Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   хочу всё знать о политике информационной безопасности (http://forum.oszone.net/showthread.php?t=131448)

exo 09-02-2009 17:15 1033705

хочу всё знать о политике информационной безопасности
 
Доброго вечера!
Есть такая штука "Политика информационной безопасности". Там типа правила пользования компьютерами и т.д. и т.п.
Любая компания должна её у себя иметь. И, имхо, каждый админ должен уметь её написать.
Я вот не умею. Даже не знаю с чего начать. Есть наброски: выключать комп только через пуск, а не ногой выдёргивать питание из упса.
Расположить их попорядку не могу. Или описать, к примеру, что передача паролей карается штрафом, а не смертной казнью. Хотя так и хочеться написать последнее.
Вроде нужно ещё расписать каким софтом кто пользоваться должен, а кто нет. Какие форматы файлов разрешенны, какие нет.
Искал в интернете программы, которые якобы помогают в написании. Но либо они все дорогие, либо вообще не понятно о чём.
Рыбу в интернете не нашёл. Предлагают готовые решения - за $.
Предлагаю в этой теме обсудить всё, что может быть связанно с обеспечением информационной безопасности от пользователей и для пользователей.

Начну.

Сеть:
Домен
100 компов
10 серверов

глава 1
первым пунктом, наверное, будет начало работы: для начала работы необходимо включить компьютер. далее следует скрин кнопки включения. необходтиммо ввести ваши учётные данные (логин и пароль), выданные вам системным администратором. Рабочая машина настроенна таким образом, что уже готова для выполнения ваших обязанностей.
второй пункт, наверное, будет завершение работы: для завершения работы закройте все приложения нажав красный крестик в верхнем правом углу окна приложения или левый верхний угол - Файл - Выход. Только после этого вы можете выключить компьютер: Пуск - Завершение работы. Иной дргуой способ завершения работы может привести к проблем в работе Операциооной системы и приложений.

Что ещё можно добавить? какие могут быть подводные камни?

leonty 09-02-2009 21:48 1033939

я поддерживаю идею, но мне кажется если на каждое движение мыши рисовать скриншот, то получится толмуд который никто не будет читать.

я уже упоминал как то. Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя, будет гораздо эффективнее нежели "Самоучитель работы на компутере для организации Петя и Ко".

Coutty 09-02-2009 22:29 1033973

Это не политика ИБ, а просто мануалы для пользователей.

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения).
Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно).
Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался).
Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте.
Интернет на компах, обрабатывающих что-то ценное - отрубить.

Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав).

А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты?
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте.

zeroua 10-02-2009 07:08 1034186

exo, по вопросам ИБ сам читаю регулярно и вам рекомендую этот блог: http://vladbez.spaces.live.com/

З.Ы. и ещё добавлю две ссылки направленные на защиту отдельно взятого ПК, уж частенько ИБ специалист является ещё и просто системным администратором...

Безопасный Интернет. Универсальная защита для Windows ME - Vista
Базовая концепция системы безопасности ОС Windows семейства NT

exo 10-02-2009 11:44 1034328

Цитата:

Цитата leonty
то получится толмуд, который никто не будет читать »

Это уже проблемы пользователей: незнание закона не освобождает от отвественности.
Цитата:

Цитата Coutty
Это не политика ИБ, а просто мануалы для пользователей »

Вот и хочу из этих мануалов "сшить" толмуд по ИБ.
Цитата:

Цитата Coutty
В рамках ИБ вам следует начать с составления перечня конфиденциальной информации »

так и запишем. Глава 1 - Конфидециальность информации.
Кстати, я знаю что она прописывается в трудовом договоре сотрудника. там 3 года не разглашения у меня.
Цитата:

Цитата Coutty
Составить какой-нибудь документ, где описывается система штрафов за простые пароли »

пароли мы сами задаём, и потом сообщаем пользователям и ведём список паролей в запароленном файле.
Цитата:

Цитата Coutty
"какими программами пользоваться можно" »

я имел ввиду программы? которые пишут ИБ.
Цитата:

Цитата Coutty
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте. »

Coutty, это всё понятно. мне это описать нужно.

сейчас почитаю, попробую что-нить своё замутить.

exo 12-02-2009 14:22 1036422

Цитата:

Цитата zeroua

прекрасный блог. я раньше ненавидел блоги...
Цитата:

Цитата leonty
Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя »

взял за основу... не хватает лишь политики работы с оргтехникой.

и такой вопрос:
Цитата:

1.8 Каждый сотрудник САМ создает пароль для входа в компьютерную сеть. При этом пароль должен содержать не менее 8 символов и состоять из букв и цифр.
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.

второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник?

VladimirB 26-06-2009 12:42 1152215

exo, спасибо за отзыв о моем блоге. Теперь по существу вопроса
Цитата:

Цитата exo
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.
второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник »

1. Нет. Не правильно. За время долгой работы офицером ИБ мне приходилось участвовать в качестве расследования в случае аналогичном вашему. Утечка паролей произошла от человека, который их генерировал.
2. А вот здесь уже зашифрованная почта. Причем, опять таки, по науке. Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе

exo 26-06-2009 12:59 1152232

Цитата:

Цитата VladimirB
Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе »

как вам идея по SMS рассылать учётные данные? вроде мобильную связь и SMS ещё не перехватывают...

VladimirB 26-06-2009 16:09 1152394

exo, Вы не правы. Перехватывают. Вопрос в другом. Нужны 2 канала связи. Защищенных, шифрованных, короче разных.
Один - ваш электронный. Второй - что-то типа спецсвязи. Фельдсвязи. По одному шифром передают пароли. По другому - логины. Вот и вся схема

zod1 26-06-2009 17:51 1152503

Цитата:

Цитата exo
как вам идея по SMS рассылать учётные данные? »

Цитата:

Цитата VladimirB
exo, Вы не правы. Перехватывают »

Вопрос еще в том, нужна ли эта информация кому-то настолько, чтобы перехватывать SMS непонятно от кого кому.
Есть ведь принцип защиты информации - защита должна защищать настолько, чтобы преодолеть ее было менее затратно, чем ценность этой информации. Ну это мой парафраз, вы как специалист знаете этот принцип гораздо лучше меня.

VladimirB 26-06-2009 19:38 1152597

zod1, согласен. Но ведь мы с вами не знаем что нужно защищать. Я лишь советую. Выбирать же тому кто с этим работает

zod1 26-06-2009 20:43 1152649

Цитата:

Цитата VladimirB
zod1, согласен. Но ведь мы с вами не знаем что нужно защищать. Я лишь советую. Выбирать же тому кто с этим работает »

Ну да, я вас тоже понимаю - люди часто хотят "половинную" безопасность, чтобы вроде бы безопасно было, и чтобы при этом подешевле) То есть чтоб всякие дорогие программки не покупать:) А оно так бывает только в одном случае - если ваша "секретная информация" никому не нужна. Предлагаю смотреть на информационную безопасность как на страхование - вы вкладываете в нее деньги, а она вас страхует. Естественно адресую сие автору темы.

VladimirB 27-06-2009 15:05 1153077

zod1, Безусловно. Увы, безопасность дешевой не бывает

El Scorpio 28-06-2009 12:14 1153672

Товарищи, намедни я нашёл на просторах интернетов стандарт ISO 17799-2005
Сейчас читаю его. Раз уж пошёл такой разговор, если кто знает, скажите пару слов о том, насколько он адекватен, как часто применяется, есть ли версии новее.
Самое главное - каков его официальный статус в нашей стране и есть ли аналогичный ГОСТ?

Coutty 28-06-2009 14:01 1153740

В России есть другие стандарты: http://www.fstec.ru/_spravs/_gstan.htm
Насчёт официального статуса ISO: хотите - пользуйтесь, не хотите - не пользуйтесь.
Однако, если ваша организация работает с гостайной, ДСП и персональными данными, то следует пройти аттестацию на предмет соблюдения требований информационной безопасности. В том числе и по защите от НСД. На этот счёт на сайте ФСТЭК выложены руководящие документы: http://www.fstec.ru/_spravs/_spec.htm
Конкретно этот документ используется при аттестации. Возможно, его аналогом как раз и является ISO 17799 (я просто ISO'шный не читал).

VladimirB 01-07-2009 09:08 1156146

Coutty, боюсь ошибиться, но на основе 17799 разработан ГОСТ РФ. Кстати сейчас более актуален 27001

Coutty 01-07-2009 17:13 1156536

VladimirB, всё может быть. У меня нет таких сведений.

VladimirB 27-07-2009 15:11 1178993

Существует два подхода к построению политики безопасности:
1. Реализован в немецком стандарте по безопасности (в политику пишут все требования к безопасности. Получаем талмуд огромной толщины, который никто не читает)
2. Политика документ в 20 страниц максимум, который конкретизируется инструкциями по соответствующим направлениям. Мне ближе подход 2. Кроме того политику нужно актуализировать пересматривать 1 раз в год.


Время: 09:22.

Время: 09:22.
© OSzone.net 2001-