Как контролировать сисадмина?

[IBV 112]

PS. но вроде ветка-то "Флейм"...

ужель и тут свободы не видать??

А нужна такая свобода? Человек задал вопрос. Наверное для него это важно.

Мало во Флейме тем, где можно прикалываться?

[IBV 112]

или даже пройти команда на боевой пуск.

Странник,

я конечно не спец, но сдаётся мне, что это перегиб.

[ssv22 16]

Странник,

я конечно не спец, но сдаётся мне, что это перегиб.

вО-От, и я о том же...

PS. далее по сценарию...

PPS. это не "перегиб", это философия...

[Гость aleank]

1. я работал на одной конторе, там сделали все красиво, с удаленным сталом, с админом который мог смотреть все что делают другие, но после месяца такого узанья и того, как админ случайно развалил всю сборку-конструкторов отделили от общей сети и оставили один компютер на отдел, по которому можно было выйти в общую сеть если что то надо срочно скинуть. выход конечно средненький зато доступ к новым разработкам был полностью закрыт до тех пор пока не начнется подготовка производства.

2. устраивался на одну работу, в связи с кризисом накрылась, там у компов небыло не привода не дисковода только сеть-что писалось ранее, и доступ залить какую нить информацию только у начальника-требований к производительности труда была куча, а вот настроить программу под себя нет, у конструктора на рабочей машине права только пользователя, сделать ничего не может по изменению настроек. мне наверное даже повезло с этим кризисом что я туда не попал. :)

3. встречался, конечно и вообще без ввся кого администрирования.

мое мнение, что конструкторам администратор не нужен, требуемые программы ставят или сами или представители программного обеспечения.

следить за тем что бы в игрушки не играли смысла нету, премией и зарплатой решить данную проблему можно, а то что я не на тех сайтах сижу или в интернете много время провожу, это мое дело и что я там делаю - это мне решать или моему начальнику. конечно без них плохо и многим тяжело, но от них и очень много проблем для нас. и вообще констукторское бюро должно быть закрыто от общей сети, а решение по их маленькой локальной группе должно приниматься внутри и сообща.

[Гость aleank]

консенсус и среди двоих найти тяжело, но когда люди работают и выполняют свою работу, то найти его не так сложно как кажется, конечно есть всякие выскочки, которым все не так но им не место в каманде, и с ними всегда тяжело работать.

тут всегда возникает вопрос в подборе кадров и его отборе :).

[Художник 47]

Грамотно разграничивайте права доступа, и нет никаких проблем с админом.

Выполнение организационно-технических мероприятий по информационной безопасности, некоторые ART и labslo перечислили, решает все возможные проблемы с админами. Кроме того, на предприятии с большим объёмом компьютеров, ПО и сетей должен быть зам директора по IT, ну или там - начальник отдела информационных технологий. Вот это его забота - строить админа и сети. Вам как юзеру остаётся только соблюдать его рекомендации и выкатывать проблемы.

[Художник 47]

Одному довольно ACAD (ну не может человек в 3D), другой упёрся в MDT, а третьему и CATIA трудной не кажется, при чём каждый из них действительно ведущий... вот и разрули такой клубок. Естественно, при прочих равных выигрывать у всех будет именно тот, что пользует CATIA, да и контора будет непременно уступать конкурентам, если в ней доминирует менее функциональный CAD. Что, с таким нюансами не сталкивались? Если нет, то значит и коллективной работы в ваших организациях небыло.

Соберите совещание, и волевым решением централизовано переходите на определённые пакеты программ. Установку любого несанкционированного ПО пользователями заблокировать, только администратор. На определённые группы компьютеров ставьте файерволы, вплоть до аппаратных.

Используйте электронную подпись и технологию шифрования открытым ключом.

Для того, что бы поставить на машину любой софт нужен пароль системного администратора операционной системы, следовательно этот человек всегда пройдёт туда, куда ему надо и сделает всё, что только захочет. Удалённый рабочий стол рулит, однако.

Удалённое администрирование разрешить только на тех серверах и маршрутизаторах, где это необходимо. Использовать шифрование при удалённом администрировании. Регулярно проверять логи операций сисадминов и программистов-разработчиков, если таким был дан доступ на какие-либо действия в сети.

Рулит только физический доступ. Даёте права удалённого доступа - ограничивайте и контролируйте.

Ограничивайте количество устройств ввода-вывода на рабочих станциях, опечатывайте компьютеры и серверные шкафы, ограничивайте доступ в серверные помещения.

В том числе иметь полный доступ в электронные хранилища технической документации, финансовые и кадровые базы данных.

А уж это и вовсе не админское дело. Тем ппаче базой данных как правило рулит отдельный админ базы данных. Но даже он может не иметь доступа к данным, только к операциям с данными и статистикой. Всё зависит от политики безопасности фирмы и от правильности конфигурирования и администрирования сети.

[Galant 4]

да и контора будет непременно уступать конкурентам, если в ней доминирует менее функциональный CAD.

Сколько раз вдалбливать, что уровень "тяжелости" софта на успех конторы влияет крайне слабо...

И, кстати, может контору быстро угробить, если закупится софта на миллионы, но забудут дать людям больше зарплаты, чем конкуренты...

[Художник 47]

Вот о чём и разговор, что у обычного пользователя прав локальнога администратора быть не должно, разве что кроме особо подготовленных и проверенных личностей. Допустим, IT-шники сделают какие ни будь установочные пакеты для типовых рабочих мест (конструктора/технолога/бухгалтера/"пупка"/...) при чем с обращением прямо в отдел кадров за личными атрибутами юзера, но ведь профиль админа всё одно должен будет остаться. Файервол конечно дело хорошее, но чтобы правильно его настроить опять таки требуются навыки системного администратора, наипаче если сеть реально используется для коллективной работы, следовательно он защитит от непродвинутого любопытного, но не от самого админа.

Если у простых пользователей объективно не должно быть прав админа, то кто же обойдётся без удалённого администрирования? Разве что сам системный администратор предприятия? Опять же, кто ж эти логи будет проверять то? Снова сам сисадмин?

Физический доступ к каждой машине из нескольких тысяч? Думается мне, что сие совсем несурьёзно. Компьютеры должно администрировать удалённо, а иначе будет если и не полный хаос, то уж точно весьма дешёвый бордель.

Это всё само собою, а у серверно-административного отсека можно даже и вахтёра с собакою посадить, только от самого действующего сисадмина это не защитит.

Администратор базы данных рулит внутри базы данных, а сисадмин ставит софт на компьютер. Спрашивается, кто или что помешает сисадмину узнать любую информацию изнутри управляемой им операционной системы?

ЕМНИП, по инету уже давно гуляют успешно считывающие вводимый пароль вирусы, а человек лучше всех знающий политику безопасности предприятия ужели не сможет эффективно применить более продвинутый вариант такой программы?

Странник, я конечно могу ответить на все эти дилетанские вопросы, по сути являющиеся ляпами, но это довольно долго, для начала воспользуйтесь советом ARTа и меня почитать книжки об администрировании сетей и информационной безопасности, а потом обратится к профессионалу, который всё вам наладит и построит сеть и админов, и кстати, если у вас несколько тысяч компов, электронный документооборот и тяжёлые САПР, и нет зам директора поIT, или хотя бы начальника отдела, это полный непрофессионализм.

Таких проблем и вопросов просто быть не должно. Потому как нету их, не может быть у профессионалов, это всё равно, что профессиональный гонщик не знает, где педаль газа и вообще управлять машиной не умеет. Обратитесь к своему айтишнику, если он не знает, как усмирить собственного админа - гоните его в шею, изучайте вопрос глубже и ещё раз спросите, с нуля ну правда трудно растолковать такой обширные предметы, как администрирование сетей, информационная безопасность и управление информационными технологиями предприятия, включая криптозащиту и политику безопасности...

[vl 327]

Что то не увидел в топике предложения аутсорсинга.

К примеру, работал за границей в инженерном центре с порядка 1500 инженеров. Поставку всего железа и администрирование и прочее осуществляет сторонняя контора. Которая деньгами отвечает за информационную безопасность и прочее.

При этом у юзера возможности, как правило, минимальны, но зависят от статуса.

Весь софт, который нужен юзеру ставится автоматически по сети (даже Windows). Если нужно что-то особенное, пишется бумага и принимается решение.

Прикол: был даже стандарт на рабочий стол - просто серый экран. И что бы ты не делал, а в обед этот стол автоматом обновляется и становится стандартным.

Удаленное администрирование админом - это просто норма. Как я понял, эти админы может быть даже сидели не в этом городе.

Вообще, информационную безопасность (не важно CAD или простая бухгалтерия) лучше отдать профессионалам, это не задача CAD/CAM/CAE.

Соответственно, админ (по крайней мере главный) сидит как минммум на контракте с соответствующей материальной ответственностью.

[Художник 47]

В общем виде ответили, ну ладно, в двух словах тезисно, по пунктам:

Вот о чём и разговор, что у обычного пользователя прав локальнога администратора быть не должно, разве что кроме особо подготовленных и проверенных личностей.

Неправильно, во первых, должна быть единая политика инф безопасности далее «политика», во вторых, согласно политики, можно запретить системному администратору ( системному оператору), далее «админу», удалённый доступ, причём делаться это может с разграничением прав доступа, с включением доступа при необходимости, при чём доступ могут открывать админы и менеджеры различного уровня, либо сам юзер, согласно данной ему начальником по IT инструкции, при этом пароли могут меняться вплоть до постоянных динамических схем на специализированном защищённом сервере.

Допустим, IT-шники сделают какие ни будь установочные пакеты для типовых рабочих мест (конструктора/технолога/бухгалтера/"пупка"/...) при чем с обращением прямо в отдел кадров за личными атрибутами юзера, но ведь профиль админа всё одно должен будет остаться.

А при чём здесь админ? Аутентификация должна производится по параметрам юзера.

Но опять же не обязательно, зависит от политики, может и админ ставить ПО удалённо, по запросу юзера, при чём запрос проходит через начальника IT.

Файервол конечно дело хорошее, но чтобы правильно его настроить опять таки требуются навыки системного администратора, наипаче если сеть реально используется для коллективной работы, следовательно он защитит от непродвинутого любопытного, но не от самого админа.

Админ – человек подконтрольный, и админ – это не хакер, если ему дана команда начальником IT зарубить ВСЕ IP, кроме нужных, для данной рабочей станции, значит ВСЕ, включая айпишник админа, в случае нарушения – будет отвечать по всей строгости. А уж аппаратный файервол закроет сеть от любых лишних админов, и уж начальник IT это проконтролирует с пристрастием

Если у простых пользователей объективно не должно быть прав админа, то кто же обойдётся без удалённого администрирования? Разве что сам системный администратор предприятия?

Уже отвечал четыре раза, юзер на месте может включать и выключать удалённый доступ и упраление

Опять же, кто ж эти логи будет проверять то? Снова сам сисадмин?

Какие логи? Действий админа? Согласно структуры предприятия и политики безопасности – либо админ другого уровня, либо начальник IT, а может и вообще ПО отслеживания несанкционированных обращений и попыток доступа.

Физический доступ к каждой машине из нескольких тысяч? Думается мне, что сие совсем несурьёзно.

А чего такого сложного? В том числе и юзер отвечает за физический доступ. А для чего опечатывания помещений и оргтехники, видеонаблюдение и охранные системы, первый отдел и служба безопасности?

Если у вас этого нет – ну это полный несурьёз, ап чём тогда речь?

Компьютеры должно администрировать удалённо, а иначе будет если и не полный хаос, то уж точно весьма дешёвый бордель.

В пятый раз повторяю, удалённое администрирование и настройка осуществляется с ограничением и контролем прав доступа, даже в борделе доступ ограничен, как по времени, так и месту имения. Если у вас не ограничен – значит организация IT хуже, чем в барделе, но это не значит, что у всех так, и что кто-то из профессионалов боится таких мелочей, ещё раз повторяю – это не проблема, это элементарный профессиональный элемент, как для писателя – уметь писать, а для велосипедиста - уметь ездить на велосипеде.

Это всё само собою, а у серверно-административного отсека можно даже и вахтёра с собакою посадить, только от самого действующего сисадмина это не защитит.

Опять элементарное непонимание уровней администрирования. Если изначально, при первой настройке сервера или допустим маршрутизатора, сменить пароль, можно получить и удалённый доступ, но если его нет, то возможен доступ только физический, с обнулением действующих настроек, если это позволят программно-криптографические средства защиты, (см выше, некоторые ART упоминал)

Так что вахтёр хорошо, а печать, электронная карточка доступа с видеоконтролем и сигнализацией на важную серверную не помешают.

Администратор базы данных рулит внутри базы данных, а сисадмин ставит софт на компьютер. Спрашивается, кто или что помешает сисадмину узнать любую информацию изнутри управляемой им операционной системы?

Сисадмин сети не управляет ОС БД ни в коем случае. Если и требуется администрация ОС БД, это делает сис БД.

ЕМНИП, по инету уже давно гуляют успешно считывающие вводимый пароль вирусы, а человек лучше всех знающий политику безопасности предприятия ужели не сможет эффективно применить более продвинутый вариант такой программы?

Ну это уж вообще перл. Противостоять использованию вредоносных программ, как раз таки и призван Сисадмин. Контролирует и направляет его в этом начальник IT, помогают ему в этом и контролируют начальника по IT начальник службы безопасности и 1й отдел. Начальника службы безопасности контролирует директор, а если он не дурак, привлекает к этому начальника по IT…

Появление Троянов в сети говорит о хреновости сисадмина и возможно является поводом к служебному расследованию и даже уголовной ответственности сисадмина. Но даже это при правильной политике безопасности и грамотном применении организационно-технических мер, хотя бы вышеописанных мной и ARTом, не страшно, и как правило, не ведёт к утечке важной информации. Максимум, злоумышленник какой нибудь номер аськи в одноклассниках стырит, и то, с непонятными параметрами пользователя :)

В общем, Странник, описанных вами проблем нет, если на вашем предприятии айтишники не могут навести порядок – это другой вопрос, наймите хороших и грамотных профессионалов.

Пока я не вижу ни одного вразумительного опровержения постулату о том, что в руках системного администратора концентрируется необосновано высокая власть, при чём чем дальше тем больше. Если же всё это уже давным давно разжёвано в учебниках, то хоть автора можно было бы порекомендовать.

Никакого постулата нету.

Необосновано доверять сисадмину - это ваши проблемы. Строить грамотную IT систему предприятия -проблемы директора по IT. Учебники есть, не скажу что много хороших, кое что завтра порекомендую.

Сами поинтересуйтесь - администрирование сетей, информационная безопасность, управление информационными технологиями предприятия, основы криптозащиты, устройства защиты информации, политика информационной безопасности, хотя бы актуальное сейчас пощупайте - электронный документ, электронная подпись, политика открытых ключей, государственный сервер открытых ключей, программа электронная Россия...

[Художник 47]

Что то не увидел в топике предложения аутсорсинга.

К примеру, работал за границей в инженерном центре с порядка 1500 инженеров. Поставку всего железа и администрирование и прочее осуществляет сторонняя контора. Которая деньгами отвечает за информационную безопасность и прочее.

При этом у юзера возможности, как правило, минимальны, но зависят от статуса.

Весь софт, который нужен юзеру ставится автоматически по сети (даже Windows). Если нужно что-то особенное, пишется бумага и принимается решение.

Прикол: был даже стандарт на рабочий стол - просто серый экран. И что бы ты не делал, а в обед этот стол автоматом обновляется и становится стандартным.

Удаленное администрирование админом - это просто норма. Как я понял, эти админы может быть даже сидели не в этом городе.

Вообще, информационную безопасность (не важно CAD или простая бухгалтерия) лучше отдать профессионалам, это не задача CAD/CAM/CAE.

Соответственно, админ (по крайней мере главный) сидит как минммум на контракте с соответствующей материальной ответственностью.

Да, для открытых средних контор это хороший вариант, более того, даже многие закрытые конторы со своим мощным IT отделом, зачастую вынуждены прибегать к услугам сторонних фирм-разработчиков. Опять же вопросы доступа и возможных утечек все решаемые, проблем нет. Это рядовые айтишные задачи. Нюансы описанной политики безопасности - в обед серые экраны - это програмно и автоматически, если админ решит побаловаться, и кому-то сделать зелёный экран, его могут и уволить. Сейчас бумаги с запросами на изменения статуса, установки программ, доступа и т.п. как правило не пишут, всё по электронке. Хотя бы один админ должен иметь физический доступ к коммутационному оборудованию, иначе могут возникнуть ситуации, когда удалённые не смогут решить проблему и работа обвалится до их приезда.

в руках системного администратора концентрируется необосновано высокая власть, при чём чем дальше тем больше.

Пожалуй корректней рассматривать вопрос шире, не применительно к сисадмину, а применительно к информационной системе в целом. Сисопа ограничить - нет проблем. А вот построить грамотную систему информационной безопасности - это уже проблема. Потому как могут быть "дыры". Что собственно и наблюдается, например, нет-нет да всплывают скандалы со "взломом" банковских систем.

Власть IT технологий действительно растёт. И проблемы контроля действительно есть. Но не на уровне сисадмина

То же хакерство ВНУТРИ сети, это более существенный вопрос, чем контроль админа. Но надо сказать, что на любого кул-хакера всегда найдётся крутой админ, который его обломает!

[ILL 241]

Админ – человек подконтрольный, и админ – это не хакер, если ему дана команда начальником IT зарубить ВСЕ IP, кроме нужных, для данной рабочей станции, значит ВСЕ, включая айпишник админа, в случае нарушения – будет отвечать по всей строгости. А уж аппаратный файервол закроет сеть от любых лишних админов, и уж начальник IT это проконтролирует с пристрастием

Каждый хакер - хороший сисадмин, но не каждый сисадмин - хакер...

Какие логи? Действий админа? Согласно структуры предприятия и политики безопасности – либо админ другого уровня, либо начальник IT, а может и вообще ПО отслеживания несанкционированных обращений и попыток доступа.

Ну это уж вообще перл. Противостоять использованию вредоносных программ, как раз таки и призван Сисадмин. Контролирует и направляет его в этом начальник IT, помогают ему в этом и контролируют начальника по IT начальник службы безопасности и 1й отдел. Начальника службы безопасности контролирует директор, а если он не дурак, привлекает к этому начальника по IT…

А кто будет контролировать начальника по IT?

Появление Троянов в сети говорит о хреновости сисадмина и возможно является поводом к служебному расследованию и даже уголовной ответственности сисадмина. Но даже это при правильной политике безопасности и грамотном применении организационно-технических мер, хотя бы вышеописанных мной и ARTом, не страшно, и как правило, не ведёт к утечке важной информации. Максимум, злоумышленник какой нибудь номер аськи в одноклассниках стырит, и то, с непонятными параметрами пользователя :)

Сервера пентагона тоже ради номера аськи ломают???..

[Художник 47]

Если же всё это уже давным давно разжёвано в учебниках, то хоть автора можно было бы порекомендовать.

Из бумажной более-менее не скучной литературы у меня на полках: Нильс фергюссон "Практическая криптография", Майкл Уэнстром "Организация защиты сетей Cisco", А.П. Алфёров и др. "Основы криптографии". Диск есть, много инфы, но качать долго . Кстати форумы есть специализированные, но там конкретно надо вопрос задавать, чтобы помогли разработать комплекс мероприятий по блокированию злобных админов

Общие понятия:

http://ru.wikipedia.org/wiki/Защита_информации

http://www.cio-world.ru/techniques/effect/23953/

Документы:

GTS 1036 Концепция обеспечения информационной безопасности организации

GTS 1037 Правила обеспечения информационной безопасности при работе пользователей в корпоративной сети организации

GTS 1038 Политика и Регламент резервного копирования и восстановления данных

GTS 1039 План обеспечения непрерывности бизнеса, Аварийные процедуры, Программа и Протокол тестирования плана

GTS 1040 Комплексный план защиты информационных ресурсов организации от несанкционированного доступа

GTS 1041 Политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети организации

GTS 1042 Политика обеспечения безопасности при взаимодействии с сетью Интернет

GTS 1043 Антивирусная политика, Инструкция по защите от компьютерных вирусов, Стандарт на антивирусное ПО

GTS 1044 Политика обеспечения безопасности платежных систем организации

GTS 1045 Парольная политика

GTS 1046 Политика управления доступом к ресурсам корпоративной сети

GTS 1047 Политика, Процедура и План аудита информационной безопасности

GTS 1048 Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями

GTS 1049 Политика установки обновлений программного обеспечения

GTS 1050 Процедура планирования и реализации превентивных и корректирующих мер по обеспечению ИБ

GTS 1051 Руководство по защите конфиденциальной информации, Перечень сведений, составляющих конфиденциальную информацию, Соглашение о конфиденциальности

GTS 1052 Процедура управления документами и Процедура управления записями

GTS 1053 Регламент использования мобильных устройств

GTS 1054 Регламент работы с цифровыми носителями конфиденциальной информации

GTS 1055 Политика информационной безопасности

GTS 1061 Политика инвентаризации и реестр информационных активов

GTS 1062 Политика обеспечения физической безопасности помещений и оборудования

GTS 1063 Политика контроля состояния СУИБ со стороны руководства

http://www.globaltrust.ru/produkty/tipovye...oi-bezopasnosti

Айтишники ваши всё это знать должны, и с учётом особенностей под себя делать.

Есть ведомства и фирмы, занимающиеся специализированно этими вопросами, проводят курсы, дают рекомендации, диски, проводят аудит и проверки, вплоть до хакерских атак.

Кое что по админу:

http://system-administrators.info/?p=890

А далее, как это конкретно делаеется, надо вашу сеть смотреть, того же админа программами типа UserGate можно контролировать, если сеть Cisco - Cisco Works, программы сканирования логов, и так далее...

"есть у нас методы против Кости Сапрыкина" (С)

Термины и определения

Зона ответсвенности - одно или несколько структурных подразделений предприятия, закрепленных за администратором безопасности.

Компьютерная система - аппаратное и программное обеспечение, внешние усройства, телекоммуникационное оборудование, носители информации и пользователи, участвующие в обработке, хранении и передаче информации в пределах зоны ответственности администратора безопасности.

Средства защиты информации - средства защиты от несанкционированного доступа, антивирусные системы, средства криптографической защиты, системы защиты данных от разрушения, подсистемы разграничения полномочий и ведения протокола работы в АРМ, системы управления доступом и ведения протокола работы в сетевом программном обеспечении.

Администратор безопасности имеет право:

• Устанавливать и изменять полномочия пользователей по доступу к компьютерной системе в соответствии с их правами по доступу к информации, определяемыми руководителем структурного подразделения.

Инструкция по регламентации работы администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от НСД к информации

1. Общие положения

1.1. Инструкция по регламентации работы администратора безопасности по поддержанию уровня защиты локальной вычислительной сети от несанкционированного доступа к информации (далее – Инструкция) разработана с учетом требований Федерального закона «Об информации, информатизации и защите информации», утвержденного Президентом Российской Федерации 20.02.95 N 24-ФЗ, Федерального закона «О государственной тайне», утвержденного Президентом Российской Федерации 21.07.93 N 5485–1, «Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденного Постановлением Правительства Российской Федерации от 15.09.93 N 912–51, и других действующих руководящих, нормативных документов (НД) по защите информации от несанкционированного доступа (НСД).

Целью администрирования локальной вычислительной сети (ЛВС) является поддержание достигнутого* уровня защиты информации ЛВС и Федеральной базы данных частотных присвоений радиоэлектронных средств гражданского назначения (ФБД) и НСД.

1.2. Инструкция регулирует отношения между администратором безопасности, пользователями и разработчиками, возникающие при:

– эксплуатации и развитии ЛВС и ФБД;

– формировании и использовании данных, сообщений, баз данных, информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления пользователю документированной информации;

– при создании, внедрении и эксплуатации новых информационных технологий.

1.3. Цели администрирования ЛВС достигаются обеспечением и поддержкой в ЛВС ФБД:

– подсистем управления доступом, регистрации и учета, обеспечения целостности программно – аппаратной среды, хранимой, обрабатываемой и передаваемой по каналам связи информации;

– доступности информации (устойчивое функционирование ЛВС и ее подсистем);

– конфиденциальности хранимой, обрабатываемой и передаваемой по каналам связи информации.

1.4. Мероприятия по защите ЛВС и ФБД от НСД являются составной частью управленческой, научной и производственной деятельности Главгоссвязьнадзора России. Защита ЛВС и информации ФБД представляет собой комплекс организационных и технических мероприятий, направленных на исключение или существенное затруднение противоправных деяний в отношении ресурсов ЛВС и информации ФБД.

1.5. Администратор безопасности является ответственным должностным лицом Главгоссвязьнадзора России, уполномоченным на проведение работ по технической защите информации и поддержанию достигнутого уровня защиты ЛВС и ее ресурсов на этапах промышленной эксплуатации и модернизации.

1.6. Администратор безопасности ЛВС назначается приказом Главгоссвязьнадзора России по согласованию с заместителем начальника Главгоссвязьнадзора России, курирующего вопросы защиты информации.

Количество администраторов безопасности ЛВС зависит от структуры и назначения ЛВС (количества серверов, рабочих станций сети, их мест расположения), характера и количества решаемых задач, режима эксплуатации, организации дежурства.

1.7. Администратор безопасности руководствуется в своей практической деятельности положениями федеральных законов, нормативных и иных актов Российской Федерации, решениями и документами Гостехкомиссии России, ФАПСИ и Госстандарта России, организационно – распорядительными документами Главгоссвязьнадзора России.

1.8. Деятельность администратора безопасности планируется в установленном порядке и согласовывается с отделом безопасности, гражданской обороны и мобилизационной работы. В плане работ должны быть отражены мероприятия по поддержанию защиты ЛВС и ФБД от НСД и другие вопросы, относящиеся к защите.

1.9. Администратор безопасности должен иметь специальное рабочее место – рабочую станцию (РС), размещенную в отдельном помещении и функционирующую постоянно при включении сети, а также личный сейф (или железный шкаф) и печать.

1.10. Администратор безопасности несет ответственность в соответствии с действующим законодательством за разглашение защищаемой Главгоссвязьнадзором России информации, ставшей ему известной в соответствии с родом работы, и мер, принятых по защите ЛВС.

1.11. Требования администратора безопасности, связанные с выполнением им своих функций, обязательны для исполнения всеми пользователями ЛВС и ФБД.

1.12. Инструкция является неотъемлемой частью организационно – распорядительных документов Главгоссвязьнадзора России, в которых конкретизируется политика безопасности в ЛВС и информационное взаимодействие при ведении ФБД.

1.13. Требования к промышленной эксплуатации ЛВС изложены в эксплуатационной документации (ЭД) на данную ЛВС.

1.14. Инструкция не регламентирует вопросы защиты и охраны зданий и помещений, в которых расположена ЛВС, вопросы обеспечения физической целостности компонентов ЛВС, защиты от стихийных бедствий (пожаров, наводнений и др.), сбоев в системе энергоснабжения, а также меры обеспечения безопасности персонала и меры, принимаемые при возникновении в ЛВС нештатных ситуаций.

2. Права и обязанности администратора безопасности

2.1. Права администратора безопасности.

Администратор безопасности имеет право:

– отключать от сети пользователей, осуществивших НСД к защищаемым ресурсам ЛВС и ФБД или нарушивших другие требования по безопасности информации;

– участвовать в любых проверках ЛВС и ФБД;

– запрещать устанавливать на серверах и рабочих станциях ЛВС нештатное программное и аппаратное обеспечение.

2.2. Обязанности администратора безопасности.

Администратор безопасности обязан:

– знать в совершенстве применяемые информационные технологии;

– участвовать в контрольных и тестовых испытаниях и проверках ЛВС и ФБД;

– знать ответственных лиц в каждом структурном подразделении Главгоссвязьнадзора России и их права доступа по обработке, хранению и передаче защищаемой информации;

– вести контроль за процессом резервирования и дублирования важных ресурсов ЛВС и ФБД;

– участвовать в приемке новых программных средств;

– уточнять в установленном порядке обязанности пользователей ЛВС по поддержанию уровня защиты ЛВС;

– вносить предложения по совершенствованию уровня защиты ЛВС и ФБД;

– анализировать данные журнала учета работы ЛВС с целью выявления возможных нарушений требований защиты;

– оценивать возможность и последствия внесения изменений в состав ЛВС с учетом требований НД по защите, подготавливать свои предложения;

– обеспечить доступ к защищаемой информации пользователям ЛВС согласно их прав доступа при получении оформленного соответствующим образом разрешения;

– запрещать и немедленно блокировать попытки изменения программно – аппаратной среды ЛВС без согласования порядка ввода новых (отремонтированных) технических и программных средств и средств защиты ЛВС;

– запрещать и немедленно блокировать применение пользователям сети программ, с помощью которых возможны факты НСД к ресурсам ЛВС и ФБД;

– незамедлительно докладывать руководству РЧЦ обо всех попытках нарушения защиты ЛВС и ФБД;

– анализировать состояние защиты ЛВС и ее отдельных подсистем;

– контролировать физическую сохранность средств и оборудования ЛВС;

– контролировать состояние средств и систем защиты и их параметры и критерии;

– контролировать правильность применения пользователями сети средств защиты;

– оказывать помощь пользователям в части применения средств защиты от НСД и других средств защиты, входящих в состав ЛВС;

– не допускать установку, использование, хранение и размножение в ЛВС программных средств, не связанных с выполнением функциональных задач;

– своевременно анализировать журнал учета событий, регистрируемых средствами защиты, с целью выявления возможных нарушений;

– в период профилактических работ на рабочих станциях и серверах ЛВС снимать при необходимости средства защиты ЛВС с эксплуатации с обязательным обеспечением сохранности информации;

– не допускать к работе на рабочих станциях и серверах ЛВС посторонних лиц;

– осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования средств защиты ЛВС;

– периодически предоставлять руководству и в отдел безопасности отчет о состоянии защиты ЛВС и о нештатных ситуациях на объектах ЛВС и допущенных пользователями нарушениях установленных требований по защите информации.

Администратору безопасности запрещается оставлять свою рабочую станцию без контроля, в том числе в рабочем состоянии.

Запрещается фиксировать учетные данные пользователя (пароли, идентификаторы, ключи и др.) на твердых носителях, а также сообщать их кому бы то ни было, кроме самого пользователя.

Администратор безопасности должен четко знать классификацию нарушений (противоправных деяний) в отношении ЛВС и ее подсистем, последствия которых классифицируются на категории:

– первая (наивысшая категория тяжести нарушения) – невыполнение пользователями ЛВС требований или норм ЭД на ЛВС и организационно – распорядительных документов Главгоссвязьнадзора России в информационной сфере, в результате чего имеется реальная возможность противоправных деяний в отношении ЛВС и ее ресурсов;

– вторая – невыполнение требований НД по защите, в результате чего создаются предпосылки для совершения противоправных деяний в отношении ЛВС и ее ресурсов;

– третья – невыполнение других требований НД по защите и организационно – распорядительных документов Главгоссвязьнадзора России.

2.3. Ответственность за защиту ЛВС и ФБД от несанкционированного доступа к информации.

2.3.1. Ответственность за защиту ЛВС и ФБД от несанкционированного доступа к информации возлагается на администратора безопасности.

2.3.2. Администратор безопасности несет персональную ответственность за качество проводимых им работ по контролю действий пользователей при работе в ЛВС, состояние и поддержание установленного уровня защиты ЛВС.

3. Требования к рабочей станции и инструментальным средствам администратора безопасности

3.1. Рабочая станция администратора безопасности должна представлять собой специально выделенную для администратора безопасности ПЭВМ, которая является пунктом управления и контроля уровня защиты ЛВС и ее ресурсов.

3.2. Рабочая станция администратора безопасности размещается в отдельном помещении, доступ в которое имеют только должностные лица, определенные приказом начальника Главгоссвязьнадзора России.

3.3. Инструментальные средства, установленные на рабочей станции администратора безопасности (программные, программно – аппаратные, аппаратные), должны позволять эффективно решать задачи, поставленные перед ним.

3.4. В составе ЛВС должна быть выделена резервная рабочая станция сети для администратора безопасности, которая должна иметь такую же комплектацию, как и основная.

* Уровень защиты (класс защищенности) ЛВС и ФБД устанавливается при аттестации ЛВС и ФБД по требованиям безопасности информации.

[Художник 47]

"Защитим права администратора!"

http://www.crime-research.ru/library/zashi...rav_admina.html

А кто будет контролировать начальника по IT?

Перечитайте моё сообщение. Это тоже входит в систему безопасности.

Хотя, это уже сложнее

Сервера пентагона тоже ради номера аськи ломают???..

А ради чего?

И много Вы знаете "Серверов Пентагона", которые "поломали"? Во первых, насколько помню, те факты, которые были - это сервера официальных сайтов в Интернете и их просто "роняли". Обычная хулиганская атака на публичный сайт, а не взлом сети с похищением информации.

[Художник 47]

А с другой стороны...

Рядовой факт неправильной политики безопасности и нечестности сотрудника. Деньги и кассир может украсть. А по опыту "электронных" ограблений, пароль хакеру как правило сотрудник банка даёт. Банальный сговор.

[ILL 241]

 Надо только научиться хорошо девочкам сисадминам.

Девочек-сисадминов в принципе быть не должно.. Должны быть мальчики с дипломами по специальности что-то типа "Компьютерные сети" или "Компьютерная безопасность"