Перейти к содержанию

Recommended Posts

Krec

Коллеги, одна компания предлагала создать политику безопасности с нуля. у них сеть магазинов по городу.

Все время пришлось работать с УЖЕ созданными :) всегда пришлось переделывать/доработать.

а вот создать с нуля.. как бы не знаю с чего начать.

физ. безопасность уже спроектировано и работает все. А также - сетевая/системная инфраструктура.

Может посоветуйте книги/иные источники по созданию с нуля политик ИБ компании ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

А уже созданные раньше никак нельзя применить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
А уже созданные раньше никак нельзя применить? :)

У этой компаний нет никаких политик. на данный момент все работает как кому удобно, нет никаких стандартов и политик.

А взять из другой компании - нет возможности у меня )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

я тут нашел кое что:

http://securitypolicy.ru/index.php/%D0%9A%...%82%D0%B8%D1%8F

Если не сложно, посмотрите это достаточно ? (ну кроме переделки/адаптацию некоторых моментов под компании)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
я тут нашел кое что:

http://securitypolicy.ru/index.php/%D0%9A%...%82%D0%B8%D1%8F

Если не сложно, посмотрите это достаточно ? (ну кроме переделки/адаптацию некоторых моментов под компании)

Документ по ссылке - общая концепция, практического толку от нее примерно нуль ... точнее если нужен абстрактный документ с фразами типа "концепция ИБ для СОИБ согласно требованиям ФСБ по защите ИС для противодействия НСД со стороны АНБ в условиях ЁКЛМН ..." - то это самое то, что нужно :) Но получим т.н. "бумажную безопасность".

Если нужна реальная работа, то:

1. Необходимо разработать (или заказать) документы по защите персональных данных. Они по закону 152-ФЗ у фирмы просто обязаны быть (базы кадров и ОТИЗ, базы клиентов ...). Практический выхлоп мероприятия - получим точный список лиц, работающих с ПДн и железа, на котором это самое ПДн обрабатывается. А это в свою очередь позволит спланировать меры по защите и учесть их в политиках ИБ

2. Необходимо ввести положение о КТ. Дело в том, что пока мы не знаем, какая информация фирмой считается КТ (а считаться ей может самая неожиданная на первый взгляд информация), мы не можем спланировать ее защиту. Практический выхлоп - классификатор информации, назначенные ответственные, утвержденные руководством списки допущенных лиц, обязательное проставление грифа на документах... - это позволит спланировать мероприятия по защите

3. Оценка реальных рисков для существующей инфраструктуры. Ключевое слово - "реальных". На выходе получим набор конкретных "больных точек", о защите которых обязательно нужно подумать, и угроз для них.

4. Пишем политику, причем она опирается на документы п.п. 1+2, и учитывает п. 3. Это общий документ, но при такой последовательности он не висит в воздухе - опирается на пакет документов п.п. 1 и 2. Политика вводится приказом

5. Пишем положения или рабочие инструкции:

- для пользователя. Оно ссылается на 1,2,4 и учитывает специфику 3. Предельно четкий документ с разделами "сотрудник обязан", "сотруднику запрещается", "в случае ... необходимо ...". Можно поделить его для простоты работы на тематические разделы - работа с ПК, работа с электронной почтой, Интернет, удаленный доступ ...

- для ИТ. Там четко прописывается, что обязаны делать ИТ для обеспечения ИБ и что им делать запрещено

- всякие прочие конкретные инструкции, политики или регламенты (по удаленному доступу, парольная политика, политика резервного копирования, правила работы с ЭЦП)

6. Пакет документов п.п. 5 утверждается приказом и доводится до всех под роспись в листах ознакомления.

7. На основании 1-5 разрабатывается реальный план мероприятий, прикидывается их стоимость (за счет работ 1-3 это можно предметно сделать), совместно с руководством фирмы расставляются приоритеты. При этом за счет п. 1-3 разговор идет предметно, нормативная база уже есть

Вот примерно так :) При тем самое смешное в том, что по сути только документы п.п. 5 реально работают, оно доводятся до всех, их соблюдение можно проконтролировать и за нарушения можно наказать. Политики и концепции - это вещь хорошая, но на уровне пользователя толку от них мало (они даже обычно и не доводятся до сотрудников).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

мои 5 копеек - все начинается с обследования бизнес-процессов и активов,которые задействованы в этих бизнес - процессах. Работа тяжелая и в целом неблагодарная. Да, и стоит определиться с документарной моделью - трехуровневая или 4 уровневая. первый уровень - это "священные коровы", которые определяют основные направления - сама политика, положение о службе ИБ, другие концептуальные документы, второй - частные политики (они чаще меняются, зависимы от технологий), но на втором уровне согласовывать проще. На третьем уровне - инструкции,правила .... На 4 - все что связано с сотрудниками - обязательства, ФО и т.д. Но сначала надо решить с 1 и 2 урровнем. Может, для конкретного применения лучше сделать 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

:rolleyes:

теперь я совсем запутался ))) контора большая.. имеет несколько филиалов по городу. род занятости - торговля (супермаркет) не знаю даже с чего начать..

вот никак не могу понять - все же закон 152-ФЗ уже в силе? работает? можете дать ПОЖАЛУЙСТА какой ни-будь документ для технического специалиста а не для юриста аля:

"концепция ИБ для СОИБ согласно требованиям ФСБ по защите ИС для противодействия НСД со стороны АНБ в условиях ЁКЛМН ..."

Как бы сколько не искал, так и не мог найти конкретно что то, где четко пишется какие именно меры к чему должны быть приняты..

Возможно если буду "развивать" этот ФЗ, то все само по себе образуется документация / общая политика ИБ компании ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

152-ФЗ - это защита персональных данных. И точка. А защищать надо все - и рабочие данные тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec
152-ФЗ - это защита персональных данных. И точка. А защищать надо все - и рабочие данные тоже

Каждый по своему понимает защита информации. для кого то это шифрование всех дисков + боксы магнитные, а для кого то просто установить антивирус и делать папку скрытым :D

По этому должно же быть определенные требование к этому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×