хочу всё знать о политике информационной безопасности
Доброго вечера!
Есть такая штука "Политика информационной безопасности". Там типа правила пользования компьютерами и т.д. и т.п. Любая компания должна её у себя иметь. И, имхо, каждый админ должен уметь её написать. Я вот не умею. Даже не знаю с чего начать. Есть наброски: выключать комп только через пуск, а не ногой выдёргивать питание из упса. Расположить их попорядку не могу. Или описать, к примеру, что передача паролей карается штрафом, а не смертной казнью. Хотя так и хочеться написать последнее. Вроде нужно ещё расписать каким софтом кто пользоваться должен, а кто нет. Какие форматы файлов разрешенны, какие нет. Искал в интернете программы, которые якобы помогают в написании. Но либо они все дорогие, либо вообще не понятно о чём. Рыбу в интернете не нашёл. Предлагают готовые решения - за $. Предлагаю в этой теме обсудить всё, что может быть связанно с обеспечением информационной безопасности от пользователей и для пользователей. Начну. Сеть: Домен 100 компов 10 серверов глава 1 первым пунктом, наверное, будет начало работы: для начала работы необходимо включить компьютер. далее следует скрин кнопки включения. необходтиммо ввести ваши учётные данные (логин и пароль), выданные вам системным администратором. Рабочая машина настроенна таким образом, что уже готова для выполнения ваших обязанностей. второй пункт, наверное, будет завершение работы: для завершения работы закройте все приложения нажав красный крестик в верхнем правом углу окна приложения или левый верхний угол - Файл - Выход. Только после этого вы можете выключить компьютер: Пуск - Завершение работы. Иной дргуой способ завершения работы может привести к проблем в работе Операциооной системы и приложений. Что ещё можно добавить? какие могут быть подводные камни? |
я поддерживаю идею, но мне кажется если на каждое движение мыши рисовать скриншот, то получится толмуд который никто не будет читать.
я уже упоминал как то. Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя, будет гораздо эффективнее нежели "Самоучитель работы на компутере для организации Петя и Ко". |
Это не политика ИБ, а просто мануалы для пользователей.
В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения). Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно). Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался). Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте. Интернет на компах, обрабатывающих что-то ценное - отрубить. Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав). А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты? Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте. |
exo, по вопросам ИБ сам читаю регулярно и вам рекомендую этот блог: http://vladbez.spaces.live.com/
З.Ы. и ещё добавлю две ссылки направленные на защиту отдельно взятого ПК, уж частенько ИБ специалист является ещё и просто системным администратором... Безопасный Интернет. Универсальная защита для Windows ME - Vista Базовая концепция системы безопасности ОС Windows семейства NT |
Цитата:
Цитата:
Цитата:
Кстати, я знаю что она прописывается в трудовом договоре сотрудника. там 3 года не разглашения у меня. Цитата:
Цитата:
Цитата:
сейчас почитаю, попробую что-нить своё замутить. |
Цитата:
Цитата:
и такой вопрос: Цитата:
Все пароли записываются в зашиврованном, запороленном файле. второй вопрос: Есть терминальные пользователи. Из всех регионов России. Как лучше, безопаснее, передовать учётные данные для входа на терминальник? |
exo, спасибо за отзыв о моем блоге. Теперь по существу вопроса
Цитата:
2. А вот здесь уже зашифрованная почта. Причем, опять таки, по науке. Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе |
Цитата:
|
exo, Вы не правы. Перехватывают. Вопрос в другом. Нужны 2 канала связи. Защищенных, шифрованных, короче разных.
Один - ваш электронный. Второй - что-то типа спецсвязи. Фельдсвязи. По одному шифром передают пароли. По другому - логины. Вот и вся схема |
Цитата:
Цитата:
Есть ведь принцип защиты информации - защита должна защищать настолько, чтобы преодолеть ее было менее затратно, чем ценность этой информации. Ну это мой парафраз, вы как специалист знаете этот принцип гораздо лучше меня. |
zod1, согласен. Но ведь мы с вами не знаем что нужно защищать. Я лишь советую. Выбирать же тому кто с этим работает
|
Цитата:
|
zod1, Безусловно. Увы, безопасность дешевой не бывает
|
Товарищи, намедни я нашёл на просторах интернетов стандарт ISO 17799-2005
Сейчас читаю его. Раз уж пошёл такой разговор, если кто знает, скажите пару слов о том, насколько он адекватен, как часто применяется, есть ли версии новее. Самое главное - каков его официальный статус в нашей стране и есть ли аналогичный ГОСТ? |
В России есть другие стандарты: http://www.fstec.ru/_spravs/_gstan.htm
Насчёт официального статуса ISO: хотите - пользуйтесь, не хотите - не пользуйтесь. Однако, если ваша организация работает с гостайной, ДСП и персональными данными, то следует пройти аттестацию на предмет соблюдения требований информационной безопасности. В том числе и по защите от НСД. На этот счёт на сайте ФСТЭК выложены руководящие документы: http://www.fstec.ru/_spravs/_spec.htm Конкретно этот документ используется при аттестации. Возможно, его аналогом как раз и является ISO 17799 (я просто ISO'шный не читал). |
Coutty, боюсь ошибиться, но на основе 17799 разработан ГОСТ РФ. Кстати сейчас более актуален 27001
|
VladimirB, всё может быть. У меня нет таких сведений.
|
Существует два подхода к построению политики безопасности:
1. Реализован в немецком стандарте по безопасности (в политику пишут все требования к безопасности. Получаем талмуд огромной толщины, который никто не читает) 2. Политика документ в 20 страниц максимум, который конкретизируется инструкциями по соответствующим направлениям. Мне ближе подход 2. Кроме того политику нужно актуализировать пересматривать 1 раз в год. |
Время: 15:28. |
Время: 15:28.
© OSzone.net 2001-