[Sysadmins] Политика информационной безопастности на предприятии

Nick Gavrikov =?iso-8859-1?q?nickgavrikov_=CE=C1_gmail=2Ecom?=
Ср Апр 11 17:48:19 MSD 2007


Добрый день.

Могу поделиться своим опытом в организации работы и безопасности в
частности в небольшой организации. Правда тут есть некоторые
немаловажные подробности, которые невозможно реализовать чисто со
стороны IT, но может быть послушать будет интересно, а может быть
кто-нибудь внесет и какие-нибудь дельные усовершенствования.

В компании есть три территориально разнесенных офиса:

Офис 1. Здесь работает отдел продаж, стоит выставочный стенд с
товарами, которые продают, сюда приходят покупатели, здесь сидят
менеджеры занимающиеся непосредственно общением с клиентами. В этом
офисе трафик не считают, никаких специальных ограничений менеджерам на
скачивание из интернета не вводится. Все менеджеры работают за
проценты, соотв. они могут работать хоть один день в неделю - если они
при этом получат достаточное количество заказов никого не будет
волновать что именно они делают. С другой стороны, они понимают все
же, что если они убьют свой комп - работать они не смогут и возможно
сорвется хороший клиент, так что специально они и не гадят.

Здесь действует правило: любой винчестер может быть переформатирован
в любое время. Все работают с централизованной базой. Заказы, с
которыми работа не ведется дольше месяца, отправляются в архив, куда
менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не
могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо
на основании уже существующего заказа - это нужно если они хотят
что-то подправить).

Оплаченные заказы соответствующим образом помечаются, менеджеры
выписывают на них первичные бух. документы (собственно, документы сами
выписываются на основании подготовленного заказа)

Типовые договора менеджеры заключают самостоятельно по заранее
утвержденной схеме. Если клиент придумал какой-то новый пункт
договора, который еще не обговаривали, кусок договора отправляется по
почте или по телефону юристам, после чего согласовывается и в
дальнейшем вносится в типовую схему.

Офис 2. Бухгалтерия, юр.отдел.

Работают с той же базой данных что и менеджеры. С их рабочих мест
доступ к базе осуществляется через интернет по шифрованному протоколу.
На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до
сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их
компьютерах нет.

В интернет в случае надобности ходят с консоли их сервера под гостевым
паролем, где крутятся иксы и firefox. Доступа с сервера на их
компьютеры для гостя нет. При необходимости пересылки текстовой
информации, они могут послать себе письмо с этого компьютера на свою
рабочую машину.

Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
сервис-центр.

Хитрая система: локальные компьютеры доступа к интернету напрямую не
имеют. Если им нужен интернет - они включают на своем компе X-сервер,
после чего ходят в интернет с удаленных терминалов с сервера. (Криво
сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
свою рабочую машину - они копируют данные в определенную папку,
которая в свою очередь видна с их компов через FTP.

Папка по FTP доступна только для чтения, т.е. "вынести" информацию из
офиса через интернет они не могут - только получить. Почему именно
FTP, а не самба - не помню уже... что-то с правами доступа там не
получалось...

Если консоль не нужна одновременно нескольким людям, кто-то один может
работать на локальной консоли сервера. Все же иксы по сети виндошные -
это не так удобно как настоящая консоль. В общем, кто как. Есть люди
которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
переться не хотят чтобы почту проверить.

Есть некоторые тонкости организации безопасности канала по которому
работают иксы, пришлось немного KDM подпатчить. Если интересуют
подробности - расскажу.

На сервере имеется папка для бекапа, куда ежедневно все сотрудники
уходя с рабочего места обязаны клать исходный код проекта, над которым
они сегодня работали. В 5 утра включается скрипт, который проверяет,
если в папке должно лежать и ничего не лежит - идет пинок с
дальнейшими административными взысканиями в случае повторения в
размере оплаты одного рабочего дня.

Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
чтение, таким образом испортить они ничего не могут. Бекапы выборочно
проверяются на предмет, не лежит ли в них мусор вместо работы. В
случае выявления подобных проделок - человек увольняется в 24 часа без
зарплаты (пока что только один раз было такое).

Доступ к чужим бекапам имеет только начальство. Если нужно передать
что-либо с компьютера разработчика наружу (например, схемы или готовые
программы) - это делается через начальство. Если несколько человек
ведут работу над одним проектом и им необходимо регулярно обмениваться
данными - они могут делать это, опять же без возможности выноса данных
за пределы рабочей группы.

USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
них нет. Все флешки, диски и прочая фигня проносятся только через
начальство.

Во всех офисах ведется видеонаблюдение.

Вот, вкратце... Кажется ничего не забыл. Comments please.


-- 
С уважением,
Nick Gavrikov


Подробная информация о списке рассылки Sysadmins