28 февраля, воскресенье 21:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Бумажная работа безопасника

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Бумажная работа безопасника

    Ребят, такой вопрос, с чего начать разработку политики ИБ?
    С технической частью работы знаком нормально, а вот с бумажной не знаком вообще... надеюсь подскажите с чего начать изучение) отдельной темы для новичков не нашел, поэтому пишу здесь)

    в организации как пришел в области ИБ нету ниодного нормативного документа, с чего начать? какие положения стоит разработать? какие документы нужны для ФСТЭК? с какими документами впринципе стоит ознакомится? в общем хочется иметь в голове общее представление по бумажному вопросу в сфере ИБ обычной коммерческой фирмы. В инете отрывками что то есть, но единного представления по этим отрывкам сложить не могу...

    Также планирую в последующем работу в банке, я так понимаю там документов больше для изучения) тоже бы было интересно узнать что по читать, с чего начать)

  • #2
    Сообщение от Viton-Zizu Посмотреть сообщение
    Ребят, такой вопрос, с чего начать разработку политики ИБ?
    С технической частью работы знаком нормально, а вот с бумажной не знаком вообще... надеюсь подскажите с чего начать изучение) отдельной темы для новичков не нашел, поэтому пишу здесь)
    Чуть ниже тема http://bankir.ru/dom/threads/78802-%...8B%D1%82%D1%8C
    Пишем, пишем, пишем, пишем документы.

    Комментарий


    • #3
      Спасибо!) тему про штудировал, на секюритиполис нашел рыбу, будет с чего начать)
      я так понимаю к политике безопастности нужно ещё добавлять положения, регламенты, какие именно? или это на усмотрение добавляется?

      может есть какой нибудь перечень документов по ИБ, необходимых для прочтения? просто не хочется упустить что то важное

      ...заранее извиняюсь за глупые вопросы, просто эту область работы безопасника только начал осваивать)

      Комментарий


      • #4
        Сообщение от Viton-Zizu Посмотреть сообщение
        Также планирую в последующем работу в банке, я так понимаю там документов больше для изучения) тоже бы было интересно узнать что по читать, с чего начать)
        посмотрите Стандарт Банка России СТО БР ИББС-1.0-2010 - распространяется на банки и устанавливает требования по обеспечению ИБ.
        Угол зрения зависит от занимаемого места.

        Комментарий


        • #5
          Viton-Zizu, Я бы не стал полагаться только на рыбу, т.к. политика строится. исходя из бизнес-процессов и частной модели угроз конкретной компании. И как написал Alna почитайте СТО БР, и как дополнение к нему - РС БР ИББС-2.0-2007. Так же можно обратиться к стандарту 27001.

          Комментарий


          • #6
            Посмотрите http://securitypolicy.ru/ если нужны примеры документов. Сразу оговорюсь, что документы там самого разного качества, так что надо фильтровать контент.

            Комментарий


            • #7
              http://securitypolicy.ru/ на этом сайте в Политике ИБ даже в терминах ошибки, я бы сказал что это фигня, а не политика

              Комментарий


              • #8
                Сообщение от 00Candyman00 Посмотреть сообщение
                ....даже в терминах ошибки, я бы сказал что это фигня, а не политика
                Примеры ошибок можно? Просто интересно.

                Комментарий


                • #9
                  например что встретилось в самом начале http://securitypolicy.ru/index.php/%...D0%B8%D0%B8%29
                  Выделенное помещение - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация
                  это Защищаемое помещение (ЗП), в одном из открытах ГОСТах по терминологии ИБ есть определение, ну и в СТР-К

                  Комментарий


                  • #10
                    Сообщение от 00Candyman00 Посмотреть сообщение
                    это Защищаемое помещение (ЗП)
                    Да вы, батенька, формалист

                    Комментарий


                    • #11
                      Сообщение от 00Candyman00 Посмотреть сообщение
                      например что встретилось в самом начале http://securitypolicy.ru/index.php/%...D0%B8%D0%B8%29

                      это Защищаемое помещение (ЗП), в одном из открытах ГОСТах по терминологии ИБ есть определение, ну и в СТР-К
                      Рекомендации по стандартизации Р 50.1.056 - 2005. Техническая защита информации. Основные термины и определения.
                      Приложение А (справочное)
                      А.22. Выделенное помещение: специальное помещение, предназначенное для регулярного проведения собраний, совещаний, бесед и других мероприятий секретного характера.

                      Когда разброд в терминах на уровне законов и стандартов, сложно требовать от разработчиков политики "быть святее Папы Римского".
                      В любом случае, разработчикам документов на securitypolicy - спасибо, что делятся своим трудом.

                      Комментарий


                      • #12
                        Сообщение от Tor Посмотреть сообщение
                        Когда разброд в терминах на уровне законов и стандартов, сложно требовать от разработчиков политики "быть святее Папы Римского".
                        Согласен на все сто,
                        а с другой стороны если людям согласующим и утверждающим политику термин Защищаемое помещение не понятен , а понятен термин "Помещение за красной дверью" - я так и напишу в политике, так как главная ее задача быть понятной и доступной для тех кто обязан будет соблюдать изложенные в ней требования.

                        Комментарий


                        • #13
                          Тут принципиальное различие: Выделенное помещение (ВП) - для секретных переговоров (гос.тайна), а Защищаемое помещение (ЗП) - для конфиденциальных. Разброда в данных терминах нет, это четко изложено во ФСТЭКовских документах. Соответственно и требование к ним разные. И если вы, например, попросите аттестовать ВП (хотя имели ввиду ЗП), то счет и требования выставят, мало не покажется.
                          Конечно, разработчикам документов на securitypolicy - спасибо, но их политикой я бы не пользовался.

                          Комментарий


                          • #14
                            Посмотрите эту политику ИБ http://www.slideshare.net/anvolkov/i...v.blogspot.ru/

                            Комментарий


                            • #15
                              Сообщение от 00Candyman00 Посмотреть сообщение
                              Тут принципиальное различие: Выделенное помещение (ВП) - для секретных переговоров (гос.тайна), а Защищаемое помещение (ЗП) - для конфиденциальных. Разброда в данных терминах нет, это четко изложено во ФСТЭКовских документах. Соответственно и требование к ним разные. И если вы, например, попросите аттестовать ВП (хотя имели ввиду ЗП), то счет и требования выставят, мало не покажется.
                              Конечно, разработчикам документов на securitypolicy - спасибо, но их политикой я бы не пользовался.
                              "Ваш крокодил - вы его и спасайте" (c)

                              То, что в документах ФСТЭК (до которых банку дела нет) используются понятия "выделенное помещение" и "защищенное помещение" - ни разу не повод отказаться от использования этих терминов в нормативных документах банка. Глупо придумывать новый термин для "выделенного помещения, предназначенного для персонализации пластиковых карт" только потому, что кто-то когда-то с какого-то перепуга решил обозвать выделенным помещением секретную переговорку.

                              Безопасник, отвечающий за вопросы аттестации, - единственный человек во всем банке, который должен заморачиваться этой терминологической разницей. Затруднять понимание нормативных документов банка остальным сотрудникам банка она не должна.

                              Комментарий


                              • #16
                                Сообщение от malotavr Посмотреть сообщение
                                "Ваш крокодил - вы его и спасайте" (c)


                                Безопасник, отвечающий за вопросы аттестации, - единственный человек во всем банке, который должен заморачиваться этой терминологической разницей. Затруднять понимание нормативных документов банка остальным сотрудникам банка она не должна.
                                +1
                                А ещё "есть спец помещения" "помещения органиченного доступа" Так что данная терминология имела право на существования в своё время, когда сегмент работы с гос. тайной был прерогативой государства и терминологией пытались разграничить зоны ответственности, сейчас на мой взгляд "Всё смешалось в доме Облонских", спецы выходят на пенсию начинают заниматься гражданской безопасностью, плюс неразбериха приподготовке новых спецов привела к анархии в терминах.
                                [OFF]Красим белим, иногда защищаем[/OFF]

                                Комментарий


                                • #17
                                  Сообщение от 00Candyman00 Посмотреть сообщение
                                  Тут принципиальное различие: Выделенное помещение (ВП) - для секретных переговоров (гос.тайна), а Защищаемое помещение (ЗП) - для конфиденциальных. Разброда в данных терминах нет...
                                  В принципе, разброда (кроме как в головах) быть и не может. А именно - выделенные и защищаемые помещения это термины несколько различные по своей изначальной сути. Вылеленные помещения просто предназначены для проведения каких-либо определенных действий, не важно каких, но которые проводить в иных помещениях не следует по ряду причин. Если грубо утрировать, то помещение туалета самое что ни на есть "выделенное" помещение. А вот защищаемое помещение - это уже иная классификация, классификация помещений по признаку организации защиты. Выделенное помещение может и не защищаться. Но, вполне может быть и защищенным. Например, тот же зал для проведения конференций. Если мы там не планируем обсуждать ничего "секретного", то он может быть и вполне незащищенным. Но вот выделенным - вполне. При этом, помещения вполне могут быть и защищенными, но вполне себе и не выделенными для определенных специальных целей.

                                  Комментарий


                                  • #18
                                    Сообщение от Viton-Zizu Посмотреть сообщение
                                    Ребят, такой вопрос, с чего начать разработку политики ИБ?
                                    С определения, что будете защищать (классификация и изучение информационных потоков), требования каких регуляторов собираетесь исполнять (всех одновременно исполнить нереально, да и смысла нет), какие лицензии надо получить.
                                    Прикидываете, что Вам необходимо для этого (люди, техника, интегратор), идёте к руководству, сокращаете всё минимум в двое.
                                    Выбираете наиболее приоритетное направление (СТО ИББС, 152 ФЗ, РД ФСТЭКа).

                                    Можно посмотреть примеры политиик ИБ в инете, но рекомендую это делать ПОСЛЕ того как напишите свою, чтобы глаз не замыливать.
                                    Удачи.
                                    [OFF]Красим белим, иногда защищаем[/OFF]

                                    Комментарий


                                    • #19
                                      Политику свою сделал) спасибо большое за подсказки) какие наиболее важные документы идут далее? положение о конфид.информации? или может инструкции уже начать писать?

                                      Комментарий


                                      • #20
                                        Viton-Zizu, напишите план мероприятий, тогда все станет понятно. Тем более РКН требует эту бумагу

                                        Комментарий


                                        • #21
                                          А можно какой то пример этого плана? найти не смог, а что туда писать пока смутно представляю

                                          Комментарий


                                          • #22
                                            Имеется ввиду План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
                                            План приведения в соответствие.zip

                                            Но он касается именно ПДн, а не документации организации вцелом. И, например, РКН Екатеринбурга не требует его при проверках.

                                            Комментарий


                                            • #23
                                              Сообщение от Sat_Kelman Посмотреть сообщение
                                              Имеется ввиду План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных.
                                              [ATTACH]47471[/ATTACH]

                                              Но он касается именно ПДн, а не документации организации вцелом. И, например, РКН Екатеринбурга не требует его при проверках.
                                              мы у себя похожий "план" составляли еще три года назад....по состоянию на сегодня... уже должно вроде как все быть приведено в соответствие... причем не только у нас, но и у всех других)))... это же не "План достижения коммунизма"... к которому можно двигаться бесконечно)))..
                                              Мы продолжаем делать то, что мы уже много наделали

                                              Комментарий


                                              • #24
                                                Спасибо за ответ!
                                                Вот хотелось бы в облать ПДн пока не лезть, ибо у нас в организации их не так много.

                                                Хотелось бы все таки сформировать набор основных документов по ИБ. Так как здесь начинается всё с нуля, хотелось бы с чего то начать, вот и спрашиваю, какие ещё важные документы желательно сделать?

                                                Комментарий


                                                • #25
                                                  Сообщение от Viton-Zizu Посмотреть сообщение
                                                  Спасибо за ответ!
                                                  Вот хотелось бы в облать ПДн пока не лезть, ибо у нас в организации их не так много.

                                                  Хотелось бы все таки сформировать набор основных документов по ИБ. Так как здесь начинается всё с нуля, хотелось бы с чего то начать, вот и спрашиваю, какие ещё важные документы желательно сделать?
                                                  Если совсем всё с нуля, то начни с интрукции пользователям по работе. Внедри, проведи обучение, собери подписи. Далее она за собой потянет всё остальное.
                                                  Например, у тебя будет написано, что каждому выдаётся уникальный логин. Берёшь это требование и смотришь, как оно у тебя организовано со стороны отдела автоматизации: есть ли порядок создания логина, получения доступа к отдельным ресурсам, образцы служебок, кто кому какую служебку пишет и кто согласует и т.д.
                                                  Или, допустим, у тебя написано, что в случае обнаружения вируса работник должен немедленно сообщить об этом администратору. Смотришь, есть ли инструкция администратору, что делать в случае получения сообщения, как производится обновление антивирусных баз, кто за это ответственнен и вообще, определён ли администратор?
                                                  и т.д.
                                                  А когда придёт осознание того, что такое обеспечение ИБ в данной конкретной организации, можно взяться за политику иб и пойти вниз приводя всё к красивому виду.

                                                  Комментарий


                                                  • #26
                                                    Чем отличается документ "Концепция информационной безопасности" от "Политика информационной безопасности"? В одном банке столкнулся с Концепцией ИБ, которая по своей структуре идентична общепринятым Политикам ИБ и не пойму зачем это сделано. Может и мне так сделать нужно, а я и не в курсе - у кого какие мысли?

                                                    Комментарий


                                                    • #27
                                                      А чем отличаются слова Концепция и Политика?
                                                      Концепция в моем понимании это конкретно-абстрактное представление конкретного человека/группы о том, как нужно организовать процесс. Таких концепций может быть много.
                                                      Политика - набор правил/направляющих, составляющих реальный процесс.
                                                      В Вашем случае, наверное имеется ввиду одно и то же.

                                                      Комментарий


                                                      • #28
                                                        Berckut

                                                        Спасибо большое за ответ! примерно такого совета я и ждал)

                                                        Комментарий


                                                        • #29
                                                          По Вашему совету начал всё таки с Инструкции для пользователей, теперь понял как всю эту документацию понемногу разворачивать, чувствую свою Политику безопасности в любом случае буду переписывать

                                                          Так вот, Инструкцию написал, из инструкции пока у меня вытекают ещё несколько документов:
                                                          -Инструкция по организации антивирусной защиты
                                                          -регламент использования корп. почты
                                                          -паспорт программного обеспечения отдела
                                                          Если с последним всё сразу понятно, перечень программ по отделам, то в первых двух не совсем понимаю чего написать, т.е. нужно прям инструкция по шагам для работы с антивирусом? или что то типа общих строк? что у нас есть антивирусное ПО, им нужно регулярно проверять флешки и тд? может у кого то есть нормальные примеры? а то в инете ничего дельного не нашел пока

                                                          Комментарий


                                                          • #30
                                                            Посмотрите эти документы. Они с форума.
                                                            Антивирусная защита.rar

                                                            Комментарий

                                                            Обработка...
                                                            X