Политика антивирусной безопасности предприятия.

[Николай Терещенко 0]

Давайте поговори о документах, которые должны регламентировать антивирусную безопасность на предприятии.

Многие спросят, а зачем они нужны, поставил антивирус, настроил его и все ок ... ? Но, скорее всего это будет вопрос от того, кто не управлял и не контролировал антивирусную защиту предприятия, с количеством сотрудников - начиная с нескольких десятков.

Именно наличие данных документов решает довольно большой объем проблем связанных с ответственностью сотрудников, администраторов, да и в целом повышается управляемость системой и снижается время реакции на какие-либо инциденты.

Для начала опишу свое видение документов, которые должны обязательно присутствовать:

1. Политика антивирусной безопасности.

2. Регламент антивирусного контроля.

3. Инструкция администратора.

4. Инструкция пользователя.

Теперь, чуть подробнее о каждом из этих документов.

Политика антивирусной безопасности - высокоуровневый документ, который прописывает стандарт компании в этой области. Описывает принципы и порядок функционирования системы антивирусной защиты. Определяет ответственность каждого из участников системы, определяет объекты, подлежащие защиты.

Регламент антивирусного контроля - Документ описывает действия администратора системы в штатных и не штатных ситуациях. Представляет собой краткую инструкцию администратора, типовые пункты для данного документа:

- ...

- Периодические действия

-- Мониторинг в реальном времени

-- Ежедневные действия

-- Еженедельные действия

-- ...

- Действия во внештатных ситуациях

- Различные порядки внесения изменений (настройки, защищаемых объектов и т.п.)

- ...

Инструкции администратора - техническая детализация действий администратора, например, в регламенте есть пункт об обязательном ежедневном контроле актуальности антивирусных баз, а в инструкции прописывается, как и где это посмотреть (с технической точки зрения).

Т.е. Регламент - это настольный документ администратора, а Инструкции - это документ, к которому администратор обращается, если не знает, как точно это действие выполняется. В том числе этот документ полезен, если роль администратора системы переходит к другому сотруднику.

Инструкция пользователя - данный документ доносит до пользователя его зону ответственности. Очень важно понимать (как показывает практика), что документ более 3 страниц никто читать не будет. Лучше если его объем будет две страницы.

На мой взгляд, именно такое сочетание документов позволяют организовать наиболее адекватную антивирусную защиту на предприятии. Снизить риск, связанный с человеческим фактором – при наличии подобных документов уменьшается время принятия решения во внештатной ситуации, контроль системой можно достаточно быстро передать другому техническому специалисту, без снижения работоспособности самой системы.

[AM_Bot 48]

А как на счет положении об антивирусном контроле?

Такой документ вроде должен в предложенной структуре быть между регламентом и инструкциями. Суть его представить информацию регламента более кратко, дать сжатый набор правил, обязанностей и прав сотрудников компании.

Еще хотелось бы уточнить, для компаний какого размера необходима такая регламентация этого комплекса?

На мой взгляд, для сегмента СМБ (средний и малый бизнес) такой набор документво может быть излишним и может быть сильно сокращен.

И еще один момент, на котором я хотел бы сразу акцентировать внимание: часто бывает что на бумаге написано одно, все с этим согласны, но на деле совсем другое. Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

[VladB 60]

Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

Для малого бизнеса конечно документов может быть и меньше, однако они должны быть безусловно. Если нужно - готов поделиться опытом их создания

[Михаил Орешин 70]

Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

А что это за странный антивирус, который пользователь может взять.... И отключить ?

[Николай Терещенко 0]

Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

А что это за странный антивирус, который пользователь может взять.... И отключить ?

Это не странный антивирус... Безусловно, у ряда пользователей в организации есть административные права на рабочую станцию - все беды именно отсюда. Как говорится, на какие хитрости не иди, локальный администратор в любом случае может сделать что угодно.

[Николай Терещенко 0]

2 admin:

На самом деле как называется документ не важно, важно его содержание и что бы тот, кто его должен использовать знал о его существовании.

А документы делятся на следующие:

1. Документ - Как у нас все организовано на предприятии, кто за что отвечает и т.п.

2. Документ - Что необходимо выполнять, что бы система антивирусной защиты функционировала на 100%.

3. Документ - Где и как с технической точки зрения это выполняется (техническое описание к документу 2, с детализацией по конкретной сети).

Для пользователей создается отдельная инструкция (некая выжимка на 2 страницы), что бы лишний раз их не грузить чтением ненужных им документов. Самое главное - они должны понимали, куда и кому надо звонить в экстренных случаях.

Конечно, можно отказаться от документа № 3, а прописать часть необходимой информации (по конкретной сети) в документе № 2 и сделать ссылки на документацию к самим продуктам.

[AM_Bot 48]

Допустим все документы готовы, все подписано, согласовано и т.д. Ответственные лица отчитались о проделанной работе. Пошли обычные будни и часто бывает что на бумаге написано одно, все с этим согласны, но на деле совсем другое.

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

[Serge 0]

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

[Serge 0]

Давайте поговори о документах, которые должны регламентировать антивирусную безопасность на предприятии.

Насчет больших предприятий ничего сказать не могу..

Для компаний 50, 100, 200 человек

1) Техническая политика не нужна.

2) Организационно одного регламента (например ИБ и т.п.) где в числе прочего есть глава про антивирусную защиту вполне достаточно. Хотя это больше фича и показатель активности ИТшников

3) Ну а инструкции пользователям, подкрепленные административными мерами это вообще мечта (такого не бывает). Они даже если и есть никакой ответственности не подразумевают, хотя вероятно заставляют немножко думать

Видимо риски в финансовом выражении для небольших компаний небольшие, чтобы проводить серьезную административную работу

[Николай Терещенко 0]

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

А вот тут, как мне кажется, наиболее удачным вариантом будет передать ответственность за контроль выполнения утвержденных документов (именно по этой системе) Отделу ИБ.

Т.е. системные администраторы устанавливают, настраивают и т.п. саму систему, а отдел ИБ контролирует как они это делают в соответствии с утвержденными документами.

Для компаний 50, 100, 200 человек

1) Техническая политика не нужна.

Что подразумевается под технической политикой?

3) Ну а инструкции пользователям, подкрепленные административными мерами это вообще мечта (такого не бывает). Они даже если и есть никакой ответственности не подразумевают, хотя вероятно заставляют немножко думать.

Без инструкций пользователя, подкрепленными административными мерами - никуда ... Это небольшой документ, 2 страницы максимум. За ознакомление с данным документом и подтверждением, что я - такой-то, такой-то обязуюсь выполнять все его требования - пользователь расписывается в неком журнале учета... Просто в конечном итоге, когда что-то случится, ответственность ляжет на администратора системы.

А как показывает практика, обеспечение ИБ на предприятии - это процесс, в который вовлечены все сотрудники от уборщицы, до генерального ... (Конечно я не предлагаю писать инструкции для уборщиц ... ;-) )

[AM_Bot 48]

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

[VladB 60]

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

В некоторых больших организациях существует отдел аудита. Это их работа

[Serge 0]

Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

[VladB 60]

В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

На самом деле то пблема не отдела ИТ, а отдела ИБ, но это так, детали!

[AM_Bot 48]

В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

В небольших компаниях - да, а в более крупных - должен кто-то проверять.

Пример, ген. директор разрататывая стратегию предприятия не знает есть или были у него вирусы на компе. Он знает что процесс регламентирован, инструкции написано, все вроде как в норме.

Статистикой по вирусных инцидентам, эпидеямиям, сбоям и т.д. владеет начальник отдела безопасности.

В моем понимании он должен в срок, ежемечно, может даже чаще отчитываться по обстановке. Используя средства централизованного администрирования, сгенерить отчет можно за пару минут, уже с графиками и прочими аксессуарами :-) Этот отчет должен ложиться на стол руководителя, учтываться при расчете рисков, планировоании бюджета и т.д.

Кроме этого, регулярно этот же руководитель должен проверять соответствие реалий описанному в регламенте и инструкциях. Если что-то не так - назазывать и испралять ситуцацию.

Какой сисадмин в здравом уме сам будет подавать инфу о вирусной эпидении руководству, тем более если в этом его вина (на обновились по какой-то причине вовремя базы скажем) ? Он ее умолчил, а то что важная инфа уже ушла на лево руководство не будет знать, продолжая реализовывать планы, которые уже известны конкурентам. Так можно фирму уронить на раз.

[Михаил Кондрашин 55]

А что это за странный антивирус, который пользователь может взять.... И отключить ?

На мой взгляд, это принципиальный момент. Нельзя функциональность конкретного продукта делать де-факто пунктами политики, в том смысле, что если продукт не позволяет нарушить некий пункт, значит его можно опустить. Это не верно. На мой взгляд правильная формулировка --- "администратор оставляет за собой право внедрять средства автоматического контроля за политикой".

Пример: Можно запретить загружать из Интернета исполняемые файлы. Независимо можно на шлюзе поставить блокировку загрузки EXE-файлов, но это не будет означать, что всем, кому удалось обойти блокировку, можно качать все что угодно.