Krec

Создание политики ИБ

В этой теме 10 сообщений

Коллеги, одна компания предлагала создать политику безопасности с нуля. у них сеть магазинов по городу.

Все время пришлось работать с УЖЕ созданными :) всегда пришлось переделывать/доработать.

а вот создать с нуля.. как бы не знаю с чего начать.

физ. безопасность уже спроектировано и работает все. А также - сетевая/системная инфраструктура.

Может посоветуйте книги/иные источники по созданию с нуля политик ИБ компании ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А уже созданные раньше никак нельзя применить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А уже созданные раньше никак нельзя применить? :)

У этой компаний нет никаких политик. на данный момент все работает как кому удобно, нет никаких стандартов и политик.

А взять из другой компании - нет возможности у меня )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я тут нашел кое что:

http://securitypolicy.ru/index.php/%D0%9A%...%82%D0%B8%D1%8F

Если не сложно, посмотрите это достаточно ? (ну кроме переделки/адаптацию некоторых моментов под компании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я тут нашел кое что:

http://securitypolicy.ru/index.php/%D0%9A%...%82%D0%B8%D1%8F

Если не сложно, посмотрите это достаточно ? (ну кроме переделки/адаптацию некоторых моментов под компании)

Документ по ссылке - общая концепция, практического толку от нее примерно нуль ... точнее если нужен абстрактный документ с фразами типа "концепция ИБ для СОИБ согласно требованиям ФСБ по защите ИС для противодействия НСД со стороны АНБ в условиях ЁКЛМН ..." - то это самое то, что нужно :) Но получим т.н. "бумажную безопасность".

Если нужна реальная работа, то:

1. Необходимо разработать (или заказать) документы по защите персональных данных. Они по закону 152-ФЗ у фирмы просто обязаны быть (базы кадров и ОТИЗ, базы клиентов ...). Практический выхлоп мероприятия - получим точный список лиц, работающих с ПДн и железа, на котором это самое ПДн обрабатывается. А это в свою очередь позволит спланировать меры по защите и учесть их в политиках ИБ

2. Необходимо ввести положение о КТ. Дело в том, что пока мы не знаем, какая информация фирмой считается КТ (а считаться ей может самая неожиданная на первый взгляд информация), мы не можем спланировать ее защиту. Практический выхлоп - классификатор информации, назначенные ответственные, утвержденные руководством списки допущенных лиц, обязательное проставление грифа на документах... - это позволит спланировать мероприятия по защите

3. Оценка реальных рисков для существующей инфраструктуры. Ключевое слово - "реальных". На выходе получим набор конкретных "больных точек", о защите которых обязательно нужно подумать, и угроз для них.

4. Пишем политику, причем она опирается на документы п.п. 1+2, и учитывает п. 3. Это общий документ, но при такой последовательности он не висит в воздухе - опирается на пакет документов п.п. 1 и 2. Политика вводится приказом

5. Пишем положения или рабочие инструкции:

- для пользователя. Оно ссылается на 1,2,4 и учитывает специфику 3. Предельно четкий документ с разделами "сотрудник обязан", "сотруднику запрещается", "в случае ... необходимо ...". Можно поделить его для простоты работы на тематические разделы - работа с ПК, работа с электронной почтой, Интернет, удаленный доступ ...

- для ИТ. Там четко прописывается, что обязаны делать ИТ для обеспечения ИБ и что им делать запрещено

- всякие прочие конкретные инструкции, политики или регламенты (по удаленному доступу, парольная политика, политика резервного копирования, правила работы с ЭЦП)

6. Пакет документов п.п. 5 утверждается приказом и доводится до всех под роспись в листах ознакомления.

7. На основании 1-5 разрабатывается реальный план мероприятий, прикидывается их стоимость (за счет работ 1-3 это можно предметно сделать), совместно с руководством фирмы расставляются приоритеты. При этом за счет п. 1-3 разговор идет предметно, нормативная база уже есть

Вот примерно так :) При тем самое смешное в том, что по сути только документы п.п. 5 реально работают, оно доводятся до всех, их соблюдение можно проконтролировать и за нарушения можно наказать. Политики и концепции - это вещь хорошая, но на уровне пользователя толку от них мало (они даже обычно и не доводятся до сотрудников).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мои 5 копеек - все начинается с обследования бизнес-процессов и активов,которые задействованы в этих бизнес - процессах. Работа тяжелая и в целом неблагодарная. Да, и стоит определиться с документарной моделью - трехуровневая или 4 уровневая. первый уровень - это "священные коровы", которые определяют основные направления - сама политика, положение о службе ИБ, другие концептуальные документы, второй - частные политики (они чаще меняются, зависимы от технологий), но на втором уровне согласовывать проще. На третьем уровне - инструкции,правила .... На 4 - все что связано с сотрудниками - обязательства, ФО и т.д. Но сначала надо решить с 1 и 2 урровнем. Может, для конкретного применения лучше сделать 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

:rolleyes:

теперь я совсем запутался ))) контора большая.. имеет несколько филиалов по городу. род занятости - торговля (супермаркет) не знаю даже с чего начать..

вот никак не могу понять - все же закон 152-ФЗ уже в силе? работает? можете дать ПОЖАЛУЙСТА какой ни-будь документ для технического специалиста а не для юриста аля:

"концепция ИБ для СОИБ согласно требованиям ФСБ по защите ИС для противодействия НСД со стороны АНБ в условиях ЁКЛМН ..."

Как бы сколько не искал, так и не мог найти конкретно что то, где четко пишется какие именно меры к чему должны быть приняты..

Возможно если буду "развивать" этот ФЗ, то все само по себе образуется документация / общая политика ИБ компании ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

152-ФЗ - это защита персональных данных. И точка. А защищать надо все - и рабочие данные тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
152-ФЗ - это защита персональных данных. И точка. А защищать надо все - и рабочие данные тоже

Каждый по своему понимает защита информации. для кого то это шифрование всех дисков + боксы магнитные, а для кого то просто установить антивирус и делать папку скрытым :D

По этому должно же быть определенные требование к этому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...