Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Документация (приказы, инструкции) в ИТ-отделах

Автор: FreemanRU
Дата сообщения: 21.06.2005 15:23
Предлагаю здесь размешать проекты приказов, инструкции и приложения, которые используются в ваших ИТ-отделах.
И само собой обсуждать их.

Принимаются предложения по именованию темы.

Вот мой рубль:

Цитата:

Приказ № (проект)
О реструктуризации системы информационной безопасности

В целях обеспечения конфиденциальности коммерческой, финансовой и технической информации Предприятия, для упорядочивания рабочего времени сотрудников и увеличения отказоустойчивости и эффективности работы всех технических и информационных систем Предприятия,

ПРИКАЗЫВАЮ:

1. Произвести инвентаризацию всех имеющихся информационных активов Предприятия, классифицировать информационные активы по степени важности, определить группы пользователей корпоративной сети, имеющие доступ к каждому конкретному классу информационных активов, явно определить способы доступа пользователей к информации (просмотр, изменение, удаление).
2. Исключить хранение служебной информации на локальных устройствах хранения информации клиентских компьютеров, всю необходимую информацию хранить на специально выделенных для этого разделах файловых серверов. Организовать ежедневное резервное копирование служебной информации в соответствии с утвержденной схемой.
3. Регламентировать доступ отдельных пользователей и групп пользователей к внешним по отношению к корпоративной сети ресурсам исключительно непосредственной служебной необходимостью. Минимизировать внешний по отношению к корпоративной сети трафик. Предоставлять доступ в Интернет только по письменной заявке руководителя подразделения (направления). Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
4. Не допускать использования внешних аппаратных устройств хранения информации (дискет, CD и DVD RW, USB-накопителей и аналогичных устройств), иначе как по представленной в ОИТ заявке руководителя подразделения с подробным техническим обоснованием необходимости использования. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
5. Регламентировать установку и использование средств электронных коммуникаций (электронных почтовых ящиков, систем мгновенного обмена сообщениями). Не допускать использование на рабочих местах корпоративной сети почтовых ящиков, находящихся на бесплатных почтовых серверах, а также почтовых ящиков, не обслуживаемых почтовыми серверами Предприятия. Предусматривать установку и использование средств электронных коммуникаций только по письменной заявке руководителя подразделения, в котором будет использованы данные средства. Подачу заявки осуществлять согласно Приложению 1 к данному Приказу.
6. Регулярно контролировать объем внешнего трафика, потребляемый каждым сетевым устройством (персональными компьютерами, коммутаторами, серверами и аналогичным оборудованием). При выявлении фактов нецелевого использования доступа к внешним ресурсам осуществлять блокирование объекта, потребляющего трафик, и силами ОИТ проводить служебное расследование по фактам такого использования.
7. Взаимодействие серверов и пользовательских компьютеров с внешними по отношению к корпоративной сети Предприятия ресурсами осуществлять только через сконфигурированные специальным образом программно-аппаратные шлюзы. Производить анализ проходящего трафика на корректность и наличие злонамеренного программного обеспечения.
8. Для осуществления сетевого управления, хранения данных, работы со служебной информацией, удаленного администрирования пользователей, при равных функциональных возможностях рекомендовать к использованию преимущественно программное обеспечение с открытым кодом, распространяющееся по лицензиям GPL, либо программные продукты распространяющиеся бесплатно. Произвести аудит имеющегося программного обеспечения на предмет наличия необходимого количества лицензий.
9. На рабочих местах пользователей технически обеспечить возможность выполнения только безусловно необходимых для повседневной работы программ, выполнение остальных программ запретить. Предоставить начальникам отделов и руководителям подразделений (направлений) право изменять списки используемых программ по согласованию с ОИТ.
10. Осуществлять постоянную антивирусную проверку программного обеспечения, установленного на клиентских компьютерах, серверах и маршрутизаторах, своевременно обновлять базы вирусных сигнатур. В случае обнаружения вирусных программ на каких-либо объектах локальной вычислительной сети действовать в соответствии с политикой информационной безопасности.
11. При разработке собственного программного обеспечения силами соответствующих отделов Предприятия предусматривать обязательную персонифицированную аутентификацию пользователей перед использованием программ, а также подробное протоколирование действий пользователя.
12. Совместно с отделом кадров Предприятия разработать систему контроля приема на работу и увольнения сотрудников для своевременного создания и удаления данных для аутентификации и авторизации пользователя в технических и информационных системах Предприятия.
13. В обязательном порядке довести под роспись до всех сотрудников Предприятия, включая руководителей направлений всех рангов и исключая высшее руководство, должностную инструкцию по использованию информационных и технических систем Предприятия согласно Приложению 2 к данному Приказу.
14. При обнаружении невыполнения сотрудниками Предприятия требований немедленно выполнять отключение персонального компьютера от корпоративной сети и ставить в известность непосредственное руководство данного сотрудника.
15. На основе данного приказа разработать политику информационной безопасности предприятия, руководствуясь существующими отраслевыми стандартами (ISO 17799). Разработку политики информационной безопасности возложить на администратора по информационной безопасности.
16. Администратору по информационной безопасности не реже одного раза в квартал представлять высшему руководству отчет о состоянии информационной безопасности сетей и систем Предприятия.
17. В случае возникновения связанных с информационной безопасностью инцидентов глобального характера обязать персонал ОИТ незамедлительно ставить высшее руководство в известность о данных инцидентах.
18. Предыдущую редакцию Приказа считать утратившей силу.



Цитата:

Приложение №2 к Приказу №
Должностная инструкция по использованию технических и информационных систем Предприятия


Как сотрудник Предприятия, использующий персональный компьютер, информационные и технические системы Предприятия в процессе работы, я, ____________________________________________________________________________ , ознакомлен(а) с порядком использования информационных и технических систем Предприятия и, за исключением случаев, когда есть вероятность причинения вреда здоровью сотрудников или порчи оборудования, обязуюсь соблюдать следующие правила:

1. Доступ в глобальную сеть Интернет, к почтовым, файловым и иным серверам и службам, к любым внешним и внутренним ресурсам организации для всех пользователей информационных систем и сетей Предприятия запрещен за исключением случаев, вызванных служебной необходимостью, по согласованию с руководителем подразделения (направления) и в соответствии с утвержденным списком.
2. Использование электронных почтовых ящиков, находящихся на бесплатных почтовых серверах или на коммерческих почтовых серверах, не принадлежащих Предприятию, запрещено. Использование служебных почтовых ящиков, находящихся на почтовых серверах Предприятия, предусмотрено при наличии служебной необходимости.
3. Самостоятельная установка, копирование, распространение и запуск любого программного обеспечения, кроме уже установленного на персональных компьютерах, запрещена.
4. Самостоятельная установка какого-либо аппаратного обеспечения (плат расширения, дополнительных модулей, дисководов, картриджей и т.п.) в персональные компьютеры, оргтехнику и иные устройства запрещена. Самостоятельное подключение к персональным компьютерам каких-либо внешних устройств (сотовых и мобильных телефонов, цифровых фотоаппаратов, адаптеров беспроводной связи и иных), запрещено.
5. Самостоятельное перемещение и вскрытие персональных компьютеров, оргтехники и иных аппаратных устройств запрещено. Удаление пломб и инвентарных номеров с персональных компьютеров, оргтехники и иных аппаратных устройств запрещено.
6. Пароли доступа к персональному компьютеру, к электронным почтовым ящикам, к биллинговым, расчетным и торговым программам, к бухгалтерским системам и к любым другим прикладным программам и файлам являются личным идентификатором пользователя в соответствующих информационных подсистемах, и не подлежат разглашению кому бы то ни было, за исключением сотрудников ОИТ и руководителей подразделений. Запись паролей на общедоступных носителях (приклеенных к монитору листах бумаги и т.п.) запрещена. Использование паролей других пользователей для доступа к информационным ресурсам категорически запрещено. В случае утраты пароля пользователь должен поставить в известность сотрудников ОИТ и обратиться к своему непосредственному руководителю.
7. Использование любых внешних и дополнительных внутренних накопителей (дискеты, электронные, оптические и магнитооптические диски), а также модемов и других устройств дистанционной связи, за исключением специально оговоренных случаев, запрещено.
8. Хранение на служебных информационных носителях (накопителях на жестких магнитных дисках, встроенных в персональный компьютер, дискетах, носителях CD/DVD-R/RW) личной информации, а также информации, не имеющей отношения к производственной деятельности (музыкальные файлы, фоновые изображения и прочее), запрещено.
9. Вся служебная информация должна храниться на выделенных для этого разделах файловых серверов.
10. Любые виды доступа, включая доступ в Интернет и к любым внешним и внутренним информационным ресурсам, предоставляются по письменной заявке, направляемой руководителем подразделения (направления) в ОИТ.
11. Каждый пользователь информационной системы Предприятия несет личную ответственность за соблюдение данных правил и требований. Руководители подразделений (направлений), кроме того, несут ответственность за соблюдение своими сотрудниками данных правил и требований. Несоблюдение данных правил и требований влечет за собой меры административного воздействия вплоть до увольнения.

Технический смысл всех вышеперечисленных правил мне разъяснен. Возражений не имею.

______________________________ ________________________
(число) (подпись)


Автор: begem0t
Дата сообщения: 01.08.2005 06:59
это ваш новый регламент?
Автор: FreemanRU
Дата сообщения: 01.08.2005 08:16
begem0t
Да, на прошлой недели подписало руководство.
Автор: mmt
Дата сообщения: 01.08.2005 08:45
FreemanRU
У меня таких приказов туча + мелкий тазик
Даже если брать основные. Одних только заявок на подключение к ОД и изменению прав доступа и меню 5 штук. Еще на инет + эл. почта, на подключение к сети и шары... Слишком много инфы, которая по сути никому кроме нас и не нужна, даже как "рыба".
Автор: FreemanRU
Дата сообщения: 01.08.2005 08:51
mmt
Просто очень многие просили делиться такой вот инфой (н-р http://forum.ru-board.com/topic.cgi?forum=8&topic=11311#1). Так что ты пожалуй тоже выложи, если тебе не сложно.

Тока вопрос - в more заключать или не надо?
Автор: begem0t
Дата сообщения: 01.08.2005 10:26

Цитата:
Тока вопрос - в more заключать или не надо?

чтото вопрос не ясен. Что за more и кого ты туда хочешь заключать?
Автор: FreemanRU
Дата сообщения: 01.08.2005 10:32
begem0t
http://forum.ru-board.com/topic.cgi?forum=2&topic=1716#1
Автор: mmt
Дата сообщения: 01.08.2005 22:18
FreemanRU

Цитата:
ак что ты пожалуй тоже выложи, если тебе не сложно.

Мне не сложно, но инфы море и многое достаточно специфично Лучше конкретизировать.
Автор: north_crow
Дата сообщения: 11.08.2005 08:24
ребята!
очень срочно нужна ваша помощь!!!

начальство насело с требование предоставить регламенты по следующим темам:
• Создание сетевого акаунта
• Удаление сетевого акаунта
• Архивация данных
• Резервное копирование данных
• Восстановление данных из резервной копии
• Антивирусная проверка
• Работа с почтовой программой
• Назначение прав доступа к сетевым дискам
• Регламент на проведение сетевого кабеля к рабочему месту.
• На модернизацию рабочего места (установка дополнительного или замена устаревшего железа).
• На установку дополнительного программного обеспечения не входящего в стандартный комплект.
• На установку операционной системы и программного обеспечения на рабочие места.

где их брать и как писать ума не приложу...
может у вас есть такие регламенты??? подкиньте плиз!!!
очень срочно.
Автор: nickloayev
Дата сообщения: 11.08.2005 23:04
north_crow
тут не смотрел?
Автор: north_crow
Дата сообщения: 12.08.2005 10:48
nickloayev

Цитата:
тут не смотрел?

смотрел... есть похожие темы, но там много переделывать нужно
вот если найти готовые документы, чтобы просто изменить название конторы и все...
или я слишком много хочу???
Автор: Klesk
Дата сообщения: 14.04.2006 13:39
FreemanRU
Очень надо, скинь приложение 1, плиз.

To All
Если есть у кого ISO 17799:2005 поделитесь? Говорят даже на русском где-то ходит, хотя редкость небывалая.
Автор: bys
Дата сообщения: 14.04.2006 14:20
Очччень полезная ссылка на различные шаблоны документов:
http://security.software-testing.ru/wiki/ShablonyDokumentov
Автор: FreemanRU
Дата сообщения: 11.08.2006 09:29
от levkadub различные документы
В архиве:
Инструкция пользователя (с приказом)
Опросная форма на подключение к ресурсам ЛВС
Опросная форма после подключения к ресурсам ЛВС
Правила использования информационных ресурсов ЛВС
Предоставление доступа к инф.ресурсам (Регламент)
Автор: Klesk
Дата сообщения: 02.10.2006 12:20
Нужно разработать соглашение для работников предприятия, приблизительного такого плана (кусок взят с networkdoc.ru и добавлено от себя):

Цитата:
1.2 Все документы, создаваемые или хранимые на компьютерах предприятия, являются собственностью предприятия.
1.2.1 Предприятие оставляет за собой право осуществлять наблюдение за электронными документами сотрудников. Документы, хранящиеся на рабочих станциях пользователей, могут быть просмотрены без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.
1.2.2 Личные данные работника могут использоваться на предприятии......


Кто-нибудь может помочь?
Автор: allein
Дата сообщения: 04.12.2006 04:20
Англоязычные ресурсы по теме

SANS Security Policy Project
Очень полезный ресурс. The SANS Security Policy Project, содержит большой репозитарий готовых политик безопасности на разные случаи жизни, распространяемых бесплатно. Также здесь можно найти интересные ссылки на ресурсы, посвященные разработке политик безопасности.

Computer Security Policy Directory
The Computer Security Policies Group (UK), предоставляет всем желающим возможность скачать со своего сайта тестовую версию политик безопасности вместе с инструментарием для их внедрения.


Автор: sergikhack
Дата сообщения: 11.11.2007 10:55
Подходящего не нашел.
А нужно: регламент работы на сервере с личной (конфиденциальной, корпоративной) информацией, которая подлежит уничтожению в случае проверки третьими лицами (МВД и проч.).
Автор: allein
Дата сообщения: 07.04.2009 11:10
Еще ссылок по теме (все англоязычные, уж простите):

SANS InfoSec Reading Room - Security Policy Issues

Cisco Network Security Policy: Best Practices White Paper

Sample Policies

The Security Policy World Download Page

Berkeley Information Technology Security Policy

Добавлено:
Может кто знает как можно достать следующее:

Information Security Policies Made Easy
Весь Интернет обрыл безрезультатно.
Автор: zzzolegzzz
Дата сообщения: 15.06.2012 10:41
Помогите найти образец Регламента обновлений и исправлений сетеобразующего оборудования ... очень надо ...

В свою очередь могу предоставить:
- Регламент предоставления доступа в сеть интернет
- Регламент подключения и использования мобильных устройств
Автор: MakIF
Дата сообщения: 01.08.2012 12:40
FreemanRU
Если не трудно скиньте Приложение №1
Автор: Saw29rus
Дата сообщения: 31.05.2016 11:53
Всем доброго времени суток. Скиньте пожалуйста следующую актуальную информацию на 2016 год (для госучреждений/администраций муниципальных образований):
1. Руководство по защите информации
2. Порядок работы с конфиденциальной информацией
3. Инструкция по работе в сети Интернет

Страницы: 1

Предыдущая тема: Расшарить USB порт


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.