03.09.2019
34
- Руководство По Информационной Безопасности Предприятия
- Инструкция По Информационной Безопасности Предприятия
Инструкция по организации парольной защиты. Инструкция по эксплуатации компьютеров и работе в информационной сети. Инструкция управления паролями. Концепция безопасности. Концепция обеспечения информационной безопасности. Концепция обеспечения информационной безопасности предприятия. Концепция создания и функционирования системы антивирусной защиты. Методические указания по контролю за рисками, связанными с Интернет-банкингом.
Документация (приказы, инструкции) в ИТ-отделах - 1:: В помощь системному администратору:: Компьютерный форум Ru.Board » » » Документация (приказы, инструкции) в ИТ-отделах Модерирует:, Страницы: 1 Silver Member Предлагаю здесь размешать проекты приказов, инструкции и приложения, которые используются в ваших ИТ-отделах. И само собой обсуждать их. Принимаются предложения по именованию темы. Вот мой рубль: Цитата: Приказ № (проект) О реструктуризации системы информационной безопасности В целях обеспечения конфиденциальности коммерческой, финансовой и технической информации Предприятия, для упорядочивания рабочего времени сотрудников и увеличения отказоустойчивости и эффективности работы всех технических и информационных систем Предприятия, ПРИКАЗЫВАЮ: 1.
Произвести инвентаризацию всех имеющихся информационных активов Предприятия, классифицировать информационные активы по степени важности, определить группы пользователей корпоративной сети, имеющие доступ к каждому конкретному классу информационных активов, явно определить способы доступа пользователей к информации (просмотр, изменение, удаление). Исключить хранение служебной информации на локальных устройствах хранения информации клиентских компьютеров, всю необходимую информацию хранить на специально выделенных для этого разделах файловых серверов. Организовать ежедневное резервное копирование служебной информации в соответствии с утвержденной схемой.
Регламентировать доступ отдельных пользователей и групп пользователей к внешним по отношению к корпоративной сети ресурсам исключительно непосредственной служебной необходимостью. Минимизировать внешний по отношению к корпоративной сети трафик. Предоставлять доступ в Интернет только по письменной заявке руководителя подразделения (направления).
Подачу заявки осуществлять согласно Приложению 1 к данному Приказу. Не допускать использования внешних аппаратных устройств хранения информации (дискет, CD и DVD RW, USB-накопителей и аналогичных устройств), иначе как по представленной в ОИТ заявке руководителя подразделения с подробным техническим обоснованием необходимости использования. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
Регламентировать установку и использование средств электронных коммуникаций (электронных почтовых ящиков, систем мгновенного обмена сообщениями). Не допускать использование на рабочих местах корпоративной сети почтовых ящиков, находящихся на бесплатных почтовых серверах, а также почтовых ящиков, не обслуживаемых почтовыми серверами Предприятия. Предусматривать установку и использование средств электронных коммуникаций только по письменной заявке руководителя подразделения, в котором будет использованы данные средства. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу. Регулярно контролировать объем внешнего трафика, потребляемый каждым сетевым устройством (персональными компьютерами, коммутаторами, серверами и аналогичным оборудованием). При выявлении фактов нецелевого использования доступа к внешним ресурсам осуществлять блокирование объекта, потребляющего трафик, и силами ОИТ проводить служебное расследование по фактам такого использования.
Взаимодействие серверов и пользовательских компьютеров с внешними по отношению к корпоративной сети Предприятия ресурсами осуществлять только через сконфигурированные специальным образом программно-аппаратные шлюзы. Производить анализ проходящего трафика на корректность и наличие злонамеренного программного обеспечения.
Для осуществления сетевого управления, хранения данных, работы со служебной информацией, удаленного администрирования пользователей, при равных функциональных возможностях рекомендовать к использованию преимущественно программное обеспечение с открытым кодом, распространяющееся по лицензиям GPL, либо программные продукты распространяющиеся бесплатно. Произвести аудит имеющегося программного обеспечения на предмет наличия необходимого количества лицензий. На рабочих местах пользователей технически обеспечить возможность выполнения только безусловно необходимых для повседневной работы программ, выполнение остальных программ запретить. Предоставить начальникам отделов и руководителям подразделений (направлений) право изменять списки используемых программ по согласованию с ОИТ. Осуществлять постоянную антивирусную проверку программного обеспечения, установленного на клиентских компьютерах, серверах и маршрутизаторах, своевременно обновлять базы вирусных сигнатур.
В случае обнаружения вирусных программ на каких-либо объектах локальной вычислительной сети действовать в соответствии с политикой информационной безопасности. При разработке собственного программного обеспечения силами соответствующих отделов Предприятия предусматривать обязательную персонифицированную аутентификацию пользователей перед использованием программ, а также подробное протоколирование действий пользователя. Совместно с отделом кадров Предприятия разработать систему контроля приема на работу и увольнения сотрудников для своевременного создания и удаления данных для аутентификации и авторизации пользователя в технических и информационных системах Предприятия.
В обязательном порядке довести под роспись до всех сотрудников Предприятия, включая руководителей направлений всех рангов и исключая высшее руководство, должностную инструкцию по использованию информационных и технических систем Предприятия согласно Приложению 2 к данному Приказу. При обнаружении невыполнения сотрудниками Предприятия требований немедленно выполнять отключение персонального компьютера от корпоративной сети и ставить в известность непосредственное руководство данного сотрудника.
На основе данного приказа разработать политику информационной безопасности предприятия, руководствуясь существующими отраслевыми стандартами (ISO 17799). Разработку политики информационной безопасности возложить на администратора по информационной безопасности. Администратору по информационной безопасности не реже одного раза в квартал представлять высшему руководству отчет о состоянии информационной безопасности сетей и систем Предприятия. В случае возникновения связанных с информационной безопасностью инцидентов глобального характера обязать персонал ОИТ незамедлительно ставить высшее руководство в известность о данных инцидентах. Предыдущую редакцию Приказа считать утратившей силу. Цитата: Приложение №2 к Приказу № Должностная инструкция по использованию технических и информационных систем Предприятия Как сотрудник Предприятия, использующий персональный компьютер, информационные и технические системы Предприятия в процессе работы, я, , ознакомлен(а) с порядком использования информационных и технических систем Предприятия и, за исключением случаев, когда есть вероятность причинения вреда здоровью сотрудников или порчи оборудования, обязуюсь соблюдать следующие правила: 1. Доступ в глобальную сеть Интернет, к почтовым, файловым и иным серверам и службам, к любым внешним и внутренним ресурсам организации для всех пользователей информационных систем и сетей Предприятия запрещен за исключением случаев, вызванных служебной необходимостью, по согласованию с руководителем подразделения (направления) и в соответствии с утвержденным списком.
Использование электронных почтовых ящиков, находящихся на бесплатных почтовых серверах или на коммерческих почтовых серверах, не принадлежащих Предприятию, запрещено. Использование служебных почтовых ящиков, находящихся на почтовых серверах Предприятия, предусмотрено при наличии служебной необходимости. Самостоятельная установка, копирование, распространение и запуск любого программного обеспечения, кроме уже установленного на персональных компьютерах, запрещена.
Самостоятельная установка какого-либо аппаратного обеспечения (плат расширения, дополнительных модулей, дисководов, картриджей и т.п.) в персональные компьютеры, оргтехнику и иные устройства запрещена. Самостоятельное подключение к персональным компьютерам каких-либо внешних устройств (сотовых и мобильных телефонов, цифровых фотоаппаратов, адаптеров беспроводной связи и иных), запрещено. Самостоятельное перемещение и вскрытие персональных компьютеров, оргтехники и иных аппаратных устройств запрещено.
Удаление пломб и инвентарных номеров с персональных компьютеров, оргтехники и иных аппаратных устройств запрещено. Пароли доступа к персональному компьютеру, к электронным почтовым ящикам, к биллинговым, расчетным и торговым программам, к бухгалтерским системам и к любым другим прикладным программам и файлам являются личным идентификатором пользователя в соответствующих информационных подсистемах, и не подлежат разглашению кому бы то ни было, за исключением сотрудников ОИТ и руководителей подразделений. Запись паролей на общедоступных носителях (приклеенных к монитору листах бумаги и т.п.) запрещена. Использование паролей других пользователей для доступа к информационным ресурсам категорически запрещено. В случае утраты пароля пользователь должен поставить в известность сотрудников ОИТ и обратиться к своему непосредственному руководителю.
Использование любых внешних и дополнительных внутренних накопителей (дискеты, электронные, оптические и магнитооптические диски), а также модемов и других устройств дистанционной связи, за исключением специально оговоренных случаев, запрещено. Хранение на служебных информационных носителях (накопителях на жестких магнитных дисках, встроенных в персональный компьютер, дискетах, носителях CD/DVD-R/RW) личной информации, а также информации, не имеющей отношения к производственной деятельности (музыкальные файлы, фоновые изображения и прочее), запрещено. Вся служебная информация должна храниться на выделенных для этого разделах файловых серверов. Любые виды доступа, включая доступ в Интернет и к любым внешним и внутренним информационным ресурсам, предоставляются по письменной заявке, направляемой руководителем подразделения (направления) в ОИТ.
Каждый пользователь информационной системы Предприятия несет личную ответственность за соблюдение данных правил и требований. Руководители подразделений (направлений), кроме того, несут ответственность за соблюдение своими сотрудниками данных правил и требований. Несоблюдение данных правил и требований влечет за собой меры административного воздействия вплоть до увольнения. Технический смысл всех вышеперечисленных правил мне разъяснен. Возражений не имею.
(число) (подпись) Всего записей: 3759 Зарегистр. Исправлено:, 16:31 Advanced Member это ваш новый регламент?
Всего записей: 901 Зарегистр. Silver Member begem0t Да, на прошлой недели подписало руководство. Если не получается с первого раза - прочти инструкцию. (с) 'Откуда нам знать, что такое война, если мы не знаем мира.'
(с) Всего записей: 3759 Зарегистр. Junior FreemanRU У меня таких приказов туча + мелкий тазик Даже если брать основные. Одних только заявок на подключение к ОД и изменению прав доступа и меню 5 штук. Еще на инет + эл.
Почта, на подключение к сети и шары. Слишком много инфы, которая по сути никому кроме нас и не нужна, даже как 'рыба'. Все страньше и страньше. Всего записей: 1040 Зарегистр.
Silver Member mmt Просто очень многие просили делиться такой вот инфой (н-р Так что ты пожалуй тоже выложи, если тебе не сложно. Тока вопрос - в more заключать или не надо? - Если не получается с первого раза - прочти инструкцию. (с) 'Откуда нам знать, что такое война, если мы не знаем мира.'
(с) Всего записей: 3759 Зарегистр. Advanced Member Цитата: Тока вопрос - в more заключать или не надо? Чтото вопрос не ясен.
Что за more и кого ты туда хочешь заключать? Всего записей: 901 Зарегистр. Silver Member begem0t - Если не получается с первого раза - прочти инструкцию. (с) 'Откуда нам знать, что такое война, если мы не знаем мира.' (с) Всего записей: 3759 Зарегистр. Junior FreemanRU Цитата: ак что ты пожалуй тоже выложи, если тебе не сложно. Мне не сложно, но инфы море и многое достаточно специфично Лучше конкретизировать.
Все страньше и страньше. Всего записей: 1040 Зарегистр. Junior Member ребята!
Очень срочно нужна ваша помощь!!! Начальство насело с требование предоставить регламенты по следующим темам:.
Создание сетевого акаунта. Удаление сетевого акаунта. Архивация данных. Резервное копирование данных. Восстановление данных из резервной копии. Антивирусная проверка.
Работа с почтовой программой. Назначение прав доступа к сетевым дискам.
Руководство По Информационной Безопасности Предприятия
Регламент на проведение сетевого кабеля к рабочему месту. На модернизацию рабочего места (установка дополнительного или замена устаревшего железа). На установку дополнительного программного обеспечения не входящего в стандартный комплект. На установку операционной системы и программного обеспечения на рабочие места. Где их брать и как писать ума не приложу.
Может у вас есть такие регламенты??? Подкиньте плиз!!! Очень срочно. Всего записей: 172 Зарегистр. Member northcrow не смотрел?
Всего записей: 348 Зарегистр. Junior Member nickloayev Цитата: тут не смотрел?
Есть похожие темы, но там много переделывать нужно вот если найти готовые документы, чтобы просто изменить название конторы и все. Или я слишком много хочу???
Всего записей: 172 Зарегистр. Member FreemanRU Очень надо, скинь приложение 1, плиз.
To All Если есть у кого ISO поделитесь? Говорят даже на русском где-то ходит, хотя редкость небывалая. Всего записей: 207 Зарегистр. Newbie Очччень полезная ссылка на различные шаблоны документов: Всего записей: 12 Зарегистр. Silver Member от levkadub В архиве: Инструкция пользователя (с приказом) Опросная форма на подключение к ресурсам ЛВС Опросная форма после подключения к ресурсам ЛВС Правила использования информационных ресурсов ЛВС Предоставление доступа к инф.ресурсам (Регламент) - Если не получается с первого раза - прочти инструкцию.
(с) 'Откуда нам знать, что такое война, если мы не знаем мира.' (с) Всего записей: 3759 Зарегистр. Member Нужно разработать соглашение для работников предприятия, приблизительного такого плана (кусок взят с networkdoc.ru и добавлено от себя): Цитата: 1.2 Все документы, создаваемые или хранимые на компьютерах предприятия, являются собственностью предприятия. 1.2.1 Предприятие оставляет за собой право осуществлять наблюдение за электронными документами сотрудников. Документы, хранящиеся на рабочих станциях пользователей, могут быть просмотрены без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя. 1.2.2 Личные данные работника могут использоваться на предприятии. Кто-нибудь может помочь?
Всего записей: 207 Зарегистр. Advanced Member Англоязычные ресурсы по теме Очень полезный ресурс. The SANS Security Policy Project, содержит большой репозитарий готовых политик безопасности на разные случаи жизни, распространяемых бесплатно.
Также здесь можно найти интересные ссылки на ресурсы, посвященные разработке политик безопасности. The Computer Security Policies Group (UK), предоставляет всем желающим возможность скачать со своего сайта тестовую версию политик безопасности вместе с инструментарием для их внедрения.
Всего записей: 828 Зарегистр. Исправлено:, 05:31 Member Подходящего не нашел.
А нужно: регламент работы на сервере с личной (конфиденциальной, корпоративной) информацией, которая подлежит уничтожению в случае проверки третьими лицами (МВД и проч.). Всего записей: 328 Зарегистр. Advanced Member Еще ссылок по теме (все англоязычные, уж простите): Добавлено: Может кто знает как можно достать следующее: Весь Интернет обрыл безрезультатно. Всего записей: 828 Зарегистр. Advanced Member Помогите найти образец Регламента обновлений и исправлений сетеобразующего оборудования.
В свою очередь могу предоставить: - Регламент предоставления доступа в сеть интернет - Регламент подключения и использования мобильных устройств Всего записей: 969 Зарегистр. Newbie FreemanRU Если не трудно скиньте Приложение №1 Всего записей: 2 Зарегистр. Страницы: 1 » » » Документация (приказы, инструкции) в ИТ-отделах Имя: Пароль: Сообщение Для вставки имени, кликните на нем. Опции сообщения Добавить свою подпись Подписаться на получение ответов по e-mail Добавить тему в Разрешить Запретить.
Концепция безопасности предприятия создается после осмотра компонентов информационной системы предприятия. Каждая концепция составляется относительно взглядов, идей, установок, основой задачей и тд.
Существуют требования:. Вписываемость. Это модификация объектов системы под ограничения концепции. Конструктивность:. начальное состояние объекта, на изменение которого создается концепция;. состояние объекта в результате реализации готовой концепции;. методы и меры которые необходимы для реализации цели и концепции;.
Инструкция По Информационной Безопасности Предприятия
источники ресурсов, которые нужны для существования концепции;. Открытость. Каждая концепция должна уметь реагировать на модификации условий внешних или внутренних, что разрешит вносить поправки для оптимальной работы. Следуя вышеуказанным аспектам, нужно рассмотреть логические условия для создания концепции:.
Конкретная постановка задачи при создании и эксплуатации концепции. Выявления объекта и предмета, определение их сущности и места среди других таких же. Обозначить критерии оптимальной реализации концепции, и пути ее реализации. Определить условия или рамки при создании концепции. Концепция безопасности предприятия являет собой документ, где изложены правила относительно системы, ее условий и требований к организационным средствам защиты собственности организации и персонала.
Шаблон структуру концепции показан ниже:. Осмотр проблемной ситуации в сфере безопасности организации.
Негативные последствия угроз для организации. Осмотр объекта и предмета для безопасности предприятия. Механизмы поддержания безопасности.
Реализация политики безопасности предприятия и стратегии безопасности. Обозначения объекта и предмета на предприятии для реализации безопасности. Принципы реализации безопасности.
Цели и задачи,рамки для безопасности. Мероприятия по созданию мер безопасности. Обозначение субъектов безопасности и их роли. Расчет средств и определениеметодов защиты. Оценка и контроль процесса реализации концепции. Как и всякий товар, информация имеет потребителей которые нуждаются в ней. Следуя также имеет производителей и обладателей.
Со стороны обладателя — сохранение конфиденциальной информации разрешает успешно держатся на рынке среди конкурентов. Со стороны потребителя, информация дает получить моральный или экономический эффект. Анализируя дела в области защиты информации, можно выразить следующую концепцию системы защиты:. Серьезный набор технических средств защиты информации. Наличие множество фирм, которые специализируются на решении вопросов в этой области. Наличие практического опыта.
Четко обозначена система взглядов на имеющиеся проблемы. Замечено достаточно сильную тенденцию роста НСД к информации. Для борьбы с такой тенденцией нужно целенаправленная организация алгоритма защиты информационных ресурсов. Опыт времени также подсказывает,. Реализация безопасности не может быть одноразовым действием. Это непрерывный процесс, который заключается в совершенствования системы защиты, все непрерывные процессы для улучшения защиты.
Безопасность информации может быть эффективно реализована если использовать всесторонние средства во всех направлениях одновременно (комплекс). Любая СЗИ не реализует защиту нужного уровня без подготовки персонала. (Это показано на рис.1) Рисунок — 1 С точки зрения системной реализации защиты информации, она она должна быть:. Плановой — должен быть путь разработки и поддержания системы систематическим или планированным с учетом всех тенденций развития как самого предприятия так и методов влияния. Непрерывной — Защита должна быть постоянной, ибо злоумышленники только и ждут что бы обойти защиту. Целенаправленной — нужно выставлять приоритеты и соответственно защищаться.
Надежной — должны быть достаточными и надежными. Конкретной — объекты защиты должны быть конкретно определенны, для ее полной защиты. Универсальной — система должна быть универсальной от любого вида утечек. Комплексной — должна учитывать все тенденции.
Также есть определенные требования, которые должна учитывать концепция информационной безопасности. Эти требования это наличие собственного обеспечение, на которое опирается целевая функция безопасности:. Правовое обеспечение — это нормативные положения, документы или требования которые есть обязательные к исполнению. Аппаратное обеспечение — использования набора технических средств для обеспечения работы СЗИ. Организационной обеспечение — определенные структурные элементы системы должны быть такие как, служба режима, служба ЗИ, служба допуска охраны, информационно-аналитическая служба и тд. Информационное обеспечение — это данные, сведения, показатели которые лежат в основе решения задач. Математическое обеспечение — реализация математических средств для расчета разных оценок опасности.
Программное обеспечение — наличие разных расчетных и статистических программ, которые реализуют оценки наличия каналов и их риски. Нормативно-методическое обеспечение — относится к наличии средств и органов деятельности которые поддерживают деятельность сотрудников в жестких рамках требований защиты информации. Концептуальная модель информационной безопасности Практика показывает, что для осмотра значительного списка источников, действий и объектов лучше использовать методы моделирования, которые моделируют реальную ситуацию. Модель должна быть общей что бы описывать реальные действия с учетом их особенностей. Концептуальные модели могут быть:. Угрозы. Объекты угроз.
Цели угроз злоумышленников. Источники угроз.
Источники информации. Методы НСД. Способы/средства защиты.
Направление защиты Концептуальная модель безопасности информации показана на рис.2. Рисунок — 2 Смотрите также:.