Цитата:
|
Сообщение от avgera
Классификация статусов и уровней конфиденциальности (5-я буква в этом слове, кстати - "и") инфы должна быть сначала закреплена административно.
[...]
Наложить же статус такого уровня конфиденциальности, что документ должен будет храниться как-то иначе, должно быть привилегией только высших должностных чинов.
|
Политики конфеденциальности разрабатывают не сисадмины, а те, кто управляет бизнесом. Сисадмин, в большинстве случаев, понятия не имеет о том, какая инфа проекта сенситивная и что надо защищать от утечек. Откуда ему это знать? Он не работает с заказчиками, не осуществляет поставки продукта, он блин даже не знает что там внутри!
О присвоении статуса конфиденциальности: часто бывает официально принято, что по проекту Х вся документация, касающаяся алгоритмов, структур данных и результатов исследований -- конфиденциальна. Если я пишу для этого проекта документ, я автоматически создаю классифицированную информацию. Если я беру из репы код в воркспейс, я копирую классифицированную информацию к себе на комп. Мне чё, к топ менеджменту каждое утро идти и спрашивать письменного разрешения немного поработать?
Дело обстоит несколько иначе. Есть менеджмент проектов, который занимается классифицированием информации. И раздаёт людям права доступа к ней! Право на работу с классифицированной информацией -- это фича конкретного человека, и запросто может быть такое, что я весь такой оранжевый или красный, а сисадмин для этого проекта вообще прозрачный (никто). Просто потому, что он, с точки зрения проекта, вообще сантехник, который на этом этаже унитаз прочистить пришёл.
Цитата:
|
Сообщение от avgera
Доступ к контенту девелоперских репозиториев админам - да, не нужен. Ибо он, этот контент, на ИБ не влияет.
|
Ну ты просто мастер политкорректности.
Им доступ туда не то что не нужен, а, скажем прямо, запрещён! И ценность с точки зрения ИБ представляет именно контент репы, а не сам факт её существования.
Цитата:
|
Сообщение от avgera
Но при этом он нужен на уровне файлов - опять-таки, для рез. копирования.
|
Репозитории часто находятся оффсайт. И их саппортят специальные люди.
Цитата:
|
Сообщение от avgera
А вот возможность получения инфы о настройках и функционировании ОС, браузеров и т.д. нужна БЕЗУСЛОВНО ибо неправильная конфигурация - это ПРЯМАЯ УГРОЗА ИБ.
|
Поясни, в чём заключается угроза, если внешняя активность системы не нарушает политик ИБ?
Цитата:
|
Сообщение от avgera
А, например, нелицензионный софт, который ты сдуру можешь поставить - так теоретически вообще угроза всей организации. Как ты вообще, интересно, предлагаешь вести учет и мониторинг установленных лицензий?
|
Слушай, мы вроде серьёзные люди, серьёзную тему тут обсуждаем. Какой нахрен нелицензионный софт? ЗАЧЕМ он на РАБОЧЕМ компе? У меня на рабочем компе, как и у 99% разработчиков, только то стоит, что мне для работы нужно. И взято всё, естественно, с рабочих серверов.
Цитата:
|
Сообщение от avgera
Короче, до тех границ, пока твоя проф. деятельность касается ИБ - царь и бог (в твоей терминологии) именно IT-отдел.
|
Я не IT-отдел, по твоему?
Эта вся информация, с которой так носится служба ИБ, она это, из меня берётся. Я могу дома за комп сесть, и программу написать. Или документ. Я каждый день выношу с работы сложные алгоритмы, документацию (в т.ч. ещё не написанную), методики прямо в своей голове! О ужас!
Ты всё время описываешь каких-то могучих перцев, которые следят за тем, чтобы всё было "правильно" и "безопасно", и рубят в проекте лучше чем его менеджмент. Такого не бывает. На практике, мы сами рассказываем сисадминам, что надо открыть, что закрыть, за чем следить, за чем нет. Граница сильного влияния сисадмина проходит точно там, где кончается витая пара, воткнутая в коммутатор в серверной. А рабочая девелоперская система, это, извините, уже моя территория. Он у меня тут в гостях.