Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
który poprosił na piśmie o następujące dane:

1. Informacje, od jakiego providera jest dostarczany internet
a) administracyjny login i hasło
b) wykaz numerów IP
c) parametry łącza
2. Informacja, jakie urządzenia łączą sieć WAN i LAN
a) wyszczególnić routery i firewalle, podać loginy i hasła dostępowe do tych
urządzeń
b) wyszczególnić sposoby logowania się przez te urządzenia do sieci
wewnętrznej LAN

3. Informacja, jakie serwery i jakie oprogramowanie znajduje się w serwerowni,
podać loginy i hasła administracyjne. Jakie są uruchomione usługi na tych
serwerach

4. Przygotować informację, do do backupów oprogramowania zainstalowanego w
firmie i sposobie składowania i przechowywania danych
5. Przedstawić schemat sieci wewnętrznej LAN z wyszczególnieniem dołączonych do
tej sieci komputerów. Wyszczególnić ilość urządzeń typu SWITH i ich parametry
(jeśli są to urządzenia zarządzane, podać loginy i hasła)
6. Opisać sposób obiegu dokumentów elektronicznych w systemie z
wyszczególnieniem miejsc, gdzie takiego systemu jeszcze nie ma (np wersje
papierowe)
7. Wyszczególnić wszystkie bazy danych znajdujące się w firmie, podać loginy i
hasła administracyjne do tych baz danych.
8. Podać login i hasło do systemu zarządzania domeną firmową i firmowa pocztą.

Jak w waszych firmach przechowywanie są takie informacje ? Przecież te dane to
jest klucz do wszystkich danych przedsiębiorstwa, który w razie dostania się w
niepowołane ręce może mieć katastrofalne skutki dla danych- zarówno ich
integralności, jak i bezpieczeństwa.

Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale
tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z
jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy
firmy audytorskie mogą żądac takich danych ?

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

On 2/17/2011 12:02 PM, m...@o...pl wrote:
> Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
> który poprosił na piśmie o następujące dane:
>
> 1. Informacje, od jakiego providera jest dostarczany internet
> a) administracyjny login i hasło
> b) wykaz numerów IP
> c) parametry łącza
> 2. Informacja, jakie urządzenia łączą sieć WAN i LAN
> a) wyszczególnić routery i firewalle, podać loginy i hasła dostępowe do tych
> urządzeń
> b) wyszczególnić sposoby logowania się przez te urządzenia do sieci
> wewnętrznej LAN
>
> 3. Informacja, jakie serwery i jakie oprogramowanie znajduje się w serwerowni,
> podać loginy i hasła administracyjne. Jakie są uruchomione usługi na tych
> serwerach
>
> 4. Przygotować informację, do do backupów oprogramowania zainstalowanego w
> firmie i sposobie składowania i przechowywania danych
> 5. Przedstawić schemat sieci wewnętrznej LAN z wyszczególnieniem dołączonych do
> tej sieci komputerów. Wyszczególnić ilość urządzeń typu SWITH i ich parametry
> (jeśli są to urządzenia zarządzane, podać loginy i hasła)
> 6. Opisać sposób obiegu dokumentów elektronicznych w systemie z
> wyszczególnieniem miejsc, gdzie takiego systemu jeszcze nie ma (np wersje
> papierowe)
> 7. Wyszczególnić wszystkie bazy danych znajdujące się w firmie, podać loginy i
> hasła administracyjne do tych baz danych.
> 8. Podać login i hasło do systemu zarządzania domeną firmową i firmowa pocztą.
>
> Jak w waszych firmach przechowywanie są takie informacje ? Przecież te dane to
> jest klucz do wszystkich danych przedsiębiorstwa, który w razie dostania się w
> niepowołane ręce może mieć katastrofalne skutki dla danych- zarówno ich
> integralności, jak i bezpieczeństwa.
>
> Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale
> tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z
> jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy
> firmy audytorskie mogą żądac takich danych ?
>

przygotuj loginy i hasła w zapieczętowanych kopertach.
W raporcie umieść informacje w której kopercie znajduje sie login i
haslo do konkretnego urządzenia.
Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
masz to przekazać.

do góry

W dniu 2011-02-17 19:06, witek pisze:

> Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
> masz to przekazać.

Nowy szef chce mieć nowego administratora?
;)

--
spp

do góry

On 2/17/2011 12:08 PM, spp wrote:
> W dniu 2011-02-17 19:06, witek pisze:
>
>> Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
>> masz to przekazać.
>
> Nowy szef chce mieć nowego administratora?
> ;)
>

niekoniecznie.
nowy szef nie chce miec niezastąpionego administratora, którego w każdej
chwili może autobus przejechać.
Po za tym jak się coś "wyleje" to siedzieć pójdzie dyrektor za brak
nadzoru, a dopiero za nim administrator.

do góry

W dniu 2011-02-17 19:02, m...@o...pl pisze:

> Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie firmy. Ale
> tak po prostu na piśmie i (mogę się domyślać, bo pytania pochodzą być może z
> jakiejś firmy audytorskiej) prawdopodobnie do wglądu przez osoby trzecie ? Czy
> firmy audytorskie mogą żądac takich danych ?

Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak
Ci witek napisał - zapieczętowane koperty z Twoim podpisem, które w
każdej chwili możesz obejrzeć, przechowywane w jakimś "sejfie"
(kancelarii tajnej). Podobnie powinno być z kodami źródłowymi
wszystkiego, co wyrzeźbisz.
Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
poddać procedurze dokumentów niejawnych.
Z resztą - są do tego procedury w ISO9000.



--
Dziękuję. Pozdrawiam. Ten Maruda.

do góry

Órzytkownik "Maruda" napisał:
>> Rozumiem rozwiązanie typu koperta zaklejona czy zalakowana w sejfie
>> firmy. Ale tak po prostu na piśmie i (mogę się domyślać, bo pytania
>> pochodzą być może z jakiejś firmy audytorskiej) prawdopodobnie
>> do wglądu przez osoby trzecie ? Czy firmy audytorskie mogą
>> żądac takich danych ?
>
> Co do pkt 1., częściowo 7 i 8., czyli loginy i hasła - masz rację. Jak Ci
> witek napisał - zapieczętowane koperty z Twoim podpisem, które w każdej
> chwili możesz obejrzeć, przechowywane w jakimś "sejfie" (kancelarii
> tajnej). Podobnie powinno być z kodami źródłowymi wszystkiego, co
> wyrzeźbisz.
> Reszta, to normalna dokumentacja, która po prostu "ma być". Sporządzić i
> poddać procedurze dokumentów niejawnych.
> Z resztą - są do tego procedury w ISO9000.

mnie to coś dziwnie pachnie!:O(
po pierwsze to należało by się zastanowić czy takie wymagania szefa leżą w
zakresie obowiązków owego admina?:O)
bo niby z jakiego powodu miałby odwalać kawał roboty która nie należy do
jego obowiązków i pewnie szef nie planuje za nią dodatkowej zapłaty?:O)

najbardziej mnie martfią te loginy i hasła administracyjne, bo jeśli zostaną
udostępnione osobom trzecim to praktycznie admin przestanie być adminem, to
znaczy osoby trzecie będą mogły zarządzać siecią, szpiegować co sie dzieje a
ewentualna odpowiedzialność spadnie na admina którego będzie można zwolnić
za niby złe wykonywanie swoich obowiazków!:O(

tłumaczenie ludzi ze te chasła administracyjne trzeba przekazać na wypadek
śmeirci admina to czysta bzdura!!!
jak admin fpanie pod autobus to sieć pszejmuje nowy admin i zmienia
fszystkie chasłą administracyjne bo ma bezpośredni dostęp do sieci, a jak
będzie chciał to może nawet zmienić sieć i żadna wiedza na temat haseł czy
podobnych dupereli nie jest potszebna:O)

więc jeśli widzisz problem to odmów wykonania polecenia jako niezgodnego z
twoimi obowiązkami zawartymi w umowie, oraz ze względów bezpieczeństwa
sieci, pozdrawiam:O)
jeśli szef chce znać hasła administracyjne to niech sam siebie zatrudni jako
administratora:O)

do góry

> Reszta, to normalna dokumentacja,
Polityka bezpieczeństwa rzeczywiście chyba nie przewiduje tu żadnych procedur.
>która po prostu "ma być". Sporządzić i
> poddać procedurze dokumentów niejawnych.
> Z resztą - są do tego procedury w ISO9000.

Możesz to rozwinąć (jakieś przykłady, linki) ? Bo jedyne sensowne rozwiązanie to
chyba kolejność:
a) uzupełnienie polityki bezpieczeństwa firmy o procedury przechowywania haseł
b) zgodnie z tymi procedurami postąpić.

Chyba, że tu bardziej o hasła i to niekoniecznie dla bezpieczeństwa firmy
potrzeba. Z drugiej strony wyobrażam sobie sytuację, ze ja daję hasła, dyrektor
w dobrej wierze przekazuje je audytorowi, a ten ktoś robi sobie "na zawsze"
furtkę do systemu.

Zakładam jeszcze propozycję: jeżeli audyt (załóżmy, że dotychczas "cichy")to w
części dotyczącej tego, co w serwerze: w mojej obecności.



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Dnia Thu, 17 Feb 2011 12:06:46 -0600, witek
<w...@g...pl.invalid> napisał:

>On 2/17/2011 12:02 PM, m...@o...pl wrote:
>> Administruję siecią firmy. W sieci m. innymi dane osobowe. Mam nowego szefa,
>> który poprosił na piśmie o następujące dane:

>przygotuj loginy i hasła w zapieczętowanych kopertach.
>W raporcie umieść informacje w której kopercie znajduje sie login i
>haslo do konkretnego urządzenia.
>Wszystko oficjalnie przekaż dyrektorowi lub miej pisemną informację komu
>masz to przekazać.
>

Skoro poprosił na piśmie, to przekaż w powyższej formie, za
pokwitowaniem.

Być może powoli rozglądaj się za nową pracą.
Z drugiej strony, szef zachowuje się całkiem rozsądnie. Uśwadom go
tylko jakim zagrożeniem może być otwarcie, lub przekazanie kopert w
niepowołane ręce. Zainstaluj monitoring logowania na przekazane
hasła... W wielu przypadkach można mieć więcej niż jedno konto
administracyjne w systemie.
--
Pozdrawiam

Paweł

do góry

begin Pawe?

> Być może powoli rozglądaj się za nową pracą. Z drugiej strony, szef
> zachowuje się całkiem rozsądnie.

Nie tyle całkiem rozsądnie, co całkowicie rozsądnie. Nie wyobrażam sobie,
jak w ogóle można traktować te kwestie inaczej. Admin miałby być
niepodzielnym panem i władcą całej sieci firmowej? A co gdy będzie miał
wypadek, obrazi się, cokolwiek?

Kwestia jak chronić te dane to zupełnie osobna sprawa i o tym oczywiście
warto porozmawiać. Ale samo polecenie nie jest niczym dziwnym.

--
"An intelligent man is sometimes forced to be drunk
to spend time with his fools." -- Ernest Hemingway

do góry

Użytkownik "to" napisał w wiadomości grup
dyskusyjnych:4d5d8c9d$0$2495$6...@n...neostrada
.pl...
> Nie tyle całkiem rozsądnie, co całkowicie rozsądnie. Nie wyobrażam sobie,
> jak w ogóle można traktować te kwestie inaczej. Admin miałby być
> niepodzielnym panem i władcą całej sieci firmowej? A co gdy będzie miał
> wypadek, obrazi się, cokolwiek?

Admin zmieni hasła i z wiedzą pisemną szlag trafi. Zresztą administratorzy nie
znają każdego hasła.

do góry