Документ: политика информационной безопасности Компании

GebeusRaider,

у меня нет, но скоро будет. Специально заказан профессионалам

 

У нас есть договор о конфиденциальности и неразглашении информации.

 

А как же?

 

Конечно. При приеме на работу подписываешь документ о неразглашении служебной информации, плюс там всякие пункты о том. что на работе надо работать, а не своим делами заниматься. То же самое имеется и в договоре и в должностных интсрукциях.

сколько бы не работало. Никому не интересно, чтобы коммерческая информация стала достоянием конкурентов или контроллирующих органов.

 

Есть. Все сотрудники, кроме уборщицы, имеют доступ к конфидициальной информации. Нарушителей жестоко увольняют.

 

Зря вы так.

 

Юридически это несколько неграмотно. Есть действующий фед.закон о защите конфиденциальной информации, там боль/мень прописано, "что есть" конфиденциалка и что можно, что нельзя запрещать персоналу. Т.е. легче (и безболезненнее) оттолкнуться в приказах и должностных инстр. от этого закона. Ну и заложить мероприятия - организационные и технические по защите информации.
Людям будет легче работать, когда всё внятно прописано, организовано и доведено до сведения. В противном случае виновник реальной утечки может легко и безболезненно закосить под "незнайку" и/или "случайность".

 

кто же эти профи? фсбшники? сам лучше сделаешь. не сочтите за лесть

 

Aurora Borealis,

человек реально занимающийся этим вопросом в крупной компании. Сам я могу и полы в офисе, лучше чем уборщица, вымыть, но в силу определенных обстоятельств этого не делаю.

 

сие, браза, зависет от масштабов конторы, масштабов секретности и масштабов жадности руководства, универсальной формулы немае

 

У меня есть разработанное Положение об информационной безопасности. Делала для одной фирмы как раз после принятия нового ФЗ "О коммерческой тайне".

 

По-моему это слишком узкая специализация. И просто громкие красивые слава "политика инф-й безопасности", специалист по ентой политике. СИО и грамотный сисадмин такую штуку за 2 часа для своего предприятия сделают, ну максимум за день, если уровней и объектов доступа много.
Вернее политика эта вполне имеет право на существование, но, то про что ты написал, да и вообще всё связанное с компами и ИТ - это едва ли 10 % такой политики. А 90 % - работа с кадрами.

 

Ой явно ничего подобного вы не делали и вероятно в глаза не видели. А если и делали, то за два часа на коленке.

Скажем так 10% меры технического характера и 90% меры организационного характера. А насчет с компами связано так почти 90% там будет с ними связано. Даже проходная и видеонаблюдение сейчас с ними связано.

 

GebeusRaider, jek, братцы, тут разные прочтения понятия ИБ. Очень часто админы именно так, узко-специально понимают этот термин. "..включая настройки домена (Active Directory), группы пользователей, локальные политики безопасности.." - это идет сто тыщь мильённым пунктом (и в целом подразумевается что это есть де-факто и грамотно настроено). К примеру, в банках, при подключении с системе платежей SWIFT - проверка оборудования и софта идет в самом конце списка требований.
Только что пережил проверку комиссией, проверяли именно защищенность "обьекта информатизации и ЭВТ", как сетей в целом, так и рабочих мест. Гемор тот еще...
Всё начинается с бумажек и организационных мер:
-Положение об Информационной безопасности предприятия. Сотрудникам в должностные забивается соответствующий пункт.
-Инструкция по работе в локалке, инст по работе с Тырнет, инстр по работе с эл.почтой, инстр по использов., передаче / вносу / выносу / хранению эл.носителей.
-Инстр по срокам и порядку бэкапа - раздельно по базам, файлообменникам, почте, сервера/серверов в целом.
-Инстр о классификации и разделении мест хранения инфы (на локальной тачке или на серве).
-Приказ о назначении "ответственных за ИБ" по отделам/службам.
-Ведение паспорта раб.станции (на каждую тачку) с журналом аварий/ремонтов/замен.
-Приказ о допуске лиц/должностей к ЛВС с указанием пределов компетенции/прав и порядка обмена данными, допуск к выделенным БД и архивам. Вот тут уже нужны умения админа - спланировать удобную и надежную сетку и доступы, чтобы юзвери с одной стороны не парились с Access Denied и с другой не зафигачили свои данные в годовой отчет акционерам.
Про аттестацию "для обработки сведений содержащих..." уже молчу, там свои прэлести. Вся эта ботва доводится под роспись до сведения жертв. Такие дела...

 

Jazzer Ты читал что я писал. Естественно настройка политики на компе это копейки. 90% организационных мер. Кстати начали вы не с того, либо ты не написал. Начинать нужно с идентификации и классификации информации и видов угроз, а потом из этого вытекает все что ты написал, по сути верно. Но это делают дай бог 0,5 процента пишущих данный документ. Увы.
Кстати технические меры от организационных неотделимы, и наоборот.

 

Ясен перец. За 2 часа на коленке 50 листов не напишешь, хоть ты лопни

Jazzer,
Ой. пАльцы гнуть не нужно пожалуйста. все что написано имеет к политикам ИБ ровно такое же отношение как теплота поданного в кафе чая к настроению уборщицы этого же кафе. т.е. да, какое-то имеет, но это совсем не то.
не путайте политику и реализацию политики. единственный документ который может называться политикой - это СТР. я не имею ввиду, разумеется, политики принятые в отдельных компаниях.

 

Это да, основа основ. Не упомянул, посчитал, что само собой разумеется. Так сказать "предмет беседы"...
Тут правда скользкий момент пристегивается, придется определить класс защиты объекта, самостоятельно это не сделаешь - надо аттестовать. А это деньги и немалые...

 

Caps, Почему-то мне кажется, что Вы и за 222 часа не напишете корректной документации по этому вопросу. Т.к. Вы не понимаете, что политику и реализацию оной спутать невозможно, это единое целое и рассмотрение в разыве, бессмысленно по сути темы. Пожалуйста, обратите больше внимания на правильность терминологии и точное понимание Вами.

 

я пожалуй отойду в сторону. тема скользкая.
наводящий вопрос, вот СТР это политика, или ее реализация?