Политика Информационной Безопасности Образец
- Политика Информационной Безопасности Банка Пример
- Политика Информационной Безопасности Пример
- Политика Информационной Безопасности Образец
Политика информационной безопасности: документы:: В помощь системному администратору:: Компьютерный форум Ru.Board » » » Политика информационной безопасности: документы Модерирует:, Junior Member Уважаемый ALL - прошу помощи. Столкнулся с проблемой - как грамотно документ составить о политике безопасности? Или может у кого CD есть - 'Типовая политика безопасности на предприятиях малого и среднего бизнеса'? Может поделитесь?
Обучение работе с системой мониторинга информационной безопасности MaxPatrol. Политика информационной безопасности оператора ИСПДн: образец с подробным описанием. Технические средства безопасности. Обеспечения информационной безопасности. Политика информационной безопасности ГБОУ школы №340 Невского района. Санкт-Петербурга (далее – Школа) определяет цели и задачи системы обеспечения информационной безопасности) и устанавливает совокупность правил, процедур, практических приемов, требований и руководящих.
Да и другим полезно будет. Всего записей: 110 Зарегистр. Исправлено:, 18:01 Advanced Member Rodriges Из русскоязычных тут кое что из импортного под руками нет lynx sorry темы действительно были забыл Всего записей: 802 Зарегистр. Исправлено:, 18:26 Advanced lynx Rodriges Вот эти темы: Всего записей: 11712 Зарегистр. Advanced Member lynx Цитата: Вот эти темы: Разве политика безопастности это документ для юзверей? Резонно было бы иметь отдельную тему. Всего записей: 1600 Зарегистр.
Member есть книга Разработка правил информационной безопасности Автор: Скотт Бармен Издательство: New Riders вот в ней очень толково все описано в электрическом виде я ее не видел к сожалению если будет время отсканю Всего записей: 277 Зарегистр. Junior Member trisen Нашел цены на эту книгу - 0.
Политика Информационной Безопасности Банка Пример
Жду, пока отсканишь. Всего записей: 110 Зарегистр. Member лик дохлый. Предлагаю постить вэтой теме все что народ наваял по сабжу. Мне сейчас это тоже необходимо. Как составлю, запостю, и жду книгу. Всего записей: 353 Зарегистр.
Advanced Member TimonCrazy Цитата: мне сейчас это тоже необходимо. Как составлю, запостю, и жду книгу.
Это всем заранее необходимо сообщать??!! Всем sorry за оfftop, но Crazy (вот уж ник по делу.) везде успел наследить порядком. Если не остановить, с такой скоростью и усердием все темы о.ть не проблема. Всего записей: 1730 Зарегистр. Junior Member Спасибо всем откликнувшимся - видимо, тему можно считать закрытой. Всего записей: 110 Зарегистр. Advanced Member Посмотрите Это реальный документ.
Всего записей: 960 Зарегистр. Junior Member Andyuser Благодарю за помощь, содержательные документы. Всего записей: 110 Зарегистр. Junior Member Уважаемые коллеги, нет ли у кого-нибудь из вас такого документа, в котором бы описывалась it policy компании? (хорошо-бы на английском) И где можно получить это сакральное знание о том, какая она должна быть эта 'компьютерная политика компании'. Образец-бы какой-нибудь чтоли.
Patri0t рекомендовал создать отдельный топик первый вопрос по теме тут: Дело как раз в том, что организация большая и серьезная, а работы всегда проводились по принципу: безопасность не мешает автоматизации. Нет конечно, это не значит, что тут проходной двор, каждый на своем месте кусок какойто защищает. Dem писал: составь базовый пакет документов!
Это и есть политика, так я понимаю, плюс инструкции пользователям по конкретной работе с ПК, Интернет, СКЗИ, потом кстати получается, что их все таки ворох нужен. А политику ведь не должен писать один человек, не напишет, слишком много там должно быть разносторонних аспектов. Я пока в смятении. Если у кого есть мысли разобрать по частям, просьба сюда!
Может не одному мне поможет! Цитата Сергей пишет: А политику ведь не должен писать один человек, не напишет, слишком много там должно быть разносторонних аспектов. Я пока в смятении. Лично я считаю, что может (но не должен ), если у человека есть специальное образование (сам учусь на ЗИ) и опыт.
Как же ее аудиторы составляют??? Я знаю, что сейчас я сам не составлю ПБ для большой организации, но для своей ЛС дома уже тренеруюсь. А как же иначе?! Начет большой организации, мне кажется, можно подключить деректоров/специалистов из разных отделов - пусть распишут все бизнес-процессы. С ними потом согласовать варианты, потом с дир-ами отделов, потом с ген-ом. Цитата Начет большой организации, мне кажется, можно подключить деректоров/специалистов из разных отделов - пусть распишут все бизнес-процессы. С ними потом согласовать варианты, потом с дир-ами отделов, потом с ген-ом.
Да никто свою задницу ради ИБ отрывать от стула не будет!!!! Для этого нужно: 1. осознание РУКОВОДИТЕЛЕЙ!!! Что ИБ им ДЕЙСТВИТЕЛЬНО нужно!
- заплатив деньги им будет жалко, что они будут выброшены на ветер и Т.О. Они хоть как-то будут ерзать на своих местах! - авторитет сотрудника ИБ, если его не считают равным себе - можешь забыть про ИБ. Эти сволочи его похоронят под слоем своего снобизма и чувства 'культа личности'. Вот примерно такие препятствия я считаю основными в РЕАЛЬНОЙ жизни, а не в теории. Вот с ними и нужно в ПЕРВУЮ очередь бороться.
Так что Сергей, советую тебе найти все-таки авторитетную (в лице руководства) контору занимающуюся аудитом и постараться убедить начальство что это необходимо. В другом варианте - пошли их На$! Толку все равно не будет, а крови по-пьют. Политику мало написать, политика должна быть принята и выполнятся. Политика должна быть для всех, Вы готовы ВСЕМ доказать её необходиомсть. Поэтому если сочинить Политику - это ваша инициатива и Вы пытаетесь её написать, а потом показать, то сначала Вы должны убедит руководство.
Оно найдёт рычаги для всех остальных. Политика ИБ - это общее понятие, расмотрим частные случаи Сама по себе политика это бумажное описание АС и мер направленных на обеспечение ЗИ, с которыми сталкивается пользователь. Если АС или мер нет, то политика работать не будет. Я рекомендую писать и принимать главы по тем АС, которые есть.
Например есть Антивирус написали: Политика Компании в области защиты от вредоносного Кода. Есть Антиспам Написали: Политикиа Компании в области защиты от незатребованных электронных сообщений. Есть парольная защита (или другие системы авторизации/аутентификации) Написали: Политика Компании в области защиты от неавторизированного доступа к ресурсам Компании. Есть интернет.
Написали: Политика Компании. Вот так, на каждый этап у Вас куча времени уйдёт. Ну во первых политика это не описание АС. Это декларирование механизмов, направленых на повышение уровня защиты информаации в компании (хотя это и спорное утверждение и многие захотят его оспорить). Я бы рекомендовал сначала описать концепцию информационной безопасности (в которой бы варажалось отношение компании к защите информации, основные направления, можно указать укрупненно, какие политики будут разработаны). Утвердить данный документ в руководства.
На основании этого документа далее разрабатывать отдельные политики по направлениям (аутентификация, защита о вредоновного ПО, интернет, электронная почта, криптография, защита сетевого взаимодействия). Это займет много времени но работа нужная. После этого, необходимо разработать инструкции, которые бы реализовывали те принципы и подходы, описанные в политиках. Ну не для всех механизмов, описанных в политиках требуется авт. А вот идти от обратного - то есть разрабатывать политику по сложившейся ситуации - это в корне не правильно (хоть и намного проще). Наоборот, системы должны строиться на основании уже разработанной политики. Или же донастраиваться таким образом, чтобы отвечать политике.
У вас есть система у которой пароли могут устанавливаться длиной 3 символа. То что, в политике аутентификации (парольной защиты) писать, что компания будет применять пароли 3-х символьные? Если антиспамерского фильтра не данный момент нет - это что, повод не писать политику, в которой компания выражает свое отношение к спаму? В которой хоть можно сказать, что компания не одобряет спама и требует от своих сотрудников не заниматься рассылкой (пересылкой) спам сообщений? Цитата patri0t пишет: думаю Сергей уже запутался. Не, не запутался Цитата LcL пишет: подключить деректоров/специалистов из разных отделов - пусть распишут все бизнес-процессы. Не получится по причинам обозначенным Dem.
Тем более, что даже автоматизаторы, которые частично занимались ИБ, по совместительству, не могут щас смоделировать угрозы на свои системы. Цитата SeyDon пишет: А вот идти от обратного - то есть разрабатывать политику по сложившейся ситуации - это в корне не правильно Но, учитывая вышесказанное, и придется, видимо идти именно от описательного варианта,с анализом и указанием необходимых правил. Система то уже работала, каждый чота делал, чо та знает. Поискав некоторое время в сети материалы, натолкнулся на статьи, схожие с рекомендациями broker. Набросал кое-что. А тут аудиторы приносят стандарт центрального банка об обеспечении ИБ. Все должно быть глубоко, непрерывно и т.п.
Но увы слишком общие фразы. В соответствии со стандартом (да и по логике) надо начинать с определения ролей сотрудников и модели угроз, хотя это наверное самое сложное.
По любому, имхо надо описывать защищаемые ресурсы. Не пяти минут, тем более, повторюсь, автоматизаторы, которые это все знают, не очень воодушевились моим предложением. Цитата Bazel Osit пишет: Я бы рекомендовал сначала описать концепцию информационной безопасности это да, это по всей видимости должен быть первый параграф политики.
Политика Информационной Безопасности Пример
Потом распределение ролей, анализ угроз и моделирование нарушителей. Или меня уже не туда понесло? 'потом распределение ролей, анализ угроз и моделирование нарушителей. ' - правильно. На основе этих данных и строится политика безопасности.
Только перед тем как что-то делать, определись с позицией руководства. Ведь в конце концов требования по защите информации выдвигает собственник информации (если другое не определено в законодательстве), коим по сути и является руководитель компании. Именно он должен определить, что надо защищать, на каком уровне. Ни в коем случае Вы не должны быть инициатором. Если руководство не считают нужным защищать что-то - то - это его решение.
Если же руководсто говорит о том, что защиту информации строить надо - то тогда приказами либо другими внутренними нормативными документами необходимо утвердить, кто ответственный за разработку политики и кто несет ответственность. Таким образом тебе получится заручиться поддержкой ИТ служб и руководителей подразделений. Цитата SeyDon пишет: тогда приказами либо другими внутренними нормативными документами необходимо утвердить, кто ответственный за разработку политики и кто несет ответственность. Таким образом тебе получится заручиться поддержкой ИТ служб и руководителей подразделений. Так и сделаю. Только тут ситуация: руководитель сам ничо не определит, ответ понятен: вам поручаем, вы и занимайтесь. Он вообще слабо, я думаю, себе представляет, о чем я ему буду говорить и именно я получаюсь инициатором.
При этом все ИТ-шники уже отмахнулись когда поняли, что работа объемная. Но интересная, думаю. Сергей, Вы определитесь, что Вам надо. И затем уже делайте ПОЛИТИКУ.
Стандартные шаги 1. Аудит (обычно проводится на соответсвие стандарту) 2. Выводы (может вам не надо модернизировать АС, разрабатывать инструкции, может у же всё есть) 3. Анализ текущей ситуации. Описание текущей ситуации. Модернизация, улучшение в соответствии со стандартами 6.
Политика Информационной Безопасности Образец
Описание текущей ситуации. И так пока, вы не пройдёте аудит. Идти от Политики можно в том случае если нет инфраструктуры, маленькое предприятие, много денег. Тогда можно НАПИСАТЬ и утвердить с фразой мы должны стремиться к этому.
Реального испольнения Политики при этому не будет, оно начнётся когда Вы реально будете обеспечивать её испольнени наличием АС и правльной их эксплуатацией + регламенты+ инструкции + ПОСТОЯННОЕ ИХ ОБНОЛЕНИЕ. Цитата Сергей пишет: при этом все ИТ-шники уже отмахнулись когда поняли, что работа объемная.
Но интересная, думаю. Надо понимать, что ИТ - это основное подразделение, которого коснётся Политика и этапы её принятия. Без понимания проблемы ИТ-шниками у Вас может просто ничего не получиться. Так как возникнет конфликт.
Вы говорите 7 цифр в пароле, они говорят, что 5. Вы открывете рекомендации - конфликт Политика Ролей вы поробуйте реализуйте её на системах win.
(где дискретная модель защиты информации) Политика ролей удобна при проэктировании БД. ИТ- это основные консултанты и исполнители. Вы не забывайте, что в стандарте ЦБ написано, кто главный ВРАГ информации. Попробуйте избавьтесь от него или начните контролировать. При чём реализуйте это всё за месяц.
Главные враги насколько я понял - сами сотрудники, то бишь инсайдеры. Причом ГЛАВНЫЕ враги, как раз имеющие максимальный доступ. Только административными мерами останавливать.
А вот что необходимо 'реализовать за месяц' я не очень понял получается все равно надо начинать с организационных мер но уже по организовыванию людей для разработки!!! И потихоньку ваять описательную часть: что делать с сотрудником при приеме на работу, чего он подписывать должен, какие, хотя бы упрощенные, есть роли в организации и какие полномочия имеют. Потом уже вместе с ИТ описывать сети, сервисы и требования к ним.
Анализировать и опять сочинять.так ведь? Или чота опять пропустил.
Кстати есть ли где нибудь ISO 17799 не за денежку, или какие еще можно изучать стандарты (какие и где). Максимальный доступ у нас всякого рода админы имеют так что получается, здесь все стоит на их лояльности и совести. Структура примерно следующая. Головной офис, куча дополнительных, работают онлайн. Куча всяких сервсов: операционный день, банк-клиент, разного рода переводы, сопутствующие процессы и т.п.
Была куча разносортных положений, попытался все в одну запихать, еще без ознакомления со сандартом. Получилось следующие: 1. Общие положения пользователям запрещено все юзать в личных целях, все ресурсы являются собственностью организации, она вправе контролировать все. Работа с СВТ и ПО ПК выдается конкретному пользователю, как сотрудники и сторонние работники получают доступ, какое ПО устанавливается изначально, что запрещается (установка и удаление оборудования и ПО; использование криптографии, если это не нужно для выполнения служебных обязанностей; размещение конфиденциальной инфына общих ресурсах, использование чужих ПК и паролей, предоставление своего ПК и пароля другим сотрудникам).
3.требования к паролям для чего нужны, кто администрирует, как назначается (при создании учетной записи) и плановая смена, запрет гостевого входа и пустого пароля, количество символов и их алфавит, хранение в сейфе, если есть необходимость записывать. Работа с криптографичскими средствами зачем нужны, общие правила для получения доступа к работе с ними (в итоге - приказ), порядок учета и хранения СКЗИ и ключевых носителей, при работе с СКЗИ запрещается (знакомить посторонних, выводить ключи на экран и принтер, копировать, записывать на носители постороннюю инфу) действия при компрометации (общие) 6. Физическая безопасность важное оборудование - под замок, доступ в серверную ограничить, конфиденциальные документы и дискеты - в сейф, доступ в нерабочее время и доступ сотрудников тех.персонала. Работа в интернет и с мылом кто разрешает доступ, соединения протоколируются, почта архивится, размеры писем, запрещено (посещение 'левых' ресурсов, скачивание и установка софта, использование для получения материальной выгоды, использование ящика сторонних почтовых служб, шифрование почты) 8. Антивирусная профилактика. Кто и когда обновляет базы, действия при обнаружении вируса, контроль пользователей со стороны ит-департамента 9.
Поддержание соответствующего уровня ИБ комплексные действия на основе методик (проверки выполнения пользователями инструкций, установка и настройка нового ПО, следить за работающим ПО и СВТ, проводить проверки на наличие уязвимостей, анализировать и изучать возможные утечки), запрет 'выноса сора зи избы' 10. Резервирование и хранение конф.
Информации хранение на резервируемых носителях, кто осуществляет и как храниться. Если коротенько.