From: "Nick Gavrikov" <nickgavrikov@gmail.com>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Политика информационной безопастности на предприятии
Date: Wed, 11 Apr 2007 17:48:19 +0400
Message-ID: <2b6384730704110648v29500d22r2dc4eb5a75fc5453@mail.gmail.com> (raw)
In-Reply-To: <200704061612.10726.ashen@nsrz.ru>
Добрый день.
Могу поделиться своим опытом в организации работы и безопасности в
частности в небольшой организации. Правда тут есть некоторые
немаловажные подробности, которые невозможно реализовать чисто со
стороны IT, но может быть послушать будет интересно, а может быть
кто-нибудь внесет и какие-нибудь дельные усовершенствования.
В компании есть три территориально разнесенных офиса:
Офис 1. Здесь работает отдел продаж, стоит выставочный стенд с
товарами, которые продают, сюда приходят покупатели, здесь сидят
менеджеры занимающиеся непосредственно общением с клиентами. В этом
офисе трафик не считают, никаких специальных ограничений менеджерам на
скачивание из интернета не вводится. Все менеджеры работают за
проценты, соотв. они могут работать хоть один день в неделю - если они
при этом получат достаточное количество заказов никого не будет
волновать что именно они делают. С другой стороны, они понимают все
же, что если они убьют свой комп - работать они не смогут и возможно
сорвется хороший клиент, так что специально они и не гадят.
Здесь действует правило: любой винчестер может быть переформатирован
в любое время. Все работают с централизованной базой. Заказы, с
которыми работа не ведется дольше месяца, отправляются в архив, куда
менеджеры доступ не имеют. Удалять информацию по заказу менеджеры не
могут. Только добавлять новое (либо с нуля добавлять новый заказ, либо
на основании уже существующего заказа - это нужно если они хотят
что-то подправить).
Оплаченные заказы соответствующим образом помечаются, менеджеры
выписывают на них первичные бух. документы (собственно, документы сами
выписываются на основании подготовленного заказа)
Типовые договора менеджеры заключают самостоятельно по заранее
утвержденной схеме. Если клиент придумал какой-то новый пункт
договора, который еще не обговаривали, кусок договора отправляется по
почте или по телефону юристам, после чего согласовывается и в
дальнейшем вносится в типовую схему.
Офис 2. Бухгалтерия, юр.отдел.
Работают с той же базой данных что и менеджеры. С их рабочих мест
доступ к базе осуществляется через интернет по шифрованному протоколу.
На компьютерах стоит почта, доступ по IMAP4/SMTP разрешен только до
сервера. Письма с аттачами идут в /dev/null. Никакого интернета на их
компьютерах нет.
В интернет в случае надобности ходят с консоли их сервера под гостевым
паролем, где крутятся иксы и firefox. Доступа с сервера на их
компьютеры для гостя нет. При необходимости пересылки текстовой
информации, они могут послать себе письмо с этого компьютера на свою
рабочую машину.
Офис 3. Разработчики: программисты, дизайнеры, инженеры; гарантийный
сервис-центр.
Хитрая система: локальные компьютеры доступа к интернету напрямую не
имеют. Если им нужен интернет - они включают на своем компе X-сервер,
после чего ходят в интернет с удаленных терминалов с сервера. (Криво
сказал, но, надеюсь, суть ясна) При необходимости передать что-либо на
свою рабочую машину - они копируют данные в определенную папку,
которая в свою очередь видна с их компов через FTP.
Папка по FTP доступна только для чтения, т.е. "вынести" информацию из
офиса через интернет они не могут - только получить. Почему именно
FTP, а не самба - не помню уже... что-то с правами доступа там не
получалось...
Если консоль не нужна одновременно нескольким людям, кто-то один может
работать на локальной консоли сервера. Все же иксы по сети виндошные -
это не так удобно как настоящая консоль. В общем, кто как. Есть люди
которые любят свою мышу, свою клаву, свой стул и свой стол и никуда
переться не хотят чтобы почту проверить.
Есть некоторые тонкости организации безопасности канала по которому
работают иксы, пришлось немного KDM подпатчить. Если интересуют
подробности - расскажу.
На сервере имеется папка для бекапа, куда ежедневно все сотрудники
уходя с рабочего места обязаны клать исходный код проекта, над которым
они сегодня работали. В 5 утра включается скрипт, который проверяет,
если в папке должно лежать и ничего не лежит - идет пинок с
дальнейшими административными взысканиями в случае повторения в
размере оплаты одного рабочего дня.
Доступ к бекапу за предыдущие дни рядовые сотрудники имеют только на
чтение, таким образом испортить они ничего не могут. Бекапы выборочно
проверяются на предмет, не лежит ли в них мусор вместо работы. В
случае выявления подобных проделок - человек увольняется в 24 часа без
зарплаты (пока что только один раз было такое).
Доступ к чужим бекапам имеет только начальство. Если нужно передать
что-либо с компьютера разработчика наружу (например, схемы или готовые
программы) - это делается через начальство. Если несколько человек
ведут работу над одним проектом и им необходимо регулярно обмениваться
данными - они могут делать это, опять же без возможности выноса данных
за пределы рабочей группы.
USB-порты в компьютерах и их корпуса опечатаны. Никаких дисководов на
них нет. Все флешки, диски и прочая фигня проносятся только через
начальство.
Во всех офисах ведется видеонаблюдение.
Вот, вкратце... Кажется ничего не забыл. Comments please.
--
С уважением,
Nick Gavrikov
next prev parent reply other threads:[~2007-04-11 13:48 UTC|newest]
Thread overview: 185+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-04-06 4:57 [Sysadmins] запрет скачивания переименованных mp3 Serge
2007-04-06 5:30 ` Andrey Novoselov
2007-04-06 6:05 ` Slava Dubrovskiy
2007-04-06 6:46 ` ABATAPA
2007-04-06 7:38 ` Вадим Илларионов
2007-04-06 7:48 ` Slava Dubrovskiy
2007-04-06 8:09 ` Sergey
2007-04-06 8:32 ` Вадим Илларионов
2007-04-06 8:34 ` Вадим Илларионов
2007-04-06 8:52 ` Slava Dubrovskiy
2007-04-06 9:06 ` Dmitriy L. Kruglikov
2007-04-06 9:26 ` Шенцев Алексей Владимирович
2007-04-06 9:36 ` Dmitriy L. Kruglikov
2007-04-06 9:49 ` Вадим Илларионов
2007-04-06 9:57 ` Dmitriy L. Kruglikov
2007-04-06 10:20 ` Вадим Илларионов
2007-04-06 10:39 ` smont
2007-04-06 12:00 ` Вадим Илларионов
2007-04-06 12:19 ` Шенцев Алексей Владимирович
2007-04-06 9:52 ` Шенцев Алексей Владимирович
2007-04-08 20:19 ` Денис Смирнов
2007-04-09 8:16 ` Maxim Britov
2007-04-11 9:20 ` Денис Смирнов
2007-04-06 10:15 ` Alexey Morsov
2007-04-06 10:23 ` Dmitriy L. Kruglikov
2007-04-06 10:23 ` Вадим Илларионов
2007-04-06 10:31 ` Andrii Dobrovol`s`kii
2007-04-06 10:34 ` Alexey Morsov
2007-04-06 10:51 ` Slava Dubrovskiy
2007-04-06 11:09 ` Alexey Morsov
2007-04-06 11:18 ` Dmitriy L. Kruglikov
2007-04-06 11:31 ` Alexey Morsov
2007-04-06 11:53 ` Вадим Илларионов
2007-04-06 11:51 ` Вадим Илларионов
2007-04-06 10:47 ` Dmitriy L. Kruglikov
2007-04-06 11:47 ` Вадим Илларионов
2007-04-06 12:01 ` Dmitriy L. Kruglikov
2007-04-06 12:54 ` Вадим Илларионов
2007-04-06 12:12 ` [Sysadmins] Политика информационной безопастности на предприятии Шенцев Алексей Владимирович
2007-04-06 14:25 ` Sergey S. Skulachenko
2007-04-06 14:40 ` Шенцев Алексей Владимирович
2007-04-08 20:05 ` Денис Смирнов
2007-04-09 7:16 ` Sergey S. Skulachenko
2007-04-10 2:16 ` Денис Смирнов
2007-04-10 5:49 ` Sergey S. Skulachenko
2007-04-09 7:25 ` Дорогов Николай(computer-service)
2007-04-09 7:37 ` Dmitriy.Borisov
2007-04-09 7:41 ` Дорогов Николай(computer-service)
2007-04-09 7:53 ` Dmitriy.Borisov
2007-04-09 7:51 ` Sergey S. Skulachenko
2007-04-10 2:17 ` Денис Смирнов
2007-04-11 13:48 ` Nick Gavrikov [this message]
2007-04-11 13:57 ` Nick Gavrikov
2007-04-12 6:44 ` Денис Смирнов
2007-04-12 8:04 ` Nick Gavrikov
2007-04-12 9:16 ` Денис Смирнов
2007-04-12 9:50 ` Nick Gavrikov
2007-04-12 12:00 ` Денис Смирнов
2007-04-12 15:10 ` Nick Gavrikov
2007-04-12 16:06 ` Денис Смирнов
2007-04-12 6:50 ` Alexey Morsov
2007-04-12 7:17 ` Nick Gavrikov
2007-04-12 7:43 ` Alexey Morsov
2007-04-12 8:21 ` Nick Gavrikov
2007-04-12 7:45 ` Alexey Morsov
2007-04-12 7:55 ` Alexey Sidorov
2007-04-12 8:17 ` Nick Gavrikov
2007-04-12 8:50 ` Денис Смирнов
2007-04-12 9:03 ` Sergey S. Skulachenko
2007-04-12 9:21 ` Alexey Sidorov
2007-04-12 9:28 ` Денис Смирнов
2007-04-12 11:53 ` Vyatcheslav Perevalov
2007-04-12 11:49 ` Денис Смирнов
2007-04-12 12:17 ` Vyatcheslav Perevalov
2007-04-12 13:14 ` Денис Смирнов
2007-04-12 15:20 ` Nick Gavrikov
2007-04-12 15:35 ` Gennadiy Redko
2007-04-12 15:56 ` Денис Смирнов
2007-04-12 16:03 ` Денис Смирнов
2007-04-12 18:25 ` Nick Gavrikov
2007-04-12 19:56 ` Денис Смирнов
2007-04-12 10:22 ` Sergey S. Skulachenko
2007-04-12 8:11 ` Nick Gavrikov
2007-04-12 8:41 ` Денис Смирнов
2007-04-06 10:34 ` [Sysadmins] запрет скачивания переименованных mp3 Andrey Novoselov
2007-04-06 10:39 ` Шенцев Алексей Владимирович
2007-04-06 11:15 ` Alexey Morsov
2007-04-08 20:00 ` Денис Смирнов
2007-04-09 6:40 ` Alexey Morsov
2007-04-09 8:11 ` Sergey S. Skulachenko
2007-04-10 2:34 ` Денис Смирнов
2007-04-10 5:58 ` Sergey S. Skulachenko
2007-04-10 6:31 ` Dmitriy L. Kruglikov
2007-04-10 7:21 ` Sergey S. Skulachenko
2007-04-10 7:51 ` Dmitriy L. Kruglikov
2007-04-10 9:11 ` Sergey S. Skulachenko
2007-04-10 9:35 ` Dmitriy L. Kruglikov
2007-04-10 10:02 ` Sergey S. Skulachenko
2007-04-10 10:24 ` Dmitriy L. Kruglikov
2007-04-10 11:17 ` Sergey S. Skulachenko
2007-04-10 8:59 ` Nick Gavrikov
2007-04-10 9:29 ` Dmitriy L. Kruglikov
2007-04-10 9:49 ` Sergey S. Skulachenko
2007-04-10 16:14 ` Nick Gavrikov
2007-04-10 15:24 ` Nick Gavrikov
2007-04-10 15:55 ` Serge Polkovnikov
2007-04-10 16:21 ` Nick Gavrikov
2007-04-11 10:26 ` Денис Смирнов
2007-04-11 10:14 ` Денис Смирнов
2007-04-10 16:08 ` Dmitriy L. Kruglikov
2007-04-10 16:24 ` Nick Gavrikov
2007-04-11 5:55 ` Dmitriy L. Kruglikov
2007-04-11 7:48 ` Nick Gavrikov
2007-04-11 8:15 ` Dmitriy L. Kruglikov
2007-04-11 10:50 ` Денис Смирнов
2007-04-11 8:20 ` Sergey S. Skulachenko
2007-04-11 10:05 ` Денис Смирнов
2007-04-11 10:34 ` Dmitriy L. Kruglikov
2007-04-11 11:06 ` Денис Смирнов
2007-04-11 11:16 ` Sergey S. Skulachenko
2007-04-11 13:42 ` Денис Смирнов
2007-04-11 14:13 ` Sergey S. Skulachenko
2007-04-11 14:22 ` Денис Смирнов
2007-04-11 14:33 ` Sergey S. Skulachenko
2007-04-11 11:35 ` Nick Gavrikov
2007-04-11 12:01 ` Dmitriy L. Kruglikov
2007-04-11 17:57 ` Денис Смирнов
2007-04-13 8:00 ` Вадим Илларионов
2007-04-13 8:09 ` Dmitriy L. Kruglikov
2007-04-14 7:14 ` Вадим Илларионов
2007-04-14 7:21 ` Eugene Ostapets
2007-04-11 10:03 ` Денис Смирнов
2007-04-11 9:49 ` Денис Смирнов
2007-04-10 9:31 ` Sergey S. Skulachenko
2007-04-10 9:47 ` Dmitriy L. Kruglikov
2007-04-10 16:09 ` Nick Gavrikov
2007-04-11 9:32 ` Денис Смирнов
2007-04-11 9:21 ` Денис Смирнов
2007-04-11 9:30 ` Sergey S. Skulachenko
2007-04-06 14:56 ` Igor Zubkov
2007-04-09 6:56 ` Vladimir V. Kamarzin
2007-04-09 7:31 ` Aleksey Avdeev
2007-04-09 11:12 ` Vladimir V. Kamarzin
2007-04-09 11:33 ` Alexey Morsov
2007-04-06 9:44 ` Slava Dubrovskiy
2007-04-06 9:55 ` Вадим Илларионов
2007-04-06 10:03 ` Dmitriy L. Kruglikov
2007-04-06 10:03 ` Slava Dubrovskiy
2007-04-06 9:47 ` Вадим Илларионов
2007-04-06 9:39 ` Serge
2007-04-06 9:52 ` Dmitriy L. Kruglikov
2007-04-06 10:10 ` Вадим Илларионов
2007-04-08 19:52 ` Денис Смирнов
2007-04-06 11:11 ` Timur Batyrshin
2007-04-06 11:16 ` Alexey Morsov
2007-04-06 14:34 ` Igor Zubkov
2007-04-06 14:44 ` Шенцев Алексей Владимирович
2007-04-06 14:55 ` Igor Zubkov
2007-04-06 9:43 ` Вадим Илларионов
2007-04-06 11:23 ` [Sysadmins] администрирование squid'а Шенцев Алексей Владимирович
2007-04-06 11:31 ` Dmitriy L. Kruglikov
2007-04-06 11:58 ` Шенцев Алексей Владимирович
2007-04-06 12:09 ` [Sysadmins] администрирование squid'а - SAMS Alexander Volkov
2007-04-06 12:25 ` Шенцев Алексей Владимирович
2007-04-06 13:42 ` Alexander Volkov
2007-04-06 14:00 ` Шенцев Алексей Владимирович
2007-04-06 14:34 ` Alexander Volkov
2007-04-07 12:15 ` Timur Batyrshin
2007-04-09 6:07 ` Шенцев Алексей Владимирович
2007-04-06 11:37 ` [Sysadmins] администрирование squid'а Avramenko Andrew
2007-04-06 12:06 ` Шенцев Алексей Владимирович
2007-04-09 8:18 ` Alexey Shabalin
2007-04-10 10:56 ` [Sysadmins] cyrus-imap Timur Batyrshin
2007-04-12 7:46 ` Anton Kvashin
2007-04-12 7:55 ` Dmitriy L. Kruglikov
2007-04-13 14:14 ` Denis Kuznetsov
2007-04-12 7:58 ` Serge
2007-04-12 8:04 ` Alexey Morsov
2007-04-16 4:55 ` Sergey
2007-04-12 8:10 ` Dmitriy L. Kruglikov
2007-04-09 8:22 ` [Sysadmins] администрирование squid'а Alexey Morsov
2007-04-06 12:56 ` Вадим Илларионов
2007-04-06 13:37 ` Шенцев Алексей Владимирович
2007-04-06 13:05 ` Вадим Илларионов
2007-04-06 15:37 ` [Sysadmins] запрет скачивания переименованных mp3 Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=2b6384730704110648v29500d22r2dc4eb5a75fc5453@mail.gmail.com \
--to=nickgavrikov@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git