<div dir="auto"><div dir="auto">привіт!<div dir="auto"><br></div><div dir="auto">ні, Саша, там не так.</div><div dir="auto">там складніше все набагато.</div><div dir="auto">Ну, ніби з допомогою тутешніх колег розібрався, всім дякую...</div><div dir="auto"> далі вже спілкуємось з конкретною людиною глибше і по темі.</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ср, 25 січ. 2023, 18:14 користувач Alexander V Soroka <<a href="mailto:alex@euro.net.ua" target="_blank" rel="noreferrer">alex@euro.net.ua</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Привет !<br>
<br>
даже не знаю что тебе сказать :)...<br>
...а табличка в Экселе чем тебе не подходит ? :)<br>
<br>
Просто если речь идет о "текстах программ и Проектов" то есть куча <br>
типа того же GitHub, или всякие "контроль версий".<br>
<br>
Ну а то что ты описал это из области когда Начальник говорит: <br>
"напишите мне Базу Данных" :-) в которой будет все-все что у меня есть упомянуто и описано"...<br>
<br>
Я спрошу у своих знакомых, кто разработкой "за бугром" занимается, <br>
может что то подскажут...<br>
<br>
Wednesday, January 25, 2023, 12:01:48 PM, Oleh Hrynchuk <a href="mailto:oleh.hrynchuk@gmail.com" rel="noreferrer noreferrer" target="_blank">oleh.hrynchuk@gmail.com</a> you wrote:<br>
OH> Доброго дня, колеги.<br>
<br>
OH> Керівництво доросло до розуміння потреб чогось на зразок "OSS for software<br>
OH> development".<br>
OH> Зокрема ось хотєлкі (нижче). Вони стосуються в першу чергу нашої<br>
OH> AWS-інфраструктури.<br>
OH> Може хтось щось підкаже в цьому плані?<br>
OH> А то по телко я ніби в курсі, а ось по software development та програмних<br>
OH> комплексах/системах ні.<br>
OH> Може якісь стандарти/рекомендації напрацьовані/існують у світі для<br>
OH> управління цим усім господарством? Ну і готові системи управління...<br>
<br>
OH> Ось самі хотєлкі (просто тези, котрі вдалося застенографувати):<br>
<br>
OH> ---------------<br>
OH> Хотілося б мати завжди актуальну (up to date) інвентаризацію всіх<br>
OH> програмних систем у нашому середовищі розробки.<br>
<br>
OH> Що потрібно від цієї інвентаризації:<br>
OH> 1. Перелік всіх елементів інфраструктури, систем та програмного<br>
OH> забезпечення, якими ми користуємося і за які несемо відповідальність<br>
OH> 2. Які версії операційних систем та програмного забезпечення працюють на<br>
OH> кожній такій системі?<br>
OH> 3. Хто несе відповідальність за те, що система правильно налаштована та<br>
OH> експлуатується в усіх відношеннях? Хто "власник" системи?<br>
OH> 4. Як здійснюється моніторинг кожної системи? (Варіанти: ніяк, Intruder,<br>
OH> Wuzah, централізоване ведення журналу, локальне ведення журналу тощо)<br>
OH> 5. Хто переглядає вихідні моніторингові дані?<br>
OH> 6. Як налаштовується кожна система? (Варіанти: вручну, Terraform, інша<br>
OH> автоматизація тощо)<br>
OH> 7. Де можна знайти документацію для правильного налаштування кожної системи?<br>
OH> 8. Який статус безпеки системи? (Варіанти: невідомий, сумісний з CIS,<br>
OH> сумісний з SOC2 тощо)<br>
OH> 9. Хто відповідає за безпеку в системі?<br>
OH> 10. Хто має адміністративний доступ до системи?<br>
OH> 11. Які зв'язки з іншими системами має дана система?<br>
OH> 12. Чи має система зовнішні підключення до Інтернету?<br>
OH> 13. Дата останнього перегляду/використання/логіну в систему?<br>
OH> 14. Все інше, що забули явно вказати, але про що повинні знати...<br>
<br>
OH> Після того, як ми створимо інвентаризацію, нам знадобляться процеси, щоб<br>
OH> підтримувати її в актуальному стані, періодично переглядати її і<br>
OH> переконатися, що люди не змінюють інфраструктуру і виробництво, не<br>
OH> пройшовши відповідний процес (change management). Наприклад, ми не повинні<br>
OH> запускати незаплановані, незатверджені, необліковані системи, програмне<br>
OH> забезпечення та послуги.<br>
<br>
OH> Нам потрібно задокументувати геть усі наші продукти, системи, все, що маємо<br>
OH> і почати виправляти ті місця, де управління не є повністю зрілим,<br>
OH> відповідно до найкращих інженерних практик. Чому? Будь-яка система є<br>
OH> потенційним вектором атаки. Будь-яка ненадійна система - це потенційний<br>
OH> незадоволений клієнт. Будь-який інцидент безпеки або збій системи шкодить<br>
OH> нашій репутації. Будь-яке розслідування, проведене зовнішньою<br>
OH> організацією, повинно виявити, що ми належним чином управляємо своїми<br>
OH> системами та послугами, використовуючи найкращі інженерні практики та<br>
OH> операції відповідно до існуючих стандартів. Щоб досягти цього, ми повинні<br>
OH> постійно бути в курсі того, що саме ми маємо.<br>
OH> -----------------------<br>
<br>
<br>
OH> Дякую.<br>
<br>
<br>
<br>
-- <br>
Best regards,<br>
Alexander V Soroka <a href="http://www.svr.ua/" rel="noreferrer noreferrer noreferrer" target="_blank">http://www.svr.ua/</a><br>
AS106-RIPE<br>
mailto:<a href="mailto:alex@euro.net.ua" rel="noreferrer noreferrer" target="_blank">alex@euro.net.ua</a><br>
<br>
<br>
-- <br>
Это сообщение было проверено антивирусным ПО AVG на наличие вирусов.<br>
<a href="http://www.avg.com" rel="noreferrer noreferrer noreferrer" target="_blank">www.avg.com</a><br>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" rel="noreferrer noreferrer" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer noreferrer noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote></div></div>