Это "неправильные" безопасники, только бумажные. Поверьте, таких становится всё меньше. Не всем нужны оценки соответствия, аттестации и сертификации, но, к сожалению, в последнее время всё больше гайки закручивают.
Доступ к данным продуктива для обучения ML больше должен интересовать владельца данных и юристов, надеюсь, что у Вас безопасникина основе их решения ограничивают, а не для того, чтобы показать собственную значимость.
Хотят, чтобы работали в понятных системах, потому что лень разбираться в новых (хотя по первому предложению их скорее всего формальными бумажками завалили и времени нет).
Это Вы описали свои мечты, как должно быть? Вангую, что на третьем шаге любой более-менее ценящий себя разработчик будет бежать от такой госухи. Ну или у Вас очень спецефические продукты, где очень узко-направленные разработчики.
Тем куча, нарисовать можно всё что для граза приятно.
А вот функцилнальность не развивается (хотя можеь это просто здесь консерватизм приветствуется). Например нет динамических рабочих столов (когда не задаешь в настройках определенное количество, а можно в процессе запуска новой программы сразу перекинуть её на новый сразу же созданный рабочий стол).
Там самое главное церемония. И интересно как к реальной защите данных относятся специалисты с лицензтей ТЗКИ (не исключаю, что из их составе есть действительно хорошие специалисты)
Понятно, что статья ради того, чтобы записались на курс. Но зачем все скрипты в виде картинок не лучшего качества публиковать (может конечно стал хуже видеть :)
И скрипт нужно немного подправить
#!/bin/bash
# Creating a script that adds a new user on a local system.
# A username must be supplied as an argument to the script.
# Optionally, provide a comment for the account as an argument.
# A password will be automatically generated for the account.
# The username, password, and host for the account will be displayed.
# Make sure the script is being executed with superuser privileges.
if [[ "${UID}" -ne 0 ]]
then
echo 'Please run with sudo or as root.'
exit 1
fi
# If they don't supply at least one argument, then give them help.
if [[ "${#}" -lt 1 ]]
then
echo "Usage: ${0} USER_NAME [COMMENT]..."
echo 'Create an account on the local system with the name of USER_NAME and comment field of COMMENT.'
exit 1
fi
# The first parameter is the user name
USER_NAME="${1}"
# The rest of the parameters are for the account comments.
shift
COMMENT="${@}"
# Generate a password
PASSWORD=$(date +%s%N | sha256sum | head -c48)
# Create the account.
useradd -c "${COMMENT}" -m ${USER_NAME}
# Check to see if the useradd command succeeded
# We don't want to tell the user that an account was created when it hasn't been.
if [[ "${?}" -ne 0 ]]
then
echo 'The account could not be created.'
exit 1
fi
# Set the password
echo ${PASSWORD} | passwd --stdin ${USER_NAME}
# Check to see if the passwd command succeeded.
if [[ "${?}" -ne 0 ]]
then
echo 'The password for the account could not be set.'
exit 1
fi
# Force password change on first login.
passwd -e ${USER_NAME}
# Display the username, password, and the host where the user was created.
echo
echo 'username:'
echo "${USER_NAME}"
echo
echo 'password:'
echo "${PASSWORD}"
echo
Смог осилить текст. Много таких есть подразделений по ИБ. Руководитель из бывших погон. Набирает к себе своих сослуживцев, которые после выхода на раннюю пенсию на гражданке не смогли себя найти. Почти полностью подразделение становится бумажниками. А по факту работает один сотруник, или не служивший или младший по званию.
Я конечно понимаю, что авторы статей не вникают и быстрее быстрее стараются опубликовать текст, чтобы быть первыми. Но давайте не перемешивать термины:
Аттестация информационных систем
Сертификация программного обеспечения
Лицензия на виды деятельности (например, деятельность по разработке и производству средств защиты информации - по безопасной разработке пока не регламентировано)
Ну а что конкретно хотели донести авторы статьи знают только они :)
Никто закладок не боялся, приказали убегать потому, что нужно как-то кормить отечественных разработчиков ОС. А то, что они просто названия меняют в пакетах, не редко нарушая лицензиии и никаких проверок не проводят, пренебрегают.
Зависит от того, насколько заказчик смог составить (вычитать) ТЗ исполнителю. Вот и получается, что интегратор выпускает пачку шаблонных документов, только изменяя названия заказчика. Заказчик считает, что обложен этими бумажками и ничего больше делать не нужно.
Риски в банке бывают разными. Например не могу припомнить, когда при сработавшем риске утечки персональных данных сотрудников этого банка всем необходимо было искать работу.
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..
ИТшники - это пол дела, с ними все таки можно договриться. Но ведь ИБ не компьютеры, операционные системы защищает, а информацию и бизнес-процессы. Вот с другими подразделениями действительно серьезные проблемы возникают (особенно с тем, кто считает, что за всю компанию бабки зарабатывает, а все остальные нахлебники).
В универах прежде всего должны давать знания, как получить знания (какой бы это тавтологией не было). Уже к окончанию ВУЗа все знания по ИБ, которые там давались, устаревают. И потом приходят кандидаты, способные работать только по инструкциям.
У каждого свой путь, но все они схожи
https://www.digitalocean.com/community/tutorials/how-to-harden-linux-security
https://www.linode.com/docs/guides/securing-your-server/
https://www.cyberciti.biz/tips/linux-hardening-checklist.html
https://www.linux.com/training-tutorials/hardening-linux-server/
https://www.tecmint.com/linux-server-hardening-security-tips/
https://www.howtoforge.com/linux_server_hardening
https://www.linuxsecurity.com/resource_files/whitepapers/linux-server-hardening-checklist.pdf
https://www.linux.com/news/hardening-linux-server-part-1
https://www.linux.com/news/hardening-linux-server-part-2
https://www.linux.com/news/hardening-linux-server-part-3
https://www.linux.com/news/hardening-linux-server-part-4
https://www.linux.com/news/hardening-linux-server-part-5
https://www.linux.com/news/hardening-linux-server-part-6
https://www.linux.com/news/hardening-linux-server-part-7
https://www.linux.com/news/hardening-linux-server-part-8
https://www.linux.com/news/hardening-linux-server-part-9
https://www.linux.com/news/hardening-linux-server-part-10
https://www.linux.com/news/hardening-linux-server-part-11
https://www.linux.com/news/hardening-linux-server-part-12
https://www.linux.com/news/hardening-linux-server-part-13
..ю
Это "неправильные" безопасники, только бумажные. Поверьте, таких становится всё меньше. Не всем нужны оценки соответствия, аттестации и сертификации, но, к сожалению, в последнее время всё больше гайки закручивают.
Доступ к данным продуктива для обучения ML больше должен интересовать владельца данных и юристов, надеюсь, что у Вас безопасникина основе их решения ограничивают, а не для того, чтобы показать собственную значимость.
Хотят, чтобы работали в понятных системах, потому что лень разбираться в новых (хотя по первому предложению их скорее всего формальными бумажками завалили и времени нет).
Главное вовремя выявить и признаться самому себе, что что-то не то
Это Вы описали свои мечты, как должно быть? Вангую, что на третьем шаге любой более-менее ценящий себя разработчик будет бежать от такой госухи. Ну или у Вас очень спецефические продукты, где очень узко-направленные разработчики.
Есть личный номер телефона, есть служебный. Так же и с почтой.
Ну не все... ну в части публикации инструкций по обходу блокировок например...
Тем куча, нарисовать можно всё что для граза приятно.
А вот функцилнальность не развивается (хотя можеь это просто здесь консерватизм приветствуется). Например нет динамических рабочих столов (когда не задаешь в настройках определенное количество, а можно в процессе запуска новой программы сразу перекинуть её на новый сразу же созданный рабочий стол).
Там самое главное церемония. И интересно как к реальной защите данных относятся специалисты с лицензтей ТЗКИ (не исключаю, что из их составе есть действительно хорошие специалисты)
Понятно, что статья ради того, чтобы записались на курс. Но зачем все скрипты в виде картинок не лучшего качества публиковать (может конечно стал хуже видеть :)
И скрипт нужно немного подправить
Смог осилить текст. Много таких есть подразделений по ИБ. Руководитель из бывших погон. Набирает к себе своих сослуживцев, которые после выхода на раннюю пенсию на гражданке не смогли себя найти. Почти полностью подразделение становится бумажниками. А по факту работает один сотруник, или не служивший или младший по званию.
Я конечно понимаю, что авторы статей не вникают и быстрее быстрее стараются опубликовать текст, чтобы быть первыми. Но давайте не перемешивать термины:
Аттестация информационных систем
Сертификация программного обеспечения
Лицензия на виды деятельности (например, деятельность по разработке и производству средств защиты информации - по безопасной разработке пока не регламентировано)
Ну а что конкретно хотели донести авторы статьи знают только они :)
Никто закладок не боялся, приказали убегать потому, что нужно как-то кормить отечественных разработчиков ОС. А то, что они просто названия меняют в пакетах, не редко нарушая лицензиии и никаких проверок не проводят, пренебрегают.
Тут смешалось. В первоисточнике ничего нет про аттестацию систем, только про сертификацию средств.
Зависит от того, насколько заказчик смог составить (вычитать) ТЗ исполнителю. Вот и получается, что интегратор выпускает пачку шаблонных документов, только изменяя названия заказчика. Заказчик считает, что обложен этими бумажками и ничего больше делать не нужно.
Риски в банке бывают разными. Например не могу припомнить, когда при сработавшем риске утечки персональных данных сотрудников этого банка всем необходимо было искать работу.
Какая хорошая с сантехником аллегория. Но, к сожалению, руководство компаний не понимают этого, пока не потечет. А отношения между ИБ и другими подразделениями должно быть обеспечено руководством (как и другие подразделения между собой), а не как нибудь сами..
Несмотря на то, что бабки живые, они хоть застрахованы, да и перед клиентами у банков, как показывает практика, не так много обязательств
ИТшники - это пол дела, с ними все таки можно договриться. Но ведь ИБ не компьютеры, операционные системы защищает, а информацию и бизнес-процессы. Вот с другими подразделениями действительно серьезные проблемы возникают (особенно с тем, кто считает, что за всю компанию бабки зарабатывает, а все остальные нахлебники).
Самое обидное потратить деньги на аудит и не воспользоваться результатами
В универах прежде всего должны давать знания, как получить знания (какой бы это тавтологией не было). Уже к окончанию ВУЗа все знания по ИБ, которые там давались, устаревают. И потом приходят кандидаты, способные работать только по инструкциям.