Русский
Русский
English
Статистика
Реклама

Российский софт

Изучаем безопасность офисного ПО какие механизмы влияют на защиту данных

18.12.2020 16:04:56 | Автор: admin


Недавно, издание D-Russia опубликовало авторское мнение Владимира Каталова, исполнительного директора компании Elcomsoft об уровне подверженности к взлому методом перебора защищенных паролем файлов офисного ПО. Компания специализируется на криминалистической экспертизе компьютеров, мобильных устройств и облачных данных, и в своей публикации среди прочего привела оценку безопасности продуктов МойОфис при работе с данными. Мы, как разработчик российского программного обеспечения для совместной работы с документами и коммуникациями, придерживаемся другой точки зрения и хотим обратить внимание на допущенные в публикации неточности.

Сразу стоит сказать, что некорректно приравнивать вопросы сертификации и подтверждения надежности продуктов к имплементации одной конкретной функции парольной защиты документов и, к тому же, отождествлять одну эту функцию с общим уровнем безопасности продуктов МойОфис.

Мы приветствуем экспертизу и развитие Elcomsoft в направлении защиты паролями, при этом хотим отметить, что использование механизмов шифрования документов на основе парольной информации не приводит к обеспечению надлежащего уровня конфиденциальности информации с ограниченным доступом (в обычных редакторах). Линейка защищенных решений любого производителя подразумевает использование комплексной (эшелонированной) защиты на уровне приложения, операционной системы, рабочей станции, сети и информационной инфраструктуры в целом.

МойОфис предлагает средства обеспечения информационной безопасности на уровне приложения. В решениях МойОфис реализованы технологии защиты каналов связи (TLS), функции шифрования и электронной подписи почтовых сообщений, а также возможность поддержки российских криптографических библиотек (подробнее о функциях безопасности). Продукты МойОфис регулярно проходят сертификационные испытания на соответствие требованиям действующих регламентов регулятора, и в полной мере им отвечают. В том числе, продукт МойОфис Стандартный, пробную версию которого изучали специалисты Elcomsoft в своей публикации, успешно прошел сертификацию в ФСТЭК России и получил сертификат, который определяет отсутствие недекларированных возможностей и соответствие требованиям по уровню доверия (подробнее о сертификации).

При необходимости и по желанию заказчика, решения МойОфис могут быть доукомплектованы дополнительными средствами обеспечения информационной безопасности. К числу таковых относятся, как наложенные программные средства, так и программно-аппаратные средства защиты, например защищённые ключевые носители. Продукты МойОфис совместимы с решениями КриптоПро, которые получили широкое распространение в Российской Федерации, в том числе, в органах государственной власти и крупных коммерческих структурах. Комплекс реализованных мер информационной безопасности позволяет нашим пользователям применять продукты МойОфис на объектах критической информационной инфраструктуры.

Учитывая вышесказанное, функция парольной защиты не может считаться единственным и, тем более, ключевым критерием обеспечения информационной безопасности. Из-за ряда своих технологических особенностей, она также не является и объектом сертификации. В целом, согласно действующим регламентам системы сертификации ФСТЭК России, программное обеспечение проходит оценку на предмет соответствия конкретному набору требований, и стандартная функция защиты файла паролем не заявляется как функция защиты.

Тем не менее, мы благодарны коллегам за внимание к особенностям реализации этой функции в редакторах МойОфис. Она была включена в состав продуктов в том числе с целью обеспечения совместимости с существующими файлами наших пользователей. Одним из ключевых преимуществ наших продуктов является поддержка большого количества различных форматов редакторы документов и электронных таблиц способны работать с со всеми известными форматами файлов, включая устаревшие, которые были накоплены нашими пользователями за долгие годы и до сих пор используются в их технологических процессах.

Выбор параметров функции парольной защиты обусловлен требованиями стандартов OOXML и ODF в разрезе критериев обратной совместимости. Учитывая экспоненциальную зависимость скорости подбора ключей от длины ключа, количества символов в пароле и типа используемого набора символов, нам было бы интересно узнать, при каких условиях тестирования удалось наблюдать столь значительный перекос в опубликованных результатах. Мы дополнительно усилим функцию парольной защиты, но еще раз подчеркиваем, она не может комплексно влиять на вопросы безопасности наших продуктов.

Если говорить о шифровании документов, как о методе ограничения доступа к информации, то целесообразно применять не функции парольной защиты, а использовать элементы ИОК (инфраструктуры открытых ключей). В том числе, защищать данные с помощью квалифицированных сертификатов ключей проверки электронной подписи, где уровень криптографической стойкости, включая устойчивость к механизмам подбора пароля, находится принципиально на другом уровне. Подобный способ позволяет производить шифрование с использованием технологии асимметричной криптографии, к которой не применимы атаки методом прямого перебора паролей, на которых специализируется Elcomsoft.

Стойкость электронной подписи в соответствии с ГОСТ Р 34.10-2012 основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости используемой хэш-функции по ГОСТ Р 34.11-2012. Стандарты криптографической защиты информации разработаны Центром защиты информации и специальной связи ФСБ России совместно с ТК 26.

В статье также содержатся недостоверные данные о применяемых компонентах СПО в решениях МойОфис: это неправда, что функция парольной защиты реализована на базе технологий OpenOffice. Ядро, интерфейс, значительная часть кода платформы МойОфис, в том числе офисные редакторы написаны с нуля, полностью силами специалистов компании (всего более 1,5 млн строк собственного кода). Упоминаемая в статье функция парольной защиты является проприетарной и не имеет никакого отношения к решениям OpenOffice.

Мы приветствуем решение Elcomsoft добавить функцию восстановления паролей к зашифрованным документам и таблицам в форматах документов МойОфис в новых версиях приложений Advanced Office Password Recovery и Distributed Password Recovery. Таким образом, экосистема МойОфис пополнилась еще одним технологическим партнером, лидером в области разработки сервисных утилит в сфере информационной безопасности. Выражаем надежду на дальнейшее сотрудничество в вопросах независимого аудита программных решений МойОфис, что позволит сделать наши продукты еще лучше.
Подробнее..

7 soft skills, которые нужно начинать прокачивать уже сейчас

22.10.2020 12:07:47 | Автор: admin
image

Быть программистом в 2020 году не то же самое, что десять лет назад. Мир постоянно меняется, и многие из умений, которые были важны тогда, со временем отошли на второй план. А какими навыками должен обладать разработчик, чтобы оставаться востребованным специалистом, например, через пять лет? Если у вас их нет, возможно, стоит подумать над их развитием уже сейчас?

Я Анастасия Горелова, руководитель программ обучения Хаб Знаний МойОфис. Занимаюсь проектированием и реализацией программ развития hard и soft skills наших сотрудников, обучаю коллег, партнеров и клиентов работе с продуктами МойОфис, а также продвигаю наши образовательные проекты в школах и университетах.

В этом посте я хочу поговорить про навыки, которые помогут оставаться востребованным разработчиком даже в условиях постоянных изменений, и рассказать о том, как их развитие реализовано в МойОфис. Обычно IT-специалисты делают ставку на научно-техническую базу, важную для понимания функционирования системы в целом. Сюда входит знание принципов работы ОС, сетевого стека, баз данных и математического аппарата, который лежит в основе любого алгоритма или протокола, и др. Однако одних только hard skills недостаточно также необходимы коммуникативные навыки, умение выстраивать рабочий процесс с командой и/или незнакомыми людьми, гибкость в принятии решений и другие soft skills. Причем важно не просто обладать ими soft skills должны быть интегрированы в общий процесс разработки и идти в тесной связке с профскилами. О семи из них сегодня и пойдет речь.

1. Комплексное решение проблем


Спрос на специалистов, умеющих подходить к задаче с разных сторон, стабильно растет. Большинство людей не могут решать сложные проблемы, потому что часто применяют технологии, направленные на процесс, а не на результат. Разработчик, использующий комплексный подход, может не только выявить проблему, но и определить ее причины, а самое главное просчитать дальнейшие шаги.

image

Пример: среди требований к новой почтовой системе Mailion, которую создают разработчики МойОфис, есть отказоустойчивость и самовосстанавливаемость. Поскольку решение устанавливается на инфраструктуре клиента, мы не сможем иметь к нему доступ. Поэтому коллеги постоянно совершенствуют работу системы, чтобы в случае отказа она сама смогла быстро восстановиться. Ситуаций может быть множество, важно заранее предусмотреть все случаи, а это не так уж и просто.

Вопрос для самопроверки:

  • Коллеги жалуются на часто повторяющуюся проблему. Если бы она возникла в вашей команде, с чего бы вы начали ее решение?
  • Просчитываете ли вы возможные риски при выборе определенного решения?
  • Как понять, что вы действительно решаете проблему, а не устраняете ее симптомы?

Если говорить про МойОфис, мы регулярно организуем открытые лекции по продукту (для сотрудников консультации, а для внешних слушателей вебинары), их могут посещать все желающие. На обучении каждый видит, казалось бы, понятную тему, но с другой стороны, слышит вопросы коллег, узнает особенности работы других сотрудников и то, что их волнует. Поскольку те, кто разрабатывают код продукта, практически не общаются с его конечным пользователем, подобные встречи помогают увидеть обратную сторону луны. Таким образом, у участника формируется целостное восприятие продукта и опыт комплексного подхода к решению проблем.

2. Умение убеждать


Умение убеждать то есть преподносить свою идею, приводить аргументы и рассказывать историю так, чтобы слушатели были увлечены необходимо не только тем, кто постоянно общается с клиентами. Этот навык поможет отстоять свою точку зрения, вдохновить единомышленников. И чтобы коллеги слушали вас не из вежливости, а внимательно и сосредоточенно, крайне желательно делать свой рассказ не только убедительным, но и интересным.

Пример: при подготовке презентации о релизе вы стараетесь не загрузить коллег сухим списком фактов с техническими подробностями, а выстраиваете историю: добавляете пояснения, яркие примеры, продумываете, как будете управлять вниманием слушателей, и готовите аргументы для ответов на возможные вопросы.

Вопросы для самопроверки:

  • Замечали ли вы, что вас перебивают на совещаниях? Было ли ощущение, что вас никто не слушает?
  • Стараетесь ли вы приводить наглядные кейсы, когда отстаиваете свою точку зрения?
  • Как вы начнете рассказ о себе? Отрепетируйте небольшой спич.
  • Вспомните случай, когда после разговора с вами коллега менял свое мнение. Что именно помогло вам переубедить его?
  • Как вы реагируете на возражения?

Мы развиваем этот навык, стимулируя сотрудников как можно чаще выступать внутри своей команды и на общих встречах перед другими отделами. Если коллеге предстоит выступление на внешней конференции, Хаб Знаний помогает с подготовкой: пока это точечные курсы, направленные на конкретные цели (развитие навыков публичного выступления, ораторского искусства, работы с возражениями и пр.), однако сейчас мы работаем над созданием внутренней школы спикеров, записаться в которую смогут все желающие сотрудники.

3. Навыки сотрудничества и работы в команде


Думаю, многие согласятся, что в IT-среде значимую роль играет сообщество: опытные разработчики помогают коллегам и охотно делятся экспертизой (Habr тому подтверждение). Тем не менее есть стереотип, что для программиста нормально быть замкнутым, однако с закрытым человеком трудно взаимодействовать, так как он почти никогда не предлагает идеи и не склонен обсуждать текущие процессы. Поэтому все больше компаний обращают внимание на то, умеет ли специалист работать в команде, понимает ли он коллег так же хорошо, как и сам проект, способен ли давать и принимать обратную связь.

image

Пример: менеджер проекта ставит сроки по задаче, и вы понимаете, что он недооценивает реальный масштаб работы. Вы обсуждаете ситуацию со всеми участниками, собираете обратную связь и аргументы. После этого организуете встречу, где конструктивно и доброжелательно объясняете, сколько времени потребуется на самом деле. Менеджер проекта принимает доводы и назначает новый срок.

Вопросы для самопроверки:

  • Вам нужно заговорить с коллегой, которого вы не знали ранее. С чего вы начнете?
  • Один из участников команды раз за разом сдает работу с ошибками. Как вы поступите?
  • Какие слова вы подберете, чтобы критика прозвучала доброжелательно?
  • Отмечаете ли вы успехи коллег и говорите ли о них публично?
  • Что помогает вам почувствовать настроение собеседника и настроиться на его волну?

Для развития навыков сотрудничества в некоторых командах мы практикуем метод ротации, когда разработчик из одного проекта МойОфис на время переходит в смежный. Это не только позволяет попробовать себя в новом деле, но и прокачивает умение общаться с коллегами, помогает не закисать и переключаться с рутинной работы на новые задачи. Если есть запрос, мы организовываем специализированные курсы для развития личных и профессиональных навыков. Кроме того, всем нашим руководителям мы настоятельно рекомендуем на регулярной основе проводить one to one встречи с каждым членом команды, чтобы участники могли скорректировать планы, задачи, выстроить доверительное общение и на ранних этапах предугадать появление ошибок. На таких встречах сотрудник учится задавать правильные вопросы, слышать обратную связь, осваивает навыки конструктивно обсуждать взаимодействие в команде.

4. Умение планировать свою работу


Банальный тайм-менеджмент на самом деле не такой уж банальный. Период вынужденной самоизоляции 2020 года показал, что навык управления временем чрезвычайно важен в работе каждого. Уверены, что и через пять лет он будет по-прежнему актуален. Работодатели ценят специалистов, которые умеют планировать, дают точные оценки сложности задач и придерживаются сроков независимо от используемого языка, технологий и методологий.

Пример: чтобы организовать работу группы (если вы руководитель) или свою собственную, вы планируете спринты, следите за тем, чтобы между задачей и решением был временной буфер, который позволит упорядочить дела и расставить приоритеты. В течение дня вы придерживаетесь намеченного и не отвлекаетесь на другие запросы, благодаря чему работа становится более спокойной и предсказуемой.

Вопросы для самопроверки:

  • Вас просят назвать сроки готовности проекта. Чем вы будете руководствоваться при оценке?
  • Разгар рабочего дня, и вдруг коллега присылает вам ссылку. Вы знаете, что там полезная и важная статья. Как вы поступите?
  • Составляете ли вы рабочие и личные планы на день/неделю/месяц? Как много из них удается выполнить?
  • Знаком ли вам метод планирования времени матрица Эйзенхауэра?
  • Знаете ли вы, сколько времени у вас в среднем уходит на каждый тип задач?
  • Сколько минут / часов в день вы проводите в социальных сетях? Отслеживаете ли вы каким-либо образом эту статистику? Используете ли тайм-трекеры?
  • Практикуете ли отдых от соцсетей и интернета, digital detox?

Для планирования работ и фиксации промежуточных вех проекта некоторые отделы МойОфис используют методологию Scrum и обучают ей новых сотрудников, чтобы группа работала слаженно. Часть команды в Москве ориентирована на освоение стандартных методик управления проектами по методологии PMI PMBoK. Мы в Хабе Знаний в свою очередь пополняем библиотеку компании материалами по тайм-менеджменту коллегам доступны актуальные новинки, техники из которых они могут начать внедрять сразу после прочтения.

5. Критическое мышление


Умение критически мыслить один из ключевых навыков в наше время. В мире, где знание сила, а поток информации увеличивается в геометрической прогрессии, нужно уметь задавать вопросы, сравнивать данные и критически относиться к тому, что пишут другие. Если говорить о профессиональном развитии, критическое мышление позволяет определить, какой набор навыков нужен именно вам. Кому-то для работы достаточно чистого кода, знания системы контроля версий и системного мышления, а кому-то, кто занимается наукоёмкими проектами, необходимо глубокое погружение в особые разделы математики или физики.

Пример: вы читаете статью о том, что для вашего класса задач необходима определенная база данных (новый фреймворк, новый язык программирования нужное подчеркнуть). В тексте приведены цифры и отзывы клиентов, но ваше критическое мышление позволяет сделать анализ, из которого вы понимаете, что факты в публикации преподносятся однобоко, цитаты слишком приторные, а сама статья написана производителем этого решения, и он зарабатывает на его продаже.

Вопросы для самопроверки:

  • Задумываетесь ли вы при чтении материалов в интернете о том, кто и с какой целью их публикует?
  • Как вы определяете, какой информации можно доверять? На какие критерии вы опираетесь при выборе источников информации?
  • Проверяете ли вы адреса сайтов и защищенность соединения при переходе по незнакомым ссылкам?
  • Есть ли у вас список доверенных источников информации?

Для развития этого навыка мы рекомендуем как можно чаще рассматривать разные точки зрения на одну и ту же тему, отслеживать свое отношение к прочитанному и анализировать аргументацию, которую использует оппонент.

6. Постоянное обучение long life learning


Многие ведущие компании стремятся нанимать full-stack разработчиков, которые свободно работают с разными технологиями и платформами. Такие специалисты понимают принципы любой разработки, начиная с уровня ядра сети и заканчивая уровнем интерфейса. Этого невозможно достичь, если не взять за правило постоянно изучать новое. Востребованного разработчика определяет не только владение редким стеком, но и способность легко переключаться между разными языками и стремление изучать новые инструменты каждый день.

image

Пример: хотя Java и C# уже несколько лет занимают значительную часть рынка, IT-компании все чаще используют более новые технологии (Kotlin, Swift и др). И логично, что разработчики, хорошо владеющие несколькими языками, дадут фору тем, кто знаком с одной-двумя технологиями. Через пять лет наверняка появятся новые стеки, поэтому чтобы оставаться востребованным, важно постоянно учиться и уметь выбирать подходящий инструмент для решения конкретной задачи, основываясь на комплексном анализе факторов.

Вопросы для самопроверки:

  • Участвуете ли вы в развитии open-source проектов? Сколько коммитов вы сделали за прошедший год? Сколько создали багов и предложений в трекере? На сколько вопросов ответили?
  • Как давно вы изучали незнакомую для себя технологию?
  • Как вы поступите, если узнаете о появлении нового языка, который набирает популярность?
  • Как вы реагируете, если вам предлагают пойти на обучающее мероприятие?
  • Какие профессиональные конференции вы посещаете?
  • Чему вы научились в вашей профессиональной области за последние полгода?

Чтобы стимулировать обучение, мы поддерживаем и расширяем корпоративную библиотеку, направляем на курсы и организуем участие в конференциях, обеспечивая этим профессиональный рост и повышение квалификации за счет компании. Кроме того, МойОфис оплачивает обучение иностранному языку, чтобы сотрудники могли читать англоязычную литературу и участвовать в международных профессиональных мероприятиях.

7. Соблюдение work-life balance


Cоблюдение work-life balance и ваше самочувствие прямо влияют на продуктивность: тот, кто заботится о себе, обычно живет дольше, работает эффективнее и успевает уделять должное внимание другим важным делам. Тема здоровья тесно связана со всеми сферами жизни, в том числе с работой. Не буду ничего говорить про биохакинг и вживление чипов под кожу (это тема отдельного поста а то и не одного), этот пункт больше про внимание к телу, к психоэмоциональному состоянию, а еще о том, что разделение личной и профессиональной жизни помогает им взаимно друг друга поддерживать. Старайтесь быть терпимее к другим, особенно если их точка зрения противоречит вашей, выражайте чувства без вреда окружающим и осознавайте, на что вы можете повлиять, а на что нет. Найдите хобби по душе и помните, что от того, как организована ваша жизнь после работы и учебы, будут отчасти зависеть и карьерные успехи.

Пример: чтобы чувствовать себя бодрым и больше успевать, вы вовремя ложитесь спать, не пользуетесь телефоном за два часа до сна и не хватаетесь за него первым делом с утра, не переедаете. Благодаря этому вы дольше остаетесь внимательным и энергичным.

Вопросы для самопроверки:

  • Когда вы последний раз проходили комплексное обследование?
  • Что вы делаете для того, чтобы ваше питание было сбалансированным?
  • Сколько часов в сутки вы спите? Высыпаетесь ли вы? Если нет, что вы можете сделать уже сейчас для улучшения качества вашего сна?
  • Утром вы чувствуете себя простывшим, но нужно ехать на работу. Как вы поступите?
  • Работаете ли вы в отпуске? Доделываете ли проекты в выходные? Пишете ли в рабочие чаты по вечерам?
  • Какие у вас хобби? Давно ли вы увлекались чем-то для себя новым?

Мы мотивируем наших сотрудников быть в ресурсном состоянии и заботиться о своем здоровье: проводим спортивные тренировки (во время пандемии они перешли в онлайн-формат), коллеги следят, чтобы в офисе всегда были фрукты и полезные снэки. Периодически проводим лекции например, как правильно бегать и не навредить себе физическими активностями. Кроме того, у нас хороший пакет ДМС, включающий стоматологические услуги, услуги телемедицины и консультации с психологом. К сожалению, даже в непростые времена пандемии далеко не все компании заботятся о психологическом здоровье сотрудников, а учитывая изменения, которые происходят в мире, это становится крайне актуально и помогает улучшить рабочий фон и достигнуть гармонии.

Вместо послесловия


Бытует мнение, что программисты замкнуты и необщительны. Однако с командами, вовлеченными в создание и развитие IT- и digital-продуктов, важно и нужно уметь взаимодействовать. Все чаще работодатели оценивают не только профессиональные знания и опыт, но и гибкие навыки. Именно они в сочетании с профскилами позволяют эффективно решать конфликтные ситуации, творчески мыслить, предлагать и защищать идеи, строить будущее то есть влиять на культуру компании и на бизнес в целом, а также увеличивать свою стоимость на рынке как специалиста.

Если вы заинтересованы в непрерывном профессиональном росте приходите в МойОфис! Мы поддерживаем развитие сотрудников и всегда рады тем, кто мыслит вне шаблонов и рамок. Как работодатель готовы предложить отличные условия, в том числе и в плане прокачки самых актуальных навыков.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru