IT-стандарты *

Предисловие: вся информация находится в открытом доступе. Статья написана с целью привлечения внимания к общественно важной теме.

Я хочу всесторонне разобраться в ситуации, услышать комментарии всех участников (особенно компаний «Яндекс» и «Авито») и только после этого делать какие-либо выводы, и вас к этому тоже призываю.

Недавно вышло интервью HR из Яндекса основателю сообщества «Осознанная меркантильность». В нём говорилось о найме, «красных флагах» в резюме соискателей и другом булщите о найме, от которого уже тошнит...

Примерно сутки спустя в том же сообществе появился комментарий от девушки. Она увидела на YouTube интервью с сотрудницей Яндекса (конкретно из Финтеха, если ссылаться на содержание).

Девушка вспомнила, что эта сотрудница когда-то писала о ней пост в своём Telegram. Я чекнула, там 1500+ подписчиков, включая, скорее всего, HR, так как наша HR из этой истории является публичным лицом, активно участвует в конференциях для HR и ведёт подкаст о HR-сфере на YouTube.

По словам девушки-соискателя, пост HR был обезличен, но содержал много деталей, и её команда, скорее всего, поняла, что речь идёт о ней. Затем девушка пошла на собеседование в Авито, где получила отказ с формулировкой «нам дали плохой фидбэк в Яндексе». Кто дал — неясно. На каком основании вообще запрашивали этот фидбек — тоже неясно. Кто передал информацию о бывшем сотруднике — опять же непонятно.

Такое часто бывает на рынке труда. HR могут собирать информацию друг у друга по знакомству. Не факт, что запрос идёт к вашему бывшему руководителю или коллеге, ведь неизвестно, кто входит в круг общения конкретного рекрутера. Гипотетически возможна ситуация: у вас есть коллега, которая по своим причинам вас недолюбливает или даже ненавидит. HR случайно обратился за реферс, и вуаля, вы не только получаете отказ, но и в системе отслеживания кандидатов (ATS) потенциального работодателя появляется пометка «предыдущие коллеги дали плохой референс». Далее эта метка остаётся в системе, и даже спустя 2–3–4 года новый HR, не вникая в детали, может сделать по ней выводы и отказать вам.

Хабр, привет!

Сегодня мы хотим поговорить с вами о выборе СУБД для WMS не как о сухой технической дискуссии, а как о стратегическом решении, от которого зависит безопасность, бюджет и будущая гибкость вашего бизнеса. Речь пойдет не о том, «почему PostgreSQL технически лучше», а о том, почему он стал единственным безопасным, экономичным и перспективным решением для российских складских систем в новых реалиях.

Это не просто еще одна статья про базы данных. Это — дорожная карта для тех, кто не хочет однажды проснуться с парализованным складом и многомиллионными штрафами из-за неверного выбора, сделанного вчера. Мы в INTEKEY прошли этот путь осознанно, и сегодня наши WMS-проекты для крупнейших игроков рынка работают на PostgreSQL. Мы не понаслышке знаем, где подстерегают "подводные камни" и как их обойти.

Теневой рынок киберпреступности не страдает от корпоративной бюрократии и не пытается продать клиенту «ощущение безопасности». Он построен на принципах экстремальной эффективности, где каждый участник от разработчика эксплойта до оператора ботнета мотивирован только конечной прибылью. В то время как легальная индустрия ИБ усложняет защиту.

Вендор приходит с решением. SIEM-система, которая сама разберётся в хаосе. Покупают. Система требует полгода на настройку правил корреляции. Нанимают консультантов. Консультанты уходят через три месяца, оставив конфигурацию, которую никто не понимает. Система продолжает работать. Генерирует отчёты. Отчёты никто не читает, потому что они написаны на языке, понятном только тем консультантам.
Индустрия продаёт не защиту. Она продаёт ощущение, что вы что-то делаете. Разница огромная.

Недавно снова услышал вайб: да все эти принципы это только направление и их можно не придерживаться. И таких людей не переубедишь. Приводи им примеры или нет - свой опыт им не передашь. Да и слушать у нас как-то стало не модно. У нас же все теперь гибко и как договоритесь. И требовать каких-то стандартов отрасли - это уже абьюз…

Интеграционные тесты тормозят и не нужны, линтер можно и не использовать. Нарушение архитектурных принципов - так мы ж делаем MVP - зачем оно нам?

Я в корне не согласен с таким подходом и буду это разбирать на примере SOLID и перфораторной дрели...

В последние десятилетия вопрос построения эффективных систем информационной безопасности (ИБ) все чаще поднимается как в госорганизациях, так и коммерческих компаниях. Причем не только крупных, но и средних. Сегодня рынок кибербезопасности предлагает очень широкий выбор: от комплексных платформ, содержащих множество функций до узкоспециализированных продуктов, решающих конкретные задачи. Кроме того, не стоит забывать о решениях на базе open source. На фоне этого многообразия заказчикам зачастую трудно собрать оптимальный набор инструментов, который обеспечит надежную защиту инфраструктуры.

Компания «Анлим», центр компетенций по информационной безопасности, в статье делится рейтингом пяти наиболее эффективных средств для защиты данных. О каждом классе, вошедшем в стартовый набор для построения системы ИБ, опираясь на многолетний опыт, подробнее расскажет Вячеслав Пронюшкин, первый заместитель технического директора.

Сегодня трудно представить себе жизнь без интернета. Каждый день люди открывают браузер для того, чтобы почитать новости, узнать прогноз погоды, послушать музыку, посмотреть кино и пообщаться с друзьями. Серфинг в Интернете может быть как целенаправленным поиском нужной информации, так и беспорядочным «блужданием» по ссылкам и сайтам.

Количество веб-сайтов во всемирной паутине ежедневно растет: как сообщает портал Siteefy, во всемирной паутине насчитывается более 1,1 млрд веб-сайтов, и их число продолжает ежедневно расти. По данным Mediascope, 86% россиян пользуются интернетом, проводя в нём в среднем около 4,5 часов в день, причём 51% этого времени приходится на социальные сети. При этом в корпоративной среде повседневной рутиной стал активный обмен информацией с помощью веб-приложений, корпоративных мессенджеров, использование бизнес-приложений для рабочих активностей. Зачастую «личные» привычки пользователей переносятся и в корпоративную среду, и беспорядочный серфинг или общение в социальных сетях влияют на рабочую деятельность и продуктивность сотрудников, а так же на безопасность корпоративных информационных систем.

Для обеспечения защиты от вредоносных ресурсов и контроля продуктивности рабочего времени существует механизм категоризации веб-ресурсов, использующийся в решениях кибербезопасности класса SWG (Secure Web Gateway). Эти решения обеспечивают управление доступом к веб-ресурсам, фильтрацию контента по категориям, блокировку угроз, контроль загрузки и передачи данных. Они учитывают роли сотрудников, их график работы и задачи, не мешая бизнес-процессам и не создавая избыточной нагрузки на администраторов. 

В этой статье я хотел бы рассмотреть микросервисные паттерны под другим углом. Когда я начинал изучение микросервисных паттернов, у меня постоянно был вопрос: Так это же было в другом паттерне. Я решил немного структурировать их: объединить по похожим элементам. Кластеризировать микросервисные паттерны достаточно тяжело так как каждый паттерн по‑своему уникален, однако для запоминания на собеседованиях или для себя это сделать можно. Основной контент статьи — картинка, далее идёт описание, чтобы всё было в одном месте.

Эта статья предназначена для более быстрого запоминания/повторения паттернов микросервисов. Кое‑где я приводил кейсы, которые могут быть непонятны новичкам. Здесь нет подробных кейсов применения каждого паттерна так как иначе статья получилась бы на другую тему. Для удобства я приложил ссылки — чтобы избежать дублей.

Новый инсталлятор и повышение удобства работы с системой.

В предыдущих частях было рассказано о революции в расследованиях и усилении защитного периметра. Но не менее важна и «кухня» — то, как система устанавливается и насколько легко работать с ней.

В завершающей части обзора, посвященной нововведениям, касающимся платформы и юзабилити, Яна Менжевицкая, аналитик отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», поведает, как Solar Dozor восьмой серии стал проще в развертывании, легче в интеграции и гибче в управлении.

Интерфейс для решения технических задач: графический инсталлятор и редактор схем преобразования данных.

В Solar Dozor версии 8.1 появились:

• Графический инсталлятор, который делает процесс установки и обновления системы более простым и удобным. Поддерживается установка в одиночной или многонодовой конфигурации, а также добавление новых узлов в кластер. В начале установки проверяется соответствие аппаратного и программного обеспечения требованиям системы, что предотвращает возможные ошибки.

• Редактор схем преобразования данных из внешних источников. Cхемы преобразования данных используются для интеграции Solar Dozor с другими системами (по ICAP/HTTP). Принимая сообщения от этих систем, DLP-система «Солара» получает из них необходимую информацию в соответствии с определенной схемой. В предыдущих версиях Solar Dozor такие схемы можно было создавать и редактировать только путем изменений в специальных файлах. Теперь работать со схемами преобразования данных можно прямо в интерфейсе системы. При необходимости можно отключать/включать использование конкретной схемы, а также копировать или удалять их.

В прошлой статье мы увидели, как Solar Dozor помогает расследовать инциденты. Но лучшая защита — это профилактика. В канун Нового года хочется верить в чудо, однако риски утечек через мессенджеры и облака никуда не исчезают. Во второй части нашего обзора, посвященной усилению контроля за каналами коммуникации, Яна Менжевицкая, аналитик отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», расскажет, как релизы 8.0 - 8.2 превратили DLP-систему в еще более неприступный, чем в ранних версиях, барьер для утечек данных. Готовьтесь к усилению контроля и защиты данных на всех фронтах.

Усиленный контроль передачи данных в мессенджерах и облаках: кратко о новых возможностях

По данным Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), за 2024 г. в России зафиксировано более 110 фактов утечек только персональных сведений, а за 2025 г. – более 103 (актуально на ноябрь 2025 г.).

Одними из основных каналов утечки являются мессенджеры и облачные сервисы. Они требуют постоянного наблюдения за их развитием и обновлениями, ведь с каждым обновлением появляются новые возможности, которые необходимо как минимум протестировать и при необходимости разработать соответствующие функции защиты данных.

Подводить итоги года — любимая новогодняя традиция. Запасаемся мандаринками, горячим шоколадом и устраиваемся поудобнее. Мы начинаем.

За этот год соларовская команда разработчиков DLP сделала значительный акцент на том, чтобы Solar Dozor не просто фиксировал инциденты, а по-настоящему расследовал их.

В первой статье нашего предновогоднего цикла, посвященной инструментам анализа и расследования, Яна Менжевицкая, аналитик отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», даст краткий обзор изменений и подробно расскажет о самом масштабном обновлении прошедшего периода — модуле Dozor Detective и инструментах, которые превращают разрозненные данные в целостную картину произошедшего инцидента. Это настоящий прорыв в автоматизации рутины для офицеров безопасности.

Введение: краткий обзор изменений за период
Solar Dozor — российская система предотвращения утечек конфиденциальной информации и корпоративного мошенничества (Data Leak Prevention). С ее помощью автоматически отслеживаются и блокируются попытки передачи конфиденциальной информации, а также выявляются признаки корпоративного мошенничества. 20 лет Solar Dozor защищает от утечек крупнейшие отечественные организации самых разных сфер и отраслей — от производства до госсектора.

Система постоянно совершенствуется: в конце 2024-начале 2025 г. вышли версии 8.0. и 8.0.1, которые предлагают пользователям новый подход к ведению расследований инцидентов безопасности и новые функции контроля передачи данных.

Спойлер: … а в июне и сентябре 2025 г. — версии 8.1. и 8.2 с графическим инсталлятором и рядом технических улучшений, обеспечивающих повышенный уровень безопасности. Также разработчики уделили внимание повышению стабильности и удобства работы с системой.

Представьте: понедельник, утро. Критический сервис лежит, база данных пуста, а бэкапы зашифрованы. Отчаянный бросок к консоли и попытки понять. Но в системном журнале — тишина. Или, наоборот, миллионы записей, среди которых невозможно найти следы взлома. Результат: огромный ущерб, виновные не найдены, дыра в защите остается открытой.

Плохих новостей же может быть много. Аудитор просит показать историю входов администратора за прошлый квартал… но ротация логов настроена на 30 дней — сертификат не получен, сделки сорваны, штрафы выписаны. Обиженный сотрудник перед увольнением слил ключи шифрования и почистил за собой следы. Примеры можно продолжать долго.

Там, где управление событиями настроено «для галочки», все эти сценарии повторяются из раза в раз. Что-то сломалось, а кто сломал — неизвестно. И любые права доступа превращаются в фикцию.

Привет, Хабр! Меня зовут Марк, я методолог по ИБ в Selectel. В статье рассказываю, какие события жизненно необходимо отслеживать и как требования регуляторов помогают навести порядок в хаосе системных журналов. Мы и чек‑лист подготовили.

Периодически слышу, как мне говорят: «В Jira неудобно управлять бэклогом, стандартный список задач мне не нравится». Дело доходит даже до выписывания задач в Excel. Тогда зачем нам таск-трекер?

Сегодня попробую рассказать о решении, которым сам пользуюсь, а именно про применение Structure.

Последние несколько лет в IT происходило то, что десятилетиями считалось фантастикой. АI перестал быть игрушкой исследовательских лабораторий и превратился в реальный рабочий инструмент, который меняет подход к написанию кода, проектированию архитектур и само мышление о разработке.

Мы стоим на пороге когнитивной автоматизации — эпохи, где рутинные и шаблонные задачи делегируются машинам, освобождая нас для решения по-настоящему сложных и креативных проблем. Это не про замену, а про суперпозицию: ИИ в роли младшего разработчика, ревьюера, QA-инженера и даже архитектора, работающего 24/7.

Если раньше программист «общался» с компьютером через документацию, StackOverflow и IT-чаты в мессенджерах, то сегодня он общается с самим компьютером, который умеет анализировать контекст, продолжать мысли, предлагать решения и даже писать код.

Сегодня домен — своеобразный стартовый пункт видимости в сети, часть бренда. Но так, конечно, было не всегда. Когда и почему набор букв и точек превратился в товар, а затем и в охраняемый законом знак — проследим эволюцию доменных имен в России и мире.

Эта статья — не техническая документация для системных администраторов. Это гайд для владельцев бизнеса и ИТ-директоров, которые хотят понять природу «тормозов» в 1С, чтобы эффективно ставить задачи своим техническим специалистам или подрядчикам. Мы намеренно не углубляемся в синтаксис SQL-запросов, а фокусируемся на точках контроля, организационных причинах сбоев и экономике владения системой.

Проекты в АСУ ТП обычно заканчиваются успешно.

А вот проблемы начинаются позже — когда подрядчики уходят, документация формально есть, а любой чих в системе превращается в риск.

Новые инженеры месяцами «входят в тему», модернизации откладываются, знания живут в головах отдельных людей, а слово «стандарт» сводится к упоминанию ГОСТ и ЕСКД, которые никак не помогают в реальной эксплуатации.

Почему так происходит?

Потому что во многих компаниях стандарт находится ниже проекта, а не выше него.

Эта статья — не про ГОСТы, не про шаблоны и не про конкретные контроллеры.

Она про то, почему стандарт АСУ ТП должен быть частью бизнес-системы предприятия, как он влияет на простои, деньги, людей и зависимость от подрядчиков — и почему отсутствие стандарта обходится дороже, чем его внедрение.

Если вам знакома ситуация, когда система «работает, но лучше её не трогать» — эта статья для вас.

На заре интернета, когда возможности веба ограничивались просмотром информационных статей, однонаправленного протокола HTTP, посылающего запрос серверу и получающего ответ, было вполне достаточно. А потом пришли приложения со своими push-уведомлениями, мессенджеры для общения, карты для онлайн-навигации — и здесь технологии HTTP уже стало недостаточно. Требовалось двунаправленное соединение, в котором не только клиент мог отправлять запрос, но и сервер мог динамически посылать информацию клиенту для отображения. Так и появились WebSockets.

Сегодня мы разберем, что это за технология, чем WS отличается от WSS, и почему без WebSockets современный веб был бы невыносимо медленным.

Каждому разработчику когда-нибудь приходилось срочно переключаться между ветками, восстанавливать потерянный коммит или аккуратно вырезать одно исправление. Это можно делать примитивно с помощью базовых команд Git, но настоящий профессионал отличается от любителя тем, что применяет самые оптимальные решения, тем самым экономит время и нервы. О таких решениях поговорим далее в статье.

Мы давно перестали воспринимать интернет как что-то необычное. Для абсолютного большинства из нас это нечто настолько же рядовое, как электричество или водоснабжение. Но это, пока пока интернет вдруг не отключат. Совсем как горячую воду. Вот тогда-то и начинается интересное. Именно в этот момент выясняется, что вся ваша работа была возможной только потому, что возможен ОН, и, если ОН пропадет, встанет буквально весь конвейер. 

Всем привет! В настоящее время очень активно насаждается использование AI программистам, так было в зелёном банке, в котором я отработал последние три года. Использование AI-помощников в основном продвигалось у нас сверху, людьми, которые никак не связаны с IT и не имеют технического образования. В общем я хочу подсветить те проблемы, которые наблюдал за время работы, когда джуны взаимодействовали с AI для написания кода, такими как ChatGPT, GigaChat или YandexGPT.

Статья рассчитана на людей, которые пропагандируют эти инструменты и не разбираются в них, возможно это поможет им лучше понять, сильные и слабые стороны использования AI-помощников. Впрочем, прошу под кат всех желающих, в любом случае я постараюсь не использовать код, а передать именно суть на примерах из своего личного опыта.