Школьная наука о латании черных дыр

≡ | Ноу-хау | 23.10.2009 01:08

Если бы эти правила находились в голове разработчиков электронных систем, которыми государство пытается осчастливить школы, мир стал бы удобней и безопасней.

Посмотреть статью полностью

23.10.2009 11:47 | пишет Гость | ссылка

"Если бы эти простые правила находились в голове разработчиков" - если кто хочет - может оказывать бесплатные консультации автору и государству. мне неохота.
А насчет правил - жаргон как всегда есть а дальше - будут деньги - расскажу что я про них думаю.

23.10.2009 12:04 | пишет Жость | ссылка

Но все-таки лучше создавать пароли средствами IT-подразделения, по возможности лично раздавать сотрудникам на руки и параллельно хранить в системах вроде password keeper на рабочих компьютерах IT-персонала.
Пароль который кто-то пользователю придумал, а пользователь не может сам, без ведома начальника поменять - это никакой не пароль. Никакой ответсвенности за действия, выполненные под этим паролем пользователь не несет, посколькоу никогда не удастся доказать, что в системе авторизовался именно он. Умиляют админы, которые хранят в пароли так, что их можно прочитать, неважно - в открытом виде или при помощи обратимого кодирования. Люди просто не понимают, что такое пароль и в чем его смысл.

23.10.2009 13:30 | пишет Гость | ссылка

Слишком много воды, полезной же информации - с гулькин хер.
Авторам вроде не платят за кол-во знаков в статье, а?

23.10.2009 14:44 | пишет Илья Кутуков | ссылка

Нет, не платят. Вы еще документов навроде "Концепции информатизации образовательного процесса" не читали от департамента Москвы :)

Для профессионального сисадмина все изложенное очевидно. Проблемы я выделил достаточно стандартные, пути решения и подход тоже. Но они повсеместны, школы и ВУЗ-ы которые только начинают свой путь имеют их в полном составе, более "продвинутые" проблем имеют еще больше.

Например, по всем правилам оснащенная системами от департамента образования школа обычно имеет 4-5 отдельных локальных баз данных только для учащихся, плюс необходимость работать с сервисом, использующим глобальную БД. Все это между собой толком не связано и в актуальность приводится ручками. Хотя департамент уже который год как-то пытается подтягивать свои системы друг к другу с переменным успехом. Все это не считая hardcopy всех данных. Если мы добавляем к этому еще и AD с доменами, или систему терминалов, привязанную к учеткам, отдельную базу для психологической службы и можно спокойно вешаться.

Мне интересно, что именно вам кажется полезной информации - постараюсь учесть пожелания.

23.10.2009 14:03 | пишет Илья Кутуков | ссылка

Идеальная система - это когда первоначальные пароли генерятся администратором, раздаются на руки. При первом заходе этот пароль сбрасывается и пользователю предлагается задать свой пароль определенной стойкости. После этого никто пароли не раздает, но сотрудники IT отдела имеют возможность их сбрасывать.

Если учетки повсеместно локальные, то такой подход, к сожалению, вызывает некоторый гемморой и используется более простой с единократной выдачей.

23.10.2009 16:31 | пишет Гость | ссылка

а сама компания, несмотря на бесценный опыт, продолжает расплачиваться за отсутствие набора из нескольких документов:

Статья очень схематична. Указанные три пункта никоим образом не спасут ООО "Вектор-строй" от повторения ситуаций, использованных для примера.
Отсутствует главный пункт, который хоть как-то гарантирует, что указанные три пункта работают, а не сведены к фикции человеческим фактором:

4. Регламент регулярной проверки качества функционирования системы безопасности и сохранности данных.

Без отсутствия этого пункта, провалы в организации безопасности будут всплывать лишь на состоявшихся фактах утечки/потери информации. И в большинстве случаев п.3 не покроет тех убытков, которые будут понесены.

Надежный вариант, но и самый затратный - регулярный внешний аудит независимой структурой.
Но и тут, как всегда, есть две проблемы:
1. Внешний аудитор - должен быть гарантировано надежным, чтоб не попасть в ситуацию "пустили козла в огород" (утечка или шантаж со стороны аудитора).
2. Оценка качества проведенного аудита.

Первый пункт самый сложный и решается каждой фирмой по разному, а для второго есть почти универсальное решение: проведение аудита нескольким структурами и сопоставление их отчетов (с соответствующим распределением оплаты).

24.10.2009 01:12 | пишет Илья Кутуков | ссылка

Вашими устами да мед пить.

Весь вопрос упирается в финансирование IT области компании ну и политику руководство, как вы наверное знаете, риски очень любят недооценивать, и различные эксцессы воспринимать как исключительно разовые проблемы.

Допустим, для банковского сектора норма это внутренняя независимая служба аудита ИТ для постоянного мониторинга и самооценки состояния инфраструктуры, и периодический внешний аудит. Хотя это не то чтобы простой отдел, держать его внутри или использовать внешний аудит - совершенно разные плюсы и минусы.

Для среднего бизнеса вполне подойдет периодический внешний аудит.

Для мелкого.. это все равно что переводить маленькую багетную мастерскую системы "лавочка" со штатом 5 человек на ISO 9000, конечно можно, но зачем? Масштаб не тот, чтобы оценить плюсы. Мелкие инноваторства в производстве куда важнее.

Если вернуться к непосредственному предмету обсуждения, а именно государственным образовательным учреждениям, то масштаб мне не очень понятен. Если проводить параллели, то отдельная школа, лицей или небольшой ВУЗ или колледж в плане развития IT инфраструктуры ближе к организациям уровня малого бизнеса, финансирование, обычно гораздо меньше. Хотя размер штата, аналогичного среднему школьному соответствует если не крупной, то точно средней компании. Количественный размер ИТ инфраструктуры - тоже.
С другой стороны, формально, каждое государственное образовательное учреждение находится под вертикальным управлением департамента, который, в свою очередь, находится под министерством. В итоге получается колоссальная по количеству людей структура. В чем-то эта вертикаль проявляет себя хорошо, в чем-то, особенно касающемся информатизации, все спускаемое сверху - это бумаги из разряда взять и подтереться или не глядя расписаться со перлами в духе "надлежит использовать вычислительную технику в соответствии с этическими нормами". Информационная безопасность и вовсе никоим образом не регламентирована - косой десяток рекомендательных абзацев в общей концепции информатизации, содержательно они ни о чем.

Подавляющая часть финансирования у нас идет сверху. И оттуда с большим трудом доходят средства даже на первоочередные задачи. Та область, которая нигде в явном виде не регламентирована, под финансирование попасть не может, и тем более ее мониторинг. Вот и приходится отталкиваться от уровня "дешево и на коленке", надеясь на что-то лучшее в дальнейшем.

Различные взыскания с сотрудников очень редко преследуют своей целью сопоставимую компенсацию ущерба, ну если речь идет не идет о порче материальной базы, а о более эфемерных вещах.

24.10.2009 16:04 | пишет Гость | ссылка

"Для профессионального сисадмина все изложенное очевидно" - это лакейские понты - подпишитесь для начала на рассылку западных web агенств и почитайте западные рассылки. Вас с вашими лакейскими понтами никто на западе слушать не будет.

24.10.2009 19:58 | пишет Леха Андреев | ссылка

На каком западе, чувак? Ты с Пскова, чтоле?