Документ по информационной безопасности в Вашей компании?

Question

[prox]

Один из важнейших документов уважающей себя компании должен быть документ по информационной безопасности (security policy), который должен описывать политики и процедуры по информационной безопасности.

Объем документа может быть разным. Сотрудники должны соблюдать хотя бы базовые требования.


Примеры:

— Политика обеспечения безопасности при взаимодействии с сетью Интернет,

— Политика резервного копирования и восстановления данных,

— Парольная политика,

— Политика управления доступом к ресурсам корпоративной сети

и т.д.


Собственно вопрос: Есть ли у Вас такой документ, соблюдаются ли он и какие темы он включает?

Answer 1

[Дмитрий]

Возможно в нашей компании и есть такая инструкция, но по факту всё передаётся новым сотрудникам ИТ отдела нами(безопасниками) в устной форме…

Answer 2

[Вячеслав Голованов]

Первый пункт документа об информационной безопасности — никому не рассказывать об этом документе…

Answer 3

[porzione]

Обычно такой документ является приложением к трудовому договору, причем он не подлежит разглашению.
Для рядовых сотрудников обычно это список запретов — устанавливать пиратский софт на свой комп, устанавливать шаринговые клиенты и тп продукты, либо вообще запрет что либо устанавливать, а пользоваться лишь тем, что поставил ИТ отдел.
Соответственно бэкапами, ограничением доступа и тп занимается лишь ИТ отдел.

Answer 4

[Николай Турнавиотов]

Чаще всего СБ в ИТ части выполняется ИТ отделом, иногда выделенные сотрудники с соответствующим образованием по защите информации.
Обычная СБ — чаще всего бывшие менты/кгб/сбу/свой вариант, которые в ИТ разбираются мало и плохо, и по большей части в возрасте и звании.
А политика обычно описана групповым политиками в домене и настройками на прокси и почтовом сервере.

Документов за свой стаж я встречал один раз. когда устраивался в банк, но если честно, меня обломало читать несколько десятков листов А4 этой ахинеи — просто подписал и отдал

Answer 5

[Николай Турнавиотов]

а инструкции по настройкам — бекапам и так далее -да, иногда делаются, иногда рассылаются всем сотрудникам в форме приказа.

Но приучить всех сотрудников хранить все документы на файловых серверах можно только одним способом — маппинг «мои документы» на сетевой диск, запрет записи туда музыки/видео политиками на файловом сервере и закрытием на запись локальных дисков в принудительном порядке с отбиранием админских прав. и списком софта, допустимого к установке на рабочие машины

Answer 6

[Николай Турнавиотов]

Либо тонкие клиенты и rdp/vnc сервера.

Answer 7

[Анастасия Белоусова]

Вы правильно пишете, что документ по ИБ - один из важнейших документов, ведь он находится в вершине иерархии документов по защите информации.
В идеале у компании должна быть Концепция ИБ и Политика ИБ. Если компания к тому же является оператором персональных данных, то по ФЗ-152 должна быть разработана Политика обработки [и защиты] персональных данных.
Организационную документацию логично разделить на две части: организация защиты и обеспечение защиты. В первой пишутся организационные моменты, во второй - как все нужно настроить админам, чтобы соответствовало планам организаторов. Не забываем про назначение ответственности по каждому направлению работ: уничтожение данных, резервирование данных, доступ в служебные помещения и пр.