24 сентября, понедельник 23:22
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Доступ в интернет - все запрещенно что явной не разрешенно!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Доступ в интернет - все запрещенно что явной не разрешенно!

    Товарищи, собственно хотел обсудить данный подход для доступа сотрудников в сеть интернет.
    В заявке на предоставление доступа в интернет добавляется пункт:
    Доступ к сайтам, в котором сотрудник заносит сайты к которым он будет иметь доступ, ко всем остальным сайтам доступа нет.

    Прошу высказывать мнения

  • #2
    Доступ к сайтам, в котором сотрудник заносит сайты к которым он будет иметь доступ, ко всем остальным сайтам доступа нет. - при таком раскладе, Интернет как средство поиска нужной информации работать не будет.
    И зачем спрашивать сотрудников? Спросил один раз начальника подразделения и он создал и утвердил список разрешенных сайтов для своих подчиненных.

    Комментарий


    • #3
      при таком раскладе, Интернет как средство поиска нужной информации работать не будет.
      Да не будет. Но и не все оно надо.
      Хотел узнать на практике как это работает.
      Оправдывает ли цель средства.

      Комментарий


      • #4
        Сообщение от barmalei Посмотреть сообщение
        Да не будет. Но и не все оно надо.
        Хотел узнать на практике как это работает.
        Оправдывает ли цель средства.
        Вы должны четко знать- для чего нужен интернет сотруднику- самый оптимальный путь, разделить всех пользователей интета на группы
        - группа 1 - интернет нужен только для осуществления расчетных операций (переводы WU, Migom, банк клиент и тд) - для таких -юзеров перечень доступных сайтов- строго ограничен(шаг вправо+шаг влево= растрел).
        группа 2 - торговля на forex или ценными бумагами - для таких юзеров нужен еще доступ к определенному (ограниченному) числу информационно-новостных сайтов- но перечень этих сайтов тоже имеет конечную величину.
        Групппа 3 - всякие риск аналитики+руководство = могут ходить в принципе куда угодно- НО их можно ограничить "черным" списком. ИМХЪО вот так- у меня работает
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          если есть доступ к поисковику - есть доступ везде ))

          Комментарий


          • #6
            Сообщение от KaMPiLeR Посмотреть сообщение
            если есть доступ к поисковику - есть доступ везде ))
            На получение информаци - да. А вот отправить письмо через закэшиированную страницу, скорее всего, не получится.

            Комментарий


            • #7
              KaMPiLeR
              отнюдь, отнюдь...

              barmalei
              Ага, запретительный подход, значицца...Дело, в принципе, неплохое, но думается мне всё же, что сначала к этому вопросу треба подойти с точки зрения бизнеса. Т.е. бизнесу надо - вот пусть бизнес сам и разбирается, что именно ему нужно, а как разберётся - пусть зовёт...
              Предложенный вариант вполне возможен, но при этом окончательный вариант списка доступных пользователю сайтов пусть лучше формирует руководитель подразделения пользователя и он же пусть разрешает внесение дальнейших изменений(разделение ответственности, если что,ттт ).Но и про блэк лист тоже забывать не стоит, чтобы не указывали сайты знакомств в качестве полигона для проведения маркетинговых исследований
              Всё в наших руках...(с)

              Комментарий


              • #8
                Если сотрудника не умеют мотивировать на работу.. Ну, конечно можно попробовать его заставить работать путем запрета сайтов/аськи, но все же что-то мне подсказывает что он скорее в курилку свалит чем трудится начнет.
                Дмитрий Мирошников
                www.iSimpleLab.com

                Комментарий


                • #9
                  Сообщение от MDS Посмотреть сообщение
                  Если сотрудника не умеют мотивировать на работу.. Ну, конечно можно попробовать его заставить работать путем запрета сайтов/аськи, но все же что-то мне подсказывает что он скорее в курилку свалит чем трудится начнет.
                  ИМХЪО "мотивация на работу" не является задачей информационной безопасности))). Наша цель и задача- "мотивация" на безопасность, пусть даже запретами или репрессиями)))
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    2Пух575 Да согласен что лучше на руководителя возложить.
                    про блэк лист тоже забывать не стоит, чтобы не указывали сайты знакомств в качестве полигона для проведения маркетинговых исследований
                    Все запрещено что не разрешено. Блэк если только для тех у кого полная свобода.
                    Проблем не должно быть

                    2MDS Товарищ, Вы забываетесь - это форум по ИБ

                    Комментарий


                    • #11
                      barmalei
                      А если сотрудник напишет список необходимых сайтов аж на три листа, а его начальник "подмахнёт" оный, не вчитываясь???
                      Получается, что формально доступ давать всё-таки придётся?Или м.б. лучше заранее сформировать этот самый "блэк-лист", в котором явно указать запрещенные сайты и придать ему статус "официальной бумаги"?
                      Всё в наших руках...(с)

                      Комментарий


                      • #12
                        А если сотрудник напишет список необходимых сайтов аж на три листа, а его начальник "подмахнёт" оный, не вчитываясь????
                        - и "подмахнёт"... читать и тем более проверять, что там понаписано он точно не будет.

                        Или м.б. лучше заранее сформировать этот самый "блэк-лист", в котором явно указать запрещенные сайты и придать ему статус "официальной бумаги"? - думаю лучше. Причем приоритет "блэк-листа", ставится выше списка необходимых сайтов. И лучше указывать не только конкретные сайты и сразу направления (например - вся web-почта), дабы можно было оперативно его дополнять. И утвердить его на самом "верху".

                        Комментарий


                        • #13
                          Извините, уважаемые как это подмахнет или не будет читать? Ответственность в первую очередь лежит на руководителе.
                          допустим руководитель промахнулся, эту бумагу дальше проверяет ИБ и потом ИТ, в этой цепочке все заинтересованные лица и промахов быть не должно.

                          Комментарий


                          • #14
                            Извините, уважаемые как это подмахнет или не будет читать? Ответственность в первую очередь лежит на руководителе.
                            допустим руководитель промахнулся, эту бумагу дальше проверяет ИБ и потом ИТ, в этой цепочке все заинтересованные лица и промахов быть не должно.

                            Ну отвечает. Ну и что Мало ли подписывают документов не глядя. В конце концов - это его сотрудники и чем они занимаются на работе, это его дело. За результат их работы он ответит перед своим начальством. Это дисциплинарный момент.

                            Интересы ИБ и ИТ должны быть зафиксированы в "блэк-листе".

                            Комментарий


                            • #15
                              Это дисциплинарный момент.
                              Это далеко не дисциплинарный момент, т.к. за обеспечение безопасности отвечают все сотрудники компании.
                              Я привел целую цепочку - ее можно назвать избыточной, но она таковой обычно является. В ней вероятность сбоя очень мала.
                              Зачем городить лишние фильтры сотрудникам которым и так все запрещено, их необходимо применять только тем кому доступен весь инет.

                              Комментарий


                              • #16
                                По моему смысла нет в заявке на интернет перечислять сайты, которые собирается посещать пользователь. Всех не перечислишь, да и контроль неудобен. Естественно, есть категория сотрудников, которым действительно нужны всего пара-тройка ресурсов интернет, но в основном, их требуется побольше.
                                Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников. Кроме этого, по результатам таких проверок, выявлять "наиболее любимые" сайты сотрудников и пополнять блек-лист.
                                Главное, чтобы народ знал и понимал, что за злоупотребления их ждет реальное наказание.
                                Конечно и к контролю (да и к информированию руководства сотрудников) надо подходить "творчески". Если сотрудник не злоупотребляет интернетом, то грех небольшой, если он и попутно заглянул на "непрофильные" сайты. Не у всех дома интернет есть пока. Ну и хорошей профилактикой является то, что вместо официального доклада "наверх" о нарушителе, ты (если это первое и относительно небольшое нарушение у сотрудника) позвонишь ему и вежливо и культурно объяснишь, что он не прав. В большей части это помогало даже лучше, чем официальный нагоняй провинившемуся сотруднику.

                                Комментарий


                                • #17
                                  Зачем городить лишние фильтры сотрудникам которым и так все запрещено, их необходимо применять только тем кому доступен весь инет.
                                  Сегодня запрещено... завтра разрешено. Кто и как будет отслеживать изменения? В данном случае я придерживаюсь алгоритма настройки firewall-а . Сделал раз запретительное правило, установил высший приоритет и забыл о проблеме.

                                  Доступ к сайтам, в котором сотрудник заносит сайты к которым он будет иметь доступ, ко всем остальным сайтам доступа нет. - данный вариант мне видится сложным в реализации и поддержке. Иное дело, разработать и реализовать один раз "блэк-лист" с правилами доступа с сайтам, протоколам, портам и т.д. , отвечающим требованиям ИБ и ИТ... и поддерживать только его.

                                  Комментарий


                                  • #18
                                    Посмотрим с другой стороны. Контролировать интернет очень сложно, но можно. Кстати из практики существую веб-прокси, которые помогают обходить всевозможные фильтры. Наподобие www.pimpmyip.org
                                    Подобный прокси можно и самому сделать - купить прямой ай пи адрес у домашнего прова и настроив специальное ПО.
                                    Появляется возможность либо сливать инфу, либо обходить правила шлюза, всего за 5$ в месяц.
                                    Про непродуктивное времяпровождение я особо не говорю. Т.к. в основном обсуждаем аспекты безопасности.
                                    Я вижу два выхода из этой ситуации.
                                    1. Более дешевый - Запрещено все что явно не разрешено
                                    2. Контроль юзерей спец. ПО, наподобие SurfControl, Proventia и т.д.

                                    Второй вариант более дорогостоящий, первый - простой и злой.
                                    Больше альтернатив я не вижу

                                    Комментарий


                                    • #19
                                      Сообщение от Stnslav Посмотреть сообщение
                                      По моему смысла нет в заявке на интернет перечислять сайты, которые собирается посещать пользователь. Всех не перечислишь, да и контроль неудобен. Естественно, есть категория сотрудников, которым действительно нужны всего пара-тройка ресурсов интернет, но в основном, их требуется побольше.
                                      Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников. Кроме этого, по результатам таких проверок, выявлять "наиболее любимые" сайты сотрудников и пополнять блек-лист.
                                      Главное, чтобы народ знал и понимал, что за злоупотребления их ждет реальное наказание.
                                      Конечно и к контролю (да и к информированию руководства сотрудников) надо подходить "творчески". Если сотрудник не злоупотребляет интернетом, то грех небольшой, если он и попутно заглянул на "непрофильные" сайты. Не у всех дома интернет есть пока. Ну и хорошей профилактикой является то, что вместо официального доклада "наверх" о нарушителе, ты (если это первое и относительно небольшое нарушение у сотрудника) позвонишь ему и вежливо и культурно объяснишь, что он не прав. В большей части это помогало даже лучше, чем официальный нагоняй провинившемуся сотруднику.
                                      Хороший пример реализации менеджмента ИБ.


                                      Практикую похожий подход

                                      Комментарий


                                      • #20
                                        barmalei
                                        Извините, уважаемые как это подмахнет или не будет читать?
                                        Элементарно.Вы же не хуже меня знаете, что вполне возможен вариант, когда пользователи работают в одном подразделении достаточно давно, очень хорошо знают друг друга и, соответственно, доверяют.Опять же, за ворохом "текущих дел" как ИБшник, так и ITшник, могут и не заметить ссылку-две из большого списка...
                                        Зачем городить лишние фильтры сотрудникам которым и так все запрещено
                                        Так никто и не предлагает городить ещё один лишний фильтр, в этом конкретном случае блэк-лист мера сугубо административная, примерно как официальное определение места для курения.Опять же, не надо делать из этого списка какую-либо тайну, ведомую только IT и ИБ - пусть будет доступен для ознакомления всем...
                                        Опять же - где гарантии, что не найдётся "Левша", способный "обойти" практическое воплощение подобной запретительной политики?Получается что формально в таком случае он ничего не нарушит, поскольку явного запрета-то нет...
                                        Последний раз редактировалось Пух575; 18.12.2007, 12:42.
                                        Всё в наших руках...(с)

                                        Комментарий


                                        • #21
                                          to barmalei
                                          Подобный прокси можно и самому сделать - купить прямой ай пи адрес у домашнего прова и настроив специальное ПО.
                                          Для этого специально ПО должно запуститься на компьютере - ограничение прав. Сам факт запуска ПО можно отследить - мониторинг пользовательского ПО.
                                          Особо хитрож.пые "Наподобие www.pimpmyip.org" попадутся при анализе логов. Например по возросшему объему трафика на некие сайты. http туннели также можно отслеживать по анализу содержимого трафика + им нужно клиентское ПО.

                                          100% не будет, но приемлемый вариант реализовать можно.

                                          Комментарий


                                          • #22
                                            Для этого специально ПО должно запуститься на компьютере - ограничение прав. Сам факт запуска ПО можно отследить - мониторинг пользовательского ПО.
                                            оно запускается на домашнем компе, на клиентской части - веб интерфейс который запуститься везде.
                                            Особо хитрож.пые "Наподобие www.pimpmyip.org" попадутся при анализе логов. Например по возросшему объему трафика на некие сайты. http туннели также можно отслеживать по анализу содержимого трафика + им нужно клиентское ПО.
                                            Я про тунели пока не говорю
                                            Как вы отследите IP адрес его домашней станции, если он в месяц по мегабайту сливает инфы, вы его даже в логах не увидите, среди обилия других сайтов..

                                            Комментарий


                                            • #23
                                              Как вы отследите IP адрес его домашней станции, если он в месяц по мегабайту сливает инфы, вы его даже в логах не увидите, среди обилия других сайтов.. - никак. Технические меры имеют свои ограничения. Но к счастью, не одними ими живет СУИБ. В данном случае им на помощь могут придти организационные меры (если они конечно есть). Тема обсуждалась здесь: http://dom.bankir.ru/showthread.php?t=78061 .

                                              Комментарий


                                              • #24
                                                никак. Технические меры имеют свои ограничения. Но к счастью, не одними ими живет СУИБ. В данном случае им на помощь могут придти организационные меры (если они конечно есть). Тема обсуждалась здесь: http://dom.bankir.ru/showthread.php?t=78061 .
                                                Ответ неправильный. Орг. мерами такое не проконтролируешь. Варианты решения задачи я расписывал.

                                                Комментарий


                                                • #25
                                                  Сообщение от barmalei Посмотреть сообщение
                                                  Я вижу два выхода из этой ситуации.
                                                  1. Более дешевый - Запрещено все что явно не разрешено
                                                  2. Контроль юзерей спец. ПО, наподобие SurfControl, Proventia и т.д.

                                                  Второй вариант более дорогостоящий, первый - простой и злой.
                                                  Больше альтернатив я не вижу
                                                  Первый как таковой вариантом не является. Есть категория сотрулников (в классификации Жоржа это группы 1 и 2) которым инет либо не нужен вовсе, либо нужны отдельные сайты. Вариант 1 применим только к ним, причем к группе 2 - с быстрой процелурой изменения белого списка. К группе 3 первый вариант неприменим в принципе.

                                                  Для группы 3 нужен черный список, причем, скорее, не список сайтов как таковых, а утвержденный руководством перечень признаков, по которым сайты могут быть волевым решением ИБ отнесены к запрещенным. Например - налдичие на сайте вареза, веб-почты, порнографии, потокового видео и т.п.

                                                  По поводу "ответственность в первую очередь лежит на руководителе" - простите, ответственность за что? Поставтье себя на место этого руководителя. Я имею право валидировать доступ? Имею. Я обязан выяснять, создает ли доступ к этому сайту риск ИБ? Нет, не обязан. Вы считаете, что доступ к этому сайту моему сотруднику не нужен? А вот это, простите, вопрос исключительно моей компетенции. Поэтому, какой бы список сайтов он не подписал, он в своем праве и отвечать ему не за что

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Stnslav Посмотреть сообщение
                                                    Бороться же с любителями интернет-серфинга можно только с помощью контроля, направляя соответствующие "письма счастья" руководителям нерадивых сотрудников.
                                                    В одной конторе внедрили систему URL-фильтрации. После месяца работы было отмечено, что один сотрудник по 6 часов в день сидит на порносайтах. Было направлено "письмо счастья" его начальнику. Нет ответа. Второе письмо. Нет ответа. Третье... Наконец начальник позвонил ретивому безопаснику и сказал: "Этот сотрудник зарабатывает мне 10 миллионов долларов в месяц" и мне все равно, где и как он проводит время в Интернет. Не отвлекайте меня!" Вот и весь сказ. Кроме, возможно, запачканного ковра перед стулом злоупотребляющего Интернетом сотрудника большого вреда от посещения "непрофильных" сайтов нет. Разумеется при реализации эффективной системы контроля (но не запрета).

                                                    URL-фильтрация нужна, когда счета за Интернет приходят на баснословные суммы,либо когда нужна причина для наказания сотрудника. Но как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.

                                                    ЗЫ. Вопрос мотивации сотрудников не рассматриваем. Если человеку делать нечего, то блокирование доступа в Интернет не решит проблему его незагруженности. Он с тем же успехом в пасьянс будет играть или книжку читать.

                                                    Комментарий


                                                    • #27
                                                      Поэтому, какой бы список сайтов он не подписал, он в своем праве и отвечать ему не за что
                                                      Когда руководитель разрешает доступ к какой-либо системе он не несет у вас тоже ответственности?
                                                      Ответственность здесь несут все. В первую очередь сам сотрудник, а уже во вторую и третью все остальные.

                                                      Первый как таковой вариантом не является. Есть категория сотрулников (в классификации Жоржа это группы 1 и 2) которым инет либо не нужен вовсе, либо нужны отдельные сайты. Вариант 1 применим только к ним, причем к группе 2 - с быстрой процелурой изменения белого списка. К группе 3 первый вариант неприменим в принципе.
                                                      Подходы мною предложенные можно использовать как по отдельности так и вместе.
                                                      Для группы 1(по Джорджу) - используем Запрещено все что явно не разрешенно
                                                      Для группы 2,3 - юзаеться Веб фильтрация

                                                      2box_roller - Чем не эффективна подобная схема?
                                                      Я не вижу брешей.

                                                      2Алексей Лукацкий
                                                      о как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.
                                                      Извините, мне не понятно почему не работает, мои предположения на 180 градусов противоположны.
                                                      Сотруднику который ворочает миллионы, можно дать доступ на порно сайт, если этого требует бизнес. Но опять же в рамках политики ИБ.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        URL-фильтрация нужна, когда счета за Интернет приходят на баснословные суммы,либо когда нужна причина для наказания сотрудника. Но как превентивная мера, URL-фильтрация не работает. Разумеется, речь идет о тех случаях, где безопасность ориентирована на бизнес.
                                                        Пример понятный, но не очень удачный. Ориентация на бизнес отнюдь не означает, что бизнес имеет исключительное право решать, что можно, что нельзя. Проблема порносайтов не в том, что тратится рабочее время сотрудника (мне как безопаснику это абсолютно параллельно), а в том, что такой доступ связан с рисками. Порносайт может содержать зловредгый код, да и просто доступ к некоторым порносайтам законодательство ряда стран считает уголовным преступлениям (для дочек западных банков это очень актуально ). Вашему сотруднику нужен доступ к порносайту? Yет проблем, ставьте перед нами задачу, мы ее решим. Выделим отдельный комп, вынесем его за пределы охраняемого периметра (если хотите - поставим в отдельную комнату, где ему никто не помешает), оплатим выделенный линк в Инет. Но с рабочего компа, который включен во внутреннюю сеть, у него доступа не будет.

                                                        URL фильтрация нужна для того, чтобы отсечь от заведомо опасных сайтов тех, кто туда может попасть случайно. Это все равно, что прятать от детей спички и лекарства

                                                        Комментарий


                                                        • #29
                                                          Сообщение от barmalei Посмотреть сообщение
                                                          Когда руководитель разрешает доступ к какой-либо системе он не несет у вас тоже ответственности?
                                                          Ответственность здесь несут все. В первую очередь сам сотрудник, а уже во вторую и третью все остальные.
                                                          Ответственность за что? Можно нести ответственность за нарушение и за его последствия. Само по себе разрешение нарушением не является (руководитель действует в рамках отведенных ему полномочий), последствий у разрешения как такового - тоже нет.

                                                          Сообщение от barmalei Посмотреть сообщение
                                                          Подходы мною предложенные можно использовать как по отдельности так и вместе.
                                                          Для группы 1(по Джорджу) - используем Запрещено все что явно не разрешенно Для группы 2,3 - юзаеться Веб фильтрация

                                                          2box_roller - Чем не эффективна подобная схема?
                                                          А он с этой схемой и не спорит То, к чему мы пришли - это как раз нормальная схема работы, а не "зпапрещено все, что не разрешено".

                                                          Комментарий


                                                          • #30
                                                            То, к чему мы пришли - это как раз нормальная схема работы, а не "зпапрещено все, что не разрешено".
                                                            Да согласен. зпапрещено все, что не разрешено - это только часть схемы.
                                                            Ответственность за что? Можно нести ответственность за нарушение и за его последствия. Само по себе разрешение нарушением не является (руководитель действует в рамках отведенных ему полномочий), последствий у разрешения как такового - тоже нет.
                                                            За то что санкционирует доступ.
                                                            Без визы руководителя, без его объективного мнения никто не сможет определить что нужно сотруднику.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X