внезапная проверка Шойгу военкомата

rbc.ru — Министр обороны России Сергей Шойгу пришел в один из московских военкоматов с внезапной проверкой. «Коллеги, я сюда приезжаю третий раз, у вас микроволновка есть, холодильник есть, а компьютеров, чтобы по электронке связаться с другим военкоматом, нет. Ячейка, почта... вы что как партизаны-то письма закладываете? Что это за работа такая», — посетовал он. Третья внезапная проверка! Годы идут а армия (в мирное время) остается одним из самых смешных мест на земле.
Новости, Общество | Vladimer 08:14 08.06.2021
77 комментариев | 70 за, 1 против |
#51 | 11:29 08.06.2021 | Кому: Алекс
> Есть комплекс спецмер, в теории защищающих от них. Начиная от спецпроверки и запрета на подключение к ССОП, заканчивая всякими глушилками.

Когда работал в таможне - даже кондиционер в секретку позволено было установить только после его проверки ФСБ
#52 | 11:38 08.06.2021 | Кому: Всем
Ну, признавайтесь, кто вызывал министра обороны телефонограммой в 314 кабинет???
#53 | 11:53 08.06.2021 | Кому: ВИННИ
> Когда работал в таможне - даже кондиционер в секретку позволено было установить только после его проверки ФСБ

Ну не фсб, конечно, а конторой с их лицензией, но все же:)
#54 | 11:54 08.06.2021 | Кому: Граф Незомби 2
В мою бытность старпомом начсвязи дежурный веселился - "наш старпом даже не стесняется в Москву по спецсвязи в 9 утра звонить. Они же еще не проснулись, пожалей людей!"

Через неуважение к чинам и не сработался - нашему генералу была важна не работа, а козыряние перед начальством
#55 | 11:58 08.06.2021 | Кому: Алекс
Аппаратуру военкомата "Формоза" проверяла. Что интересно - столкнулся с ними снова, когда работал на "Почте России" в информационно-выплатном центре. Инженера-наладчика встретил, как старого друга )
#56 | 12:11 08.06.2021 | Кому: speaktr
> Очень! Очень надёжная контора! Можно доверить перс.данные и гос.тайны.

Вопросы доверия - это в ФСБ и ФСТЭК. Наше дело маленькое - наличие сертификатов обеспечить.

> > Если что - "format c:" поможет.

> Локально. А на почтовом сервере? А на всех хранилках по правилу 3-2-1?

А что это даёт для суда?

> Зачем министерство? Департамент внутри МО.


Дык такую штуку немедленно захотят себе все госконторы и иже с ними. У нас вотт уже муниципалитет обязывают обеспечить электронную пересылку документов с ЭП (для начала). А ПФР (и не только) требует уже випнет, не иначе. Так что департаментом не обойдётся.

> Один из неплохих вариантов, которые я делал уже для пары контор: тонкий клиент, грузящийся по сети. VPN обеспечивает железка (под замком в опечатанном помещении). Бездисковая машинка. Машинка включается, грузит с железки стартовый образ, далее двухфакторная аутентификация и запускается VPN до ЦОД. Оттуда уже летит рабочий образ ОС, запускается без прав - чисто браузер до целевого ресурса. Хранение данных - в ЦОД. Обмен данными - в ЦОД. Загрузка сканов документов - с флешки и только в одну сторону, скачать ничего нельзя. Распечатать можно, но копия - кто что куда печатал - сохраняется в ЦОД.


Шикарно, но подходит только для транспорта ДСП, с ограниченным числом клиентов. Для работы - не годится, для простых госслужащих без гостайны - тоже не очень.
#57 | 12:20 08.06.2021 | Кому: amb
> А ПФР (и не только) требует уже випнет, не иначе

Почта уже давно с ПФР связывается только через ВИП. Частенько бывало, что забывали переслать файл о выплате старушке в давно забытую деревню, так связывались только через него. Дабы исправили косяки
#58 | 12:30 08.06.2021 | Кому: ВИННИ
> Почта уже давно с ПФР связывается только через ВИП.

Не только почта. ПФР давно уже обрубили все остальные виды связи и сократили курьеров. А есть ещё СМЭВ и прочие - изначально строится на ВПН.
#59 | 12:31 08.06.2021 | Кому: amb
> > Очень! Очень надёжная контора! Можно доверить перс.данные и гос.тайны.
>
> Вопросы доверия - это в ФСБ и ФСТЭК. Наше дело маленькое - наличие сертификатов обеспечить.
>
> > > Если что - "format c:" поможет.
> > Локально. А на почтовом сервере? А на всех хранилках по правилу 3-2-1?
>
> А что это даёт для суда?

"Судебное удержание" - это просто процедура так называется, когда информация никогда не удаляется, даже если пользователь почистил корзину на сервере она всё равно откладывается. К судам отношения не имеет, приехало к нам из переводов майкрософтовских мануалов по MS Exchange.

>

> > Зачем министерство? Департамент внутри МО.
>
> Дык такую штуку немедленно захотят себе все госконторы и иже с ними. У нас вотт уже муниципалитет обязывают обеспечить электронную пересылку документов с ЭП (для начала). А ПФР (и не только) требует уже випнет, не иначе. Так что департаментом не обойдётся.

Ну так то оно есть, это министерство:
"Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации создано 15 мая 2018 года указом Президента Российской Федерации №215 на базе Министерства связи и массовых коммуникаций Российской Федерации. Официальное сокращенное название — Минцифры России."

Но занимаются там каким-то говном, не видел ни одного их реального полезного дела.

>

> > Один из неплохих вариантов, которые я делал уже для пары контор: тонкий клиент, грузящийся по сети. VPN обеспечивает железка (под замком в опечатанном помещении). Бездисковая машинка. Машинка включается, грузит с железки стартовый образ, далее двухфакторная аутентификация и запускается VPN до ЦОД. Оттуда уже летит рабочий образ ОС, запускается без прав - чисто браузер до целевого ресурса. Хранение данных - в ЦОД. Обмен данными - в ЦОД. Загрузка сканов документов - с флешки и только в одну сторону, скачать ничего нельзя. Распечатать можно, но копия - кто что куда печатал - сохраняется в ЦОД.
>
> Шикарно, но подходит только для транспорта ДСП, с ограниченным числом клиентов. Для работы - не годится, для простых госслужащих без гостайны - тоже не очень.

Для простых тоже годится, главное, чтоб мощностей хватило в ЦОД. Я же не полностью про рабочее окружение вместе со всем софтом, а про сервис обмена конкретными данными.
#60 | 12:41 08.06.2021 | Кому: amb
> ПФР давно уже обрубили все остальные виды связи

Они еще в мою бытность на почте стонали, что сокращения повальные идут как серпом по хвосту. Ни в коем случае не оправдываю дворцы пенсионных фондов, но девчонок искренне жалко
#61 | 12:55 08.06.2021 | Кому: amb
Было время ознакомиться. Невероятно косная контора со сказочно глючным софтом. За который уважаемые люди наверняка нехило получили
#62 | 12:59 08.06.2021 | Кому: Всем
Неужели этого клоуна кто-то ещё всерьёз воспринимает? Если он все время молчит и грозно глазки щурит не делает его умным. Просто ему не стоит говорить без приказа сверху, и только то что в сценарии прописано. Вот ляпнул мыслю от себя и сразу дурь видна стала.
#63 | 13:14 08.06.2021 | Кому: jan11
> Неужели этого клоуна кто-то ещё всерьёз воспринимает?

Как уже было вышесказанно - нихрена в структуре военкоматов и призыва министр не смыслит. Для него это призыв в "Одноклассниках" или "Вконтактике" - Максимальный репост и айда всем на сборный пункт!
#64 | 13:39 08.06.2021 | Кому: ВИННИ
У начсвязи и его старпома - 1-я группа допуска к гостайне, у простых связистов - 2-я или 3-я. В любом случае за разглашение уголовка
#65 | 15:17 08.06.2021 | Кому: speaktr
> > А что это даёт для суда?
> "Судебное удержание" - это просто процедура так называется, когда информация никогда не удаляется, даже если пользователь почистил корзину на сервере она всё равно откладывается. К судам отношения не имеет,

А нахера оно тогда нужно?

> "Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации создано 15 мая 2018 года указом Президента Российской Федерации №215 на базе Министерства связи и массовых коммуникаций Российской Федерации. Официальное сокращенное название — Минцифры России."

> Но занимаются там каким-то говном, не видел ни одного их реального полезного дела.

Значит, будет ещё одно министерство, этих же не разгонят.

> Для простых тоже годится, главное, чтоб мощностей хватило в ЦОД. Я же не полностью про рабочее окружение вместе со всем софтом, а про сервис обмена конкретными данными.


Это понятно, но не реализуемо, по причине бедности - нет возможностей держать отдельные железки для почты в нужном количестве. А так-то есть уже немного: например, ССТУ с закрытым обменом (на випнете, да) - раз в год включаем, нормально работать тоже нельзя.

Вот бы по вашей технологии полноценное офисное рабочее место разворачивалось - цены бы не было.
#66 | 20:20 08.06.2021 | Кому: amb
> А нахера оно тогда нужно?

Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.

> Значит, будет ещё одно министерство, этих же не разгонят.


Не будет. И почтовика не будет. Нихуя не будет, поставят какие-нибудь ПК для пасьянса косынки и будут Кожугетовичу эмулировать бурную деятельность.

> Это понятно, но не реализуемо, по причине бедности - нет возможностей держать отдельные железки для почты в нужном количестве. А так-то > есть уже немного: например, ССТУ с закрытым обменом (на випнете, да) - раз в год включаем, нормально работать тоже нельзя.

> Вот бы по вашей технологии полноценное офисное рабочее место разворачивалось - цены бы не было.

Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек. Есть даже почти готовые решения, которые можно пильнуть напильником. Я даже продумывал максимально дешёвый вариант реализации: ОС для тонких клиентов - WTWare с локальным Chromium вместо RDP (стоимость около 1000р за лицензию на рабочее место), сетевое оборудование - Mikrotik, технология второго фактора для микрота реализуема, статьи есть. В ЦОД - Zimbra OCS. Единственное, что не удастся прикрутить сюда - ЭЦП. А так вполне работает.
#67 | 21:30 08.06.2021 | Кому: speaktr
> > А нахера оно тогда нужно?
> Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.

Просто к сведению, как оно есть в реальности:[censored]


> Не будет. И почтовика не будет.


[censored]


> Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек.


А можно найти приключений на свою задницу: КоАП РФ Статья 13.12. Нарушение правил защиты информации.
В российских реалиях ИБ - это бумажки. Сертификаты, приказы, регламенты. Журналы, не к ночи будет сказано. Есть у тебя сертификат ФСТЭК на используемый VPN? А у вип-нета - есть.
#68 | 22:25 08.06.2021 | Кому: ВИННИ
> Ты только не смейся, но у нас порой так и бывало, без всяких визитов свыше (облвоенкомат Псковской обл.). Сотрудники работали на принесенном из дома старье, поскольку служебный антиквариат конца 90-х иногда даже Ворд не тянул

У нас в бригаде в конце 90-х писарями старались брать местных и предлагали им компы из дома приносить за возможность чаще ходить в увольнения на все выходные. А при увольнении в запас предлагали оставить компьютер в части за возможность уволиться вместе с приказом, а не ждать срока. Местные как правило под конец призыва приходили, поэтому соглашались, тем более, что за 2 года компы устаревали.
#69 | 03:43 09.06.2021 | Кому: Всем
В военкомате было глухо. Висел на стенке герб РФ.
На дне стакана билась муха, от капли водки захмелев.
Старлей в глазу нашёл соринку. Бухгалтер дул на доширак.
Сержант раскладывал косынку - не за компьютером, а так.

В дежурке мультики смотрели. Пилила ногти медсестра.
Тянулась лямка еле-еле, к тому же - лето и жара.
У военкома было дело - он ел домашнее рагу.
Пока вдруг дверь не заскрипела и не вошёл министр Шойгу.

Светясь как образ на иконах, он произвёл большой эффект -
одет по форме, при погонах, в глазах и ум, и интеллект.
- Ну что, - спросил, - ты рад сюрпризу? Я вижу, рад - тогда садись.
У военкома челюсть книзу! Ну и коленки затряслись.

Он сел, заранее в опале. Подумал, «нет, ты посмотри!
во все года предупреждали за месяц, два и даже три. А тут, наверное, забыли...»

Шойгу с порога на ножи:
- А вы компьютеры купили? Как письма шлёте, расскажи.

Тут захотелось сразу в прорубь, ну или грудью на ружьё,
когда в окне почтовый голубь вдруг показался, ё-моё.
Бандит, шпана и беззаконник, честь не отдав, на люстру сел,
потом обгадил подоконник и также быстро улетел.

Шойгу сказал:
- Вот это номер. Что происходит, военком?

(А тот уже почти что помер, скрестивши пальчики тайком).
- Ну сколько это будет длиться? Слова текут как в решето.
И если это, б..., столица, то в регионах тогда что?..

Всех проняло до слёз, до искр.
Но после этих злых бесед всё было ок, пока министр не захотел вдруг в туалет.
Ну и пока в большой печали старлей, майор и военком
ему кусты не показали у старой пихты за углом.

(с) П.Клоков
#70 | 03:59 09.06.2021 | Кому: mclaud
> В военкомате было глухо. Висел на стенке герб РФ.

Угар! У нас в коридоре к начальственному кабинету висели портреты от Донского до Невского
#71 | 04:03 09.06.2021 | Кому: votvot123
> Журналы, не к ночи будет сказано.

Вот бессмысленные журналы техобслуживания больше всего убивали. И они, билят, "совершенно секретны", в сейфе под двумя замками и печатями. Никуда не денешься, заполняй. Козырная отмазка на случай прихода спецслужб, не более
#72 | 18:50 09.06.2021 | Кому: votvot123
> > > А нахера оно тогда нужно?
> > Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.
>
> Просто к сведению, как оно есть в реальности:[censored]

Просто к сведению: ты не понял ни слова из того, что я написал. При чем тут DLP, который необходим, но для других совершенно целей?
Если менеджер Петя полгода писал другу Васе из конкурирующей конторы о сроках поставки, стоимости и составу поставляемого оборудования, то контент-фильтр DLP-системы воспринимает эту переписку, как переписку с контрагентом и не зажигает алярм. А потом, когда всё слито, Петя удаляет свою почту, чистит корзину, и увольняется. Если бы письма не хранились на почтовике вечно (а я писал конкретно про почтовик, а не про ИБ в целом, но ты этого не понял), то мы бы никогда не доказали, что Петя - пидарас. А так письма были переданы органам. К слову, в конторе стоял DLP от Symantec.
Кстати, почему ты не дал ссылку на сёрчинформ, или там секуртауэр, а именно на инфовотч, который самый распиаренный, но не самый хороший? Слава ТНБ, StaffCop еще не вспомил..


> > Не будет. И почтовика не будет.

>
>[censored]
>

Бля, я про почтовые серверы, а не про клиенты. Я про вообще отсутствие на локальном рабочем месте какой-либо инфы, которую можно спиздить. Разницу чуешь?


>

> > Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек.
>
> А можно найти приключений на свою задницу: КоАП РФ Статья 13.12. Нарушение правил защиты информации.
> В российских реалиях ИБ - это бумажки. Сертификаты, приказы, регламенты. Журналы, не к ночи будет сказано. Есть у тебя сертификат ФСТЭК на используемый VPN? А у вип-нета - есть.

А кому требуется сертифицированный, тот пусть сертифицированный и пользует. S-terra там покупает, или на винде с криптопро ipsec извращается. Но не всем это надо.
#73 | 20:48 09.06.2021 | Кому: speaktr
> Если менеджер Петя полгода писал другу Васе из конкурирующей конторы о сроках поставки, стоимости и составу поставляемого оборудования, то контент-фильтр DLP-системы воспринимает эту переписку, как переписку с контрагентом и не зажигает алярм. А потом, когда всё слито, Петя удаляет свою почту, чистит корзину, и увольняется. Если бы письма не хранились на почтовике вечно

Чтобы хранить нарастающий поток информации вечно - нужна бесконечная ёмкость хранилищ. Вместо требования от почтовика несвойственного функционала (с неудаляемым хранением) можно воспользоваться специализированным софтом, те же теневые копии заданного тобой информационного обмена будут храниться и ждать своего часа (даже без алярма). Опять-таки - насколько места хватит.


> Бля, я про почтовые серверы, а не про клиенты. Я про вообще отсутствие на локальном рабочем месте какой-либо инфы, которую можно спиздить. Разницу чуешь?


Если информация выводится на экран (а нахер нужна почта, которую нельзя прочитать?) - её можно похитить. Ты упёрся в сервер. Есть готовое решение. Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?


> А кому требуется сертифицированный, тот пусть сертифицированный и пользует. S-terra там покупает, или на винде с криптопро ipsec извращается. Но не всем это надо.


Если ты госконтора - от этого не уйдёшь. Если у тебя секретка - от этого не уйдёшь. Если ты хочешь, чтобы твоими проблемами с конфи занимались всерьёз - от этого не уйдёшь. А вот если у тебя своё личное понимание ИБ и твоё руководство это устраивает - делай что хочешь.
#74 | 00:32 10.06.2021 | Кому: votvot123
> Если ты госконтора - от этого не уйдёшь. Если у тебя секретка - от этого не уйдёшь.

С криптомаршрутизатором "Дионис" как у станка стоял, спина отваливалась
#75 | 10:07 10.06.2021 | Кому: votvot123
> Чтобы хранить нарастающий поток информации вечно - нужна бесконечная ёмкость хранилищ.

А у нас бесконечные размеры гос.архивов? Ты об них спотыкаешься и нет места на земле, где бы не лежали папки?
Одна кассета LTO8 заменяет пару комнат бумажного архива. 1 петабайт электронной почты за год - это активная переписка пары тысяч менеджеров с пересылками сканов и картинок (по моему опыту построения СРК). 1 петабайт на ленточках LTO8 занимает ящик стола. А LTO9 - две трети ящика. А на подходе новые стандарты и новые технологии хранения.
Всё рассчитывается, на всё уже придуманы технологии.
Я для тебя провел подсчет в калькуляторе: если ты ЕЖЕСЕКУНДНО в течение 1 года в рабочее время с 8 до 16 будешь пулять письмо в 1 мегабайт - то вся твоя почта за год займёт чуть более 7 терабайт. Всё это я забэкаплю. К счастью люди пишут гораздо реже, гораздо. И средний годовой архив от 20 до 30Гб у самых активных манагеров.

> Вместо требования от почтовика несвойственного функционала (с неудаляемым хранением) можно воспользоваться специализированным софтом, те же теневые копии заданного тобой информационного обмена будут храниться и ждать своего часа (даже без алярма). Опять-таки - насколько места хватит.


Бля, какой несвойственный функционал - в MS Exchange это штатная фича, во всех других системах энтерпрайз уровня есть аналоги.

> Если информация выводится на экран (а нахер нужна почта, которую нельзя прочитать?) - её можно похитить. Ты упёрся в сервер. Есть готовое решение. Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?


А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?

> Если ты госконтора - от этого не уйдёшь. Если у тебя секретка - от этого не уйдёшь. Если ты хочешь, чтобы твоими проблемами с конфи занимались всерьёз - от этого не уйдёшь. А вот если у тебя своё личное понимание ИБ и твоё руководство это устраивает - делай что хочешь.


Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять. Где надо ставим Cisco ASA, S-Terra, где-то NGate, а где-то достаточно (или заказчику по карману) только Mikrotik без гостов. У меня нет стандартных решений для всех, я индивидуально проектирую для каждого заказчика.
#76 | 19:39 10.06.2021 | Кому: speaktr
> >Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?
> А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?

"А теперь со всей этой хуйнёй мы попробуем взлететь!" Сам как думаешь, пройдёт твой комбайн сертификацию?


> Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять.


Возможно, ты неплохой архитектор. Наверное, знающий свою предметную область. При этом, довольно уверенно могу предположить, что профильного российского образования по направлению ИБ у тебя нет. В итоге мы говорим о разном: ты предлагаешь решения оторванные от реальности, не понимая, что госконтора (которой является военкомат) никогда не сможет их реализовать.
#77 | 09:25 11.06.2021 | Кому: votvot123
> > >Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?
> > А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?
>
> "А теперь со всей этой хуйнёй мы попробуем взлететь!" Сам как думаешь, пройдёт твой комбайн сертификацию?

Конечно пройдёт. Например в Росатоме, Газпромнефти и Северстали (это то, что я видел лично и принимал участие в монтаже) - это давно-давно-давно работает и всё соответствует, и имеет сертификаты, и регулярно проверяется и там гос.тайна.

> > Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять.

>
> Возможно, ты неплохой архитектор. Наверное, знающий свою предметную область. При этом, довольно уверенно могу предположить, что профильного российского образования по направлению ИБ у тебя нет. В итоге мы говорим о разном: ты предлагаешь решения оторванные от реальности, не понимая, что госконтора (которой является военкомат) никогда не сможет их реализовать.

Да, слава ТНБ, я не безопасник. Но мне, почему-то, постоянно приходится безопасникам рассказывать, как реализовать их ПОИБы в железе и софте. На бумаге у них всегда всё красиво и секьюрно.
Военкомат сможет реализовать. Сможет, если будет достаточно тех.специалистов необходимого уровня.
Уровень ТЗ: "А поставьте тут компьютер" может запустить махину и через пяток лет таки привести состояние МТО к современным реалиям.
Нужны денежки, воля и специалисты.
Но выйдет, как обычно, так, как пишут тут: кто-то приволочёт из дома комп.
Войдите или зарегистрируйтесь чтобы писать комментарии.