1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Документ: политика информационной безопасности Компании

Тема в разделе "Деловые вопросы", создана пользователем GebeusRaider, 25.05.06.

Есть ли у вас на предприятии документ регламентирующий информационную безопасность?

  1. Да

    8 голосов
    61,5%
  2. Нет

    5 голосов
    38,5%
  1. GebeusRaider

    GebeusRaider Активный участник

    720
    0
    Вот интересно: у вас на предприятии, где вы работаете есть такой документ? Еще интересено сколько при этом (ориентировочно) людей работает? и есть ли ИТ отдел? Спасибо.
     
  2. PenisEnlarger

    PenisEnlarger Активный участник

    19.323
    0
    GebeusRaider,

    у меня нет, но скоро будет. Специально заказан профессионалам
     
  3. Zazell

    Zazell Активная

    25.605
    14
    У нас есть договор о конфиденциальности и неразглашении информации.
     
  4. Bob

    Bob Активный

    21.800
    0
    А как же?
     
  5. Залетный гость

    Залетный гость Активный

    21.557
    7
    Конечно. При приеме на работу подписываешь документ о неразглашении служебной информации, плюс там всякие пункты о том. что на работе надо работать, а не своим делами заниматься. То же самое имеется и в договоре и в должностных интсрукциях.
    сколько бы не работало. Никому не интересно, чтобы коммерческая информация стала достоянием конкурентов или контроллирующих органов.
     
  6. Jasminka

    Jasminka Активный участник

    917
    0
    Есть. Все сотрудники, кроме уборщицы, имеют доступ к конфидициальной информации. Нарушителей жестоко увольняют.
     
  7. undry

    undry Активный участник

    759
    3

    Зря вы так.
     
  8. Jazzer

    Jazzer Активный участник

    2.683
    10
    Юридически это несколько неграмотно. Есть действующий фед.закон о защите конфиденциальной информации, там боль/мень прописано, "что есть" конфиденциалка и что можно, что нельзя запрещать персоналу. Т.е. легче (и безболезненнее) оттолкнуться в приказах и должностных инстр. от этого закона. Ну и заложить мероприятия - организационные и технические по защите информации.
    Людям будет легче работать, когда всё внятно прописано, организовано и доведено до сведения. В противном случае виновник реальной утечки может легко и безболезненно закосить под "незнайку" и/или "случайность".
     
  9. Aurora Borealis

    Aurora Borealis Активный участник

    1.177
    0
    кто же эти профи? фсбшники? сам лучше сделаешь. не сочтите за лесть:)
     
  10. PenisEnlarger

    PenisEnlarger Активный участник

    19.323
    0
    Aurora Borealis,

    человек реально занимающийся этим вопросом в крупной компании. Сам я могу и полы в офисе, лучше чем уборщица, вымыть, но в силу определенных обстоятельств этого не делаю.
     
  11. banker

    banker Участник

    240
    0

    сие, браза, зависет от масштабов конторы, масштабов секретности и масштабов жадности руководства, универсальной формулы немае
     
  12. василиса

    василиса Активный участник

    6.962
    0
    У меня есть разработанное Положение об информационной безопасности. Делала для одной фирмы как раз после принятия нового ФЗ "О коммерческой тайне".
     
  13. GebeusRaider

    GebeusRaider Активный участник

    720
    0
    спасибо за обсуждение. Вот интересно: если я хочу разработать политику информационной безопасности конторы, включая настройки домена (Active Directory), группы пользователей, локальные политики безопасности (типа тз на ИБ): к кому мне обратиться? Если специалисты в этой области в Волгограде?
     
  14. Welcome

    Welcome Читатель

    5.409
    0
    По-моему это слишком узкая специализация. И просто громкие красивые слава "политика инф-й безопасности", специалист по ентой политике. СИО и грамотный сисадмин такую штуку за 2 часа для своего предприятия сделают, ну максимум за день, если уровней и объектов доступа много.
    Вернее политика эта вполне имеет право на существование, но, то про что ты написал, да и вообще всё связанное с компами и ИТ - это едва ли 10 % такой политики. А 90 % - работа с кадрами.
     
  15. jek

    jek Активный участник

    5.732
    0
    Ой явно ничего подобного вы не делали и вероятно в глаза не видели. А если и делали, то за два часа на коленке.
    Скажем так 10% меры технического характера и 90% меры организационного характера. А насчет с компами связано так почти 90% там будет с ними связано. Даже проходная и видеонаблюдение сейчас с ними связано.
     
  16. Jazzer

    Jazzer Активный участник

    2.683
    10
    GebeusRaider, jek, братцы, тут разные прочтения понятия ИБ. Очень часто админы именно так, узко-специально понимают этот термин. "..включая настройки домена (Active Directory), группы пользователей, локальные политики безопасности.." - это идет сто тыщь мильённым пунктом (и в целом подразумевается что это есть де-факто и грамотно настроено). К примеру, в банках, при подключении с системе платежей SWIFT - проверка оборудования и софта идет в самом конце списка требований.
    Только что пережил проверку комиссией, проверяли именно защищенность "обьекта информатизации и ЭВТ", как сетей в целом, так и рабочих мест. Гемор тот еще...
    Всё начинается с бумажек и организационных мер:
    -Положение об Информационной безопасности предприятия. Сотрудникам в должностные забивается соответствующий пункт.
    -Инструкция по работе в локалке, инст по работе с Тырнет, инстр по работе с эл.почтой, инстр по использов., передаче / вносу / выносу / хранению эл.носителей.
    -Инстр по срокам и порядку бэкапа - раздельно по базам, файлообменникам, почте, сервера/серверов в целом.
    -Инстр о классификации и разделении мест хранения инфы (на локальной тачке или на серве).
    -Приказ о назначении "ответственных за ИБ" по отделам/службам.
    -Ведение паспорта раб.станции (на каждую тачку) с журналом аварий/ремонтов/замен.
    -Приказ о допуске лиц/должностей к ЛВС с указанием пределов компетенции/прав и порядка обмена данными, допуск к выделенным БД и архивам. Вот тут уже нужны умения админа - спланировать удобную и надежную сетку и доступы, чтобы юзвери с одной стороны не парились с Access Denied и с другой не зафигачили свои данные в годовой отчет акционерам.
    Про аттестацию "для обработки сведений содержащих..." уже молчу, там свои прэлести. Вся эта ботва доводится под роспись до сведения жертв. Такие дела...
     
  17. jek

    jek Активный участник

    5.732
    0
    Jazzer Ты читал что я писал. Естественно настройка политики на компе это копейки. 90% организационных мер. Кстати начали вы не с того, либо ты не написал. Начинать нужно с идентификации и классификации информации и видов угроз, а потом из этого вытекает все что ты написал, по сути верно. Но это делают дай бог 0,5 процента пишущих данный документ. Увы.
    Кстати технические меры от организационных неотделимы, и наоборот.
     
  18. Caps

    Caps Активный участник

    4.367
    21
    Ясен перец. За 2 часа на коленке 50 листов не напишешь, хоть ты лопни :)

    Jazzer,
    Ой. пАльцы гнуть не нужно пожалуйста. все что написано имеет к политикам ИБ ровно такое же отношение как теплота поданного в кафе чая к настроению уборщицы этого же кафе. т.е. да, какое-то имеет, но это совсем не то.
    не путайте политику и реализацию политики. единственный документ который может называться политикой - это СТР. я не имею ввиду, разумеется, политики принятые в отдельных компаниях.
     
    Последнее редактирование: 02.06.06
  19. Jazzer

    Jazzer Активный участник

    2.683
    10
    Это да, основа основ. Не упомянул, посчитал, что само собой разумеется. Так сказать "предмет беседы"...
    Тут правда скользкий момент пристегивается, придется определить класс защиты объекта, самостоятельно это не сделаешь - надо аттестовать. А это деньги и немалые...
     
  20. Jazzer

    Jazzer Активный участник

    2.683
    10
    Caps, Почему-то мне кажется, что Вы и за 222 часа не напишете корректной документации по этому вопросу. Т.к. Вы не понимаете, что политику и реализацию оной спутать невозможно, это единое целое и рассмотрение в разыве, бессмысленно по сути темы. Пожалуйста, обратите больше внимания на правильность терминологии и точное понимание Вами.
     
  21. Caps

    Caps Активный участник

    4.367
    21
    :d я пожалуй отойду в сторону. тема скользкая.
    наводящий вопрос, вот СТР это политика, или ее реализация?