id: Гость   вход   регистрация
текущее время 12:08 28/03/2024
создать
просмотр
ссылки

безопасность внутри компании


Добрый день.
Уважаемые форумчане, хотел бы поднять такой вопрос, как практическая безопасность внутри компании.
С точки зрения IT все понятно – сервера за границей, почта покрывается GPG, переписка ведется на своем xmpp-сервере. Мой вопрос касается именно бумаг, соглашений о неразглашении, хранения документов, ответственности за распространение корпоративной тайны, интеллектуальной собственности, пособничестве в утечке информации и прочего.
Поделитесь пожалуйста Вашим практическим опытом в реализации безопасности и закрытия этих вопросов.
К примеру недавно студент, работающий в AutoCAD, продал часть конструкторской документации и наработок, после чего решил уволиться. Как защитить разрабатываемы исходный код.
В общем интересует именно человеческо-правовой фактор. Ну и конечно защита от рейдерства.


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— unknown (21/05/2014 09:35)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Может кто-то и ответит, раз тема в оффтопике. Но ведущие местные участники негласно решили, что такие вопросы вне рамок интереса проекта.
«Сайт посвящён вопросам безопасности и анонимности отдельных лиц или малых любительских сообществ. Государственную, корпоративную и коммерческую безопасность здесь стараются не обсуждать».
— ressa (21/05/2014 10:58)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Это сложный вопрос, мне самому было бы интересно узнать опыт чей-нибудь. От себя могу сказать, что документы передавать и хранить лучше в сейф-пакетах, глупое название, но общепринятое. В оригинале securepack. Прочный, герметичный пластик с уникальным номером, вскрыть который бесследно невозможно. От кражи не спасет, а вот от недобросовестных сотрудников, желающих сфотографировать – пойдет. Опечатывать двери комнат, где хранятся документы. Подписывать NDA со всеми должностными лицами. А вот на счет защиты разработок и уж тем более кода – не знаю, но самому интересно. Мне кажется, что должна вестись модульная разработка проекта, а итоговая компиляция делаться отдельным человеком. Ну т.е. децентрализация разработки своеобразная. Хотя тоже от проекта зависит. Я задавался этим вопросом для себя, и с моим копеечным бюджетом пришел к этому выводу. 5 фрилансеров кодят отдельные модули, а по готовности уже нанятый по ГПХ лично человек, после подписания NDA начинает собирать в твоем присутствии. Ну и последующей поддержкой заниматься.
unknown, а почему коммерческая попала в этот список? Ну государственная – понятно, слишком много политоты и тролей набежит. А коммерческая? Здесь же вроде только во благо.
— unknown (21/05/2014 11:17, исправлен 21/05/2014 11:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Потому что в реальности часто можно получить прибыль, положив на безопасность. А избежать убытков, прибегнув к страховкам, переложив ответственность на аутсорсеров безопасности, засудив конкурента. Т.е., работодатель заинтересован сначала в получении прибыли и только как во вспомогательном инструменте — в обеспечении инфобезопасности.


Работник в коммерческой организации заинтересован в получении зарплаты, отсутствии штрафов и выговоров. В соблюдении инфобезопасности даже лояльный работник напрямую не мотивирован.


Т.е., инфобезопасность ни для наёмного работника, ни для работодателя не является важной, самоопределяющей целью. Они больше действуют по законам правового и коммерческого поля.


Дополнительно, компании часто интересуют DRM-схемы безопасности, безопасность через неясность и пр.



Коммерческий софт и софт с закрытыми исходниками — неизбежное зло. Неблагодарно помогать его созданию, по крайней мере, пока тебе лично за это не платят.


Как создать общество, в котором все технические разработки являются открытыми и свободно доступными для копирования — никому неизвестно, разводить фантазии на эту тему неохота, но и помогать бесплатно коммерсантам удерживать общество в состоянии устаревшей парадигмы отношений к информации — бесперспективно и неинтересно.

— Гость (21/05/2014 12:16)   <#>
Как создать общество, в котором все технические разработки являются открытыми и свободно доступными для копирования — никому неизвестно

Достаточно снять государственную защиту с коммерческих программ, т.е. отменить ответственность за так называемое "пиратство". Поскольку спрос на ИТ останется, это приведёт к перераспределению финансирования в пользу открытого ПО.
— ressa (21/05/2014 12:25, исправлен 21/05/2014 12:28)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

По поводу отношения к ИБ – не соглашусь. Ну это у всех разный опыт и мнения – тоже разные.
На счет DRM – ну в качестве обеспечения защиты от перепродажи и копирования оборудования – вполне себе. Так же DRM спасает от, как тут любят выражаться – гэбни, в случае, если оборудование идет на экспорт и может нарушить наложенное эмбарго на производимую конечную продукцию. В частности – нефтепродукты. В таком случае DRM несет добро. Особенно если компания небольшая и развивается за счет собственных средств учредителей.
По поводу коммерческого софта – я согласен, но мой случай здесь неуместен. Это не коммерческий софт, а реализация тематического продукта для узкого круга людей. А серверная часть закрыта в целях безопасности самих же участников. Модель изначально была тоже не еврейская, порог вхождения бесплатен, с учетом того, что все участники знакомы друг с другом, а вот процент от сделок – да, будь любезен. Так что неизбежного зла и зондов – точно никаких нет. Сам же я сторонник открытого ПО, и считаю, что пользуюсь им заслужено по ряду причин, исходя из того, что любой труд должен быть оплачен.

но и помогать бесплатно коммерсантам

Ок, как ты видишь возмездную помощь и во сколько это оцениваешь? Может имеет смысл сделать и коммерческий уклон?
Мне просто интересно, сколько ориентировочно и какие конкретно услуги ИБ могут стоить? А тематика топика довольно размытая и общая, здесь я не вижу цены за совет. А вот конкретный случай – да. Да я бы даже сам лоббировал нормального специалиста ИБ, но мы же тут все анонимы, и пидорги мониторят форум этот. Поэтому логичный вопрос – как ты это видишь? Я просто действительно не понимаю, как в рамках форумного общения можно привлечь здесь сидящих специалистов. Bitcoin – понятно, а передача информации? Ну т.е. получается как всегда – способов оплаты – полно, а проверки достоверности реализации той или иной задачи – в разы меньше, как собственно и безопасности процесса.. Или я чего-то недопонимаю?


Достаточно снять государственную защиту с коммерческих программ, т.е. отменить ответственность за так называемое "пиратство". Поскольку спрос на ИТ останется, это приведёт к перераспределению финансирования в пользу открытого ПО.

Есть ряд продуктов, которым пока нет достойной замены. Благо, я не из ряда их пользователей, но на своем опыте знаю, что всякого-рода CADы, Photoshop пока не заменимы. Хотя видел хорошее решение: поднималась виртуалка XP, ставился нужный софт, делался двусторонний буфер обмена и выносился ярлык на рабочий стол – костыль дикий, но тем не менее))

— unknown (21/05/2014 12:39, исправлен 21/05/2014 12:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Никак. Исходим из того, что специалисты к работам на стороннего частного заказчика принципиально непривлекаемы, довольны своим окладом, рабочим местом и незаинтересованы в подработках. Если что-то делают, то только для свободного сообщества и забесплатно.



В конторе — да. Потому что надо подстраиваться под большинство и под совместимость форматов для обмена с другими конторами. По поводу того, что свободный софт в области растровой, векторной и трёхмерной графики м.б. даже лучше коммерческих аналогов — можете спросить у SATtva и других энтузиастов.


То, что коммерческий софт кое-где незаменим — это больше ситуация замаскированного принуждения к выбору, а не недостатков только модели разработки.



Это почти полностью совпадает и с моим личным мнением. Также необходимо отменить патентование. Как решать проблемы с тем, что некоторые отрасли не выживут и не только среди программ (кинематограф, например) — не знаю. С утратой части областей можно смириться, может от этого даже была бы польза обществу. Но негативный эффект тоже может быть и как его оценить и уменьшить — вопрос нерешённый. В будущем по мере развития технологий вообще возможен полный слом всех привычных экономических (и не только) отношений.

— ressa (21/05/2014 12:48)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Ну вот и как обойти это принуждение к выбору? Я его ощущаю в совместимости формата MS Office, дело даже не в привычки работы – сотрудников переучить и пересадить за другой софт – дело не сложное.А вот на счет обмена с другими конторами – тут ты прав полностью. Ну и лобби – тоже Сколково все эти CADы бесплатно раздает, ну или совсем за копейки, а там уже никто ничего менять не будет, коль "перепало на халяву".
Мне все-равно кажется, что все коммерческие продукты умрут, причем в самое ближайшее время. Если, конечно, открытые аналоги не будут уступать коммерческим. По всем фронтам, не только по узконаправленным.
— unknown (21/05/2014 12:54)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Проблема в будущем вообще будет стоять в контроле над деньгами и технологиями. Традиционные методы конкуренции, налогообложения и поддержания госбюджета в технократических обществах работать не будут. Будет куча мучительных кризисов, прежде чем додумаются, как это всё уладить. Такие вот гримасы прогресса.
— Гость (21/05/2014 13:01)   <#>
Есть ряд продуктов, которым пока нет достойной замены. Благо, я не из ряда их пользователей, но на своем опыте знаю, что всякого-рода CADы, Photoshop пока не заменимы.

Во время переходного периода возникнут сложности, которые тем не менее решаемы (той же виртуалкой например). Но речь идёт о перспективе, а не о сиюминутных удобствах.
— ressa (21/05/2014 13:43)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
unknown, ну это ты совсем далеко заглянул, видимо. Меня интересует будущее мое и моих детей. А о дальнейшем пусть мои дети думают, и желательно – так же, чтобы в иллюзиях не прибывать и не фантазировать. Но в любом случае – я с тобой в этом согласен. Вот только в обозримом будущем нас ждут лишь кризисы. Если взять за основу беглого технического анализа опыт прошлого и суть технократии – то все-равно возникает формирование "элиты", которая, как известно перерастает в то, что мы можем наблюдать в данный момент практически во всех государствах. Я собственно о том, что в общественном строе технократии – процессы производства и распределения ресурсов, по идеи модели должны находиться под контролем общества и делегироваться наиболее квалифицированным специалистам, здесь собственно и есть слабое звено. Не смотря на то, что соц.структура технократического общества базируется на знаниях и навыках, а не на отношениях собственности и денег. Опять таки – сколько лет должно пройти для этого всего? Пока идет борьба за сырье, а как известно вся экономика существует в условиях ограниченных ресурсов – борьба только сильнее и ожесточеннее будет. Дизеля завалили по заговору угольных и паравозных магнатов, так же и сейчас приглушаются разработки альтернативного топлива. Так что мне кажется, что нефтяной и сырьевой "базы" на наш век точно хватит. Да и политики свое место не уступят. Ну если конечно чего-то внезапного не произойдет.
— Гость (22/05/2014 00:12)   <#>

Хорошо распиаренная иллюзия. Классические примеры известны: для мастеров деньги (их отсутствие) не проблема. Экономическая модель индустрии загнется сама по себе в ближайшие годы (общее место в рассуждениях на тему, что мы ждем двух-трех подряд провальных блокбастеров). Ну а с книгоизданием, новостми и музыкой всё ясно уже сейчас.

Вообще все, кто с делигированием прав на интеллектуальную собственность сталкивался, наверное, знают (или догадываются), что речь идет в первую очередь о сверхдоходах. Авторы (даже со всеми своими пресловутыми роялти) получают меньше всех, 10% участников контролируют 90% рынка, но и в этой десятке сильные игроки — контролеры процесса, а не непосредственные агенты. Самое удивительное (мы это знаем по open source), это что если сверхдоходов нет, "рынок" всё равно работает (интернет работает не на проприетарном софте).

Можно сказать, что модель уже есть, мы ее просто не идентифицируем или не считаем серьезной. Если есть проект и нужно (кому-либо) keep it running, средства находятся.

Какова модель рабочей группы, созидающей конкурентный проект? Как заставить людей работать ответственно, если нет возможности или желания брать в заложники, допустим, семьи подчиненных? Аутсорсить это дело кому-либо еще? Это проблема организационной культуры. Об этом много книжек, но основные вещи понятны интуитивно.

Проект должен быть общим, его участники должны быть заинтересованы в его успехе. Банально, да? А работает.
— ressa (22/05/2014 13:49, исправлен 22/05/2014 13:52)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Экономическая модель индустрии загнется сама по себе в ближайшие годы

Мне кажется, что бОльшая часть людей все-таки смотри ТВ и всякую херню, т.ч. не факт, что прям совсем скоро загнется. С точки зрения смысла – загнулась давно. Но с точки зрения нормы прибыли – наоборот. Снимать говно – дешевле, нанимать бездарей и студентов начальных курсов театральных ВУЗов – тоже дешевеле. А вот ЦА не уменьшилась, потому, что общий уровень культуры и образования оставляет желать лучшего. Так что как я думаю – норма прибыли пошла вверх. Могу ошибаться, т.к. последнее, что из отечетсвенного смотрел – это был Адмирал. И то до него тоже ничего не смотрел. А в кинотеатре был в школьные годы последний раз.
Мне кажется, что экономику нужно рассматривать в целом а не по отраслям. Потому, что много факторов играет, если рассматривать именно сегментированно. В марте экономика просела на 1.5%, не будем уподобляться бабкам и говорить про Крым и санкции..Просела и все..
Тут больше даже ЖКХ играет, чем санкции. Отопительный сезон закрыт – газа меньше, электричества меньше, горячей воды – меньше. В целом за квартал вышло -1.0% в год – разница с официозом более, чем стандартная: спад никуда не делся. Стагнация в разгаре.
Теперь вкратце по показателям:
-Инвестиции -1.7% после +1.4% в феврале;
-Строительство -0.7% вместо +0.6%;
-Индустрия +0.1% против +1.0% (ну эт коммуналка подкачала, как я и писал. В смысле коммунальный сектор)
-Доход людей -2.8% после +1.6%;
-Зарплата -0.2% – без изменений)));
Платные услуги – в минусах, что характерно – кэша нет, все ТВ смотрят и пивас пьют.
А вот розница дала резкое ускорение – +0.9% вместо +0.4%. Ну это тоже понятно – полупаническая реакция на девальвацию рубля...
Но везде плюсы и минусы, пока народ пьет свой пивас, смотрит ТВ и сидит в ВК, и под соусом краха начинает потреблять – внешняя торговля показала себя хорошо, обогатившись на долбоебах-потребительях внутреннего рынка.
Так вот – экспорт +5.5% в год, и, внимание, – импорт -6.6%. Все отлично, ведь чертово сальдо +20 ярдов..
Это же, блин, впервые за два года (стыд и позор, если без сарказма..)
Так что все на столько неоднозначно, что говорить на эту тему можно долго. Мне вот датамайнинг и кодинг больше интересен – научите)))

— Гость (22/05/2014 22:59)   <#>

Я имел в виду эту модель блокбастерного кинематографа, в отличие от кинематографа как искусства (Искусства). Само собой, что индустрия огромна, там много частностей, они живут своей жизнью. Это не наши, это американские продюсеры говорят, что все эти Нои-Аватары и т.д. не есть тренд на будущее.
Если вы про безопасность, то
Всегда будут проблемы, связанные с розничной торговлей (кассир сбежал из палатки, унес 300 р. и бутылку пива Афанасий) (оператор коллцентра унес датабазу клиентов и зарегистрировал ООО с похожим названием). Но как только уровень повышается, эти проблемы становятся либо невозможными (торговая сеть, даже алкоголику выгодней остаться), либо немыслимыми (ты не можешь скопировать экон. модель амазона, потому что она не будет работать). Венчурный капитал в день имеет десяток Больших Идей Способных Перевернуть Мир, но от идеи до реализации такой gap, что кто реализует (может только безумец, который придумал, по большому счету), тот и собственник. Та же ситуация в сфере академических изысканий — если удастся доказать безумную гипотезу, даже если не с тебя она началась, теория будет носить имя того, кто доказал, на прочих достаточно ссылки. Про софт мы знаем много примеров огромных проектов, едва сводящих концы с концами.

Еще в конце 90-х, когда был бум доткомов, была поп. теория, что теперь каждая экономическая модель (каждого предприятия) уникальна. (Невозможно скопировать амазон.) Это всегда так было, просто изменилась степень (но не радикально, потому что, например, появился гугл, отбросивший многих игроков на их же поле). Если экон. модель начинает работать не на розничном уровне, как правило, все заинтересованы в сохранении текущей конфигурации (бизнеса и т.д.). Что-то не то в модели, если не так... :)
— ressa (23/05/2014 00:46)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Если вы про безопасность, то

Не, я про аналитику и статистику.
Всегда будут проблемы, связанные с розничной торговлей

Мне кажется, что розничную как раз и проще контролировать. И операторов\менеджеров с базами – подавно. Зачастую у них ничего не получается. Потому, что на словах все просто, и юр.лицо открыть не сложно. А потом, идя по пути упрощения удивляются, почему клиенты отказываются работать из за УСН, ну т.е. пытаясь не угарать на НДС – теряют клиентов. Или когда речь идет о логистике и тд. Про ВЭД вообще молчу. Вопрос в том, что если это тупо барыжничество – купил на общем складе в МСК и перепродал дороже – ну это не бизнес. По поводу "Больших Идей Способных Перевернуть Мир" – ой, сколько повидать пришлось их.. Чаще всего даже проинвестированные проекты, имеющие лабораторный образец – терпят крах при переходе в хотя бы опытно-промышленный образец. а по поводу "кто реализует – тот и собственник" – по сути это верно, главное инвесторов и партнеров порядочных находить. Люди науки не всегда могут нормально вывести продукт на рынок. Есть человек такой, с 80х изобретал модули биоремидиации, в итоге уговорив за эти 30 лет купить их – везде обосрался – ничего не работало и гниет стоит. Только ему менеджмент наладили, влили порядка 200млн – все нормально пошло. Благо собственник хороший человек, не смотря на скотские поступки этого конструктора – жалеет его и исправно платит не малые деньги. Так что все относительно. Коммерсы ругают технарей, а технари коммерсов.
На счет уникальности каждой модели – не могу согласиться, вопрос в том, что если кто-то сработал на опережение – его тяжело обогнать – это да. А так – индивидуально все.
— Гость (25/05/2014 00:16)   <#>

Есть знаменитый пост ntldr на эту тему, но помимо него ничего такого никто вроде не писал.


Всё так. Перефразируя один комментарий, имеем:

кидалово в этой сфере встречается более чем часто. Реально надежные поставщики ... сидят в приватах и не палятся. Самые опытные работают по наработанным контактам и берут новых клиентов только по рекомендации. Для постороннего очень сложно найти кто бы действительно оказал такую услугу.

С теми или иными поправками это же можно сказать почти про любую высокотехнологичную услугу. С учётом того, что коммерческая деятельность в крипто в РФ подлежит лицензированию, легально с ИБ мало кто захочет связываться. Те, кто захотят, будут это делать анонимно. На что тут можно полагаться — только на рекомендации и уже наработанные связи в области; смотреть, какие сделанные успешные проекты за кем числятся (если это возможно) и т.д.


Кинематограф — это мелочи. Люди говорят о более серьёзных проблемах — например, о разработке новых лекарств и прочей медицины. Это безумно дорого создать, но нетрудно скопировать. Если многомиллиардные инвестиции перестанут окупаться, прогресс остановится, мы будем лечиться только тем, что уже есть, никому будет не выгодно вкладываться в развитие медицины — оно попросту не окупится. Предлагается не отменять полностью все патенты, а ввести строгие ограничения на то, что может и что не может быть запатентовано, а также существенно сузить срок, на который патент может быть выдан (причём без права его продления). Типа в фармацевтике выдавать патенты лет на 15, в прочей технической индустрии — на 5-10, а код и алгоритмы вообще запретить к патентованию. Это мнение не моё, если что, но оно, на мой взгляд, интересное.


Проводя параллель с «принцип медведя против принципа Керхгоффса» можно сказать, что, наверно, есть области, где открытый софт практически нежизнеспособен. Одно дело — когда есть широкое коммунити, которое будет анализировать код, коммитить патчи, отлавливать баги, и совсем другое дело — узкоспециализированные индустриальные задачи с соответствующим софтом, который нужен буквально единицам. Грубо говоря, 5 человек его написали и ещё 10-20 будут его использовать и поддерживать. Какой смысл раскрывать код? Кто его будет читать, кроме как с целью найти уязвимость и приватно ей воспользоваться?

Ну, и всякие слова из старинного Реймондовского «собор vs базар» тоже можно вспомнить. Например, публикация академических исследований — это пример именно соборной, а не базарной разработки (примером последней была бы «open science» или, точнее, «open notebook science»).

Иногда проприетарщики хоть какую-то ответственность несут за продукт, поскольку могут быть наказаны рублём, а оупенсурсу хоть ссы в глаза — всё божья роса («just for fun», «критикуешь ⇒ предлагай», «nobody cares», «сделай лучше сам, если тебе надо», «мы никому ничем не обязаны», «no warranty: may it your cats и т.д.», «разработчики хотят есть»). Примеров и аргументов в обратную сторону тоже предостаточно. Есть и слова про порог вхождения, про квалификацию и т.д. Примеров просто пародийного GNUтого говнокода написанного очередными не осилившими матчасть лузерами тоже хватает.

Вообще, первые 10-15 лет развития оупенсорса — это сплошная кража идей и интерфейсов с проприеатарных коммерческих систем. Не скажу что это плохо, что-то даже было улучшено и всё такое, но хотелось бы, чтоб народ создавал в том числе и своё, а не только копировал. Я как бы тоже всеми четырьям за открытый и свободный код, но это не отменяет как вышесказанных аргументов, так и того, что правило Вагнера продолжает работать.
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3