ИМХО, участники дискуссии в погоне за эффектными аргументами забыли простейшие истины ...

                                                1) При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования СТР-К носят рекомендательный характер.

                                                Посему примеры о полезности Айфона или CISCO IP-phone для нужд бизнеса, когда СТР-К к бизнесу не особенно применимы... из разряда "сферический конь в вакууме".
                                                Обладатели гос. инф. ресурсов не блещут "динамичным использованием" лэптопов, айфонов и прочей мобильной ИТ-техники.
                                                Для них требование соблюдения положений норм. документов превалирует над требованием адекватности защитных мер защищаемым ресурсам.
                                                Думаю, периметральная парадигма в виде СТР-К для обладателей гос. инф. ресурсов имеет все шансы на существование.

                                                2)Ценность активов и внедрение защитных мер, адекватных ценности активов, еще никто не отменял.

                                                Если (воспользуюсь примером А. Лукацкого) на лэптопе по CISCO IP-phone в аэропорту ведутся переговоры о контракте на несколько миллионов, то вариантов немного:
                                                1)либо бизнес принял риски утечки информации (например через микрофон направленного действия) и смирился с ним.
                                                2)либо переговоры из разряда "неуловимый джо"
                                                3)либо сотрудник (или безопасник) не осознают ценности информации, не предпринимают необходимые защитные меры и создают возможность возникновения инцидента ИБ.

                                                Касаемо СТР-К
                                                СТР-К неидеален и ФСТЭК это не отрицает.

                                                Пример, статья Л. А. Шивдякова (к. воен. н., академик, генерал-лейтенант, руководитель ФСТЭК на Дальнем востоке) "ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ".

                                                "6). Использование сертифицированных средств защиты информации и их соответствие классу защищенности.
                                                По данному вопросу существует множество споров и разногласий. Основной причиной тому являются разногласия в требованиях некоторых документов по защите конфиденциальной информации. Так, в СТР-К указано, что защита конфиденциальной информации должна осуществляться сертифицированными по требованиям безопасности информации средствами защиты. Порядок сертификации определяется законодательством Российской Федерации. Однако при отнесении автоматизированной системы к 3Б, 2Б, 1Г, 1Д классам защищенности от несанкционированного доступа руководящим документом Гостехкомиссии России Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации> использование сертифицированных средств защиты не предусмотрено.
                                                При проверке данного вопроса необходимо учесть, что Сборник руководящих документов по защите информации от несанкционированного доступа> был разработан в 1998 г., когда не учитывались новые информационные технологии, а СТР-К - в 2002 г., когда появились наиболее современные операционные системы, новое коммутационное оборудование, новые стандарты. "

                                                Понятно, что аргумент из той же серии что и "мне представитель ФСТЭК после совещания/семинара рассказал о ...", но тем не менее...

                                                Касаемо умирающей парадигмы.
                                                Лично мне очень импонирует подход, на этом форуме озвученный уважаемым малотавром: "каждый сегмент АС нужно защищать так, как будто в соседнем сегменте сидит злоумышленник".
                                                КЗ в понимании стр-к вещь хорошая, но уже не отвечающая современным технологиям.

                                                Комментарий


                                                • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  Принцип "вообще" я знаю. Я спрашивал, как вы его применяете к конкретной и практической ситуации. Вы не ответили. У меня обработка конфиденциальной информации ведется в облаке, принадлежащем не мне. И я даже не знаю, где физически располагаются сервера, обрабатывающие мою информацию. Вот как сюда вы СТР-К примените?
                                                  Чего это вы так - принадлежность облаков уже запатентована кем-то и России - это тех, что из воды - реальные облака которые. А то облако, о котором говорите Вы, имеет реальную физическую основу, элэнергию потребляет, а следовательно существует место, где "облако" находится физически. То, что оно не принадлежит Вашей компании - ничего не меняет:
                                                  - оборудование защищают физически и логически, резервируют его
                                                  - контролируют доступ к оборудованию и информации на нем расположенным
                                                  - доступ к информации регламентирован (кто, откуда, когда и с использованием каких устройств может ее получить)
                                                  Как описать с использованием СТР-К это взаимодействие - информации недостаточно.

                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  И поэтому они не подлежат защите по СТР-К?
                                                  Если принять, что мобильные устройства являются частью Сети, то не подлежат.

                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  СТР-К действует на конфиденциальную информацию, а не на места ее местонахождения.
                                                  Да, конечно. Вы видели безадресные аттестаты на АС? Или сами такие аттестаты выдавали?

                                                  Комментарий


                                                  • Сообщение от security_user Посмотреть сообщение
                                                    1) При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования СТР-К носят рекомендательный характер.
                                                    СТР-К - не обязателен.

                                                    Но появилось ПП330-2010...
                                                    Сообщение от security_user Посмотреть сообщение
                                                    Обладатели гос. инф. ресурсов не блещут "динамичным использованием" лэптопов, айфонов и прочей мобильной ИТ-техники.
                                                    См. чуть ниже мой пост про валидаторы и социальные карты

                                                    Увы... Но это как раз та самая мобильная техника у гос-ов/муниципалов...

                                                    Комментарий


                                                    • Сообщение от security_user Посмотреть сообщение
                                                      1) При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования СТР-К носят рекомендательный характер.
                                                      Ну если ты заметил начало спора, то Идущий заверяет, что проблемы применения СТР-К нет и в частных конторах. Об этом и спорим.

                                                      Комментарий


                                                      • Сообщение от Идущий Посмотреть сообщение
                                                        Как описать с использованием СТР-К это взаимодействие - информации недостаточно.
                                                        А какая нужна? У меня облако находится за границей, персонал обслуживающий облачную инфраструктуру тоже заграничный. Я даже не знаю имен этих людей. Собственно, как я заранее не знаю, на каком физическом сервере будет моя информация храниться. Сегодня она в Лондоне, завтра в Праге, послезавтра в Бангалоре... Я заранее не могу (да и аутсорсер тоже) знать, где будет обрабатываться информация. Ну признайте же, что СТР-К не в состоянии решить такие проблемы. Что ж вы на своем-то стоите... Это ж больно ;-)

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Если принять, что мобильные устройства являются частью Сети, то не подлежат.
                                                        А с чего вдруг? Мобильное устройство, содержащее конфиденциальную информацию, либо АП, либо АС.

                                                        ЗЫ. А я еще не рассматриваю ситуацию с 4-м разделом СТР-К, в котором говорится о защите речевой информации и одно из требований - вести переговоры в защищенном и контролируемом помещении.

                                                        Комментарий


                                                        • Сообщение от Toparenko Посмотреть сообщение
                                                          СТР-К - не обязателен.

                                                          Но появилось ПП330-2010...
                                                          В публичном доступе не нашел = посему не считаю, что он обязателен к исполнению.

                                                          Сообщение от Toparenko Посмотреть сообщение

                                                          См. чуть ниже мой пост про валидаторы и социальные карты

                                                          Увы... Но это как раз та самая мобильная техника у гос-ов/муниципалов...
                                                          ... и периметральная парадигма сдает свои позиции еще на одном поле
                                                          ФИО паспортные данные да еще и радиоканал ... это сильно

                                                          __
                                                          На самом деле, сами используем ноутбуки за пределами КЗ. Но при этом имеется много граничных условий: 1) ноутбуки обвешаны средствами защиты как бродячие собаки блохами , 2) сотрудники, работающие с ними, меняются редко, 3) ноубуки используются почти в чистом поле, где легко заметить злодейский фургончик с аппаратурой съема ЭМИ

                                                          Комментарий


                                                          • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            А какая нужна? У меня облако находится за границей, персонал обслуживающий облачную инфраструктуру тоже заграничный. Я даже не знаю имен этих людей. Собственно, как я заранее не знаю, на каком физическом сервере будет моя информация храниться. Сегодня она в Лондоне, завтра в Праге, послезавтра в Бангалоре... Я заранее не могу (да и аутсорсер тоже) знать, где будет обрабатываться информация. Ну признайте же, что СТР-К не в состоянии решить такие проблемы.
                                                            Я могу поверить, что аутсорсер не сможет предположить откуда будет осуществляться обращение к информации, но поверить, что аутсорсер не знает где стоит его оборудование (это на нем хранится информация) - не могу.
                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            Что ж вы на своем-то стоите... Это ж больно ;-)
                                                            Да, больно.

                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            А с чего вдруг? Мобильное устройство, содержащее конфиденциальную информацию, либо АП, либо АС.
                                                            Заявленный Вами в примерах уровень конфиденциальности информации допускает, что это может быть и иной вариант, нежели АП или АС.

                                                            Комментарий


                                                            • Сообщение от Идущий Посмотреть сообщение
                                                              Я могу поверить, что аутсорсер не сможет предположить откуда будет осуществляться обращение к информации, но поверить, что аутсорсер не знает где стоит его оборудование (это на нем хранится информация) - не могу.
                                                              Где стоит оборудование он знает. Но где на нем обрабатывается информация нет. Точнее знает. В каждый конкретный момент времени. Но заранее... увы. Сегодня у вас это лежит в Праге. Завтра, на сервера Праги пошел overloading и система сама принимает решение разгрузить сервера в Праге и перенести данные в Лондон. А послезавтра в Бангалор. И так может меняться постоянно. Какой вариант может предложить СТР-К? Все потенциальные места обработки данных отнести к КЗ. Но этого делать увы, никто не будет. Т.к. аутсорсеру в Праге, в общем-то плевать на требования российских документов. И даже если это попробовать сделать, то как я, будучи российским юрлицом, составлю и утвердю у своего начальника список допущенных к КЗ лиц, если я их сам не знаю? Или вы предлагаете мне взять список сотрудников аутсорсера, сидящих в десятках точек по всему миру, и включить их в список доверенных персон?

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X