[leonty]

я поддерживаю идею, но мне кажется если на каждое движение мыши рисовать скриншот, то получится толмуд который никто не будет читать.

я уже упоминал как то. Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя, будет гораздо эффективнее нежели "Самоучитель работы на компутере для организации Петя и Ко".

[Coutty]

Это не политика ИБ, а просто мануалы для пользователей.

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации, нанесения меток на носители информации (на жёсткие диски, дискеты, компашки, бумажные носители). Потом пользователи должны подписать документ, что они ознакомлены со списком и обязуются не разглашать информацию в такие-то сроки (скажем, в течение года после увольнения).
Доступ к ком.тайне ограничить, разумеется. Вести журналы доступа (передал в пользование, получил обратно).
Системники запломбировать (хотя бы для того, чтобы внутрь не лазили под угрозой штрафов). Назначить ответственных (каждый отвечает за своё рабочее место. Если пломба уже сорвана - обратиться к админу ИБ, чтоб разобрался).
Инструкции на такие "ЧП локального масштаба" написать и где-нибудь в открытом доступе разместить. Принтер поставить возле секретаря или кого-нибудь другого, кто будет вести учёт печатных документов под роспись в журнале. Секретаря, вообще-то, легко купить на "шоколадку" (или что-то другое малоценное), т.ч. сами решайте.
Интернет на компах, обрабатывающих что-то ценное - отрубить.

Обязательно надо делать инструкции по "логин-паролям". Чтобы нигде не записывали на видном месте. Можно подарить даже ручки с надписями "не для записи паролей". Составить какой-нибудь документ, где описывается система штрафов за простые пароли (админ проверяет брут-форсом), записи на видном месте, за передачу пароля коллеге, оставление рабочего места без блокировки (за такое можно наказать делом - удалив, скажем, отчёт, над которым вторые сутки работают. Но это жестоко). На случай увольнения - свои процедуры должны быть описаны (блокировка учётной записи и снятие прав).

А вот "какими программами пользоваться можно" и всё такое - это забота администратора. Неужели нельзя организовать замкнутую программную среду, отключить порты?
Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте.

[zeroua]

exo, по вопросам ИБ сам читаю регулярно и вам рекомендую этот блог: http://vladbez.spaces.live.com/

З.Ы. и ещё добавлю две ссылки направленные на защиту отдельно взятого ПК, уж частенько ИБ специалист является ещё и просто системным администратором...

Безопасный Интернет. Универсальная защита для Windows ME - Vista
Базовая концепция системы безопасности ОС Windows семейства NT

[exo]

Цитата leonty:

то получится толмуд, который никто не будет читать »

Это уже проблемы пользователей: незнание закона не освобождает от отвественности.

Цитата Coutty:

Это не политика ИБ, а просто мануалы для пользователей »

Вот и хочу из этих мануалов "сшить" толмуд по ИБ.

Цитата Coutty:

В рамках ИБ вам следует начать с составления перечня конфиденциальной информации »

так и запишем. Глава 1 - Конфидециальность информации.
Кстати, я знаю что она прописывается в трудовом договоре сотрудника. там 3 года не разглашения у меня.

Цитата Coutty:

Составить какой-нибудь документ, где описывается система штрафов за простые пароли »

пароли мы сами задаём, и потом сообщаем пользователям и ведём список паролей в запароленном файле.

Цитата Coutty:

"какими программами пользоваться можно" »

я имел ввиду программы? которые пишут ИБ.

Цитата Coutty:

Насчёт корректного выключения компов - да примотайте эти вилки к упсам, чтоб не выдёргивали. Пусть выключают кнопкой на системнике. Или ярлык на рабочем столе сделайте. »

Coutty, это всё понятно. мне это описать нужно.

сейчас почитаю, попробую что-нить своё замутить.

[exo]

Цитата zeroua:

этот блог: http://vladbez.spaces.live.com/ »

прекрасный блог. я раньше ненавидел блоги...

Цитата leonty:

Мне кажется хоршо проработанный под свои потребности такой вариант инструкции пользователя »

взял за основу... не хватает лишь политики работы с оргтехникой.

и такой вопрос:

Цитата:

1.8 Каждый сотрудник САМ создает пароль для входа в компьютерную сеть. При этом пароль должен содержать не менее 8 символов и состоять из букв и цифр.

правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям.
Все пароли записываются в зашиврованном, запороленном файле.

второй вопрос:
Есть терминальные пользователи. Из всех регионов России.
Как лучше, безопаснее, передовать учётные данные для входа на терминальник?

[VladimirB]

exo, спасибо за отзыв о моем блоге. Теперь по существу вопроса

Цитата exo:

правильно ли это? у нас в организации сисадмин назначает пароли согласно требованиям и потом сообщает пользователям. Все пароли записываются в зашиврованном, запороленном файле. второй вопрос: Есть терминальные пользователи. Из всех регионов России. Как лучше, безопаснее, передовать учётные данные для входа на терминальник »

1. Нет. Не правильно. За время долгой работы офицером ИБ мне приходилось участвовать в качестве расследования в случае аналогичном вашему. Утечка паролей произошла от человека, который их генерировал.
2. А вот здесь уже зашифрованная почта. Причем, опять таки, по науке. Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе

[exo]

Цитата VladimirB:

Логин передается по одному каналу, даверенному. Пароль по другому. Нельзя вместе »

как вам идея по SMS рассылать учётные данные? вроде мобильную связь и SMS ещё не перехватывают...

[VladimirB]

exo, Вы не правы. Перехватывают. Вопрос в другом. Нужны 2 канала связи. Защищенных, шифрованных, короче разных.
Один - ваш электронный. Второй - что-то типа спецсвязи. Фельдсвязи. По одному шифром передают пароли. По другому - логины. Вот и вся схема

[zod1]

Цитата exo:

как вам идея по SMS рассылать учётные данные? »

Цитата VladimirB:

exo, Вы не правы. Перехватывают »

Вопрос еще в том, нужна ли эта информация кому-то настолько, чтобы перехватывать SMS непонятно от кого кому.
Есть ведь принцип защиты информации - защита должна защищать настолько, чтобы преодолеть ее было менее затратно, чем ценность этой информации. Ну это мой парафраз, вы как специалист знаете этот принцип гораздо лучше меня.