Типичный представитель СБ

Цитата (prp3001 @ 21 мая 2026 в 14:51)

Это законы требуют, насоздают всякие дурацкие законы, а как их исполнять придумывайте сами. Сам лично подписывал перл чиновничьей мысли. Что-то вроде " В процессе работы обязуюсь не узнавать данные, содержащие гос. тайну." Бред бредовый, я ж даже не в курсе, что там тайна, а что нет, и всё равно все данные, необходимые для моей работы, я должен знать.

Данные содержащие гостайну не обрабатываются на обычных компах, к этим данным имеют доступ только те у кого есть допуск.

Народ. Вы что, совсем дети малые, никто ни разу не сталкивался с такой задачей? Это же элементарно делается.
СБшнику выдать шифрованный файл, который подключается как виртуальный диск, пароль от которого генерирует СБшник прям в программе и хранит его сам. Админ отвечает только за сохранность самого шифрованного файла. Бекапы там, оборудование чтоб исправное было и т.д. А раскрыть внутренности диска может только СБшник при его подключении и вводе пароля. Да, если СБшник проебёт пароль - админ тут не поможет. Но СБшник может как у нас было, записать пароль в закрытый пакет, а пакет - генеральному в сейф на случай ядерной войны.

При этом все делают своё дело и никакие права на внутренности шифрованного файла админу не нужны. Файл на месте? Не повреждён? Всё, идите нахуй, остальные вопросы к СБ.

И толку админу от файла без пароля ноль, он может его хоть в распечатанном виде на стены Кремля наклеить, похуй.

Цитата (Атскокотстенки @ 21 мая 2026 в 14:08)

Цитата (m4minsibirya @ 21.05.2026 - 14:08) Ну так скажи что доступ у админа отозван, как сб проверит наличие прав без админа? Выдать админинские права СБ

Самый простой вариант при такой тупой хуйне. Передать админские права СБ, выпилить себя и пусть сами ебутся как хотят.

Когда руководство кинется проверять, что пошла за хуйня - показать переписку.

На самом деле, в нормальных конторах, IT не подчиняется на прямую СБ.

Цитата

Сто процентов тупой мент на пенсии , встречал таких .

Их на проходной многие на своих работах видят)
У них еще основные обязанности- утром Здрасьте всем говорить, а вечером До свидания...
Размещено через приложение ЯПлакалъ

А в чем проблемы у админа, я не понимаю? Я хуеву тучу раз так делал, что папка создается с доступом только определенным лицам и админ туда доступа не имеет. Нах админу надо туда лезть?

Цитата (smashSR @ 21.05.2026 - 14:30)

почти все безопасники бывшие или менты или фсб. при чем нередко еще и " вынужденные" пенсионеры.

А ещё встречаются бывшие сапоги.Вот это вообще ужас ужасный. У нас был прапор бывший. Заебал всех. Да так старался,что по дороге домой,на трассе,ему голову проломили и машину сожгли. Насколько знаю так и не нашли виновных. Круг подозреваемых весь АО"название компании" и две охранных фирмы.
Размещено через приложение ЯПлакалъ

Есть такая функция как мандатный доступ или мандатный контроль. Как правило у администратора он нулевой и администратор не может сам себе поднять его. То есть он администрирует систему, но не может видеть секретные файлы. А пользователю назначается определённый уровень (выше нуля), зависит от секретности. За одним рабочим местом могут работать например два человека и у них будут разные доступы к файлам. Один не может увидеть файлы другого пользователя.
Как то так.
Это сообщение отредактировал nusmaga - 21 мая 2026 в 22:16

Цитата (nikolkas @ 21 мая 2026 в 14:12)

Там речь не про админить, а просматривать. Решается всякими подписками и внушением админу. Плюс есть программы слежения за действиями админов, там отчеты. В общем - глупость, можно всё руками сделать.

На языке НЕ админа и НЕ сбшников:

Это решается не технически, а организационно.

(ты правильно меры указал).

Цитата (MaSHinA @ 21 мая 2026 в 14:15)

Общение довольно глупое, но ситуация актуальная. В чем суть, если кто не понял: В связи с законами о личных данных: сбор, хранение и распространение таких данных строго регламентировано, при этом возникает вопрос к админам сетей, мессенджеров и т.д. Даже если они в штате. По должностным инструкциям они не могут обрабатывать личные данные (что вполне логично и, зачастую, утечки происходят именно через них), но при этом не могут не иметь доступ к этим данным. И получается, что по закону им не положено иметь доступ, а по факту исполняемых ими обязательств они этот доступ имеют по определению. Даже не знаю как эту ситуацию разрешают в крупных организациях. Интересно послушать тех, кто в теме.

Что то вы все смешали в кучу. Так должностными инструкциями или законом должны руководствоваться админы?

А в принципе не вижу проблем. Зачем просматривать папки сисадмину, в которых лежит инфа не для него? Программных средств для этого полно. И такие документы можно хранить на специально выделенном хранилище (какой нить qnap), к которому у сисадмина вообще доступа не будет.

Так и есть.
Не то чтобы часто, но подобные перцы попадаются

Цитата (swell84 @ 21 мая 2026 в 14:18)

Создал папку, дал права СБ, проверил, что доступ есть, убил у себя права на эту папку и пусть ебёться как хочет сам. В любом случае если это NAS через Web интерфейс можно получить права назад :))) Ну а СБшник счастлив. Можно в случае беды какой, сказать иди на хуй, доступ я себе закрыл, типа самозапрет на папку

Да хоть подошел к СБ ввёл passwd и пусть сам пароль вводит. И сам админит.
СБшники везде ебанутые что ли?
Мне один СБшник инструкции давал, как из здания выйти с хардами баз не через основной вход при облаве. На серьезных щах.
Другой СБшник считал, что админ должен заниматься СКУД системами и учетами карточек доступа.
Третий считал, что он наравне с директором фирмы по правам и давал указания любому. Хотя и главбухши такие попадались)

Делается обезличенная бд

Цитата (MaSHinA @ 21 мая 2026 в 15:15)

Общение довольно глупое, но ситуация актуальная. В чем суть, если кто не понял: В связи с законами о личных данных: сбор, хранение и распространение таких данных строго регламентировано, при этом возникает вопрос к админам сетей, мессенджеров и т.д. Даже если они в штате. По должностным инструкциям они не могут обрабатывать личные данные (что вполне логично и, зачастую, утечки происходят именно через них), но при этом не могут не иметь доступ к этим данным. И получается, что по закону им не положено иметь доступ, а по факту исполняемых ими обязательств они этот доступ имеют по определению. Даже не знаю как эту ситуацию разрешают в крупных организациях. Интересно послушать тех, кто в теме.

По закону включаешь его в список лиц, имеющих доступ к конфиденциальной информации, меняешь ему должностную инструкцию, берешь с него расписку, что не будет пиздеть и пусть себе админит. Это момент номер один.
Момент номер два - всегда есть люди, которые отвечают за информационную безопасность и у них есть доступ ко всей информации, корме, иногда, составляющей гостайну. Они и админить могут, если назначенный в структурном подразделении 3 кнопки нажать не может.
Это сообщение отредактировал Рипыч - 21 мая 2026 в 23:33

Нихуя не понятно, но очень интересно
Размещено через приложение ЯПлакалъ

Лучше дочь проститутка, чем сын безопасник.

Цитата (szz @ 21.05.2026 - 14:25)

на бумаге пусть печатают то. что другим нельзя просматривать, и хранят в сейфе, 100% вариант

Не умеют они печатать.
Размещено через приложение ЯПлакалъ

Короче я ни хуя не понял о чём базар


Размещено через приложение ЯПлакалъ

Цитата (nikolkas @ 21 мая 2026 в 14:32)

Цитата (Unkilled @ 21.05.2026 - 14:27) Ну вообще этикет админа называется. И СБ мне не указ. Видел такое что волосы на жопе поседели. Даже личные компы притаскивали. То что ты видел на компьютере - остаётся на компьютере. Можно на пьянке рассказать, но обезличено. Никаких личных данных. Прости, но СБ тебе - указ. Нахер их посылать не надо. А на пьянке вообще болтать не надо! Доверие - очень ценный и хрупкий ресурс.

Надо посылать, но грамотно и аргументировано. Потому что зачастую СБшники - блатные надутые тупые индюки в отставке, не имеющие ни малейшего представления о работе ИТ.

Цитата (JONH777 @ 21.05.2026 - 14:19)

Сто процентов тупой мент на пенсии , встречал таких .

А в СБ другие есть?
Размещено через приложение ЯПлакалъ

Цитата (MaSHinA @ 21.05.2026 - 14:15)

Общение довольно глупое, но ситуация актуальная. В чем суть, если кто не понял: В связи с законами о личных данных: сбор, хранение и распространение таких данных строго регламентировано, при этом возникает вопрос к админам сетей, мессенджеров и т.д. Даже если они в штате. По должностным инструкциям они не могут обрабатывать личные данные (что вполне логично и, зачастую, утечки происходят именно через них), но при этом не могут не иметь доступ к этим данным. И получается, что по закону им не положено иметь доступ, а по факту исполняемых ими обязательств они этот доступ имеют по определению. Даже не знаю как эту ситуацию разрешают в крупных организациях. Интересно послушать тех, кто в теме.

Через совмещение
Размещено через приложение ЯПлакалъ

Для таких случаев есть специальные средства защиты.
В частности, у Оракла Database Vault.
Никакой sqlplus / as sysdba не поможет выполнить прямой sеlесt и прочитать данные. защищённых таблиц БД.

Да эту хренопумбулу нужно отпиздеть за безграмотность
Размещено через приложение ЯПлакалъ

Цитата (MaSHinA @ 21 мая 2026 в 15:15)

Общение довольно глупое, но ситуация актуальная. В чем суть, если кто не понял: В связи с законами о личных данных: сбор, хранение и распространение таких данных строго регламентировано, при этом возникает вопрос к админам сетей, мессенджеров и т.д. Даже если они в штате. По должностным инструкциям они не могут обрабатывать личные данные (что вполне логично и, зачастую, утечки происходят именно через них), но при этом не могут не иметь доступ к этим данным. И получается, что по закону им не положено иметь доступ, а по факту исполняемых ими обязательств они этот доступ имеют по определению. Даже не знаю как эту ситуацию разрешают в крупных организациях. Интересно послушать тех, кто в теме.

Владельцем папки, шаринга, какого то ресурса делается сотрудник СБ, включаешь ему полный доступ, у остальных, включая админов, какие либо права на этот ресурс убираются.
Ничего сложного. СБшник потом сам пускай дает права доступа, редактирования и т.п. кому считает нужным. Админ тут умывает руки.

Правда админ всегда себе может права вернуть, посмотреть что там, а потом удалить опять.
СБшник очень плохой СБшник, раз этого не понимает.
Конечно можно посмотреть логи изменения permissions, но вряд ли он такое сможет, если даже вдруг узнает в теории.
Ну и хороший админ, если нет хорошей ИБ, всегда может запустить, например, кейлоггер в теневом режиме и спокойно узнать пароль СБшника или руководства. И если ему интересно, то просто логиниться под нужным аккаунтом.

Поэтому в серьезных организациях кроме хороших админов всегда нужны и хорошие ИБшники, не только для защиты от угроз извне, но и для защиты от внутренних возможных угроз в лице тех же админов.
Это сообщение отредактировал Demigod - 22 мая 2026 в 00:16

Цитата (Рипыч @ 22 мая 2026 в 00:31)

Цитата (MaSHinA @ 21 мая 2026 в 15:15) Общение довольно глупое, но ситуация актуальная. В чем суть, если кто не понял: В связи с законами о личных данных: сбор, хранение и распространение таких данных строго регламентировано, при этом возникает вопрос к админам сетей, мессенджеров и т.д. Даже если они в штате. По должностным инструкциям они не могут обрабатывать личные данные (что вполне логично и, зачастую, утечки происходят именно через них), но при этом не могут не иметь доступ к этим данным. И получается, что по закону им не положено иметь доступ, а по факту исполняемых ими обязательств они этот доступ имеют по определению. Даже не знаю как эту ситуацию разрешают в крупных организациях. Интересно послушать тех, кто в теме. По закону включаешь его в список лиц, имеющих доступ к конфиденциальной информации, меняешь ему должностную инструкцию, берешь с него расписку, что не будет пиздеть и пусть себе админит. Это момент номер один. Момент номер два - всегда есть люди, которые отвечают за информационную безопасность и у них есть доступ ко всей информации, корме, иногда, составляющей гостайну. Они и админить могут, если назначенный в структурном подразделении 3 кнопки нажать не может.

ИБшникам ни в коем разе нельзя давать права админа, кроме, разве что, локального.
Иначе они превращаются в главную угрозу безопасности.
У них должны быть средства мониторинга и права управления ими, на этом все.

Между админами и ИБ нужен баланс, функции администрирования и контроля должны разделяться, ну если у вас не 10 компов в организации.

Вообще территориально распределенная сеть из 1000+ устройств довольно сложная для администрирования структура и права админа в ней нельзя давать не очень понимающим человекам.

Ну так перевести админа с отдел СБ и пусть админит от СБ. И тогда доступ не нужно админу запрещать )))