Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Как прописать ответственность аутсорсера (нас) за резервные копии заказчика.

Коллеги, буду краток!

Мы можем указать в договоре: какие данные храним, как храним, сколько времени и ответственность.

Как прописать и учесть следующую ситуацию:

Заказчик: Восстановите мне "Новая папка" с общего диска!!!! Её нет, а вчера была!!!angry

А на самом деле ее нет ни в одном из бэкапов! Бекапы есть. Вопрос: была ли она?

Поделитесь опытом и мыслями, если кто-то сталкивался уже и решал подобную задачу!

Читать комментарии

Вы все еще верите в облака?

От Зингера Ильяса (42clouds, EFSOL)
Друзья, цель этого письма донести Вам причину произошедшей остановки работы нашей системы. Мы открытый сервис и стараемся с помощью технических деталей, подчеркнуть нашу открытость.
Произошедшие события для нас трагичны, мы много делаем для построения отказоустойчивых систем – работаем только с надежными поставщиками серверного оборудования, используем отказоустойчивую кластеризацию, проводим учения, где инициируем сбойные ситуации и методы борьбы с ними, всегда вырабатываем и внедряем меры по неповторению.

Хронология событий:
  • 20 февраля в 17-00, системой мониторинга EFSOL были зафиксированы сообщения, сообщающие о том, что один из дисков стореджа возможно поврежден.
  • Во избежание рисков потери данных было принято решение о замене возможно поврежденного диска.
  • После замены диска началась процедура включения этого носителя в RAID- массив, во время которой произошел сбой стореджа.
  • Все кластеры коммуникационных сервисов (сайт, телефония, почта) находились на вышедшем из строя сторедже, поэтому также стали недоступны.

Что уже сделано:
  • Удалось идентифицировать проблему, которая повлекла за собой сбой системы. Как оказалось, это ошибка ядра операционной системы стореджа: http://comments.gmane.org/gmane.linux.raid/47711
  • Было решено обновить ядро операционной системы до версии 3.18, что позволит исключить подобные сбои в дальнейшем. Работы запланированы в ночь на 14 – 15 марта.
  • Принято решение о закупке дополнительного процессора, который распределит нагрузку. Работы также запланированы в ночь на 14-15 апреля.
  • Кластеры коммуникационных сервисов EFSOL также будут распределены между различными стореджами. Срок - до 30 марта.
42 Clouds - лучшее облако для вашего бизнеса. Оставайтесь с нами.

Слава богу я там ничего не хранил. Но печально, что мой клиент там хранил 1С. Вдвойне печальнее, что по моему совету.

Читать комментарии

Как посчитать эффективность мероприятий по безопасности?

 

Выполнение требований регуляторов – один из немногих вариантов оценки, когда можно выразить эффективность мероприятий по информационной безопасности в денежном эквиваленте. Максимальный штраф по результатам проверки за нарушения в области обработки персональных данных может составить более 400 тысяч рублей. Также регуляторы имеют право приостановить деятельность компании до устранения нарушений, что гораздо страшнее штрафов, и для некоторых компаний может означать закрытие бизнеса. 

Как посчитать эффективность мероприятий по безопасности?

 

Читать комментарии

Хостинг vs свой ЦОД в рамках ФЗ-152

На сегодняшний день Федеральный закон N 152-ФЗ «О персональных данных» затрагивает рабочий процесс практически любой компании. Как минимум обработка персональных данных работников попадает под действия 152-ФЗ.

В зависимости от категорий обрабатываемых персональных данных, их объема и актуальных угроз изменяется и необходимый набор мер для обеспечения их безопасности, в частности, и требования к серверам.

Особенно актуален этот вопрос для больших компаний, пользующихся хостингом или планирующим воспользоваться этой услугой.

Независимо от того какой объем и категорию персональных данных обрабатывает компания, она должна обеспечивать контроль доступа к таким данным. И самым базовым здесь является физический доступ. Своя серверная или ЦОД обеспечивают четкий контроль доступа к оборудованию, обрабатывающему персональные данные. При использовании же хостинга хоть и арендаторам предоставляют доступ к своим стойкам, но так как ЦОД общий, то фактически, в серверную заходят не имеющие отношения к вашей компании люди, и контролировать их действия вы не в состоянии.

Зачастую, в особенности при использовании возможностей виртуализации, встает вопрос о размещении на едином серверном пространстве баз данных различных клиентов, в том числе с разным уровнем конфиденциальности, не отделенных друг от друга сертифицированными межсетевыми экранами, что является грубейшим нарушением требований регуляторов.

Помимо этого, необходимо детально проверять хостинг на наличие необходимых лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации, лицензий ФСБ на предоставление услуг с использованием шифровальных (криптографических) средств, а также применения сертифицированных средств защиты информации при предоставлении услуг хостинга.

Клиентам, которые хотят полностью выполнять требования законодательства по защите персональных данных и не иметь проблем с регулирующими органами, необходимо учитывать риски размещения своих серверов с персональными данными в стороннем ЦОДе и внимательно подходить к выбору хостинг-провайдера.

Больше о выполнении требований ФЗ-152

Читать комментарии

Как оптимизировать управление ЭЦП в организации?

Постараюсь вносить на обсуждение различные темы. Может быть они будут касаться несколько специфичных задач, но на мой взгляд являются весьма интересными.

Описание ситуации: государственное учреждение в столице, которое в силу общих тенденций и своей специфики всеми силами стремиться развивать ИТ.

В организации есть сотрудник, назначенный ответсвенным лицом за обеспечение функционирования электронно-цифровых подписей. Данные о нем направляются непосредственно в Депаратмент информационных технологий города Москвы. Это направление дано сотрудинку в нагрузку помимо повседневных задач.

Всего в организации около 30 ключей, сформированных под разные задачи: электронный обмен с казначейством, электронный документооборот, обмен с финансовыми органами и т.д. Поэтому помимо формирования ключей и отслеживания сроков их действия, приходится передавать открытую частью ключей (сертификаты) в те органы, с которыми ведется взаимодействие. Во всяком случае эта задача возлагается на ответственного по ЭЦП, а не на работников тех подразделений, которые непосредственно пользуются ЭЦП.

ЭЦП изготавливаются сразу дня нескольких подразделений, у которых есть необходимость подписвать документы в городских системах.

Процесс строится таким образом:

1. Чтобы не доводить действие ЭЦП до крайнего срока, аннулируются действующие ключи с сертификатами.

2. Готовиться или обновляется приказ, на основании которого работникам присваиваются ключи с определнным функционаломю

3. Формируются новые, которые действуют в течении 15 дней без подачи документов в удостоверяющий центр. Если документы не были поданы, то действие сертификата приостанавливается.

4. Документы оформляются и передаются в УЦ.

5. Открытые части ключей передаются в органы, с которыми ведется взаимодействие.

6. Сертификат устанавливается на компьютере сотрудника.

При использовании ЭЦП регулярно происходят сбои, к решению которых привлекается ответственное лицо. Плюс к этому в самих системах происходят регулярные изменения, которые также требуют внимания.

Хочется узнать, как построен данный процесс в других компаниях? Есть ли определенные тактики на данном поприще? На мой взгяд процесс весьма трудоемкий, должны быть пути для его оптимизации.

Читать комментарии

Как продвигается внедрение BYOD на реальных предприятиях?

Мы много говорим о том, что смартфоны и планшеты начинают играть важную роль в жизни обычных пользователей. Логично, что многие из них уже давно используют свои "персональные помощники" в рабочих целях. Конечно, не всегда это происходит с ведома и явного разрешения руководства предприятия. Но, чем дальше, тем сложнее предприятиям контролировать, запрещать и наказывать. Многим проще разрешить определенный набор устройств или платформ, чтобы как минимум не потерять из виду этот ИТ-сегмент.

Давайте попробуем оценить, насколько глубоко вошла политика BYOD в компании, представленные в нашем сообществе.

Читать комментарии

Бесплатный антивирус для малого бизнеса

Сегодня в сети можно найти не только платную защиту от вирусных угроз, но и бесплатную. Чаще всего такие продукты - порождение рекламной модели получения доходов или средство для демонстрации возможностей потенциальным клиентам более серьезных "платных" продуктов поставщиков ПО.

Как и бесплатные облачные сервисы, подобное антивирусное ПО предоставляется клиенту при отсутствии каких-либо гарантий работоспособности и эффективности. Однако, многие домашние пользователи выбирают для себя именно такие инструменты защиты. В конце-концов, хоть и бесплатная, но регулярно обновляемая защита заведомо лучше полного отсутствия таковой.

Как вы считаете, подойдет ли такой вариант антивирусной защиты информационных систем для малого бизнеса (основным видом деятельности которого как раз не является информационная защита)? В отличие от домашних пользователей, для малого бизнеса "промах" в работе антивируса может стоить очень дорого. Однако не так много малых предприятий готовы вкладывать в защиту серьезные средства.

Читать комментарии

Посоветуйте бесплатный облачный бекап

Очевидно, что бесплатный сыр бывает только в мышеловке... Иными словами, поставщик бесплатной облачной услуги вряд ли несет какую-либо ответственность за потерю данных. Но, если бюджеты на решение этого вопроса нулевые, выбирать не приходится. Точнее, из двух зол (полного отсутствия бекапа и бекапа на бесплатном сервисе) лучше все-таки выбрать наименьшее.

Посоветуйте достойный, но бесплатный облачный бекап? Задача такова, что не сильно волнуют возможные временные отказы в обслуживании (не длительные отключения сервиса), зато важно, чтобы ресурс не был "замечен" за кражей информации. Кроме того, хотелось бы иметь внятный настольный клиент для Windows-систем.

Читать комментарии

Рейтинг пользовательских паролей

Компания SplashData представила список наиболее популярных паролей 2012. Сюрприз, первая тройка остается неизменной уже несколько лет.
1. password
2. 123456
3. 12345678
4. abc123 (+1)
5. qwerty (-1)
6. monkey
7. letmein (+1)
8. dragon (+2)
9. 111111 (+3)
10. baseball (+1)
11. iloveyou (+2)
12. trustno1 (-3)
13. 1234567 (-6)
14. sunshine (+1)
15. master (-1)
16. 123123 (+4)
17. welcome (новый)
18. shadow (+1)
19. ashley (- 3)
20. football (+5)
21. jesus (новый)
22. michael (+2)
23. ninja (новый)
24. mustang (новый)
25. password1 (новый)

А вы часто встречаете (а быть может и сами используете) пароли из этого списка?

Читать комментарии

Клиент-банк: web или настольный клиент

Доброго дня!

Встал вопрос о переходе на web клиента (в основном Сбер, но есть и другие банки). Удобнее обслуживать (нет необходимости ставить ПО предварительно, нет привязки к конкретной машине), минимизация времени простоя (в случае переустановки, перегенерации ключей), безопаснее в плане хранения ключей (на etoken вместо хранения на флешках и дискетах).

Но за все необходимо платить, нет ли тут расплаты в сторону уменьшения общей безопасности? Фишинг, что-то еще - хотелось бы услышать мнение коллег. Кто какой способ предпочитает, у себя и у клиентов.

Читать комментарии