IT szabályzatok ( biztonság ) 50-100 fős cégek esetében

Közösségi kerekasztal

Sziasztok!

Szeretnék összerakni minden szabályzatot a tárgyban említett méretű és kisebb cégek esetében ami az IT üzemeltetéssel, biztonsággal kapcsolatban kellene, hogy meglegyen.

Jelenleg tudtommal törvény nincs erre, most készül, de az a közszférát és a kritikus infrastruktúrát érinti leginkább. ( ITBN oldalán van videó ez ügyben )

Ajánlások léteznek mint pl. a Cobit.

Van olyan aki üzemeltetéssel foglalkozik és rendben van náluk a szabályozás? Esetleg olyan aki tudja mit kell tartalmazzanak ezek a szabályzatok?
Csak címszavakban, vagy esetleg publikus példa egy szabályzatra. Mivel nekem sincs két egyforma ügyfelem így minden ilyen csak alapnak tekinthető, teljesen cégre kell szabni.

Eddig van egy IBSZ-em ami több év alatt formálódott a jelenlegi verzióra. Készül egy mentési terv és készítenem kellene egy katasztrófa tervet is. Mi kell még?

  • 6625 megtekintés

( lx | 2013. 10. 08., k – 15:05 )

Röviden: van.

Nem sokkal hosszabban, némi fléjmszaggal a levegőben aszondom, hogy a globális IT szeku olyan, mint a borotváló automata.

( nemtudod | 2013. 10. 08., k – 17:36 )

Biztos erre gondolsz
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény.

Nyugodtan ra lehet huzni cegre is.

( janoszen v | 2013. 10. 08., k – 18:39 )

Ahol ilyet láttam inkább akadályozta az embereket a munkában mimt segítette. Szerintem minél kevesebb, közérthető szabály legyen.

Sztem alapveto dolgokat kell tisztazni: mit csinalhat a kedves dolgozo a munkaeszkozzel, ha baja van kihez fordulhat es mit nem csinalhat. Konkretan: a munkaeszkoz munkara valo, privat dolgokra nem hasznalhato. Ha gondja van, ezt az embert kell hivni vagy itt kell ticketet nyitni. A dolgozo a gepre szoftvert nem telepithet, erre kerje fel az illetekes rendszergazdat. Ugyanez igaz a hardveres modositasokra.

Amit meg erdemes beleirni: munkaugyi levelezes csak a ceges e-mailen keresztul bonyolithato, ceges adat pedig csak ceges eszkozon lakhat. A ceges hordozhato eszkozoket jelszoval kell vedeni es azok hasznalatra masnak nem adhatoak at.

Sztem kb ennyi, ennel sokkal tobbet nem erdemes beleeroltetni, mert ugysem lesz betartva.

Jelenleg az érintett helyen rdiff-backup gyűjti a mentést egy gépre a központban, illetve a külső telephelyen. Mentés utána rsync szinkronizálja a két mentést. Kb. 30 km van a két gép között. A mentéseknél a log fel van dolgozva és egy saját rendszerbe feltölti a mentés tényét, talált hibák számát így egy felületen rögtön látom éjjel hol volt hiba.

Mentési tervekben csak is automatizált dolgokban érdemes gondolkodni.
Optimális esetben munkanap végén, egy irodai szerverre, majd onnan minél hamarabb (órákon belül) offsite.
De ez nagyon attól is függ, hogy milyen a munkahely.
És tapasztalatom szerint, soha ne bízz visszaállítást a felhasználóra. Mert nem ért hozzá.

Más:
Ha felmerül, hogy nagy file-okat kell megrendelőkkel megosztani, akkor erre legyen valami kész megoldás.
Régen ftp volt a nyerő. De manapság inkább valamilyen http megoldásban gondolkodnék.

### ()__))____________)~~~ #################
# "Ha én veletek, ki ellenetek?" # E130/Arch

Szerződés szerint csak a szerveren tárolt adatokért vállalunk felelősséget. Egyedi gépekről mentést, felhasználó közreműködését igénylő dolgot kérésre sem csinálunk. Egy kivétel van a könyvelés ott Cobian FTP-re elkészíti a mentést majd kikapcsolja a gépet.

Nagy fájl dologra most Dropbox van, de ki lesz vezetve. Thunderbird-höz van kiegészítő ami tud webdav-ot kezelni, behúzod a fájlt mintha csatolnád, feltölti és kicseréli hivatkozásra.