Доброго вечера!
Есть такая штука "Политика информационной безопасности". Там типа правила пользования компьютерами и т.д. и т.п.
Любая компания должна её у себя иметь. И, имхо, каждый админ должен уметь её написать.
Я вот не умею. Даже не знаю с чего начать. Есть наброски: выключать комп только через пуск, а не ногой выдёргивать питание из упса.
Расположить их попорядку не могу. Или описать, к примеру, что передача паролей карается штрафом, а не смертной казнью. Хотя так и хочеться написать последнее.
Вроде нужно ещё расписать каким софтом кто пользоваться должен, а кто нет. Какие форматы файлов разрешенны, какие нет.
Искал в интернете программы, которые якобы помогают в написании. Но либо они все дорогие, либо вообще не понятно о чём.
Рыбу в интернете не нашёл. Предлагают готовые решения - за $.
Предлагаю в этой теме обсудить всё, что может быть связанно с обеспечением информационной безопасности от пользователей и для пользователей.

Начну.

Сеть:
Домен
100 компов
10 серверов

глава 1
первым пунктом, наверное, будет начало работы: для начала работы необходимо включить компьютер. далее следует скрин кнопки включения. необходтиммо ввести ваши учётные данные (логин и пароль), выданные вам системным администратором. Рабочая машина настроенна таким образом, что уже готова для выполнения ваших обязанностей.
второй пункт, наверное, будет завершение работы: для завершения работы закройте все приложения нажав красный крестик в верхнем правом углу окна приложения или левый верхний угол - Файл - Выход. Только после этого вы можете выключить компьютер: Пуск - Завершение работы. Иной дргуой способ завершения работы может привести к проблем в работе Операциооной системы и приложений.

Что ещё можно добавить? какие могут быть подводные камни?

я поддерживаю идею, но мне кажется если на каждое движение мыши рисовать скриншот, то получится толмуд который никто не будет читать.

я уже упоминал как то. Мне кажется хоршо проработанный под свои потребности такой вариант (http://www.zahist.narod.ru/instruct.htm) инструкции пользователя, будет гораздо эффективнее нежели "Самоучитель работы на компутере для организации Петя и Ко".

Это не политика ИБ, а просто мануалы для пользователей.

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения).
Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно).
Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался).
Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте.
Интернет на компах, обрабатывающих что-то ценное - отрубить.

Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав).

А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты?
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте.

exo, по вопросам ИБ сам читаю регулярно и вам рекомендую этот блог: http://vladbez.spaces.live.com/

З.Ы. и ещё добавлю две ссылки направленные на защиту отдельно взятого ПК, уж частенько ИБ специалист является ещё и просто системным администратором...

Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/)
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)

то получится толмуд, который никто не будет читать »
Это уже проблемы пользователей: незнание закона не освобождает от отвественности.
Это не политика ИБ, а просто мануалы для пользователей »
Вот и хочу из этих мануалов "сшить" толмуд по ИБ.
В рамках ИБ вам следует начать с составления перечня конфиденциальной информации »
так и запишем. Глава 1 - Конфидециальность информации.
Кстати, я знаю что она прописывается в трудовом договоре сотрудника. там 3 года не разглашения у меня.
Составить какой-нибудь документ, где описывается система штрафов за простые пароли »
пароли мы сами задаём, и потом сообщаем пользователям и ведём список паролей в запароленном файле.
"какими программами пользоваться можно" »
я имел ввиду программы? которые пишут ИБ.Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте. »
Coutty, это всё понятно. мне это описать нужно.

сейчас почитаю, попробую что-нить своё замутить.

этот блог: http://vladbez.spaces.live.com/ »
прекрасный блог. я раньше ненавидел блоги...
Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя »
взял за основу... не хватает лишь политики работы с оргтехникой.

и такой вопрос:
1.8 Каждый сотрудник САМ создает пароль для входа в компьютерную сеть. При этом пароль должен содержать не менее 8 символов и состоять из букв и цифр.
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.

второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник?

exo, спасибо за отзыв о моем блоге. Теперь по существу вопроса
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.
второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник »
1. Нет. Не правильно. За время долгой работы офицером ИБ мне приходилось участвовать в качестве расследования в случае аналогичном вашему. Утечка паролей произошла от человека, который их генерировал.
2. А вот здесь уже зашифрованная почта. Причем, опять таки, по науке. Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе

Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе »
как вам идея по SMS рассылать учётные данные? вроде мобильную связь и SMS ещё не перехватывают...

exo, Вы не правы. Перехватывают. Вопрос в другом. Нужны 2 канала связи. Защищенных, шифрованных, короче разных.
Один - ваш электронный. Второй - что-то типа спецсвязи. Фельдсвязи. По одному шифром передают пароли. По другому - логины. Вот и вся схема

как вам идея по SMS рассылать учётные данные? »
exo, Вы не правы. Перехватывают »
Вопрос еще в том, нужна ли эта информация кому-то настолько, чтобы перехватывать SMS непонятно от кого кому.
Есть ведь принцип защиты информации - защита должна защищать настолько, чтобы преодолеть ее было менее затратно, чем ценность этой информации. Ну это мой парафраз, вы как специалист знаете этот принцип гораздо лучше меня.

zod1, согласен. Но ведь мы с вами не знаем что нужно защищать. Я лишь советую. Выбирать же тому кто с этим работает

zod1, согласен. Но ведь мы с вами не знаем что нужно защищать. Я лишь советую. Выбирать же тому кто с этим работает »
Ну да, я вас тоже понимаю - люди часто хотят "половинную" безопасность, чтобы вроде бы безопасно было, и чтобы при этом подешевле) То есть чтоб всякие дорогие программки не покупать:) А оно так бывает только в одном случае - если ваша "секретная информация" никому не нужна. Предлагаю смотреть на информационную безопасность как на страхование - вы вкладываете в нее деньги, а она вас страхует. Естественно адресую сие автору темы.

zod1, Безусловно. Увы, безопасность дешевой не бывает

Товарищи, намедни я нашёл на просторах интернетов стандарт ISO 17799-2005
Сейчас читаю его. Раз уж пошёл такой разговор, если кто знает, скажите пару слов о том, насколько он адекватен, как часто применяется, есть ли версии новее.
Самое главное - каков его официальный статус в нашей стране и есть ли аналогичный ГОСТ?

В России есть другие стандарты: http://www.fstec.ru/_spravs/_gstan.htm
Насчёт официального статуса ISO: хотите - пользуйтесь, не хотите - не пользуйтесь.
Однако, если ваша организация работает с гостайной, ДСП и персональными данными, то следует пройти аттестацию на предмет соблюдения требований информационной безопасности. В том числе и по защите от НСД. На этот счёт на сайте ФСТЭК выложены руководящие документы: http://www.fstec.ru/_spravs/_spec.htm
Конкретно этот документ (http://www.fstec.ru/_docs/doc_3_3_004.htm) используется при аттестации. Возможно, его аналогом как раз и является ISO 17799 (я просто ISO'шный не читал).

Coutty, боюсь ошибиться, но на основе 17799 разработан ГОСТ РФ. Кстати сейчас более актуален 27001

VladimirB, всё может быть. У меня нет таких сведений.

Существует два подхода к построению политики безопасности:
1. Реализован в немецком стандарте по безопасности (в политику пишут все требования к безопасности. Получаем талмуд огромной толщины, который никто не читает)
2. Политика документ в 20 страниц максимум, который конкретизируется инструкциями по соответствующим направлениям. Мне ближе подход 2. Кроме того политику нужно актуализировать пересматривать 1 раз в год.