lOOSky, а ты читал эти статьи?

Политика безопасности. Создание благоприятной среды часть третьяПолитика безопасности. Краткий обзор защитных политик. часть вторая

Политика безопасности. Краткий обзор защитных политик. часть первая

А на курсы ходить не пробовал?

например - БТ11

Я сам политику никогда не разрабатывал - моему руководству все равно.

А в информзащите я периодически хожу курсы - если ты заметил баннер весит на сайте, я за это их курсы посещаю.

Ты не представляешь тупость моего руководства, им действительно все равно. Что бы не произошло.






Польностью согласен, вообщето политику должен разрабатывать менеджер по безопасности, а не сисадмин.

[QUOTE]Quote: Опубликовал Pig killer на 11 Апрель 2003


Ты не представляешь тупость моего руководства, им действительно все равно. Что бы не произошло.



[QUOTE]Quote:


Ну, Пиг Киллер, ну погоди! Лишим тебя и хостинга, и движка!

Вот именно так. Приходит компашка из Информзащиты, Домини, Позитива или другие. Месячишко обследуют, после чего дают рекомендации плюс пакет документов. Для нас такая процеруда была оценена примерно в 10 килобаксов.

Либо есть отдел ИБ, который во главе с ИБ менеджером пишут политику сами.


Да! И у меня была эта стадия, когда я все перекрыл, и потихоньку открывал по распоряжению начальства. А без распоряжения ничего не открывал, мотивируя, что такая политика. И даже когда приказывали - отстаивал порой свою точку зрения. Именно таким способом я зарезал поп3, аську, мп3-траффик, запретил сидиэрвэ, установил частоменяющиеся сложные пароли и другое.

Так что де-факто политика есть, пока я жив.

А после меня - никто ничего не будет знать.



Сейчас возникла необходимость политики, не как набора правил, а как набора ДОКУМЕНТИРОВАННЫХ правил.

Мне нужно иметь УТВЕРЖДЕННУЮ генеральным классификацию уровней секретности информации. Сейчас я всю информацию защищаю по секретному уровню.

Мне нужно, чтобы КАЖДЫЙ пользователь расписался в документе, описывающем, что он имеет право делать, а за что его могут уволить.

Я что слишком многого хочу?

Во время моего отпуска произошел сбой почтового сервера.

За те три дня, за которые меня отзывали, компания потеряла намного больше, чем 10к$. Почему? Потому что нет политики восстановления после аварии. Мне, админу, нужна эта политика? Я восстановил почту за два часа без всякой политики. А когда я заикнулся, что если бы была политика, то почту восстановили и без меня, мне сказали вот ты эту политику и напиши. А когда я заикнулся, что любая политика должна опираться на доктрину, мне сказали вот ты эту доктрину и напиши. А когда я заикнулся, что я всего лишь админ - мне лаского так спросили, хочу ли работать в комании.



Так что еще раз спрашиваю всех. Есть ли у кого нибудь политика не ДЕ ФАКТО, а ДЕ ЮРО?

Ну ИМХО Disaster Recovery Plan несколько сложней, чем процедура осуществления бэкапа данных.

Ну да ладно. Не в этом дело.

Одно радует - не у одного у меня ЖОПА (JOPA - на тот случай, если робот вырежет

Понесу в понедельник начальству то, что есть (порядка 2 см. толщины печатного текста).

Не очень то надеялся на помощь, но спасибо всем за сочувствие.

Хотелось услышать мнение авторитетного в этом форуме мэна из ЦТ, как с политикой обстоит дело в наших госструктурах, но видимо ему это не интересно.

Особое спасибо Пиг киллеру и [TСС].

BR

lOOSky (читается как Сотский)

Нее! В DRP нужно описать ситуацию выхода из строя сервера без потери данных.

Например:

Звонить туда то (телефон компании с которой заключен договор о сервисном обслуживании сервера, которая в течении установленного срока заменит вышедшую из строя деталь, либо на время заменит сервер).

Естественно, если сервера самосборные и никакого договора нет - то описать процедуру поиска и устранения неисправности невозможно. Но в этом случае DRP теряет свой смысл.



Сложнее при выходе из строя сервера с потерей данных.

У нас сгорел RAID контроллер, который сволочь сжег два диска из 5-го рейда.

Без меня отлично справились с заменой рэйда и двух дисков - контактный телефон я оставил.

Но восстановить систему и данные без меня было не под силу, потому что процедура не была описана. Причем в DRP должна быть только ссылка на эту процедуру для каждого сервака.

Т.е. в DRP долно быть описаны обшая последовательность действий при стандартных ситуациях:

выход из строя сервера без потери данных;

... с потерей данных;

компрометация данных;

...трали вали...

форс-мажорные обстоятельства (атомная война, второе пришествие ...)



А к DRP должна прикладываться процедура восстановления данных для каждого сервера:

- Взять диск со второй полочки или в случае, если полочки уже тоже нет - то с третьего ящичка в таком то локэйшене;

- ...;

- Нажать кнопочку Next;

- ...;

- Вставить ленточку № 123-45;

И т.д.



Вот так то в идеале.

Где оно Эльдорадо?

Если я правильно понял вопрос, конфигурацию рэйда можно считать с дисков после замены мамки. В RAID manager, должен быть такой пункт - Copy configuration from devices to controller. Но по любому - безрисковых операций с рэйдами, ИМХО, не бывает. Заявления производителей о наличии интеллекта у R. контроллеров - преувеличены.