Перейти к содержанию
Николай Терещенко

Политика антивирусной безопасности предприятия.

Recommended Posts

Николай Терещенко

Давайте поговори о документах, которые должны регламентировать антивирусную безопасность на предприятии.

Многие спросят, а зачем они нужны, поставил антивирус, настроил его и все ок ... ? Но, скорее всего это будет вопрос от того, кто не управлял и не контролировал антивирусную защиту предприятия, с количеством сотрудников - начиная с нескольких десятков.

Именно наличие данных документов решает довольно большой объем проблем связанных с ответственностью сотрудников, администраторов, да и в целом повышается управляемость системой и снижается время реакции на какие-либо инциденты.

Для начала опишу свое видение документов, которые должны обязательно присутствовать:

1. Политика антивирусной безопасности.

2. Регламент антивирусного контроля.

3. Инструкция администратора.

4. Инструкция пользователя.

Теперь, чуть подробнее о каждом из этих документов.

Политика антивирусной безопасности - высокоуровневый документ, который прописывает стандарт компании в этой области. Описывает принципы и порядок функционирования системы антивирусной защиты. Определяет ответственность каждого из участников системы, определяет объекты, подлежащие защиты.

Регламент антивирусного контроля - Документ описывает действия администратора системы в штатных и не штатных ситуациях. Представляет собой краткую инструкцию администратора, типовые пункты для данного документа:

- ...

- Периодические действия

-- Мониторинг в реальном времени

-- Ежедневные действия

-- Еженедельные действия

-- ...

- Действия во внештатных ситуациях

- Различные порядки внесения изменений (настройки, защищаемых объектов и т.п.)

- ...

Инструкции администратора - техническая детализация действий администратора, например, в регламенте есть пункт об обязательном ежедневном контроле актуальности антивирусных баз, а в инструкции прописывается, как и где это посмотреть (с технической точки зрения).

Т.е. Регламент - это настольный документ администратора, а Инструкции - это документ, к которому администратор обращается, если не знает, как точно это действие выполняется. В том числе этот документ полезен, если роль администратора системы переходит к другому сотруднику.

Инструкция пользователя - данный документ доносит до пользователя его зону ответственности. Очень важно понимать (как показывает практика), что документ более 3 страниц никто читать не будет. Лучше если его объем будет две страницы.

На мой взгляд, именно такое сочетание документов позволяют организовать наиболее адекватную антивирусную защиту на предприятии. Снизить риск, связанный с человеческим фактором – при наличии подобных документов уменьшается время принятия решения во внештатной ситуации, контроль системой можно достаточно быстро передать другому техническому специалисту, без снижения работоспособности самой системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

А как на счет положении об антивирусном контроле?

Такой документ вроде должен в предложенной структуре быть между регламентом и инструкциями. Суть его представить информацию регламента более кратко, дать сжатый набор правил, обязанностей и прав сотрудников компании.

Еще хотелось бы уточнить, для компаний какого размера необходима такая регламентация этого комплекса?

На мой взгляд, для сегмента СМБ (средний и малый бизнес) такой набор документво может быть излишним и может быть сильно сокращен.

И еще один момент, на котором я хотел бы сразу акцентировать внимание: часто бывает что на бумаге написано одно, все с этим согласны, но на деле совсем другое. Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

Для малого бизнеса конечно документов может быть и меньше, однако они должны быть безусловно. Если нужно - готов поделиться опытом их создания

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

А что это за странный антивирус, который пользователь может взять.... И отключить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Документ безусловно нужен. Как бывший нач. подразделения ИБ не маленькой фирмы скажу, что если пользователь не расписался за такую инструкцию, а потом взял и отключил антивирус, то... ничего вы ему сделать не можете.

А что это за странный антивирус, который пользователь может взять.... И отключить ?

Это не странный антивирус... Безусловно, у ряда пользователей в организации есть административные права на рабочую станцию - все беды именно отсюда. Как говорится, на какие хитрости не иди, локальный администратор в любом случае может сделать что угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

2 admin:

На самом деле как называется документ не важно, важно его содержание и что бы тот, кто его должен использовать знал о его существовании.

А документы делятся на следующие:

1. Документ - Как у нас все организовано на предприятии, кто за что отвечает и т.п.

2. Документ - Что необходимо выполнять, что бы система антивирусной защиты функционировала на 100%.

3. Документ - Где и как с технической точки зрения это выполняется (техническое описание к документу 2, с детализацией по конкретной сети).

Для пользователей создается отдельная инструкция (некая выжимка на 2 страницы), что бы лишний раз их не грузить чтением ненужных им документов. Самое главное - они должны понимали, куда и кому надо звонить в экстренных случаях.

Конечно, можно отказаться от документа № 3, а прописать часть необходимой информации (по конкретной сети) в документе № 2 и сделать ссылки на документацию к самим продуктам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Допустим все документы готовы, все подписано, согласовано и т.д. Ответственные лица отчитались о проделанной работе. Пошли обычные будни и часто бывает что на бумаге написано одно, все с этим согласны, но на деле совсем другое.

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Serge
Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Serge
Давайте поговори о документах, которые должны регламентировать антивирусную безопасность на предприятии.

Насчет больших предприятий ничего сказать не могу..

Для компаний 50, 100, 200 человек

1) Техническая политика не нужна.

2) Организационно одного регламента (например ИБ и т.п.) где в числе прочего есть глава про антивирусную защиту вполне достаточно. Хотя это больше фича и показатель активности ИТшников

3) Ну а инструкции пользователям, подкрепленные административными мерами это вообще мечта (такого не бывает). Они даже если и есть никакой ответственности не подразумевают, хотя вероятно заставляют немножко думать

Видимо риски в финансовом выражении для небольших компаний небольшие, чтобы проводить серьезную административную работу :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

А вот тут, как мне кажется, наиболее удачным вариантом будет передать ответственность за контроль выполнения утвержденных документов (именно по этой системе) Отделу ИБ.

Т.е. системные администраторы устанавливают, настраивают и т.п. саму систему, а отдел ИБ контролирует как они это делают в соответствии с утвержденными документами.

Для компаний 50, 100, 200 человек

1) Техническая политика не нужна.

Что подразумевается под технической политикой?

3) Ну а инструкции пользователям, подкрепленные административными мерами это вообще мечта (такого не бывает). Они даже если и есть никакой ответственности не подразумевают, хотя вероятно заставляют немножко думать.

Без инструкций пользователя, подкрепленными административными мерами - никуда ... Это небольшой документ, 2 страницы максимум. За ознакомление с данным документом и подтверждением, что я - такой-то, такой-то обязуюсь выполнять все его требования - пользователь расписывается в неком журнале учета... Просто в конечном итоге, когда что-то случится, ответственность ляжет на администратора системы.

А как показывает практика, обеспечение ИБ на предприятии - это процесс, в который вовлечены все сотрудники от уборщицы, до генерального ... (Конечно я не предлагаю писать инструкции для уборщиц ... ;-) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Каким образом и кто в организации должен проверять соответствие реальности написанному в регламентирующих документах (по сути это аудит комплекса безопасности)?

Составляется

1) перечень регламентных работ Службы ИТ (ИТ отдела, сисадмина и т.д.), где есть такая работа "Контроль системы антивирусной безопасности", периодичность, трудоемкость..

2) журнал или отчет о проделанной работе за месяц

3) инструкция системного администратора (если надо)

Этих документов достаточно, чтобы закрепить ответственность за данную работу за сисадмином.

Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

В некоторых больших организациях существует отдел аудита. Это их работа

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Serge
Я интересовался кто будет проверять регламнтые работы, журналы и сообще соответсвие реалий документам? Контрольный орган?

Нельзя же люди сами себя проверяли ...

В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

На самом деле то пблема не отдела ИТ, а отдела ИБ, но это так, детали!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
В небольших организациях кроме ИТ отдела никто вирусней заниматься не будет..

Может начальник ИТ отдела проверять.

Опять таки никто не делает аудит работы уборщицы - если грязно это видно..

Комп тормозит - проблема ИТ отдела, а что это вирусы или еще что пусть сами разбираются..

В небольших компаниях - да, а в более крупных - должен кто-то проверять.

Пример, ген. директор разрататывая стратегию предприятия не знает есть или были у него вирусы на компе. Он знает что процесс регламентирован, инструкции написано, все вроде как в норме.

Статистикой по вирусных инцидентам, эпидеямиям, сбоям и т.д. владеет начальник отдела безопасности.

В моем понимании он должен в срок, ежемечно, может даже чаще отчитываться по обстановке. Используя средства централизованного администрирования, сгенерить отчет можно за пару минут, уже с графиками и прочими аксессуарами :-) Этот отчет должен ложиться на стол руководителя, учтываться при расчете рисков, планировоании бюджета и т.д.

Кроме этого, регулярно этот же руководитель должен проверять соответствие реалий описанному в регламенте и инструкциях. Если что-то не так - назазывать и испралять ситуцацию.

Какой сисадмин в здравом уме сам будет подавать инфу о вирусной эпидении руководству, тем более если в этом его вина (на обновились по какой-то причине вовремя базы скажем) ? Он ее умолчил, а то что важная инфа уже ушла на лево руководство не будет знать, продолжая реализовывать планы, которые уже известны конкурентам. Так можно фирму уронить на раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
А что это за странный антивирус, который пользователь может взять.... И отключить ?

На мой взгляд, это принципиальный момент. Нельзя функциональность конкретного продукта делать де-факто пунктами политики, в том смысле, что если продукт не позволяет нарушить некий пункт, значит его можно опустить. Это не верно. На мой взгляд правильная формулировка --- "администратор оставляет за собой право внедрять средства автоматического контроля за политикой".

Пример: Можно запретить загружать из Интернета исполняемые файлы. Независимо можно на шлюзе поставить блокировку загрузки EXE-файлов, но это не будет означать, что всем, кому удалось обойти блокировку, можно качать все что угодно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dilyaako
      Места для проведения девичников и мальчишников мы искали с помощью данного сайта  https://www.restoclub.ru/msk/search/restorany-dlja-devichnika-i-malchishnika-v-moskve . Мне понравилось, что тут правда есть очень много годных вариантов ресторанов уже сразу с фото и меню. Там же можно найти и всякие рестораны или кондитерские 
    • OliverInfum
      Сим-карта (SIM-карта, через англ. Subscriber Verification Module — модуль идентификации абонента) — идентификационный модуль абонента, применяемый в мобильной связи. сим карты оптом https://optom-sim.ru/ SIM-карты применяются в сетях GSM. Другие современные сотовые тенета обычно также применяют другие модули идентификации, обычно внешне схожие с SIM и выполняющие аналогичные функции — USIM в сетях UMTS, R-UIM в сетях CDMA и пр.В сетях 1G идентификацию абонента в тенета проводили сообразно заводскому номеру сотового телефона — ESN (Electronic Serial Integer). Таким образом, как сотовый телефон, беспричинно и абонент идентифицировались единым кодом. Такой подход порождал полную неволя номера абонента и пакета предоставляемых ему услуг через конкретного экземпляра телефона. Поменяв сотовый телефон (включая случаи поломки и кражи телефона), абонент был вынужден говорить в офис оператора ради того, чтобы телефон перепрограммировали и его серийный часть внесли в базу данных оператора, что некоторые операторы делали платно.
      Бесспорно, сколько более удобна идентификация абонента, независимая через телефона. В стандарте GSM было предложено разделить идентификацию абонента (с помощью SIM-карты) и оборудования (чтобы этого используется IMEI — международный идентификатор мобильного оборудования).Основная функция SIM-карты — хранение идентификационной информации об аккаунте, который позволяет абоненту легко и оживленно менять сотовые аппараты, не меняя около этом свой аккаунт, а простой переставив свою SIM-карту в подобный телефон. Чтобы этого SIM-карта включает в себя микропроцессор с ПО и данные с ключами идентификации карты (IMSI, Ki и т. д.), записываемые в карту для этапе её производства, используемые для этапе идентификации карты (и абонента) сетью GSM.
      Также SIM-карта может сберегать дополнительную информацию, например: телефонную книжку абонента списки ходящих/исходящих/пропущенных телефонных звонков текст входящих/исходящих SMS. В современных телефонах чаще всего эти данные не записываются для SIM-карту, а хранятся в памяти телефона, поскольку SIM-карта имеет довольно жёсткие ограничения на формат и объём хранимых для ней данных. Сим-карта содержит микросхему памяти, поддерживающую шифрование. Существуют карты различных стандартов, с различным размером памяти и разной функциональностью. Обедать карты, для которые около производстве устанавливаются дополнительные приложения (апплеты), такие будто сим-меню, клиенты телебанка, и т. д.
      Для самой карте телефонный часть абонента (MSISDN) в явном виде не хранится, он присваивается сетевым оборудованием оператора быть регистрации сим-карты в путы для основании её IMSI. Сообразно стандарту быть регистрации одной SIM-карты в путы оператор может присвоить ей маломальски телефонных номеров. Все эта возможность требует соответствующей поддержки инфраструктурой оператора (и соответствующих затрат с его стороны), поэтому чаще всего не применяется.
      Около утрате сим-карты абонент вынужден поставить в знаменитый оператора, утерянная карта блокируется, и абоненту выдаётся новая карта (платно или даром, в зависимости через условий оператора). Часть телефона, баланс и все подключённые услуги присутствие этом остаются неизменными, однако совершенно абонентские данные, хранившиеся для SIM-карте, не подлежат восстановлению. Сим-карта устанавливается в SIM-держатель сотового телефона, кто в современных сотовых телефонах обычно располагается почти аккумуляторной батареей. Положение сим-держателя около аккумулятором не позволяет устанавливать/извлекать сим-карту около включённом питании телефона, потому который это может привести к повреждению карты. Четыре формата сим-карт: полноразмерная сим-карта (1FF), mini-SIM (2FF), micro-SIM (3FF) и nano-SIM (4FF). Mini-SIM и micro-SIM обычно поставляются в виде выламываемых частей полноразмерной сим-карты Мини-сим-карта с возможностью лёгкого преобразования её в микро-сим-карту. ICC-код затем выламывания остаётся на микро-сим-карте.
      SIM-карты в ход нескольких десятилетий малопомалу уменьшались в размерах, впрочем сохраняли функциональность и совместимость вне зависимости через формата. Изначально карты выпускались в полноразмерном формате, кроме в виде mini-SIMs. С середины 2000-х внедряются карты форматов micro-SIM. С начала 2010-х — nano-SIM. Урывками, положим в устройствах M2M, функции SIM-карт реализуются встроенной в осуществление микросхемой.
    • Dilyaako
      Уже почти месяц не заказывал рассылку по почте. Так получилось, что раз заказал, но не пошло дело. Потом оказалось ,что не у тех заказывал. В итоге, выбрал других ребят. Ребят из https://dashamail.ru/ . А тут уже пошло поехало, очень понравилось их отношение и работа в целом.
    • Dilyaako
      ребята, а где вы сервера для форекс арендуете?
      я вот присмотрел vps для форекс через компанию СистемХост, думаю, там арендовать. вроде, ценник получается вполне нормальный, тем более, характеристики на нормальном уровне. что скажете по этому поводу?
    • 1kryptik
      Необходим был обмен криптовалюты на рубли, обменял быстро на Ripae, рекомендую всем классный обменный пункт!
×