Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Общие вопросы ИБ Запретить политикой безопасности копирование файлов
Protectiva Compliance Manager

Запретить политикой безопасности копирование файлов

Операции с документом
Вверх к Общие вопросы ИБ

Запретить политикой безопасности копирование файлов

Послано Сергей в 25.Июнь.2015 17:41

Здравствуйте!
Возникла проблема по информационной безопасности,
помогите, пожалуйста, разобраться.

Наша фирма занимается обслуживанием серверов.
Каждый наш специалист по обслуживанию имеет удаленный доступ к нескольким серверам разных клиентов.

Недавно возникла такая ситуация, что файлы (Word-документы) одного клиента попали на сервер другого клиента. Наш специалист их просто скопировал туда как на временное хранилище, а удалить потом оттуда забыл.
И получается, что теоретически возможна такая ситуация, что таким же образом документы нашей фирмы могут попасть на сервер клиента.

Чтобы этого избежать мы решили прописать в документы по информационной безопасности пункт о том, что копировать данные одного клиента на ресурсы других клиентов не допускается.
Какими документами надо оформить это требование? Как это правильно сформулировать? На какие нормативные акты можно сделать ссылки?

Re: Запретить политикой безопасности копирование файлов

Послано Александр Астахов в 26.Июнь.2015 11:50

В данном случае политика удаленного администрирования серверов должна определять запрет на копирование файлов клиентов, а также прочие организационные и технические меры защиты. Можно использовать специальные продукты для контроля действий администраторов. Идея заключается в  том, что администраторы заходят на серверы клиентов не напрямую, а через специальный прокси, на котором осуществляется протоколирование и мониторинг всех сеансов удаленного администрирования, а также настраиваются ограничительные политики, определяющие выбор протоколов, способов аутентификации, запреты на копирование файлов, запреты на выполнение определенных команд и т.п.

Re: Запретить политикой безопасности копирование файлов

Послано Сергей в 26.Июнь.2015 14:28

Спасибо за ответ!

 

Предыдущий Александр Астахов писал:

В данном случае политика удаленного администрирования серверов должна определять запрет на копирование файлов клиентов

Здесь под "политикой" вы имеете ввиду:

1) политику как документ, определяющий основные принципы информационной безопасности в компании, или

2) политику как набор параметров компьютера, которые регулируют его безопасность?

 

Re: Запретить политикой безопасности копирование файлов

Послано Александр Астахов в 26.Июнь.2015 15:31

обычно сначала разрабатывается документ-политика, устанавливающий требования, а затем определяется и настраивается тот набор конфигурационных параметров, которые необходимы для выполнения требований, сформулированных в политике. такие наборы параметров (оборудования и ПО) называют техническими стандартами.

Re: Запретить политикой безопасности копирование файлов

Послано Андрей Рыбин в 26.Июнь.2015 22:31
Предыдущий Сергей писал:

Здравствуйте!
Возникла проблема по информационной безопасности,
помогите, пожалуйста, разобраться.

Добрый вечер, Сергей!

 

Разработайте ОРД и внедрите DLP-систему (не мониторинговую, а блокирующую передачу).

Re: Запретить политикой безопасности копирование файлов

Послано Сергей в 29.Июнь.2015 14:29
Предыдущий Александр Астахов писал:

обычно сначала разрабатывается документ-политика, устанавливающий требования....

 

Да, мы сейчас как раз дорабатываем документ-политику, в связи с возникшим у нас инцидентом.

Мой вопрос заключался в том, как правильно в этом документе сформулировать требование о запрете копирования файлов клиентов на сервера других клиентов. Все время получаются какие-то "кривые" формулировки.

Re: Запретить политикой безопасности копирование файлов

Послано Сергей в 29.Июнь.2015 14:33
Предыдущий Андрей Рыбин писал:
Разработайте ОРД ...

 

Я выше уже ответил, что мы как раз этим и занимаемся.

Но у нас не получается грамотно сформулировать это требование, из-за того, что мы не являемся специалистами в этом вопросе.

 

Как надо сформулировать, что копировать данные одного клиента на ресурсы других клиентов не допускается?

И какими нормативными актами можно обосновать это требование?

Re: Запретить политикой безопасности копирование файлов

Послано Александр Астахов в 29.Июнь.2015 15:07

Требования о запрете копирования файлов обусловлено соглашениями о конфиденциальности (неразглашении информации), которое вы должны заключать со своими клиентами, на основании закона о коммерческой тайне. Конкретные формулировки зависят от контекста. Чтобы чего-то советовать надо видеть весь документ. Кривые, не кривые, главное, чтобы вашим сотрудникам было понятно.

Re: Запретить политикой безопасности копирование файлов

Послано Андрей Рыбин в 30.Июнь.2015 21:44
Предыдущий Сергей писал:


Чтобы этого избежать мы решили прописать в документы по информационной безопасности пункт о том, что копировать данные одного клиента на ресурсы других клиентов не допускается.
Какими документами надо оформить это требование? Как это правильно сформулировать? На какие нормативные акты можно сделать ссылки?

Например, так:

СОИБ Общества должна обеспечивать контроль копирования пользователем информации на внешние для Общества ресурсы, а также её отправку на внешние для Общества адреса с помощью корпоративной системы электронной почты.

Или слово "контроль" меняем на "невозможность"  ... "без специального разрешения ответственного лица".

Нормативные акты разрабатываются локальные (т.е. действующие только на предприятии), ссылайтесь на 98-ФЗ и 149-ФЗ.

 

 

Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex