Архив форумов ЦИТФорума

[fLamer]

Предлагаю обсудить вопросы доверия к сисадминам. Все пытаются контролировать, проверять. Паролят архивы, екселевские документы, как дети! Скрывают че-то.. Я и там знаю чего скрывают, админа паролями - как ежа голой жопой, не остановить
Вместо того чтобы обсудить с админом проблемы защиты информации и выработать стратегию по улучшению защиты информации. Админ не обманет, ему если доверять, он то и поможет. У него работа такая, прятать инфу.

Лозунг сисАдмина "Пришёл к доктору - изволь снимать штаны!"

[fLamer]

Считаю что проблема многих сисадмином, в плохой "юридической подкованности". Надо обращаться и к административным вопросам организации деятельности. Ведь сисадмины работают с людьми и с целой системой, вопросы организации работы должны их занимать не меньше чем руководителей. А рядовой сисадмин "заморачивается" только на изучении софта. Профессия требует большего.
А отсюда и жалобы на непонимание начальства и пользователей.
А виноват отчасти и сам админ.

[fLamer]

Типичное отношение админа к пользователю "Ламер" это непрофессионально. Это как психоаналитику ругать клиента.

[fLamer]

Использую слово админ в контексте человека занимающимся организации всей ит сферы от железячника до эникейщика. А не теоретического админа, раздающего только пароли и права.

[and3008]

Удивительное дело. Админ и в софте и в железе разбираться должен и юзверей ублажать и в структуре организации что-то соображать.

Интересно, а почему бы бухгалтеру не научится разбираться в локальных сетях и тонкостях логистики?
А почему бы рядовому менеджеру не научиться разбираться в особенностях бух.учета и тонкостях ведения юридических дел в арбитражном суде?

НЕ НАДО!

Каждый должен быть при своем деле. Каждый должен знать свое дело хорошо и быть ответственным за результат СВОЕГО труда.
Все разговоры о непонимании складываются из-за того, что в конторе отсутствует человек (группа людей), которая может увязать работу бухгалтера и сисадмина, юриста и уборщицы.
Это типичные проблемы любой, плохо управляемой конторы, в которой руководство самоустранилось от решения оперативных задач управления и наивно полагает что все сами друг с другом найдут общий язык. Глупая наивность!
Типичная судьба такой конторы - медленный развал и постепенное увядание.

[grf]

[Dmitrius]

Реклама - это главное и осносное (www.antimult.ru)

У нас с пользователями оболденные отношения (за исключением 1 - 2 % персонала).

Мы развернули внутренний сайт и форум. На сайте в разделе новостей мы (IT) выкладывае все что мы сделали. (внедрили это, внедрили то, кинули новый узел сети (пользователи пугаются при слове канал), и т.д.) короче вся наша деятельность начиная от глобальных изменений и перемен.

На форуме организовали раздел ЛикБез - куда выкладываем подробные инструкции и отвечаем на вопросы.

Короче мы добились того что 99% пользователей стала понимать что мы совсем не заумные люди (к которым на кривой корове не подъедеш), и что собственно делаем.

Постепенно началось меняться отношение пользователей к IT. уже не слышим фраз на подобе "они не чего не делают".

Пользователи делают меньше ошибок т.к. на каждую ошибку мы делаем инструкцию как её избежать и выкладываем на форуме.

ЗЫ.

А самое приятное что некоторые депортаменты начали участвовать в этом проекте: HR выкладывают в новостях все что косается их депортамента (подздравления с днюками и т.д.) а Бухи на форуме ведут раздет ЛигБез/Бухгалтерия гда популярно описывают как, где, при каких условиях правельно подавать различные документы, брать справки и т.д., причем не документальным (юридическом) языком, а нормальным, понятным всем.

[fLamer]

По поводу того, что админ должен разбираться в бухгалтерии и юридических делах. Не должен. Я этого не говорил.

Я имел ввиду правильно строить свои отношения и планировать работу именно в своей сфере. Понимать работу других служб ровно настолько, чтобы знать что им нужно из того что ты можешь делать.

Генеральный директор управляет всеми, но он не специалист во всех вопросах. Админ не специалист в бухгалтерии, но чтобы права раздать, надо понимать. Надо понимать ответственность, своё место в системе организации.

[and3008]

[fLamer]

Честно, ни разу не видел работы, где начальник понимает, ЧТО может сисадмин, ЧТО он должен делать, про должностные это только в учебниках вообще
Я сам мечтаю о таком начальнике, который скажет что делать и возьмёт на себя ответственность, только это сказка.
Про организацию своей работы с другими службами ещё раз..

когда бухгалтерия приходит к сисадмину и начинает просить сделать какую-нить хрень, добрый сисадмин побежит это делать, злой пошлёт подальше, а грамотный (!) попросит изложить на бумаге просьбу, обосновать необходимость. А выбирать из вариантов бежать делать, послать подальше или попросить на бумаге придётся на основании понимания своих обязанностей и "профессионального долга", так сказать.
Вот так побежишь сделаешь доброе дело, а окажется, что как сисадмин ты балуешь пользователей и вообще не свою работу делаешь. А в другой раз пошлёшь, мол, это не мои обязанности, а окажется что .. упс, и ещё по шее получишь..

грубый пример, но одним знанием софта админу в таких ситуациях не обойтись, и начальников в помощь нет, НЕТУ
да и не будешь же каждый раз у начальника спрашиваться что ответить, это программер с компом общается, а админ.. неа

[fLamer]

ещё к примеру,
а кто должен объяснять руководству, что правила информационной безопасности должны соблюдать ВСЕ! И если директор не хочет менять пароли раз в три месяца, то бесполезно заставлять делать это остальных, нашёлся один "исключительный" человек, потом второй, потом от правил не осталось ни чего..

должен ли грамотный сисадмин объяснять ЗАЧЕМ даются пароли, ПОЧЕМУ недопустимы исключения?
поможет ли ему в этом знание софта?

[and3008]

Объяснять много раз не надо.
Все до разу. Я предупреждаю 1-2 раза. Руководителю виднее что для него приоритетнее и не надо пытаться ему объяснять что он не прав. Результат будет не в вашу пользу.

Постарайтесь сперва завоевать уважение у начальства, чтобы к вашему мнению прислушивались. Тогда можете аккуратно поворачивать политику безопасности в нужное русло.

В крупных конторах есть служба безопасности. Обычно хватает разговора с начальником службы безопасности, чтобы понять какое внимание уделяется безопасности. Если всем на все наплевать, то ваше рвение навести порядок наверняка не будет с воодушевлением поддержано.

[oldman sysadmin]

Выскажу и свое мнение.
Большинство админов не может работать под контролем. (администраторы ИБ или службы безопасности)
Во многих компаниях даже крупных считается что информационная безопасность - удел ИТ-директора или его зама. Служба безопасности при этом представлены как правило бывшими сотрудниками МВД с уровнем знания компьютера на уровне домохозяйки (уж извините но это правда жизни)
Специалистов по ИБ практически не хватает. Законодательсво РФ в этой области требует от администратора ИБ быть юристом , техническим специалистом, техническим писателем и бухгалтером одновременно.
Основная проблема ближайших 3-5 лет это уход от суперпользователя (админ) и переход ИТ на уровень обслуживающего персонала, при этом резкое повышение требований и отвественности администраторов ИБ. Это уже подтверждается и современными тенденциями в оплате труда.

[grf]

Мое мнение - все взаимоотношения на работе, а тем более между службами (IT, безопасность, бухгалтерия и пр.) должны идти обязательно в письменном виде. В идеале, устраиваясь на работу, вас должны ознакомить с полным комплектом документов, регулирующих внутреннее взаимоотношения. Можно менеджерам работать в субботу в сети, пожалуйста, запретить бухгалтерии логиниться на машинах отдела продаж - пожалуйста, нельзя слушать музыку на машинах - уже запретил. Вот документ, подписанный гендиректором, который для меня сейчас истина в высшей инстанции, пойдемте к нему разберемся, возможно текущую политику стоит переделать.
Считает Ваня, что у него пароль должен быть из трех букв, пожалуйста, директор прочитал и подписался, тогда при очередном взломе сети - безопасность оказалась под угрозой согласно Вашему распоряжению, вот Ваш документ, а вот лог о взломанном пароле.

Число конфликтов при таком подходе постепенно сводится к самому минимуму.

Однако здесь ключевая фраза В идеале

В реальной жизни часто приходиться самому браться за составление и внедрение этих документов, ну, или, менять работу

[Dmitrius]

А вам знаком стандарт СМК ISO 9001?

Этот сертификат хотят заполулить осень много контор.

Вот у нас на пример он введен, и один из пунктов стандарта - это документирование всего до самой последней просьбы.

раз в 6 месяцев приходит комисия, и проверяет всю эту фигню, в том числе проверяются журналы учета "бумажек" (Входящие (в отдел) жокументы, Исходящие (из отдела) документы. папка для приказов, для служебных записок, для актов и т.д.)

а главное на нашей продукции есть маленький логотип - ISO 9001 - что очень нравится иностранным покупателям

[grf]

не знаком
Спасибо надо будет узнать об этом побольше, если есть возможность скиньте ссылку с подробным описанием

[Dmitrius]

Вот самая первая, на которую наткнулся http://www.iso9001.ru/

А от себя лично:

Просто описание одного из пунктов которое обязано выполняться при использовании сертификата (случаи из повседневной работы)

Случай первый. Я покупаю расходный материал. На документах (счет фактура и накладная) ставлю исходящий номер, и регистрирую в специальном журнале (журнал исходящих документов) беру этот журнал и документы и тащу все это в бухгалтерию. отдаю документы, бухгалтер в моем журнале расписывается. Больше я этой темы не касаюсь. Через 6 месяцев оказывается что в нашей 1Ске числится что мы бабки заплатили за детали, но их не получили (просто те бумажки которые я отдал бухам, не забили в 1Ску, да еще и потеряли). Бухи идут ко мне: Дима, ты вот от этой канторы не принес документы за этот товар, поэтому иди, забери документы, принеси их нам, а заодно напиши объяснительную почему ты не сдал документы вовремя. Я открываю "журнал исходящих документов", тыкаю пальцем в подпись бухгалтера, доказывающую то что бухи от меня эту бумажку уже получили, и говорю: идите-ка вы сами в эту контору, а я на это своё время тратить не буду.

Случай второй. По СМК все службы должны вести только документированный образ жизни (т.е. если мне кто то звонит и говорит что у него что то не работает я его слушаю, ложу трубку и ничего не делаю т.к. подтвердить то что он мне звонил он не может, а значит не звонил). И так. есть отдел сбыта, который из за того что вечно торопится, постоянно имеет кучу проблем. то не на тот принтер пошлет печатать, то поправляя мышку роняет монитор, то еще что то... Так вот у нас есть база на 1Ске, в которую все пользователи подают заявки (что у них не работает), а мы пишем исполнения (что мы сделали). В том числе и сбыт. мне надоело учить сбыт работать, и я просто перестал к ним ходить и исправлять их ошибки. Управляющий сбыта написал на меня жалобу, и я, управляющий сбытом, и финансовый директор имели очень продуктивный разговор, на котором я распечатал заявки отдела сбыта, и исполнения, из чего фин дир сделал вывод что сбыт не умеет нормально работать, отправил сотрудников сбыта на тренинг по работе с РС, и предупредил нач. сбыта о том что если его люди не научатся работать с техникой, то работать не будут ВаЩе. После разговора был составлен протокол собрания, который был всеми подписан, и если со сбыта начнут опять ронять мониторы, я этому протоколу дам ход...

Одна из задач СМК не делать ни чего без подписи. С одной стороны это не много тормозит работу компании (пока распечатаешь, пока подпишешь), но зато когда начинается «разбор полетов» всегда можно найти того, кто будет отвечать. И твоя задача становится не делать все что тебе сказал кто то, а делать только то, что прописано в твоих должностных обязанностях. И если там не написано что системный администратор должен сидеть на работе в момент закрытия периода до последнего бухгалтера, значит ты смело можешь в 18-00 валить домой. Если в политике безопасности компании написано что пароли должны меняться каждую неделю, значит пароли будут меняться даже у фин.дира.

А если какая то политика тебя не устраивает, то ты всегда можешь написать предложение на изменение/дополнение в политике и отправить его специальному менеджеру который следит за исполнением СМК (он должен быть по стандарту ISO9001) и он будет твои изменения рассматривать…

[Попавший Ламер]

Все, конечно, верно.
Только вот это хорошо, если это ело в одной конторе, с достаточно квалифицированым персоналом.
На переифирии до сих пор живет понятие "специалист по компьютерам".
То есть. Франчайзинговая компания продаяет и сопровождает некоторое ПО. И в течение определенного срока обеспечивает его работоспособность. В этот период активно поступают звонки - "не работает!!!" Начальство, естесственно, терять пациентов не желает, и отправляет админа (если сложность проблемы превосходит понимание спецов отдела сопровождения), с указанием "крутись как хошь, тока чтоб заработало". По своему опыту скажу - заниматься приходится от монтажа сетей до аникейщицкой работы. Особо задумываться на тему "почему я не могу себе позволить быть узким специалистом в отличие от отела сопровождения?" как правило некогда. И пусть в нашей конторе документируется все и вся, на выезде в район (от 10 до 300 км) права качать не очень-то получается. И разбираться на ходу в сетках которые кто-то проложил (иногда даже не остается записей в бухгалтерии кто и когда производил работы... типа если не "всегда тут было", то "завелось как-то"), кто-то настроил, кто-то чего-то там установил и пр...
Поднимать вопрос о том должен ли этим заниматься - у начальства сводится к "скока тебе доплачивать, чтоб ты этим занимался?". Это в хороших конторах :) Из плохих, где пытались убедить, что это прямая обязанность приходилось оперативно увольняться.