Росавиация переходит на бумажный документооборот

Имею мнение, если это правда, то надо искать крысу внутри

> Что-то не верится, хоть на коленке, да должно что-то быть.

Конечно не верится, так как это пиздёж, надо дождаться опровержения от Росавиации.

> Там аутсорс. У оператора перестал работать софт - он пишет в поддержку. Задержка в реакции в пару часов - это нормально.
>
> И нужно отдавать себе отчёт, что вредитель может быть внутри, в команде аутсорса. Такому даже напрягаться не нужно, чтобы всё завалить.

Это внутренний аутсорс.
Как в газпроме или в роснефти есть отдельные дочки, которые обслуживают всё ПАО по ИТ. Фактически - ИТ-отдел, который разросся до отдельного ООО. Так везде у крупняка.
Там очень сильно всё попилено на зоны ответственности. Например в дочке Газпромнефти эксплуатация СХД в Омске, а мониторинг СХД в СПб и они даже не знают друг друга. Для одних созданы ограниченные учетки, для других тоже. Если кто-то логинится админом - алерт мгновенно у безопасника на телевизоре в полстены. Нельзя админом логиниться, поэтому сломать что-то в разы сложнее, если сотрудник оказался пидарасом.
Это то, что видел я, когда в ЕКБ для них монтажил СХДшки в ЦОД.

> > Работать на иностранном оборудовании (сервера, СХД, сетевое) и в ситуации подобной сегодняшней не иметь систем резервирования - это не просто глупость, а вредительство.
>
> Сам-то в теме?

В теме вредительства? Или чего? Сервера/СХД обслуживаю. Вернее обслуживал по факту.

> > > Работать на иностранном оборудовании (сервера, СХД, сетевое) и в ситуации подобной сегодняшней не иметь систем резервирования - это не просто глупость, а вредительство.
> >
> > Сам-то в теме?
>
> В теме вредительства? Или чего? Сервера/СХД обслуживаю. Вернее обслуживал по факту.

Если все на виндах, то и резервирование на виндах.
Крякнут винды, крякнет и резервирование.
Мало кто 100% на астралинуксе.
Это я не про онанимусов, а про серьезных дядь из мелкософта.

> Ты конкретнее напиши. А то ты окажешься из Питера или, помилуй бог, из Москвы.

А ты что за хер собачий чтобы я тебе конкретно писал?

> Именно так себе и представляю. Вместо своих ИТ, которых начальник может заебать - дочка, и работают они строго по регламенту. Хуй ты им скажешь "делайте бэкапы". Если договором эти бэкапы вообще предусмотрены - ты им дай куда, расскажи откуда, как, предоставь готовые скрипты и софт, а они, может быть, создадут задание в шедулере. За исполнением и целостностью бэкапов должен будет следить заказчик, у которого ни логинов, ни паролей нет, как нет и ИТ, зато есть своя работа. Результат очевиден.

Во внутреннем аутсорсе немного не так.
В головной компании есть свои ИБшники, свои архитекторы и свои методологи. Начальник всея айти - тоже работник головной компании.
Они разрабатывают требования в виде методических документов или регламентов.
Дочка их берёт и работает по ним. Если кто-то забыл про бэкапы, то это свой, а не аутсорсинговый айтишник.

>
> Про зоны ответственности интересно, конечно. Вот сервак. Пароль администратора у кого? А физический доступ у кого? Аутсорсер говорит: хуй вам, а не пароли, администрируем мы, если чего надо - пишите заявки. И чего там безопаснику светится, если вполне по договору серваки аутсорсером обслуживаются?

Вот сервак. Вот подразделение, которое обслуживает железо. У них есть пароль от его IPMI (iDRAC, iLo), но только ограниченная УЗ (если это возможно). Вот мониторинг, у них есть пароль от УЗ только для мониторинга железа этого сервака, очень ограниченной. Вот CMDB где хранится админский пароль. Вот безопасник, он видит все события логина на сервере, знает кто куда ходит. Он же видит, кто ходит в CMDB и берёт оттуда пароли. Он же следит, что все пароли от всех УЗ, в том числе и админский пароль, регулярно менялись и соответствовали требованиям сложности. Вот еще система оркестрации оборудования, например xClarity. И здесь та же иерархия: админы, мониторинг, пароль суперадмина, ИБшник.
Вот тебе надо что-то поменять под суперадмином. У тебя два пути: если это плановая работа, то ты пишешь служебную записку или ТЗ на работы, их согласуют разные люди, ты делаешь, а если это экстренная работа, то есть критичный инцидент в системе заявок, где ты отписываешься, что ты сделал. У всех событий есть свои номера, все они просматриваются ИБшником. Если он увидел, что ты сходил в CMDB за паролем суперадмина от СХД, но у тебя нет ни плановых работ ни критичного инцедента, то тебя берут за жабры, бьют об стол и пытают иголками под ногти: зачем тебе надо было пароль.

Это только по железу. Дальше то же самое с операционкой. Дальше тоже самое с софтом в операционке (СУБД, веб, 1С и прочие приклады). И везде ролевые модели, контроль ИБ, ограниченные права.

И всё это делают разные люди, кто-то дырки сверлит в пуговице, кто-то нитку отматывает, кто-то её продевает в иголку, кто-то её пришивает и кто-то проверяет потом, что дырки нужного диаметра, нитка нужной жесткости, пришито на необходимое количество петелек. А если пуговица оказалась не того цвета, то ищут того, кто согласовал этот цвет или не подумал вообще о цвете (обычно это архитектор всего процесса пришивания пуговицы) ебут его в жопу дрыном и повторяют операцию с другой пуговицей. Вот этот архитектор и есть свой, родной, а не аутсорсер.


>
> А на бумаге всё красиво, графики, стрелочки, ограниченный доступ. Начинаешь концы искать, сразу "я лично пуговицы пришиваю, к пуговицам претензии есть?" Аутсорс - вредительство, как оно есть.

В большой конторе _не реально_ по-другому. Просто невозможно и всё тут.
Нельзя нанять пятьсот админов и выдать им всем пароли на бумажке. Пиздец настанет буквально через неделю и концов будет не найти.

> Ох, камрад. Ты описал сферического коня в вакууме коммерческой фирмы или на худой конец московского богатого министерства. Если спустится на уровень какого нибудь края или прости Господи муниципалитета, там все намного хуже. Плюс куча ПП, приказов ФСТЭК и ФСБ, при которых воспользоваться нормальными инструментами и методами далеко не всегда возможно.

Да это только выглядит страшно, а реализуемо где угодно и с не очень большими трудозатратами.
Мне все эти механизмы рассказали безопасники крупных контор, я видел их сам в действии, когда с ними взаимодействовал. И парочке своих клиентов я таки даже сделал проекты по модернизации их ИТ-структуры в соответствии с такими стандартами ИБ (пафосно на защите втирая, что всё будет сделано как в лучших домах лондОна и парЫжа :). А одному даже и реализовал (второй решил делать своими силами).
Конечно, без должного управления это всё развалится к хуям через полгода. Но я то свои шекели с них получил. :)

> > Именно так себе и представляю. Вместо своих ИТ, которых начальник может заебать - дочка, и работают они строго по регламенту. Хуй ты им скажешь "делайте бэкапы". Если договором эти бэкапы вообще предусмотрены - ты им дай куда, расскажи откуда, как, предоставь готовые скрипты и софт, а они, может быть, создадут задание в шедулере. За исполнением и целостностью бэкапов должен будет следить заказчик, у которого ни логинов, ни паролей нет, как нет и ИТ, зато есть своя работа. Результат очевиден.

> Во внутреннем аутсорсе немного не так.


Именно так. Бонусом - невозможность сменить нерадивого аутсорсера.


> В головной компании есть свои ИБшники, свои архитекторы и свои методологи. Начальник всея айти - тоже работник головной компании.
> Они разрабатывают требования в виде методических документов или регламентов.
> Дочка их берёт и работает по ним. Если кто-то забыл про бэкапы, то это свой, а не аутсорсинговый айтишник.


Я именно так и сказал. Работает аутсорс, ответственность лежит на своих. А своих - сократили. Всё по регламенту, хуле.

Где-то там, наверху, в далёком космосе - всё заебись, графики, стрелочки, диаграммы. На местах - работает по инерции, чуть что в сторону - настаёт пиздец.

То, что ниже, я поскипал. Не потому, что непонимаю или несогласен. Потому что, как правильно написал Алекс, ты описываешь что-то высокое, богатое и бумажное. А внизу - говнище и дерьмище.

И ещё: похуй, кто согласовал цвет пуговицы, заказчика интересует готовность костюма и только. Ты Райкина-то помнишь? Всё у него верно изображено.

> Может быть.

Не похоже, чтобы да.

>
> Я именно так и сказал. Работает аутсорс, ответственность лежит на своих. А своих - сократили. Всё по регламенту, хуле.
>
> Где-то там, наверху, в далёком космосе - всё заебись, графики, стрелочки, диаграммы. На местах - работает по инерции, чуть что в сторону - настаёт пиздец.
>
> То, что ниже, я поскипал. Не потому, что непонимаю или несогласен. Потому что, как правильно написал Алекс, ты описываешь что-то высокое, богатое и бумажное. А внизу - говнище и дерьмище.
>
> И ещё: похуй, кто согласовал цвет пуговицы, заказчика интересует готовность костюма и только. Ты Райкина-то помнишь? Всё у него верно изображено.

Ты похоже, вообще читать не умеешь.
Товарищь тебе пишет - аутсорс внутренний, т.е. это такая компания, которой на 100% владеет бизнес, который она обслуживает, и у нее 1 клиент - бизнес, который ею владеет.

А по поводу реального аутсорса опять же - есть конторы типа "Рога и копыта", зато дешево. А есть которые, которые и транзишен сделают как надо когда клиент уходит - потому что в среде серьезных людей репутация стоит денег.

> Люди делятся на тех, кто еще не делает бэкап и тех, кто уже делает бэкап
> (с)

А тот, кто делает бэкап на неотсоединяемые носители, просто думает, что делает бэкап.

> Грохнуть 65Тб данных, чтобы никто не заметил до последнего, это как спиздить Ленина из мавзолея, в рабочие часы, когда на него экскурсанты смотрят.

Херня. Грохнуть мастер-ключи для расшифровки блочных ключей зашифрованных дисков по 1Тб каждый — пара пустяков, происходит мгновенно. Данные на месте, но, вот беда, не могут быть расшифрованы, если нигде нет резервной копии этих самых мастер-ключей.

> Это внутренний аутсорс.
> Как в газпроме или в роснефти есть отдельные дочки, которые обслуживают всё ПАО по ИТ. Фактически - ИТ-отдел, который разросся до отдельного ООО. Так везде у крупняка.

Это если кровавый энтерпрайз.

Чем ближе к госучреждениям тем больше шансов нарваться на "мега-интегратора", который за гроши выиграл тендер и нанял пару студентов за лапшу роллтон.

Или карманную фирмочку кого-то из директората, выигравшего тендер "потому что пошел ты на..., вот почему", являющуюся средством "оптимизации финансовых потоков" и решающую задачи теми же студентами, но за доширак.

> Херня. Грохнуть мастер-ключи для расшифровки блочных ключей зашифрованных дисков по 1Тб каждый — пара пустяков, происходит мгновенно. Данные на месте, но, вот беда, не могут быть расшифрованы, если нигде нет резервной копии этих самых мастер-ключей.

Даже в газпромЕ шифруют только данные, которые относятся к гостайне, а коммерческие тайны только сильно ограничивают в доступах.
Я не работал с конторами, которые бы на все свои хранилки внедряли бы шифрование, не могу тут сказать ничего.