Доброго времени суток, уважаемые хабровчане! Недавно мне пришлось иметь дело с одним местным интегратором по поводу работы по ФЗ-152 и информационной безопасности в целом.
Описывать целесообразность для нашего небольшого офиса я не буду (сделал бы это один, может чуть дольше, но значительно дешевле), так как к моменту моего прихода в нашу организацию вопрос работы с данным интегратором был решен и Я мог только наблюдать и пожинать результаты.
О результатах и размышлениях, «почему так», под хабракатом.
Инструкция действий в чрезвычайной ситуации Так назывался их самый интересный документ. Сразу оговорюсь — я не работал в компаниях-интеграторах, не создавал инструкции для заказчика.
Мне было сложно понять логику создания этого документа; единственный комментарий от человека, написавшего этот документ, был: мы успешно внедрили это во многих организациях и ни у кого не возникло проблем! Теперь перейдем к выдержкам из текста с моими комментариями (раздел 1 - общие положения мы опустим, так как в нем содержится описание законов и т.п.
): 2. Общий порядок действий при возникновении чрезвычайных ситуаций 2.1. При возникновении нештатных ситуаций во время работы сотрудник, обнаруживший нештатную ситуацию, немедленно уведомляет об этом администратора информационной безопасности.
2.2. Администратор информационной безопасности проводит предварительный анализ ситуации и в случае невозможности исправить ситуацию уведомляет об этом руководителя подразделения.
2.3. При возникновении аварийной ситуации составляется акт с описанием ситуации.
При наличии акт сопровождается поясняющими материалами (копиями экрана, распечаткой журнала событий и т.п.
).
2.4. При необходимости проводится внутреннее расследование возникновения чрезвычайной ситуации и установления ее причин.
Первое, что вызывает вопросы: что именно представляют собой эти чрезвычайные ситуации? Откуда рядовой сотрудник, например, в отделе маркетинга, узнает, аварийная ли это ситуация или результат обычных действий? Зачем обременять инструкции для пользователей (по словам того же сотрудника интегратора) описанием действий администратора ЗИ? Далее следует раздел 3. Особенности действий при возникновении наиболее распространенных нештатных ситуаций.
Он большой и состоит из 14 точек; перечислять их все нет смысла, так как там практически каждый раздел представляет собой аварийную ситуацию и что в этом случае делать системному администратору и администратору СИ (повторюсь, инструкция создана для пользователей).
В качестве примера: 3.2. Отключение электричества.
Администратор информационной безопасности совместно с сотрудником (указать) подразделения проводит анализ на наличие потерь и (или) уничтожения данных и программного обеспечения, а также проверяет работоспособность оборудования.
При необходимости программное обеспечение и данные восстанавливаются из последней резервной копии и составляется отчет. 3.3. Сбой в локальной сети (LAN).
Администратор информационной безопасности совместно с сотрудником (указать) подразделения проводит анализ на наличие потерь и (или) уничтожения данных и программного обеспечения.
При необходимости программное обеспечение и данные восстанавливаются из последней резервной копии и составляется отчет. Копипаст просто потрясающий! 3.7. Обнаружена утечка информации (дыра в системе безопасности).
При обнаружении утечки информации уведомляется администратор информационной безопасности и руководитель подразделения.
Проводится внутреннее расследование.
Если утечка информации происходит по техническим причинам, анализируется безопасность системы и при необходимости принимаются меры по устранению уязвимостей и предотвращению их возникновения.
Замечательная формулировка, объясняющая, что такое утечка информации.
Более того, они разделили НСД и утечку информации (дыру в безопасности системы) на два отдельных пункта: 3.8. Взлом системы (веб-сервер, файловый сервер и т. д.) или несанкционированный доступ (НСД).
При обнаружении взлома сервера уведомляется администратор информационной безопасности и руководитель отдела.
По возможности сервер временно отключается от сети для проверки на наличие вирусов и троянских закладок.
Возможен временный переход на резервный сервер.
Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно внимательно проверять целостность исполняемых файлов в соответствии с хеш-функциями эталонного ПО, а также анализировать состояние файлов сценариев и журналов сервера.
Необходимо сменить все пароли, которые были связаны с этим сервером.
При необходимости программное обеспечение и данные восстанавливаются из справочного архива и резервных копий и составляется отчет. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ИС ООО «Вектор», а затем провести аналогичные работы по проверке и восстановлению программного обеспечения и данных на других рабочих станциях ИС ООО «Вектор».
По факту взлома сервера ведется официальное расследование.
3.9. Попытка несанкционированного доступа (ATA).
При попытке несопровождаемого управления анализ ситуации осуществляется на основе информации журналов регистрации попыток ненаправленного управления и предыдущих попыток ненаправленного управления.
По результатам анализа при необходимости принимаются меры по предотвращению НСД при наличии реальной угрозы НСД.
Также рекомендуется провести внеплановую смену пароля.
Если станут доступны обновления программного обеспечения, устраняющие уязвимости безопасности, вам следует установить эти обновления.
Еще один интересный момент в этом разделе, где просто и доступно описывается трудоемкая работа по созданию, тестированию и отладке системы непрерывности бизнеса: 3.13. Катастрофа.
В случае стихийных бедствий следует руководствоваться документами (уточнить) соответствующих подразделений ООО «Вектор».
При возникновении аварийной ситуации составляется акт с описанием ситуации.
При наличии акт сопровождается поясняющими материалами (копиями экрана, распечаткой журнала событий и т.п.
).
Опять копипаст, причем из 2-го раздела.
Их писали люди явно далекие от непрерывности бизнеса.
Я бы посмотрел, как в момент стихийного бедствия составляется отчет, прикрепляются копии экрана, распечатки логов и т.д. Ну а заканчивается этот раздел стандартным абзацем: 3.14. При необходимости проводится внутреннее расследование возникновения чрезвычайной ситуации и установления ее причин.
Четвертый раздел этого тома (повторяю, инструкция для пользователей) называется: Предупреждение возникновения нештатных ситуаций.
4.1. Как минимум (указать срок) должен быть проведен анализ зарегистрированных чрезвычайных ситуаций для разработки мер по их предотвращению.
4.2. В целом, для предотвращения аварийных ситуаций необходимо строго соблюдать требования нормативных документов ООО «Вектор» и инструкций по эксплуатации оборудования и программного обеспечения.
Первый пункт этого раздела — это своего рода управление проблемами в миниатюре.
Второй момент вызывает недоумение.
Этот пункт может заменить все предыдущие 3 страницы текста 12-м шрифтом.
Ну или это намек на один и тот же документ, то есть рекурсия.
Размышления по теме Интегратор, создавший для нас этот документ, достаточно крупный в нашем регионе, работает давно и хорошо известен.
То есть, скорее всего, создается следующая ситуация: к этому интегратору попадает молодой специалист, только что окончивший вуз по престижной специальности «Информационная безопасность».
Он пишет аналогичный документ для заказчика.
Заказчик раньше не имел дела с документами по ИБ (у нас еще советский взгляд на эту отрасль) и принимает этот документ, знакомит его с собой под подпись и так или иначе выполняет требования.
Повторюсь, я никогда не работал у интеграторов.
Я занимался информационной безопасностью организаций, в которых работал, составлял инструкции для себя и своих сотрудников.
Зачем создавать такой трудно усваиваемый и безграмотный документ, наполненный слепым копипастом? Разве молодые специалисты не слышали о передовом опыте и различных зарубежных стандартах безопасности? За время работы в сфере информационной безопасности я понял 2 основные вещи: 1. Информационная безопасность – это прежде всего люди, а уже потом технологии.
2. Инструкции должны выполняться автоматически, для этого они должны быть написаны в доступной форме и с как можно меньшим количеством пунктов (в идеале действия пользователя описываются пошагово с указанием ответственных и их контактов).
Уважаемые интеграторы! Пожалуйста, следите за качеством предоставляемых вами рекомендаций и рекомендуемых документов.
Создавайте их как для себя, а не для «отвали»! P.S. Надеюсь, сотрудники компаний-интеграторов смогут прокомментировать.
П.
П.
С.
Все связи с настоящим ООО «Вектор» случайны.
УПД: Если слили тему или карму, отпишитесь пожалуйста в комментариях за что.
Я буду знать и совершенствоваться.
Теги: #информационная безопасность #интеграторы #инструкции #информационная безопасность
-
Обзор Sony Vaio Vpcf11M1E/H
19 Oct, 24 -
Стохиометрия
19 Oct, 24 -
Действительно Ли Нам Нужна Структура?
19 Oct, 24 -
Добавление Эффекта Окна Aero Glass
19 Oct, 24 -
Специалист Sap: Кто Такой И Как Им Стать
19 Oct, 24
