[Sysadmins] Политика информационной безопастности на предприятии

[Денис Смирнов]

On Wed, Apr 11, 2007 at 05:48:19PM +0400, Nick Gavrikov wrote:

NG> Здесь действует правило: любой винчестер может быть переформатирован
NG> в любое время. Все работают с централизованной базой. 

Я к этому ещё добавлял все-таки и наличие файлсервера, на котором могут
лежать какие-то документы, и который тоже backup'иться. "My Documents"
указывала на сетевой диск, так что все было в этом смысле нормально. Но
это нужно только в том случае, если не вся работа менеджеров может быть
четко сформулирована в рамках этой базы (например если они изобретают
какой-нибудь способ раскрутки, связываются со сторонними компаниями
предоставляющими клиентов, или ещё что хитрое и не предусмотреное при
создании базы творят).

Единственное что -- совсем полезно таки сделать образы диска, и реально
раз в неделю-две разворачивать систему с образа. Чтобы не повадно было.

NG> Заказы, с
NG> которыми работа не ведется дольше месяца, отправляются в архив, куда
NG> менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не
NG> могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо
NG> на основании уже существующего заказа - это нужно если они хотят
NG> что-то подправить).

Кстати это автоматом делается? Жутко интересно попытать тебя на предмет
какая вообще информация о заказе хранится. У меня сейчас заказ == данные
требуемые для подготовки первички + ссылка на заказчика, в  инфе о котором
все реквизиты, всевозможные контакты и несколько полей для комментариев.

NG> Оплаченные заказы соответствующим образом помечаются, менеджеры
NG> выписывают на них первичные бух. документы (собственно, документы сами
NG> выписываются на основании подготовленного заказа)
NG> Типовые договора менеджеры заключают самостоятельно по заранее
NG> утвержденной схеме. Если клиент придумал какой-то новый пункт
NG> договора, который еще не обговаривали, кусок договора отправляется по
NG> почте или по телефону юристам, после чего согласовывается и в
NG> дальнейшем вносится в типовую схему.

Договора ручками заполняются, или тоже по темплейтам?

NG> Офис 2. Бухгалтерия, юр.отдел.
NG> Работают с той же базой данных что и менеджеры. С их рабочих мест
NG> доступ к базе осуществляется через интернет по шифрованному протоколу.
NG> На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до
NG> сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их
NG> компьютерах нет.

Кстати о базе -- они работают с тамошней базой, или ты не поленился
сделать репликацию?

NG> В интернет в случае надобности ходят с консоли их сервера под гостевым
NG> паролем, где крутятся иксы и firefox. Доступа с сервера на их
NG> компьютеры для гостя нет. При необходимости пересылки текстовой
NG> информации, они могут послать себе письмо с этого компьютера на свою
NG> рабочую машину.

А в связи с чем не стал разрешать анлимный доступ к группе бухсайтов,
вроде mosnalog.ru и прочих аналогичных?

NG> Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
NG> сервис-центр.
 NG> Хитрая система: локальные компьютеры доступа к интернету напрямую не
 NG> имеют. Если им нужен интернет - они включают на своем компе X-сервер,
 NG> после чего ходят в интернет с удаленных терминалов с сервера. (Криво
 NG> сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
 NG> свою рабочую машину - они копируют данные в определенную папку,
 NG> которая в свою очередь видна с их компов через FTP.

Бухам не стал такое делать, потому как  "для них это слишком хайтек", или
были ещё причины?

NG> Если консоль не нужна одновременно нескольким людям, кто-то один может
NG> работать на локальной консоли сервера. Все же иксы по сети виндошные -
NG> это не так удобно как настоящая консоль. В общем, кто как. Есть люди
NG> которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
NG> переться не хотят чтобы почту проверить.

Кстати, а им почему не разрешили почту локально? Чтобы не придумали
способов таки послать через эту почту файлик (ююками хотябы)? Хотя все это
тоже не гарантировано. Если икссервер умеет copy&paste, если найдется
более-менее квалифицированый товарищ который захочет вынести -- вынесет :(

В SecretNet для этого мандатный контроль используют, который в том числе
буфер тоже контролирует, и данные не позволит скопипастить из ценного
файлика в какое-либо приложение, кроме имеющего право на работу с этой
информацией.

NG> Есть некоторые тонкости организации безопасности канала по которому
NG> работают иксы, пришлось немного KDM подпатчить. Если интересуют
NG> подробности - расскажу.

Безусловно.
Шлите патчи (c) :)

NG> На сервере имеется папка для бекапа, куда ежедневно все сотрудники
NG> уходя с рабочего места обязаны клать исходный код проекта, над которым
NG> они сегодня работали. В 5 утра включается скрипт, который проверяет,
NG> если в папке должно лежать и ничего не лежит - идет пинок с
NG> дальнейшими административными взысканиями в случае повторения в
NG> размере оплаты одного рабочего дня.

Логично. А просто заставить их в добровольно принудительном порядке класть
все рабочие файлы в те же MyDocuments, и автоматом бэкапить уже их?

NG> Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
NG> чтение, таким образом испортить они ничего не могут. Бекапы выборочно
NG> проверяются на предмет, не лежит ли в них мусор вместо работы. В
NG> случае выявления подобных проделок - человек увольняется в 24 часа без
NG> зарплаты (пока что только один раз было такое).

Разумно. Естественно приемка работы происходит именно по содержимому
бэкапа?

NG> Доступ к чужим бекапам имеет только начальство. Если нужно передать
NG> что-либо с компьютера разработчика наружу (например, схемы или готовые
NG> программы) - это делается через начальство. Если несколько человек
NG> ведут работу над одним проектом и им необходимо регулярно обмениваться
NG> данными - они могут делать это, опять же без возможности выноса данных
NG> за пределы рабочей группы.

Каким образом их взаимодействие организовано? Шареные папки, или более по
человечески?

NG> USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
NG> них нет. Все флешки, диски и прочая фигня проносятся только через
NG> начальство.

А куда суются разрешенные флешки если USB-порты опечатаны?

NG> Во всех офисах ведется видеонаблюдение.
NG> Вот, вкратце... Кажется ничего не забыл. Comments please.

Параноя рулез.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
 * ott хочет lisp machine 
 * gvy hands emacs to ott 
<ott> gvy это не машинаа
<gvy> ott, самосвал? ;-)
<ott> gvy это тормоз
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20070412/1c009e2f/attachment-0003.bin>