Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Вопрос к сисадминам.. 19.09.02 12:21
Автор: !mm <Ivan Ch.> Статус: Elderman
|
Есть ли у кого-то реально используемое руководство (приказы, установочные документы), которыми вы пользуетесь при настройке политик безопасности в сети? Можно в принципе и неиспользуемое :)
Интересует некакэто все настраивается, ачтонадо сделать. Т.е. точка зрения не админа, а руководителя, который в компьютерах на уровне "адванцед юзера".
Вроде понятно написал :)
|
|
Вставлю и свои пять... 19.09.02 22:31
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
Ну, приказ-то спустили. Насколько Advanced уровень у человека, который его составлял - понятно после прочтения документа... короче, моя жена (швея по образованию и призванию) - и то лучше бы справилась :))))
Суть там сводится к тому, что:
а) у каждого должен быть свой логин и пароль к нему.
б) я должен эти пароли раздавать и бумажки про это дело писать (бумажек будет поболе, чем толку от того пароля).
в) каждый юзер должен входить в сеть и в ПО только под своим логином и паролем ( а то что иногда на 5 юзеров - одна машина и входить каждые 10 минут под другим паролем не то что влом - просто нереально - никого не влонует).
г) (Самое главное) - я должен ножками бегать и проверять правомерность использования логинови паролей юзерами и принимать меры.
Вывод - да пошла она, эта инструкция!
На самом деле руководствуюсь только здравым смыслом и удобством работы (своей и юзеров). Мы работаем с фоксовскими таблицами. И если сильно юзеру будет надо - он эти таблицы домой на винте унесет и там ему на пароли все насрать будет!
Короче, имхо, такие инструкции должен разрабатывать либо сам сисадмин, либо такая инструкция в наших реалиях смысла и веса иметь не будет.
|
|
Вопрос к сисадминам.. 19.09.02 12:29
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Есть ли у кого-то реально используемое руководство
> (приказы, установочные документы), которыми вы пользуетесь
> при настройке политик безопасности в сети? Можно в принципе
> и неиспользуемое :)
> Интересует некакэто все настраивается, ачтонадо
> сделать. Т.е. точка зрения не админа, а руководителя,
> который в компьютерах на уровне "адванцед юзера".
Вообще-то, точка зрения, конечно у него, наверное есть... Но если он - "адванцед юзер", то такие документы составляет конечно же не он, а кто-нибудь другой, с соответсвующим уровнем.
> Вроде понятно написал :)
Может быть не совсем.
|
| |
Вопрос к сисадминам.. 19.09.02 14:38
Автор: babay <Andrey Babkin> Статус: Elderman
|
> > Есть ли у кого-то реально используемое руководство
> > (приказы, установочные документы), которыми вы
> пользуетесь
> > при настройке политик безопасности в сети? Можно в
> принципе
> > и неиспользуемое :)
> > Интересует некакэто все настраивается, ачто
> надо
> > сделать. Т.е. точка зрения не админа, а руководителя,
> > который в компьютерах на уровне "адванцед юзера".
Я сам эти документы писал, что а не руководитель, по этому точку зрения "адванцед юзер" предоставить не смогу.
А вопрос не совсем понятен, тебя какой тип документов конкретно интересует ? ограничения по паролям (длина, сложность), нахождение пароля на мониторе, лазание по парнухе в инете, разрешенные сетевые програмные продукты или еще что ?
|
| | |
2 babay 19.09.02 16:04
Автор: !mm <Ivan Ch.> Статус: Elderman
|
> Я сам эти документы писал, что а не руководитель, по этому
> точку зрения "адванцед юзер" предоставить не смогу.
Я не совсем верно выразился :)
Сейчас я тоже разрабаю подобный документ. Хотелось бы взгялнуть на чужие наработки.
> А вопрос не совсем понятен, тебя какой тип документов
> конкретно интересует ? ограничения по паролям (длина,
> сложность), нахождение пароля на мониторе, лазание по
> парнухе в инете, разрешенные сетевые програмные продукты
> или еще что ?
Любые. Все, что есть.
|
| | | |
2 babay 19.09.02 16:52
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Я не совсем верно выразился :)
> Сейчас я тоже разрабаю подобный документ. Хотелось бы
> взгялнуть на чужие наработки.
>
> > А вопрос не совсем понятен, тебя какой тип документов
> > конкретно интересует ? ограничения по паролям (длина,
> > сложность), нахождение пароля на мониторе, лазание по
> > парнухе в инете, разрешенные сетевые програмные
> продукты
> > или еще что ?
>
> Любые. Все, что есть.
Вобщем, если сеть большая, то как правило заказывается подобный документ у системного интегратора вместе с соответствующей документацией по самой сети.
Что касается паролей, то это не совсем документ, а циркуляр, ознакомился - подписал, а к нему правила изменения паролей ( количество знаков, спецсимволов, ограничение на использование старых паролей, срок действия пароля ), процедура смены пароля и краткое описание (памятка) по "созданию" нового пароля ( возьмите русское слово, переключитесь на англ. раскладку, замените одну из букв на заглавную, вместо одной из букв поставьте спецсимвол, , вместо другой - цифру, если вам надо записать получившееся - придумайте другое слово. )
так же указываются причины почему система не принимает новый пароль:
он ранее использовался, не отвечает требования, для смены необходим вход в систему, и т.д.
Что касается инета - посмотри ссылку, я с нее свой документ делал.
как шаблон для инета ( я сам многое брал оттуда)
|
| | | | |
2 babay 19.09.02 18:57
Автор: StR <Стас> Статус: Elderman
|
> Вобщем, если сеть большая, то как правило заказывается
> подобный документ у системного интегратора вместе с
> соответствующей документацией по самой сети.
Это если сможешь их уговорить тебе такую штуку подготовить ;)))
> Что касается инета - посмотри ссылку, я с нее свой документ
> делал.
Подобного добра могу на мыло накидать...
|
| | | | | |
2 StR 19.09.02 19:13
Автор: babay <Andrey Babkin> Статус: Elderman
|
Этот пост как я понял был адресован лично мне...
Я не просил персонально мне что-то кидать, или твой сабж 2 babay значит что-то ещё ?
> > Вобщем, если сеть большая, то как правило заказывается
> > подобный документ у системного интегратора вместе с
> > соответствующей документацией по самой сети.
> Это если сможешь их уговорить тебе такую штуку подготовить
> ;)))
Не надо уговаривать, надо указывать в договоре и оплачивать.
> > Что касается инета - посмотри ссылку, я с нее свой
> документ
> > делал.
> Подобного добра могу на мыло накидать...
Мне не надо, накидай подобного добра Imm0rtal, может ему нужно.
|
| | | | | | |
2 StR 19.09.02 19:17
Автор: StR <Стас> Статус: Elderman
|
> Этот пост как я понял был адресован лично мне...
> Я не просил персонально мне что-то кидать, или твой сабж
> 2 babay значит что-то ещё ?
Блин... тему было лень менять...
> Не надо уговаривать, надо указывать в договоре и
> оплачивать.
Ну да... если ты заключаешь договор на все сразу и оплачиваешь соответственно... Далеко не все могут себе позволить такую роскошь...
Несколько лет и кусочками...
|
| | | | | |
А что, больше ни у кого.. 19.09.02 19:06
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 19.09.02 19:07 Количество правок: 1
|
..политики безопасности определенной нету?
Все руководствуются только собственными представлениями об этом?
> > Вобщем, если сеть большая, то как правило заказывается
> > подобный документ у системного интегратора вместе с
> > соответствующей документацией по самой сети.
> Это если сможешь их уговорить тебе такую штуку подготовить
> ;)))
Это точно :)))
> > Что касается инета - посмотри ссылку, я с нее свой
2 babay: Спасибо.
> Подобного добра могу на мыло накидать...
А давай, если не сложно :) ivan@almet.eldorado.ru
|
| | | | | | |
А что, больше ни у кого.. 20.09.02 08:43
Автор: cybervlad <cybervlad> Статус: Elderman
|
> ..политики безопасности определенной нету?
Есть.
> Все руководствуются только собственными представлениями об
> этом?
Именно ими и руководствуемся.
Объясняю.
Мне очень непонятно желание многих сисадминов получить готовые инструкции. Порочная эта практика. Несмотря на то, что многие уважаемые конторы, занимающиеся консалтингом, продают комплекты типовых документов по инф. безопасности, это не выход. Каждая система уникальна и имеет свои особенности. Я пакет документов для своей конторы начал с "Концепции информационной безопасности", где определились общие подходы, модель нарушителя и т.п. После этого, в соответствии с ней, пошли более конкретные документы (по защите коммерческой тайны, работе с криптосредствами, парольной защите, антивирусной безопасности, использованию инф. ресурсов, доступу в интернет и т.п.). Потом служба асуизации (я исхожу из ситуации, когда в конторе есть вменяемое подразделение инф. безопасности, а эти функции не свешаны на сисадминов) пишет (если это еще не сделано) документы, регламентирующие порядок использования компов (типа, настройки менять нельзя, в корпуса лазить тоже, софт свой ставить нельзя, состав типовых наборов ПО - для начальника, для дилера, для бухгалтера и т.п.). Потом, при необходимости, пишутся профильные инструкции по обеспечению безопасности при работе с таким-то АРМом (системой) и т.д.
Если в конторе нет специалистов, которые в состоянии осуществить такой подход, нанимается внешняя контора, которая обследует систему и создает необходимую нормативку. Если есть желание, но просто нет знаний, можно поучиться (курсов - умотаться). Если некогда ездить - можно купить стандарт ISO17799 (кстати, на подходе российский аналог) и сделать все по нему (этот стандарт, по сути, пошаговое руководство по созданию системы информационной безопасности). Если ломает покупать стандарт на зарубежном языке, можно купить в фирме DominaSecurity (Илья Медведовский) учебный курс на CDROM (стоит баксов 50 - см. баннер на bugtraq.ru :)) где все рассказано по-русски.
Вобщем, надо строить это дело системно:
1. построить модель нарушителя
2. оценить угрозы
3. создать систему так, чтобы
- затраты нарушителя на преодоление защиты быле выше потенциальной выгоды от полученной информации;
- затраты владельца на защиту информации были ниже потенциальных потерь от ее кражы/уничтожения/модификации.
4. принцип построения - "запрещено все, что не разрешено явно"
Иерархию документов лучше использовать западную: политика-процедура-инструкция.
В политике описываются общие подходы к вопросу, процедура описывает процесс, а в инструкциях в импертивной форме излагаются требования к каждому участнику процесса. Советский подход положение-инструкция в этом плане менее удобен...
p.s. Рекомендую зайти также сюда:
http://dom.bankir.ru/showthread.php?s=&threadid=22660
Банкир.Ру / Форум / Положение об информационной системе банка
|
| | | | | | | |
Спасибо 20.09.02 20:26
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
|
| | | | | | | |
Спасибо.. 20.09.02 09:37
Автор: !mm <Ivan Ch.> Статус: Elderman
|
|
Довольно много новой и интересной (для меня) информации :)
|
| | | | | | |
Я вижу это вот как... 19.09.02 19:27
Автор: babay <Andrey Babkin> Статус: Elderman
|
> ..политики безопасности определенной нету?
> Все руководствуются только собственными представлениями об
> этом?
Да, насколько я знаю, нет единых стандартов, которые применялись бы как начальный шаблон. Во первых это настолько гибкая вещь, что шаблоны для нее как попу гармонь. Да и ещё, скорее всего тут не последнюю роль играет систематизированный подход к построению корпоративной платформы ( не зависимо от размера организации ) , просто у нас как правило всё делается так,
начальник :
хочу эл. почту с шифрованием.
админ: сделаем !
А про то, что дела рано или поздно надо будет передавать или про то что сделанная работа должна быть задокументирована у нас задумываются в редких случаях.
Да и не каждый мастер описалово сочинять, а методиста хорошего пойди поищи... :-( , этож очень ценный кадр, он и юзер во всех проявлениях и программер, иначе ему просто не понять как и для чего всё это сделано.
> 2 babay: Спасибо.
Пожалуйста. :-)
|
| | | | | | |
А что, больше ни у кого.. 19.09.02 19:13
Автор: StR <Стас> Статус: Elderman
|
> ..политики безопасности определенной нету?
> Все руководствуются только собственными представлениями об
> этом?
А как еще?? Или рожаешь сам, или тебе спускает вышестоящая организация...
хмм... двусмысленно получилось... ;)))
> А давай, если не сложно :) ivan@almet.eldorado.ru
постараюсь завтра... я неделю в отпуске...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
