Pull to refresh
13
0
Анастасия Дмитриева @Nastya_d

Ведущий технический писатель

Send message

Протокол защищенного обмена для индустриальных систем CRISP: поддержка в устройствах Рутокен

Level of difficulty Medium
Reading time 10 min
Views 1.2K

Приветствую уважаемую публику Хабра от лица условно анонимного представителя компании «Актив», занимающейся производством небезызвестных средств аутентификации и электронной подписи.

В этой статье хотелось бы рассказать об одном из менее известных направлений деятельности подразделения Рутокен, связанного с обеспечением киберфизической безопасности. В рамках данного направления компания уже не первый год производит встраиваемые в управляющее и управляемое оборудование устройства линейки Рутокен Модуль. Не так давно в эти устройства (а заодно в токены и смарт-карты Рутокен ЭЦП 3.0) добавилась поддержка протокола CRISP, и это отличный повод рассказать и о самом протоколе, и о принципах интеграции устройств Рутокен Модуль, и об организации процессов разработки в компании.

Читать далее
Total votes 7: ↑7 and ↓0 +7
Comments 8

Оптимален ли блокчейн для хранения идентификационных данных?

Level of difficulty Medium
Reading time 12 min
Views 2K

Приветствую, Хабр! Моя предыдущая статья была посвящена формализованным критериям выбора базовой технологии хранения и обработки данных, совокупность которых позволяла ответить на вопрос, использовать ли в конкретной системе блокчейн-технологии или ограничиться хорошо изученными СУБД. При этом ответ на данный вопрос при использовании формализованных методов выбора мог быть получен именно на основе технических факторов, не принимая во внимание различные «политические» аспекты выбора, такие как, например, повышенный информационный шум, продолжающийся вокруг блокчейна.

Приведенная в предыдущей статье классификация известных применений блокчейн-технологий позволила проиллюстрировать, с одной стороны, их широту, а с другой – тот факт, что применения блокчейн-технологий значительно различаются по степени полезности данных технологий для систем, в которых они могут использоваться.

Одним из известных направлений применения блокчейн-технологий является хранение идентификационных данных граждан. Предлагаю далее рассмотреть варианты хранения идентификационных данных на основе блокчейн-технологий и традиционных баз данных и сравнить подобные решения для формулировки вывода об оптимальной технологии для данного применения.

Читать далее
Total votes 10: ↑10 and ↓0 +10
Comments 11

Съемка видеоинструкции: от идеи к реализации

Level of difficulty Easy
Reading time 12 min
Views 1.6K

Технические писатели создают текстовые документы, но что если для процесса одного текста мало? Тогда приходится учиться монтировать и делать видеоинструкции.

В этой статье я рассказала, как и зачем в Компании «Актив» мы делаем видеоинструкции на примере одного важного кейса: здесь про цели, сценарий, запись звука и программы для монтажа.

Должно быть интересно!

Читать
Total votes 13: ↑12 and ↓1 +11
Comments 1

Блокчейн или не блокчейн? Формализованные критерии выбора технологии хранения и обработки данных

Level of difficulty Medium
Reading time 11 min
Views 1.8K

Приветствую, Хабр! В очередной раз возникло желание обсудить блокчейн‑технологии, хотя им и было посвящено уже немало публикаций на Хабре (да и, несомненно, их еще будет много в дальнейшем).

Многие технологии делают нашу жизнь лучше и интереснее. Блокчейн, несомненно, относится к таковым. Но в очень многих случаях вокруг блокчейна возникает излишний информационный шум, который далеко не всегда способствует правильному восприятию блокчейна именно как одной из ряда существующих технологий хранения и обработки данных.

В результате этого выбор данной технологии как базовой в той или иной системе может быть продиктован не техническими требованиями к системе, а как результат выбора (возможно даже, что навязанного извне) в пользу модной и перспективной технологии, возможно при этом не совсем технически обоснованного.

В течение последнего десятилетия некоторые организации и отдельные эксперты озаботились подобной ситуацией, когда выбор блокчейн‑технологии может быть ошибочным именно из‑за наличия факторов нетехнического характера, в результате чего было опубликовано несколько рекомендаций, в той или иной степени формализующих ответ на вопрос, использовать ли блокчейн при разработке новой системы или предпочесть какую‑либо альтернативную технологию.

В этой статье мы рассмотрим достоинства и недостатки блокчейн‑технологий и попытаемся классифицировать сферы их применения, после чего дадим обзор формализованных методов выбора: «блокчейн или не блокчейн».

Читать далее
Total votes 8: ↑7 and ↓1 +6
Comments 5

Верните мне мой 2007: как поменялись ключевые носители для электронной подписи за последние годы

Level of difficulty Easy
Reading time 13 min
Views 4.7K

Привет, Хабр! Недавно мы с коллегами стали вспоминать, как выглядела работа с электронной подписью (ЭП) и ключевые носители, когда мы только начали работать в этой области. Мы искренне удивились тому, как за такое короткое время технологии шагнули вперед. Так родилась идея для этой статьи. Она для всех, кто когда‑нибудь имел дело с настройкой компьютера для работы с ЭП, отправкой отчетности в контролирующие органы, знает, что такое токены, оказывал техническую поддержку по работе с электронным документооборотом. Особенно для тех, кто помнит Windows XP, шариковые мышки и дискеты.

Очень надеюсь, что этот материал вызовет у вас такую же теплую ностальгию, которую ощутили мы с коллегами, когда вспоминали, как это было.

Читать далее
Total votes 14: ↑13 and ↓1 +12
Comments 13

Как я искала junior-технического писателя: чего не стоит писать в резюме

Level of difficulty Easy
Reading time 10 min
Views 6.8K

Привет, Хабр! Я Анастасия Дмитриева, работаю ведущим техническим писателем в компании “Актив”. Долгое время я была единственным техническим писателем в компании. Но в какой-то момент мне стало понятно, что задач очень много, и одной мне просто не справиться. Я начала поиск junior-а. Особой спешки не было, и я понимала, что я могу потратить какое-то время и научить его всему. 

В этой статье я опишу первый этап поиска: формирование требований к кандидатам и просмотр их резюме. Здесь вы увидите только моё мнение, и я не возражаю, если в комментариях появится ваше личное видение процесса поиска. Мне также хочется рассказать молодым специалистам про профессию “технический писатель”. Может, кто-то увидит себя в ней. 

Верю. что вам будет интересно
Total votes 9: ↑6 and ↓3 +3
Comments 12

Путь филолога в ИТ: шла куда попало, пришла в техническое писательство

Level of difficulty Easy
Reading time 11 min
Views 3.2K

Муки самоопределения, кринжовые стажировки и собеседования, первый опыт, портфолио редактора...или как филолог искала работу в ИТ.

В этой статье — об увлекательно случайной истории пути от стажера-копирайтера до технического писателя. Как мне тут работается, почему не хочется уходить и помогает ли мне образование филолога. Отвечаем вместе на вопрос "Есть ли гуманитариям место в ИТ?".

Читать мою историю
Total votes 11: ↑7 and ↓4 +3
Comments 10

Как найти черную кошку в темной комнате? Определяем местонахождение носителей данных в пределах контролируемой зоны

Level of difficulty Medium
Reading time 8 min
Views 2.2K

Приветствую, Хабр! Меня зовут Сергей Панасенко, я работаю в компании «Актив» директором по научной работе. По роду занятий мне достаточно часто требуется знание (а иногда и решение вопросов практического применения) нормативных документов регуляторов в области ИБ, в том числе приказов ФСТЭК России, которые устанавливают требования по защите данных в информационных системах различного назначения (подробнее о них – под катом), а также меры по защите информации, применимые для обеспечения соответствия данным требованиям. Одна из таких мер – контроль перемещения машинных носителей информации за пределы контролируемой зоны, вызвала мой  особый интерес. Данная мера выглядит важной для обеспечения безопасности, но ее реализация напрямую (проверка сотрудников на выходе с предприятий) выглядит весьма затруднительной: носители (для определенности – USB-флешки) становятся всё более миниатюрными, и проверка их отсутствия у выходящего с территории сотрудника может превратиться в проблему и для сотрудников, и для проверяющих.

Вместо этого возникла идея определения местонахождения носителей внутри контролируемой зоны по принципу «белого списка», которой захотелось поделиться с вами. Буду признателен за обратную связь и полезные замечания.

Итак, начнем.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Comments 28

Как отделаться «малой кровью» при компрометации секретных ключей

Level of difficulty Hard
Reading time 26 min
Views 2.6K

Приветствую, Хабр! Одной из интереснейших тем для обсуждения из современной криптографии, на мой взгляд, является тема эволюции криптографических ключей и связанных с ними протоколов, обеспечивающих наличие ряда дополнительных полезных свойств систем, основанных на асимметричных криптоалгоритмах.

Различные методы эволюции ключей (терминология не устоялась, предпочитаю использовать такой перевод словосочетания «key-evolving techniques») асимметричных криптоалгоритмов позволяют защититься от компрометации секретных ключей путем периодической модификации ключевых пар. Подобная защита направлена не на предотвращение компрометации секретного ключа, а на минимизацию последствий такой компрометации: поскольку ключи периодически модифицируются, эволюционируют, данные методы позволяют ограничиться отрицательным воздействием компрометации ключа на свойство целостности или конфиденциальности сообщений, зашифрованных или подписанных только в течение определенного, относительно короткого периода, оставляя защиту сообщений других периодов ненарушенной. Большинство протоколов с эволюцией ключей подразумевает достаточно активный обмен сообщениями между сторонами защищенного обмена данными. При этом бывают сценарии, когда возможности для интерактивного взаимодействия у сторон отсутствуют.

Далее предлагаю обсудить различные известные методы эволюции ключей (обеспечивающие различные полезные свойства криптосхем: от секретности в будущем до устойчивости к вторжениям), после чего описать возможный вариант протокола модификации ключевых пар для неинтерактивных применений. 

Читать далее
Total votes 7: ↑7 and ↓0 +7
Comments 3

В отпуск или поработаем?

Reading time 4 min
Views 2.7K

Друзья и коллеги, всем здравствуйте!

Началась настоящая весна, приблизив нас еще на один шаг к лету. А лето – это время долгожданных отпусков! Наверное, многие из вас перед отпуском задумывались над простыми вопросами – сколько дней отпуска у меня осталось, сколько отпускных я получу, в какие дни оптимально будет взять отпуск.
В свою очередь перед руководителями всегда стоит вопрос мониторинга баланса ресурсов, на работе присутствующих, и ресурсов, восстанавливающих силы «на югах и дачах».

О том, как в компании организовать оперативное получение "отпускной" (и не только) информации далее и пойдет речь.

Читать далее
Total votes 4: ↑3 and ↓1 +2
Comments 0

ТОП-9 фильмов, к сценарию которых ИБ-экспертов не допустили

Reading time 12 min
Views 23K

Я обожаю кинематограф. Однако по мере знакомства со старой классикой и современным кино, все реже и реже встречаются действительно качественные и глубокие фильмы. В большинстве случаев картина не вызывает никаких эмоций, и приятных впечатлений хватает на один раз. Статистика походов в кино за последние лет пять совсем удручающая - 9 из 10 фильмов вызывают, как минимум, недоумение, как максимум - раздражение. Зато появилось новое хобби - выискивать тупости в сюжете. На этот раз они посвящены информационной безопасности. 

В этой статье хочу поделиться списком фильмов, в которых наглядно продемонстрировано, что может случиться, если персонажи вообще не секут в ИБ. 

Читать далее
Total votes 56: ↑43 and ↓13 +30
Comments 84

Развитие систем криптографической защиты информации в IoT (часть 2-я)

Reading time 8 min
Views 2.2K

Автор серии публикаций - Алексей Лазарев, руководитель Департамента защиты кибер-физических систем Компании «Актив»

В предыдущей части статьи мы рассмотрели текущую ситуацию с криптографическими системами в IoT, применив к ним закон развития систем по S-образной кривой, и сделали вывод, что подобным системам есть, куда развиваться, потому что они находятся на начальном этапе своей эволюции. Точнее, на переходном этапе между зарождением и стремительным развитием. Уже понятна необходимость их применения, так как есть запрос от общества и государства. Уже есть технологические островки для обкатки. И в целом ясно, что смерть данному направлению в ближайшие годы, а, скорее всего, десятилетия не грозит.

Продолжить чтение...
Total votes 4: ↑4 and ↓0 +4
Comments 2

Развитие систем криптографической защиты информации в IoT (часть 1-я)

Reading time 11 min
Views 3.6K

Глядя на то, как сегодня продвигается внедрение аппаратных средств криптографии в кибер-физических системах, к которым относят и интернет вещей, невольно вспоминаешь анекдот. 

Улитка заходит в бар, но бармен заявляет: "У нас строгая политика в отношении улиток!", — и ногой выпихивает ее на улицу. Через неделю улитка возвращается в бар и говорит бармену: "Ну и зачем ты это сделал!?"

А ведь все еще помнят, как прекрасно начиналось развитие интернета вещей. Все, что связано с IoT, IIoT, M2M поднимало волну хайпа, уступавшую разве что криптовалютной истерии. Огромное число стартапов, многие из которых казались настоящим прорывом для своего времени (“Цифровизация экономики”, “Индустрия 4.0” и др.) пробуждало немалый интерес как среди специалистов, так и у государственных лиц. Одни видели в IoT возможности реализации смелых и перспективных идей, другие – эффективный инструмент для привлечения в экономику регионов новых ресурсов. Мы же, как "безопасники", не оставались в стороне и пристально следили за развитием событий. Вот какие наблюдения нам удалось сделать.

Аспекты безопасности в IoT - в выигрыше предусмотрительные

Было понятно, что на старте, то есть в ситуации, когда важны каждая минута и каждая копейка, мало кто будет заморачиваться внедрением сложных механизмов защиты. Важнее показать потенциальному заказчику, что решение в принципе работоспособно. Но рано или поздно настает момент, когда само решение или его часть достигает состояния, допускающего возможность применения в других областях. В том числе и в тех, которые связаны с критически важной инфраструктурой. И это вызывало вполне определенные опасения. Одно дело, когда вы развлекаетесь с умной лампочкой у себя в защищенном периметре, другое – когда вы управляете исполнительным механизмом включения подачи энергоресурса, находящимся далеко за пределами вашей физической досягаемости. При схожих принципах организации взаимодействия риски и последствия вторжения в обеих ситуациях несопоставимы.

Продолжить чтение
Total votes 6: ↑6 and ↓0 +6
Comments 16

Как мы снимаем видеоинструкции для решений Рутокен

Reading time 11 min
Views 3.7K

Мы решили продолжить наш цикл статей про разработку пользовательской документации, но на этот раз нам захотелось рассказать об еще одном способе создания инструкций для пользователей — это съемка видеороликов. Мы расскажем о процессе их производства: от возникновения идеи до загрузки ролика на YouTube-канал. У нас нет студии и профессиональных актеров, мы все делаем сами и хотим показать вам, что это не так сложно. Здесь вы найдете: идеи, готовые алгоритмы и, быть может, вдохновитесь на съемку своей видеоинструкции.

Вдохновляйтесь
Total votes 8: ↑8 and ↓0 +8
Comments 6

Внешний вид и скриншоты в пользовательской документации. Как надо и не надо делать

Reading time 8 min
Views 11K


Люди читают пользовательскую документацию, когда самостоятельно не могут с чем-то разобраться. Они не делают это для развлечения. И эмоции, которые преобладают в этот момент, далеко не всегда позитивные. Как разработчик пользовательской документации может помочь пользователю? Что ему необходимо учитывать при написании документа?

Читать дальше →
Total votes 30: ↑28 and ↓2 +26
Comments 33

Как заголовок и навигация в документации помогают минимизировать стресс пользователя

Reading time 8 min
Views 2.3K


Все мы рано или поздно оказываемся один на один со сложной информационной системой, а ведь далеко не каждый интерфейс позволяют нам быстро найти и выполнить нужную процедуру. В такой ситуации события могут развиваться по одному из двух сценариев:


Первый. Перед вами система и 5 минут на то, чтобы выполнить в ней необходимую процедуру.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Comments 0

Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0

Reading time 9 min
Views 8.9K
Привет, хабровчане!

К написанию данной статьи меня подтолкнули сразу несколько вещей:

  1. Должок перед компанией «Актив», которая любезно предоставила мне их новый крипто-токен Рутокен ЭЦП 2.0 модификации 3000. Nastya_d, тэгну вас, т.к. вы последняя, кто постил от лица компании
  2. COVID-19, который перевел работу Росреестра в режим «только по предварительной записи» с хронической невозможностью туда записаться
  3. Изменения в законодательстве, которые были приняты после череды прошлогодних скандалов, связанных с применением электронной подписи
  4. Обновление Росреестра по части проведения электронных сделок и подачи каких-либо иных электронных заявлений

Так что, наверное, так и пойдем. Кому что-то не интересно, можете переходить на интересный заголовок.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Comments 73

Справочный центр Selectel: интерфейс, техническая реализация и возможности

Reading time 8 min
Views 2.4K

Каждой предоставляемой услугой Selectel можно управлять в личном кабинете — панели управления. Многими нашими продуктами также возможно управлять через запросы к API. Инструкции по работе с продуктами и документация API доступны в едином справочном центре.

Основная идея справочного центра — предоставить нашим клиентам возможность в любое удобное для них время самостоятельно найти ответы на большинство интересующих их вопросов об услугах Selectel.

Далее расскажем о том, как мы изменили подход к подготовке документации и обновили внешний вид базы знаний.
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Comments 2

Как мы в «Активе» пишем пользовательскую документацию. Почему это важно

Reading time 5 min
Views 5.8K

Что пользователь хочет видеть в пользовательской документации? Что его в ней раздражает? Эти вопросы задаёт себе каждый, кто пишет такую документацию, но далеко не каждый правильно отвечает на них. Совсем небольшой процент пользователей читает документацию. Давайте разберёмся, почему так и как сделать пользовательскую документацию эффективной и изменить отношение пользователей к ней.


Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Comments 7

Настройка аутентификации в сети L2TP с помощью Рутокен ЭЦП 2.0 и Рутокен PKI

Reading time 12 min
Views 10K


Проблематика


Ещё совсем недавно многие не знали, как это — работать из дома. Пандемия резко изменила ситуацию в мире, все начали адаптироваться к сложившимся обстоятельствам, а именно к тому, что выходить из дома стало просто небезопасно. И многим пришлось быстро организовывать работу из дома для своих сотрудников.


Однако отсутствие грамотного подхода в выборе решений для удалённой работы может привести к необратимым потерям. Пароли пользователей могут быть украдены, а это даст возможность злоумышленнику бесконтрольно подключаться к сети и ИТ-ресурсам предприятия.


Именно поэтому сейчас выросла потребность в создании надёжных корпоративных VPN сетей. Я расскажу вам о надёжной, безопасной и простой в использовании VPN сети.


Она работает по схеме IPsec/L2TP, использующей для аутентификации клиентов неизвлекаемые ключи и сертификаты, хранящиеся на токенах, а также передает данные по сети в зашифрованном виде.

Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Comments 14

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Date of birth
Registered
Activity