Пожалуйста, подскажите хоть примерно, что писать надо, а? Перерыла кучу материалов, а результатов ноль. :dash2:
Спасибо!

Пожалуйста, подскажите хоть примерно, что писать надо, а? Перерыла кучу материалов, а результатов ноль.
Отправить инфу в ЖЖ... информация сохранится :))))

Перерыла кучу материалов
Если материалы только "из интернета", то написать ничего не сможете - получите "Франкенштейна" или "Письмо из Простоквашино". Запросите у руководства средства на приобретение соответствующих стандартов по информационной безопасности (например, BS 7799 "Системы управления информационной безопасностью", BS ISO/IEC 17799 "Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью", BS ISO/IEC 27001 "Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования", и т.п.). "Написать" что-либо не удастся - это целая наука (каша) из программно-технических решений и организационных мероприятий.

Запросите у руководства средства на приобретение соответствующих стандартов по информационной безопасности
И средства на соответсвущего специалиста не забудьте. :-)

Запросите у руководства средства на приобретение соответствующих стандартов по информационной безопасности
И средства на соответсвущего специалиста не забудьте. :-)
Про это я вынужденно промолчал... Аудит информационной безопасности со стороны внешних организаций - дорогое удовольствие (тем более что по результатам никакого удовольствия большого не останется). Наличие одного специалиста в рамках Госкомстата тоже не решит всех проблем... Может быть стоит обратиться к организациям, уже погружённым в эти процессы? Например - Нацбанк...

BS ISO/IEC 17799 "Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью"
Теперь 27002.

Завтра Рустам Бабаджанов проводит мастер-класс на тему: «Хакерские атаки на web-ресурсы с использованием XSS-уязвимостей. Принципы и технологии защиты»

Очень рекомендую, интереснейший материал. (Заодно и пособие для хакеров :-0)

Очень рекомендую, интереснейший материал. (Заодно и пособие для хакеров :-0)
Тут просят не метОду проведения противоправного действа, а нормативные документы регламентирующие процедуры по противодействию оным :))

Это все равно если на просьбу о предоставлении в пользовавние правил дорожного движения Вы дадите фильм "Форсаж" :)

противоправного действа
Не совсем противоправного. С этим мы разобрались. Меня интересуют именно чрезвычайные ситуации, которым противостоять трудно, но надо - землетрясения, пожары, наводнения и т.д.

Для начала просто выясните что скрывается в этой фразе у того кто это распоряжение спустил. Имхо у нас среди многих руководителей уровень знаний в ИКТ низок, и свои мысли они зачастую выражают фразами которые имеют совершенно другой смысл. Сталкиваясь много с этими казусами могу предположить варианты:
1. Ограничение доступа к определенной информации в ЧС.
2. Уничтожение секретных данных при ЧС.
3. Тут уже много можно фантазировать - но не угадать.
4. Менее всего вероятно что это напрямую связано с ОИБ.
Возможно так-же что директива предназначалась не Вам, а какому нибудь "особисту". Иначе разрабатывая схемы ОИБ в ЧС нужно для начала вообще иметь эту самую безопасность. Имхо.

Возможно так-же что директива предназначалась не Вам, а какому нибудь "особисту".
Что-то неверная постановка "вопроса"...

Возможно так-же что директива предназначалась не Вам, а какому нибудь "особисту".
Что-то неверная постановка "вопроса"...

А в чем вопрос то ?
Как работают канцелярии при госорганах наверное все знают. И какие там кадры.....

Возможно так-же что директива предназначалась не Вам, а какому нибудь "особисту".
Что-то неверная постановка "вопроса"...

А в чем вопрос то ?
Как работают канцелярии при госорганах наверное все знают. И какие там кадры.....

С этого момента можно поподробней?

Даже краем уха/глаза/мозга зная, как работают канцелярии государственных органов, не могу себе представить такой постановки "вопроса", как сделали это Вы: "эта директива предназначалась особисту"...

В дебри вы полезли, господа. :)
Пожар, землетрясение, наводнение - сервера находятся под угрозой. Что надо делать в такие моменты (и ДО них), чтобы потом восстановить работоспособность информационной системы в кратчайшие сроки? Нашла я этот документ ISO/IEC 27002: 2008...

Пожар, землетрясение, наводнение - сервера находятся под угрозой. Что надо делать в такие моменты (и ДО них), чтобы потом восстановить работоспособность информационной системы в кратчайшие сроки?
Надо:
1. иметь архивные копии всех данных, с которыми работает организация;
2. иметь дублирующее оборудование, которое может частично или полностью заменить вышедшее из строя в результате какой-либо катастрофы;
3. иметь обученный штат специалистов, не менее двух и чтобы перемещались по миру только по отдельности;
4. иметь резервное помещение для пп.1-3, желательно в другом городе, в защищенном бункере.

Ну как?

С этого момента можно поподробней?
Без обид - почту распределять ставят довольно далеких от терминов и понятий людей, тем паче на русском языке в области ИКТ или других сфер. Про переводы на государственный язык я вообще молчу. А указания и директивы спускает по почте канцелярия... Сам довольно долго работал в негосударственном информационном агентстве - по почте с КМ получали такие пёрлы по ИКТ (они переправлялись мне по должности), причем предназначенных исключительно для государственных агентсв, причем канцелярия упорно не хотела вычеркивать наше агенство из своего спамлиста.

Даже краем уха/глаза/мозга зная, как работают канцелярии государственных органов, не могу себе представить такой постановки "вопроса", как сделали это Вы: "эта директива предназначалась особисту"...
Практически в любой государственной структуре есть либо отдел, либо человек отвечающий(может и по совместительству) за безопасность в целом, если Вам это будет угодно.

Даже краем уха/глаза/мозга зная, как работают канцелярии государственных органов, не могу себе представить такой постановки "вопроса", как сделали это Вы: "эта директива предназначалась особисту"...
Практически в любой государственной структуре есть либо отдел, либо человек отвечающий(может и по совместительству) за безопасность в целом, если Вам это будет угодно.
:shok: Кто все эти люди??? Дмитрий... Вы меня извините но вы слабо себе представляете структуру гос.органа.

В дебри вы полезли, господа
Виктория, может быть пригласите к себе в гости - мы с удовольствием поделимся своими знаниями в создании отказоустойчивых и катастрофоустойчивых систем. Однако, хочу сказать, что Вы плавно изменили задачу с "что написать?" на "что делать?". Вас интересует создание катастрофоустойчивой системы или написание инструкций для персонала ("не кантовать, выносить первым")?

Тихий ужас.... А не проще ли сделать нормальный Государственный ДЦ с необходимым оборудованием, специалистами и защитой ? Чем такие директивы раздавать организациям с крайне низким бюджетом .... Имхо. Сначала попросят разработать, а потом назначат срок внедрения....

Виктория, может быть пригласите к себе в гости - мы с удовольствием поделимся своими знаниями в создании отказоустойчивых и катастрофоустойчивых систем. Однако, хочу сказать, что Вы плавно изменили задачу с "что написать?" на "что делать?". Вас интересует создание катастрофоустойчивой системы или написание инструкций для персонала ("не кантовать, выносить первым")?
+1, HP имеет огромный опыт работы в этом направлении, вам и документы сделают и нормативы и технику. Если Вам бюджет позволит. Или Фуджитсу..... Но тоже дорого.

написание инструкций для персонала
Инструкция, мне нужна пока только ИНСТРУКЦИЯ!

Кто все эти люди??? Дмитрий... Вы меня извините но вы слабо себе представляете структуру гос.органа.
Извиняю конечно.... а насчет слабости знаний бюрократической машины - возможно ...
Зато я хорошо знаком с реально действующими принципами управления государственными органами.
Я просто пытался объяснить ЭФ что используя слово "особист" я не имел в виду кого-то конкретно, наверное не правильно выразился.

Правовое регулирование информационной безопасности в чрезвычайных ситуациях : http://law.edu.ru/book/book.asp?bookID=1290633

Может это чем-то поможет.

написание инструкций для персонала
Инструкция, мне нужна пока только ИНСТРУКЦИЯ!

Но инструкция должна быть написана к чему-то. Т.е. вы должны по инструкции выполнять какие-либо действия на чем-то. А это что-то у вас в организации есть?

Тут просят не метОду проведения противоправного действа, а нормативные документы регламентирующие процедуры по противодействию оным )
В составе АСИ полно структур, занимающихся нормативными документами, надо только уметь достучаться...

в англоязычном инете полно шаблонов и примерных Инструкций.
Достаточно зделать поиск на "disaster recovery procedures" и "how to create disaster recovery plan".
Правда нужно будет переводить, но промт должен помочь!

Крупные IT компании представляют такую информацию абсолютно бесплатно.
Много инфы на сайтах Microsoft и IBM в технических документациях.

написание инструкций для персонала
Инструкция, мне нужна пока только ИНСТРУКЦИЯ!
В этом случае "Письмо из Простоквашино" отлично подойдёт... :)

"Мои папа и мама!
Я живу хорошо. Просто замечательно. У меня есть свой дом. Он теплый. В нем одна комната и кухня. А недавно мы клад нашли и корову купили. И Трактор…

….А еще у нас печка есть теплая. Я так люблю на ней отдыхать! Здоровье-то у меня не очень: то лапы ломит, то хвост отваливается. Потому что, дорогие мои папа и мама, жизнь у меня была сложная, полная лишений и выгоняний….

….А на днях я линять начал. Старая шерсть с меня сыплется - хоть в дом не заходи. Зато новая растет - чистая, шелковистая! Просто каракуль. Да еще охрип я немножечко. Прохожих много, на всех лаять приходится. Час полаешь, два полаешь, а потом у меня не лай, а свист какой-то получается и бульканье.

Дорогие папа и мама, вы меня теперь просто не узнаете. Хвост у меня крючком, уши торчком, нос холодный, и лохматость повысилась…. Если я на выставку попаду, мне все медали обеспечены. За красоту и сообразительность.

До свиданья. Ваш сын - дядя Шарик". (спасибо за полный текст - the_eye_of_fate (http://the-eye-of-fate.livejournal.com/22290.html))

В этом случае "Письмо из Простоквашино" отлично подойдёт...
В случае, если Ваша организация не принимает реальные организационно-технические мероприятия по созданию катастрофоустойчивой ИТ-системы, то достаточно будет наличия "просто" документа, регламентирующего простейшие действия (например, описанные в сообщении Ефима Кушнир). Ведь это будет равносильно действиям при пожаре: уже всё горит... Может быть всё же шагнуть немного дальше? Хотя бы написать план мероприятий по созданию катастрофоустойчивой системы, а уж потом под неё писать инструкции "по спасению утопающих руками самих утопающих"?

А это что-то у вас в организации есть?
ЕСТЬ!

план мероприятий по созданию катастрофоустойчивой системы
Мы будем модернизировать систему согласно ПП-999. Так что нам всё это еще предстоит.

желательно в другом городе, в защищенном бункере
Кстати, вполне достаточно иметь условия, в которых хранится Коран (из последней экскурсии). Кодовое название - "дата-центр". :)

Обеспечение информационной безопасности при чрезвычайных ситуациях Общая идея во всех подобных документах - резервный территориально удаленный ЦОД + мероприятия. Но до этого сначала определитесь с требованиями: насколько быстро при ЧС вам нужна развертка дальнейшей работы ЦОД. Например, сколько резервных рабочих мест пользователей вам нужно создать. Будет смешно, если ЦОД будет работать, например, непрерывно с двумя резервными центрами, а пользователи войти в него уже не смогут :). После того как определитесь с вашими потребностями по "отказоустойчивости" при ЧС есть смысл двигаться дальше, так как чем выше планка - тем в квадрате или в кубе выше стоимость решения. Не будите же вы делать требования исходя из стоимости решения? (Это, как правило, вторая итерация ;))

Инструкция, мне нужна пока только ИНСТРУКЦИЯ! Даже для этого сначало нужно принять решения по требованиям. А вдруг вам не критично потерять доступ на месяц? Тогда обычная инструкция по "бэкапу" (резервному копированию) и перевезти "бэкап" в другой город. Чем не процедура? Всего пара страничек (с вводной речью :))!

Вот Вам кстати "для начального ознакомления ;)" ISO27002. По хорошему его лучше купить - можно и в Узстандарте (точно есть, сам доставал).

Да подождите ещё чуть-чуть, скоро я разработаю.

Перерыла кучу материалов
Если материалы только "из интернета", то написать ничего не сможете - получите "Франкенштейна" или "Письмо из Простоквашино". Запросите у руководства средства на приобретение соответствующих стандартов по информационной безопасности (например, BS 7799 "Системы управления информационной безопасностью", BS ISO/IEC 17799 "Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью", BS ISO/IEC 27001 "Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования", и т.п.). "Написать" что-либо не удастся - это целая наука (каша) из программно-технических решений и организационных мероприятий.
"Написать" что-либо не удастся - это целая наука (каша) из программно-технических решений и организационных мероприятий.

Точняк!
Вот я ОДИН разработал Политику инф без., 13 док-в по ИБ для госкомитета, причём аналогов по качеству в других министерствах нет. А мне говорят, что я написал, что это может и писарь написать. Без преувеличения, чтобы написать что-либо по любому предмету, а тем более по сложному предмету, надо знать его досконально. Но этого недостаточно.
Надо уметь написать так, чтобы он был понятен неспециалистам.
Надо уметь написать так, чтобы он был чётким, логически связным, простым, как лексика военных.
Высосать из пальца, как многие говорят, не получится. Кстати, в интернете таких документов нет.
Мне неприятно, когда какой-либо документ по-настоящему разработан, не скопипастен, называют разработчика писарем. При этом тот, кто так говорит, сам читать не умеет (есть такие).
Кстати, это не "каша", а чёткая система мер.

Вот я ОДИН разработал Политику инф без., 13 док-в по ИБ для госкомитета, причём аналогов по качеству в других министерствах нет. А мне говорят, что я написал, что это может и писарь написать. Без преувеличения, чтобы написать что-либо по любому предмету, а тем более по сложному предмету, надо знать его досконально. Но этого недостаточно.
Надо уметь написать так, чтобы он был понятен неспециалистам.
Надо уметь написать так, чтобы он был чётким, логически связным, простым, как лексика военных.
Высосать из пальца, как многие говорят, не получится. Кстати, в интернете таких документов нет.
Мне неприятно, когда какой-либо документ по-настоящему разработан, не скопипастен, называют разработчика писарем. При этом тот, кто так говорит, сам читать не умеет (есть такие).
Кстати, это не "каша", а чёткая система мер.
какими документами, нормативами и стандартами руководствовались при разработке своей политики?

Вот я ОДИН разработал Политику инф без., 13 док-в по ИБ для госкомитета, причём аналогов по качеству в других министерствах нет. А мне говорят, что я написал, что это может и писарь написать. Без преувеличения, чтобы написать что-либо по любому предмету, а тем более по сложному предмету, надо знать его досконально. Но этого недостаточно.
Надо уметь написать так, чтобы он был понятен неспециалистам.
Надо уметь написать так, чтобы он был чётким, логически связным, простым, как лексика военных.
Высосать из пальца, как многие говорят, не получится. Кстати, в интернете таких документов нет.
Мне неприятно, когда какой-либо документ по-настоящему разработан, не скопипастен, называют разработчика писарем. При этом тот, кто так говорит, сам читать не умеет (есть такие).
Кстати, это не "каша", а чёткая система мер.
какими документами, нормативами и стандартами руководствовались при разработке своей политики?

Это конф информация. Кто же будет болтать???:rtfm:

Это конф информация. Кто же будет болтать???

а, все ясно, очередной фантазер :gigi:

Кстати, в интернете таких документов нет.

Это конф информация. Кто же будет болтать???:rtfm:

Вот я ОДИН разработал Политику инф без., 13 док-в по ИБ для госкомитета, причём аналогов по качеству в других министерствах нет.
Реально ОДИН? :-)

Вот я ОДИН разработал Политику инф без., 13 док-в по ИБ для госкомитета, причём аналогов по качеству в других министерствах нет.
Реально ОДИН? :-)

вы ошиблись адресом )

Виктория - вам надо чтобы он был "Обеспечение информационной безопасности при чрезвычайных ситуациях" для прохождения Аудита или реальный план действий?

Если нужен реальный план действий, нужно оценить, критические важные для вашей организации IT сервисы, что делать в ситуации:
-нет 1-го из сервисов,
-нет всех.
-где находятся бекапы данных, как их получить, где развернуть, как проверить актуальность.
-что делать при отсутсвии ключевых сотрудников, как получить доступ к административным аккаунтам.

Когда какой-то вариант будет готов, провести его тестирование, информации в документе достаточно? Да - составялем акт с результатами, Нет возращаемся в начало и вносим корретивы.

Данный план необходимо будет тестировать 1 раз в какой-то период времени (1-2 года) и подтерждать его актуальность, это должно быть отражено в IT политике.

Прошу вас еще ознакомиться с ITIL (https://ru.wikipedia.org/wiki/ITIL)

PS Это пока все что пришло в голову, потом у вас возникнет потребность в документации и придется читать стандарты и т.д.
PPS Коллеги наполняйте, все выше сказанное мое IMHO

вы ошиблись адресом )
Действительно! Извините! (Видимо, была настолько поражена)

Виктория - вам надо чтобы он был "Обеспечение информационной безопасности при чрезвычайных ситуациях" для прохождения Аудита или реальный план действий?
Это мне было надо в 2009 году. :-) Сейчас уже всё есть. Но спасибо за ответ.

Извините за "археологию"
Не нашел в Тасиксе чистого виндоус 10.
Закачка с интернета обрывается да и скорость падает.
То что нашел все российское(Uralsoft).У знакомых тоже нет. И в магазинах.
А в Тасиксе бесплатно получится.

Не нашел в Тасиксе чистого виндоус 10.Вы хотите официально получить ссылку на пиратку ))))

Не нашел в Тасиксе чистого виндоус 10.Вы хотите официально получить ссылку на пиратку ))))
Я думаю если все это дело официально разместят то
хоть кто то да ответит. 10ка бесплатная же. Ладно раньше , можно было понять, дорого было. Хочется некрякнутой и защищенной с основания. С обновами для родного дефендера.

C чего вы взяли, что десятка бесплатная?

C чего вы взяли, что десятка бесплатная?

Да , к сожалению уже надо платить.
Хотя до этого была бесплатной.
:-/

Да даже если б до сих пор была бесплатная... НАХРЕНА нужен такой троянец на компе?!

Да даже если б до сих пор была бесплатная... НАХРЕНА нужен такой троянец на компе?!
Так ведь троянец будет один, а не два или три. Если там раскурочено даже с Индии или Китая "троянцы" вбуравятся. Потом чисти не чисти толку мало.
Извините, таково мое мнение.
Или вы намекаете Линукс поставить?

намекаете Линукс поставить?
Она сама как вирус. А чем десятка плоха. Работает, программы которые на 7 и на 10 можно поставить. Всё это байки про 10. Такая же 7, интерфейс другой слегка просто. У меня и 7 и 10 и Ubuntu 16 на одном физическом диске и все пашут, в интернет выходят.

Такая же 7, интерфейс другой слегка просто. У меня и 7 и 10 и Ubuntu 16 на одном физическом диске и все пашут, в интернет выходят.Ну это то да.... Но кроме этого,в систему встроены модули слежения за действиями пользователя, отправки сгенерированных отчётов на несколько серверов в США. Кроме этого, изначально ещё в процессе разработки 10-ки предусмотрена программная возможность внедрения модулей внешнего управления. Говоря простым языком, при достаточной необходимости система разрешает установку "подписанных" скриптов без уведомления пользователя. В частном и крайнем случае, скрипт может запустить программу полного перехвата управления, причём не только самим компьютером, но и прочими устройствами, допускающими управление через интернет, вай-фай, блутуз, ИК и т.д.