Объявление

**box_roller** · 17.12.2007, 11:40

Доступ к сайтам, в котором сотрудник заносит сайты к которым он будет иметь доступ, ко всем остальным сайтам доступа нет. - при таком раскладе, Интернет как средство поиска нужной информации работать не будет.
И зачем спрашивать сотрудников? Спросил один раз начальника подразделения и он создал и утвердил список разрешенных сайтов для своих подчиненных.

**barmalei** · 17.12.2007, 12:13

при таком раскладе, Интернет как средство поиска нужной информации работать не будет.

Да не будет. Но и не все оно надо.
Хотел узнать на практике как это работает.
Оправдывает ли цель средства.

**George-on-Don** · 17.12.2007, 12:49

Сообщение от barmalei Посмотреть сообщение

Да не будет. Но и не все оно надо.
Хотел узнать на практике как это работает.
Оправдывает ли цель средства.

Вы должны четко знать- для чего нужен интернет сотруднику- самый оптимальный путь, разделить всех пользователей интета на группы
- группа 1 - интернет нужен только для осуществления расчетных операций (переводы WU, Migom, банк клиент и тд) - для таких -юзеров перечень доступных сайтов- строго ограничен(шаг вправо+шаг влево= растрел).
группа 2 - торговля на forex или ценными бумагами - для таких юзеров нужен еще доступ к определенному (ограниченному) числу информационно-новостных сайтов- но перечень этих сайтов тоже имеет конечную величину.
Групппа 3 - всякие риск аналитики+руководство = могут ходить в принципе куда угодно- НО их можно ограничить "черным" списком. ИМХЪО вот так- у меня работает

**KaMPiLeR** · 17.12.2007, 14:39

если есть доступ к поисковику - есть доступ везде ))

**malotavr** · 17.12.2007, 17:04

Сообщение от KaMPiLeR Посмотреть сообщение

если есть доступ к поисковику - есть доступ везде ))

На получение информаци - да. А вот отправить письмо через закэшиированную страницу, скорее всего, не получится.

**Пух575** · 17.12.2007, 17:22

KaMPiLeR
отнюдь, отнюдь...

barmalei
Ага, запретительный подход, значицца...Дело, в принципе, неплохое, но думается мне всё же, что сначала к этому вопросу треба подойти с точки зрения бизнеса. Т.е. бизнесу надо - вот пусть бизнес сам и разбирается, что именно ему нужно, а как разберётся - пусть зовёт...

Предложенный вариант вполне возможен, но при этом окончательный вариант списка доступных пользователю сайтов пусть лучше формирует руководитель подразделения пользователя и он же пусть разрешает внесение дальнейших изменений(разделение ответственности, если что,ттт

).Но и про блэк лист тоже забывать не стоит, чтобы не указывали сайты знакомств в качестве полигона для проведения маркетинговых исследований

**MDS** · 17.12.2007, 23:33

Если сотрудника не умеют мотивировать на работу.. Ну, конечно можно попробовать его заставить работать путем запрета сайтов/аськи, но все же что-то мне подсказывает что он скорее в курилку свалит чем трудится начнет.

**George-on-Don** · 18.12.2007, 10:03

Сообщение от MDS Посмотреть сообщение

Если сотрудника не умеют мотивировать на работу.. Ну, конечно можно попробовать его заставить работать путем запрета сайтов/аськи, но все же что-то мне подсказывает что он скорее в курилку свалит чем трудится начнет.

ИМХЪО "мотивация на работу" не является задачей информационной безопасности))). Наша цель и задача- "мотивация" на безопасность, пусть даже запретами или репрессиями)))

**barmalei** · 18.12.2007, 10:08

2Пух575 Да согласен что лучше на руководителя возложить.

про блэк лист тоже забывать не стоит, чтобы не указывали сайты знакомств в качестве полигона для проведения маркетинговых исследований

Все запрещено что не разрешено. Блэк если только для тех у кого полная свобода.
Проблем не должно быть

2MDS Товарищ, Вы забываетесь - это форум по ИБ

**Пух575** · 18.12.2007, 10:21

barmalei
А если сотрудник напишет список необходимых сайтов аж на три листа, а его начальник "подмахнёт" оный, не вчитываясь???
Получается, что формально доступ давать всё-таки придётся?Или м.б. лучше заранее сформировать этот самый "блэк-лист", в котором явно указать запрещенные сайты и придать ему статус "официальной бумаги"?

**box_roller** · 18.12.2007, 10:32

А если сотрудник напишет список необходимых сайтов аж на три листа, а его начальник "подмахнёт" оный, не вчитываясь????
- и "подмахнёт"... читать и тем более проверять, что там понаписано он точно не будет.

Или м.б. лучше заранее сформировать этот самый "блэк-лист", в котором явно указать запрещенные сайты и придать ему статус "официальной бумаги"? - думаю лучше. Причем приоритет "блэк-листа", ставится выше списка необходимых сайтов. И лучше указывать не только конкретные сайты и сразу направления (например - вся web-почта), дабы можно было оперативно его дополнять. И утвердить его на самом "верху".

**barmalei** · 18.12.2007, 10:35

Извините, уважаемые как это подмахнет или не будет читать? Ответственность в первую очередь лежит на руководителе.
допустим руководитель промахнулся, эту бумагу дальше проверяет ИБ и потом ИТ, в этой цепочке все заинтересованные лица и промахов быть не должно.

**box_roller** · 18.12.2007, 10:55

Извините, уважаемые как это подмахнет или не будет читать? Ответственность в первую очередь лежит на руководителе.
допустим руководитель промахнулся, эту бумагу дальше проверяет ИБ и потом ИТ, в этой цепочке все заинтересованные лица и промахов быть не должно.
Ну отвечает. Ну и что

Мало ли подписывают документов не глядя. В конце концов - это его сотрудники и чем они занимаются на работе, это его дело. За результат их работы он ответит перед своим начальством. Это дисциплинарный момент.

Интересы ИБ и ИТ должны быть зафиксированы в "блэк-листе".

**barmalei** · 18.12.2007, 12:08

Это дисциплинарный момент.

Это далеко не дисциплинарный момент, т.к. за обеспечение безопасности отвечают все сотрудники компании.
Я привел целую цепочку - ее можно назвать избыточной, но она таковой обычно является. В ней вероятность сбоя очень мала.
Зачем городить лишние фильтры сотрудникам которым и так все запрещено, их необходимо применять только тем кому доступен весь инет.

**Stnslav** · 18.12.2007, 12:13

По моему смысла нет в заявке на интернет перечислять сайты, которые собирается посещать пользователь. Всех не перечислишь, да и контроль неудобен. Естественно, есть категория сотрудников, которым действительно нужны всего пара-тройка ресурсов интернет, но в основном, их требуется побольше.
Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников. Кроме этого, по результатам таких проверок, выявлять "наиболее любимые" сайты сотрудников и пополнять блек-лист.
Главное, чтобы народ знал и понимал, что за злоупотребления их ждет реальное наказание.
Конечно и к контролю (да и к информированию руководства сотрудников) надо подходить "творчески". Если сотрудник не злоупотребляет интернетом, то грех небольшой, если он и попутно заглянул на "непрофильные" сайты. Не у всех дома интернет есть пока. Ну и хорошей профилактикой является то, что вместо официального доклада "наверх" о нарушителе, ты (если это первое и относительно небольшое нарушение у сотрудника) позвонишь ему и вежливо и культурно объяснишь, что он не прав. В большей части это помогало даже лучше, чем официальный нагоняй провинившемуся сотруднику.

**box_roller** · 18.12.2007, 12:22

Зачем городить лишние фильтры сотрудникам которым и так все запрещено, их необходимо применять только тем кому доступен весь инет.
Сегодня запрещено... завтра разрешено. Кто и как будет отслеживать изменения? В данном случае я придерживаюсь алгоритма настройки firewall-а . Сделал раз запретительное правило, установил высший приоритет и забыл о проблеме.

Доступ к сайтам, в котором сотрудник заносит сайты к которым он будет иметь доступ, ко всем остальным сайтам доступа нет. - данный вариант мне видится сложным в реализации и поддержке. Иное дело, разработать и реализовать один раз "блэк-лист" с правилами доступа с сайтам, протоколам, портам и т.д. , отвечающим требованиям ИБ и ИТ... и поддерживать только его.

**barmalei** · 18.12.2007, 12:27

Посмотрим с другой стороны. Контролировать интернет очень сложно, но можно. Кстати из практики существую веб-прокси, которые помогают обходить всевозможные фильтры. Наподобие www.pimpmyip.org
Подобный прокси можно и самому сделать - купить прямой ай пи адрес у домашнего прова и настроив специальное ПО.
Появляется возможность либо сливать инфу, либо обходить правила шлюза, всего за 5$ в месяц.
Про непродуктивное времяпровождение я особо не говорю. Т.к. в основном обсуждаем аспекты безопасности.
Я вижу два выхода из этой ситуации.
1. Более дешевый - Запрещено все что явно не разрешено
2. Контроль юзерей спец. ПО, наподобие SurfControl, Proventia и т.д.

Второй вариант более дорогостоящий, первый - простой и злой.
Больше альтернатив я не вижу

**box_roller** · 18.12.2007, 12:30

Сообщение от Stnslav Посмотреть сообщение

По моему смысла нет в заявке на интернет перечислять сайты, которые собирается посещать пользователь. Всех не перечислишь, да и контроль неудобен. Естественно, есть категория сотрудников, которым действительно нужны всего пара-тройка ресурсов интернет, но в основном, их требуется побольше.
Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников. Кроме этого, по результатам таких проверок, выявлять "наиболее любимые" сайты сотрудников и пополнять блек-лист.
Главное, чтобы народ знал и понимал, что за злоупотребления их ждет реальное наказание.
Конечно и к контролю (да и к информированию руководства сотрудников) надо подходить "творчески". Если сотрудник не злоупотребляет интернетом, то грех небольшой, если он и попутно заглянул на "непрофильные" сайты. Не у всех дома интернет есть пока. Ну и хорошей профилактикой является то, что вместо официального доклада "наверх" о нарушителе, ты (если это первое и относительно небольшое нарушение у сотрудника) позвонишь ему и вежливо и культурно объяснишь, что он не прав. В большей части это помогало даже лучше, чем официальный нагоняй провинившемуся сотруднику.

Хороший пример реализации менеджмента ИБ.

Практикую похожий подход

**Пух575** · 18.12.2007, 12:32

barmalei
Извините, уважаемые как это подмахнет или не будет читать?
Элементарно.Вы же не хуже меня знаете, что вполне возможен вариант, когда пользователи работают в одном подразделении достаточно давно, очень хорошо знают друг друга и, соответственно, доверяют.Опять же, за ворохом "текущих дел" как ИБшник, так и ITшник, могут и не заметить ссылку-две из большого списка...
Зачем городить лишние фильтры сотрудникам которым и так все запрещено
Так никто и не предлагает городить ещё один лишний фильтр, в этом конкретном случае блэк-лист мера сугубо административная, примерно как официальное определение места для курения.Опять же, не надо делать из этого списка какую-либо тайну, ведомую только IT и ИБ - пусть будет доступен для ознакомления всем...
Опять же - где гарантии, что не найдётся "Левша", способный "обойти" практическое воплощение подобной запретительной политики?Получается что формально в таком случае он ничего не нарушит, поскольку явного запрета-то нет...

**box_roller** · 18.12.2007, 12:40

to barmalei
Подобный прокси можно и самому сделать - купить прямой ай пи адрес у домашнего прова и настроив специальное ПО.
Для этого специально ПО должно запуститься на компьютере - ограничение прав. Сам факт запуска ПО можно отследить - мониторинг пользовательского ПО.
Особо хитрож.пые "Наподобие www.pimpmyip.org" попадутся при анализе логов. Например по возросшему объему трафика на некие сайты. http туннели также можно отслеживать по анализу содержимого трафика + им нужно клиентское ПО.

100% не будет, но приемлемый вариант реализовать можно.

**barmalei** · 18.12.2007, 12:53

Для этого специально ПО должно запуститься на компьютере - ограничение прав. Сам факт запуска ПО можно отследить - мониторинг пользовательского ПО.

оно запускается на домашнем компе, на клиентской части - веб интерфейс который запуститься везде.

Особо хитрож.пые "Наподобие www.pimpmyip.org" попадутся при анализе логов. Например по возросшему объему трафика на некие сайты. http туннели также можно отслеживать по анализу содержимого трафика + им нужно клиентское ПО.

Я про тунели пока не говорю
Как вы отследите IP адрес его домашней станции, если он в месяц по мегабайту сливает инфы, вы его даже в логах не увидите, среди обилия других сайтов..

**box_roller** · 18.12.2007, 13:08

Как вы отследите IP адрес его домашней станции, если он в месяц по мегабайту сливает инфы, вы его даже в логах не увидите, среди обилия других сайтов.. - никак. Технические меры имеют свои ограничения. Но к счастью, не одними ими живет СУИБ. В данном случае им на помощь могут придти организационные меры (если они конечно есть). Тема обсуждалась здесь: http://dom.bankir.ru/showthread.php?t=78061 .

**barmalei** · 18.12.2007, 14:03

никак. Технические меры имеют свои ограничения. Но к счастью, не одними ими живет СУИБ. В данном случае им на помощь могут придти организационные меры (если они конечно есть). Тема обсуждалась здесь: http://dom.bankir.ru/showthread.php?t=78061 .

Ответ неправильный. Орг. мерами такое не проконтролируешь. Варианты решения задачи я расписывал.

**malotavr** · 18.12.2007, 14:03

Сообщение от barmalei Посмотреть сообщение

Я вижу два выхода из этой ситуации.
1. Более дешевый - Запрещено все что явно не разрешено
2. Контроль юзерей спец. ПО, наподобие SurfControl, Proventia и т.д.

Второй вариант более дорогостоящий, первый - простой и злой.
Больше альтернатив я не вижу

Первый как таковой вариантом не является. Есть категория сотрулников (в классификации Жоржа это группы 1 и 2) которым инет либо не нужен вовсе, либо нужны отдельные сайты. Вариант 1 применим только к ним, причем к группе 2 - с быстрой процелурой изменения белого списка. К группе 3 первый вариант неприменим в принципе.

Для группы 3 нужен черный список, причем, скорее, не список сайтов как таковых, а утвержденный руководством перечень признаков, по которым сайты могут быть волевым решением ИБ отнесены к запрещенным. Например - налдичие на сайте вареза, веб-почты, порнографии, потокового видео и т.п.

По поводу "ответственность в первую очередь лежит на руководителе" - простите, ответственность за что? Поставтье себя на место этого руководителя. Я имею право валидировать доступ? Имею. Я обязан выяснять, создает ли доступ к этому сайту риск ИБ? Нет, не обязан. Вы считаете, что доступ к этому сайту моему сотруднику не нужен? А вот это, простите, вопрос исключительно моей компетенции. Поэтому, какой бы список сайтов он не подписал, он в своем праве и отвечать ему не за что

**Алексей Лукацкий** · 18.12.2007, 14:04

Сообщение от Stnslav Посмотреть сообщение

Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников.

В одной конторе внедрили систему URL-фильтрации. После месяца работы было отмечено, что один сотрудник по 6 часов в день сидит на порносайтах. Было направлено "письмо счастья" его начальнику. Нет ответа. Второе письмо. Нет ответа. Третье... Наконец начальник позвонил ретивому безопаснику и сказал: "Этот сотрудник зарабатывает мне 10 миллионов долларов в месяц" и мне все равно, где и как он проводит время в Интернет. Не отвлекайте меня!" Вот и весь сказ. Кроме, возможно, запачканного ковра перед стулом злоупотребляющего Интернетом сотрудника большого вреда от посещения "непрофильных" сайтов нет. Разумеется при реализации эффективной системы контроля (но не запрета).

URL-фильтрация нужна, когда счета за Интернет приходят на баснословные суммы,либо когда нужна причина для наказания сотрудника. Но как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.

ЗЫ. Вопрос мотивации сотрудников не рассматриваем. Если человеку делать нечего, то блокирование доступа в Интернет не решит проблему его незагруженности. Он с тем же успехом в пасьянс будет играть или книжку читать.

**barmalei** · 18.12.2007, 14:21

Поэтому, какой бы список сайтов он не подписал, он в своем праве и отвечать ему не за что

Когда руководитель разрешает доступ к какой-либо системе он не несет у вас тоже ответственности?
Ответственность здесь несут все. В первую очередь сам сотрудник, а уже во вторую и третью все остальные.

Первый как таковой вариантом не является. Есть категория сотрулников (в классификации Жоржа это группы 1 и 2) которым инет либо не нужен вовсе, либо нужны отдельные сайты. Вариант 1 применим только к ним, причем к группе 2 - с быстрой процелурой изменения белого списка. К группе 3 первый вариант неприменим в принципе.

Подходы мною предложенные можно использовать как по отдельности так и вместе.
Для группы 1(по Джорджу) - используем Запрещено все что явно не разрешенно
Для группы 2,3 - юзаеться Веб фильтрация

2box_roller - Чем не эффективна подобная схема?
Я не вижу брешей.

2Алексей Лукацкий

о как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.

Извините, мне не понятно почему не работает, мои предположения на 180 градусов противоположны.
Сотруднику который ворочает миллионы, можно дать доступ на порно сайт, если этого требует бизнес. Но опять же в рамках политики ИБ.

**malotavr** · 18.12.2007, 14:48

Сообщение от Алексей Лукацкий Посмотреть сообщение

URL-фильтрация нужна, когда счета за Интернет приходят на баснословные суммы,либо когда нужна причина для наказания сотрудника. Но как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.

Пример понятный, но не очень удачный. Ориентация на бизнес отнюдь не означает, что бизнес имеет исключительное право решать, что можно, что нельзя. Проблема порносайтов не в том, что тратится рабочее время сотрудника (мне как безопаснику это абсолютно параллельно), а в том, что такой доступ связан с рисками. Порносайт может содержать зловредгый код, да и просто доступ к некоторым порносайтам законодательство ряда стран считает уголовным преступлениям (для дочек западных банков это очень актуально

). Вашему сотруднику нужен доступ к порносайту? Yет проблем, ставьте перед нами задачу, мы ее решим. Выделим отдельный комп, вынесем его за пределы охраняемого периметра (если хотите - поставим в отдельную комнату, где ему никто не помешает), оплатим выделенный линк в Инет. Но с рабочего компа, который включен во внутреннюю сеть, у него доступа не будет.

URL фильтрация нужна для того, чтобы отсечь от заведомо опасных сайтов тех, кто туда может попасть случайно. Это все равно, что прятать от детей спички и лекарства

**malotavr** · 18.12.2007, 14:57

Сообщение от barmalei Посмотреть сообщение

Когда руководитель разрешает доступ к какой-либо системе он не несет у вас тоже ответственности?
Ответственность здесь несут все. В первую очередь сам сотрудник, а уже во вторую и третью все остальные.

Ответственность за что? Можно нести ответственность за нарушение и за его последствия. Само по себе разрешение нарушением не является (руководитель действует в рамках отведенных ему полномочий), последствий у разрешения как такового - тоже нет.

Сообщение от barmalei Посмотреть сообщение

Подходы мною предложенные можно использовать как по отдельности так и вместе.
Для группы 1(по Джорджу) - используем Запрещено все что явно не разрешенно Для группы 2,3 - юзаеться Веб фильтрация

2box_roller - Чем не эффективна подобная схема?

А он с этой схемой и не спорит

То, к чему мы пришли - это как раз нормальная схема работы, а не "зпапрещено все, что не разрешено".

**barmalei** · 18.12.2007, 15:09

То, к чему мы пришли - это как раз нормальная схема работы, а не "зпапрещено все, что не разрешено".

Да согласен. зпапрещено все, что не разрешено - это только часть схемы.

Ответственность за что? Можно нести ответственность за нарушение и за его последствия. Само по себе разрешение нарушением не является (руководитель действует в рамках отведенных ему полномочий), последствий у разрешения как такового - тоже нет.

За то что санкционирует доступ.
Без визы руководителя, без его объективного мнения никто не сможет определить что нужно сотруднику.

Объявление

Доступ в интернет - все запрещенно что явной не разрешенно!

Доступ в интернет - все запрещенно что явной не разрешенно!

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Пользователи, просматривающие эту тему