Лидеры форума

смешная тема. с учетом огромного количества проданных этих самртов не удивительно что есть процент брака.

Как говорится "ну я же предупреждал" на самом деле все просто: 1. Необходим пакет документов: - положение об отделе безопасности, где прописаны функции отдела, включа я функции ИБ. - должностные инструкции специалиста по ИБ. Где четко сказаны его права и обязанности (чтобы потом ИТ не могли сказать - "а что это он сюда нос сует" ?!). Без положения об отделе и должностных инструкций например незаконно что-то от кого-то требовать, например сотрудник А не может затребовать от сотрудника Б объяснительную или подвегунть его ПК некоей инспекции, сотрудник Б может его послать и будет прав. - положение о коммерческой тайне. Без него вообще неясно, что именно мы защищаем и зачем. Положение доводится до всех под роспись, создается комиссия (возможно с участием ИТ), которая решает, что конкретно относить к КТ, а что нет. На документах появляется гриф ... это все дает основу к том, чтобы шировать, не допускать утечек и карать в случае ее выявления - концепция обеспечения ИБ, набор политик и регламент использования информационных ресурсов. Регламент всем пользователя под роспись, а вот политики - саоме интересное. В политиках в том числе расписываются роли - что должны/имеют право/обязаны делать ИТ, что должны/имеют право/обязаны делать ИБ для обеспечения того-то. Например в антивирусной политике - роль ИТ в том, чтобы установить антивирус на все ПК и поддерживать в рабочем состоянии. Роль ИБ - разработать конфигурацию антивирусной защиты и следить, чтобы она бла применена всюда и все работало, что не так - ИТ по башке. 2. если применяется ПО мониторинга, некие спец. средства типа DLP или криптографии и т.п., то - пользователь должен быть уведомлен о том, что за его действиями могут следить и эти самые действия могут протоколироваться и использоваться затем для его привлечения к ответственности. И за это пользователь обязан расписаться. Более того, если например пользователь работает с конфиденциальными документами, то он должен расписаться в том, что он обязан соблюдать заданные правила работы с этими документами, в идеале вопросы ИБ должны быть пунктом в договоре. - в регламентах должно быть прописано, что управляет средствами мониторинга и защиты ИБ, и любая попытка противодействовать работе этих средств с стороны пользователя или ИТ наказуема. В такой ситуации "затребовали пароль" будет звучать смешно. - в некоторых случаях требования о знании пароля оправдано, например на случай, если накая система работает, а управляющего ей безопасника внезапно задавит трамвай. Вопрос - как быть ?! Смех смехом, но ситуация дурацкая. Выход есть: пароли записаны на бумажку, бумажка в конверте, конверт - в сейфе безопасности, сейф заперт на ключ, копия ключа у руководства. В итоге пароли как-бы есть на случай чего, но какбы их и нет. 3. Из практики - любая попытка "ударного закручивания гаек", в особенности без четких регламентирующих документов приведет к противодействию пользователей, ИТ и т.п. 4. Следствие п.п. 3: ИТ могут "заделать козу", пользователи будут придумывать разнообразные методики обхода политик и обмана ИБ. Такова жизнь, и недаром придумана пословица - "запретный плод всегда сладок"