Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » хочу всё знать о политике информационной безопасности

Ответить
Настройки темы
хочу всё знать о политике информационной безопасности
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12412
Благодарности: 1442


Конфигурация

Профиль | Отправить PM | Цитировать


Доброго вечера!
Есть такая штука "Политика информационной безопасности". Там типа правила пользования компьютерами и т.д. и т.п.
Любая компания должна её у себя иметь. И, имхо, каждый админ должен уметь её написать.
Я вот не умею. Даже не знаю с чего начать. Есть наброски: выключать комп только через пуск, а не ногой выдёргивать питание из упса.
Расположить их попорядку не могу. Или описать, к примеру, что передача паролей карается штрафом, а не смертной казнью. Хотя так и хочеться написать последнее.
Вроде нужно ещё расписать каким софтом кто пользоваться должен, а кто нет. Какие форматы файлов разрешенны, какие нет.
Искал в интернете программы, которые якобы помогают в написании. Но либо они все дорогие, либо вообще не понятно о чём.
Рыбу в интернете не нашёл. Предлагают готовые решения - за $.
Предлагаю в этой теме обсудить всё, что может быть связанно с обеспечением информационной безопасности от пользователей и для пользователей.

Начну.

Сеть:
Домен
100 компов
10 серверов

глава 1
первым пунктом, наверное, будет начало работы: для начала работы необходимо включить компьютер. далее следует скрин кнопки включения. необходтиммо ввести ваши учётные данные (логин и пароль), выданные вам системным администратором. Рабочая машина настроенна таким образом, что уже готова для выполнения ваших обязанностей.
второй пункт, наверное, будет завершение работы: для завершения работы закройте все приложения нажав красный крестик в верхнем правом углу окна приложения или левый верхний угол - Файл - Выход. Только после этого вы можете выключить компьютер: Пуск - Завершение работы. Иной дргуой способ завершения работы может привести к проблем в работе Операциооной системы и приложений.

Что ещё можно добавить? какие могут быть подводные камни?

-------
продаю "железку" Kraftway Вежливый клиент всегда прав!


Отправлено: 17:15, 09-02-2009

 

Ветеран


Сообщения: 738
Благодарности: 89

Профиль | Отправить PM | Цитировать


я поддерживаю идею, но мне кажется если на каждое движение мыши рисовать скриншот, то получится толмуд который никто не будет читать.

я уже упоминал как то. Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя, будет гораздо эффективнее нежели "Самоучитель работы на компутере для организации Петя и Ко".

-------
Бараш.


Последний раз редактировалось leonty, 09-02-2009 в 21:56. Причина: вот еще вспомнил

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:48, 09-02-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Coutty

Кот Ти


Сообщения: 7318
Благодарности: 1203

Профиль | Отправить PM | Цитировать


Это не политика ИБ, а просто мануалы для пользователей.

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения).
Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно).
Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался).
Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте.
Интернет на компах, обрабатывающих что-то ценное - отрубить.

Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав).

А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты?
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте.
Это сообщение посчитали полезным следующие участники:

Отправлено: 22:29, 09-02-2009 | #3


Аватара для zeroua

Ветеран


Сообщения: 2619
Благодарности: 552

Профиль | Отправить PM | Цитировать


exo, по вопросам ИБ сам читаю регулярно и вам рекомендую этот блог: http://vladbez.spaces.live.com/

З.Ы. и ещё добавлю две ссылки направленные на защиту отдельно взятого ПК, уж частенько ИБ специалист является ещё и просто системным администратором...

Безопасный Интернет. Универсальная защита для Windows ME - Vista
Базовая концепция системы безопасности ОС Windows семейства NT

-------
лучше по утру на Google Earth искать ГДЕ ты пил, чем на youtube КАК...
http://forum.oszone.net/image.php?type=sigpic&userid=68333&dateline=1203429944

Это сообщение посчитали полезным следующие участники:

Отправлено: 07:08, 10-02-2009 | #4

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12412
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата leonty:
то получится толмуд, который никто не будет читать »
Это уже проблемы пользователей: незнание закона не освобождает от отвественности.
Цитата Coutty:
Это не политика ИБ, а просто мануалы для пользователей »
Вот и хочу из этих мануалов "сшить" толмуд по ИБ.
Цитата Coutty:
В рамках ИБ вам следует начать с составления перечня конфиденциальной информации »
так и запишем. Глава 1 - Конфидециальность информации.
Кстати, я знаю что она прописывается в трудовом договоре сотрудника. там 3 года не разглашения у меня.
Цитата Coutty:
Составить какой-нибудь документ, где описывается система штрафов за простые пароли »
пароли мы сами задаём, и потом сообщаем пользователям и ведём список паролей в запароленном файле.
Цитата Coutty:
"какими программами пользоваться можно" »
я имел ввиду программы? которые пишут ИБ.
Цитата Coutty:
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте. »
Coutty, это всё понятно. мне это описать нужно.

сейчас почитаю, попробую что-нить своё замутить.

-------
продаю "железку" Kraftway Вежливый клиент всегда прав!


Отправлено: 11:44, 10-02-2009 | #5

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12412
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата zeroua:
этот блог: http://vladbez.spaces.live.com/ »
прекрасный блог. я раньше ненавидел блоги...
Цитата leonty:
Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя »
взял за основу... не хватает лишь политики работы с оргтехникой.

и такой вопрос:
Цитата:
1.8 Каждый сотрудник САМ создает пароль для входа в компьютерную сеть. При этом пароль должен содержать не менее 8 символов и состоять из букв и цифр.
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.

второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник?

-------
продаю "железку" Kraftway Вежливый клиент всегда прав!


Отправлено: 14:22, 12-02-2009 | #6


Аватара для VladimirB

Microsoft MVP (Security)


Сообщения: 169
Благодарности: 15

Профиль | Сайт | Отправить PM | Цитировать


exo, спасибо за отзыв о моем блоге. Теперь по существу вопроса
Цитата exo:
правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.
второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник »
1. Нет. Не правильно. За время долгой работы офицером ИБ мне приходилось участвовать в качестве расследования в случае аналогичном вашему. Утечка паролей произошла от человека, который их генерировал.
2. А вот здесь уже зашифрованная почта. Причем, опять таки, по науке. Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе

-------
MVP Consumer Security, KL DSSE, ACT
Security Trusted Adviser
http://vladbez.spaces.live.com


Отправлено: 12:42, 26-06-2009 | #7

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12412
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата VladimirB:
Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе »
как вам идея по SMS рассылать учётные данные? вроде мобильную связь и SMS ещё не перехватывают...

-------
продаю "железку" Kraftway Вежливый клиент всегда прав!


Отправлено: 12:59, 26-06-2009 | #8


Аватара для VladimirB

Microsoft MVP (Security)


Сообщения: 169
Благодарности: 15

Профиль | Сайт | Отправить PM | Цитировать


exo, Вы не правы. Перехватывают. Вопрос в другом. Нужны 2 канала связи. Защищенных, шифрованных, короче разных.
Один - ваш электронный. Второй - что-то типа спецсвязи. Фельдсвязи. По одному шифром передают пароли. По другому - логины. Вот и вся схема

-------
MVP Consumer Security, KL DSSE, ACT
Security Trusted Adviser
http://vladbez.spaces.live.com


Отправлено: 16:09, 26-06-2009 | #9


Аватара для zod1

Новый участник


Сообщения: 46
Благодарности: 3

Профиль | Отправить PM | Цитировать


Цитата exo:
как вам идея по SMS рассылать учётные данные? »
Цитата VladimirB:
exo, Вы не правы. Перехватывают »
Вопрос еще в том, нужна ли эта информация кому-то настолько, чтобы перехватывать SMS непонятно от кого кому.
Есть ведь принцип защиты информации - защита должна защищать настолько, чтобы преодолеть ее было менее затратно, чем ценность этой информации. Ну это мой парафраз, вы как специалист знаете этот принцип гораздо лучше меня.

Отправлено: 17:51, 26-06-2009 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » хочу всё знать о политике информационной безопасности

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Info - FAQ | Cайты по информационной безопасности zeroua Защита компьютерных систем 65 01-12-2016 12:33
Краткий путеводитель по разделу 'Хочу Всё Знать' Drongo Хочу все знать 1 30-10-2016 21:47
Flash - Хочу всё знать о своей флешке! Sandre Хочу все знать 17 29-04-2010 14:40
Уязвимости - Аудио подкасты по информационной безопасности VladimirB Защита компьютерных систем 2 18-03-2009 09:55
Лажа в лока-й политике безопасности lehha Microsoft Windows NT/2000/2003 7 27-10-2004 21:33




 
Переход