GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
С чего начать ??? к кому обратиться??? printer friendly version
next newest post | next oldest post
Author Messages
В.
Unregistered
Edit or delete this message Reply w/Quote
Posted Monday, April 4, 2005 @ 17:38:26  

Уважаемые знатоки помогите разобраться. Недавно очень остро встал вопрос о защите информации в компании. Хотелось бы понять с чего начать и к кому обращаться, потому как сотрудник, называющий себя системным администратором бессилен.
Подскажите, посоветуйте
Заранее благодарен.


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, April 8, 2005 @ 15:29:38  

Можете начать с нашего форума или обратиться к любому другому источнику информации, которому вы доверяете.

--------------------

Grigory
Corporal

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 23

Click here to see the profile for Grigory Send email to Grigory Send private message to Grigory Find more posts by Grigory Edit or delete this message Reply w/Quote
Posted Friday, April 22, 2005 @ 18:09:13  

Похоже, что организация у Вас маленькая. Может быть следующая последовательность: 1) определиться с бюджетом на безопасность (сколько вы согласны тратить в год); 2) исходя из этой суммы возможны варианты: а) (дешевый) самостоятельно определить критичные процессы организации (с точки зрения величины ущерба) и взять на работу (по совместительству) студента-старшекурсника, обучающегося по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". При этом, данный работник должен подчиняться генеральному директору (или заму), но ни в коем случае не системному администратору или ответсвенному за охрану помещений (физическую безопасность);
б) (дорогой) нанять консультантов, чтобы они предложили решения по защите наиболее критичной для бизнеса информации.
XAlone
Private

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 2

Click here to see the profile for XAlone Send email to XAlone Send private message to XAlone Find more posts by XAlone Edit or delete this message Reply w/Quote
Posted Saturday, April 23, 2005 @ 23:31:01  

Quote:
Originally posted by В.
Уважаемые знатоки помогите разобраться. Недавно очень остро встал вопрос о защите информации в компании. Хотелось бы понять с чего начать и к кому обращаться, потому как сотрудник, называющий себя системным администратором бессилен.
Подскажите, посоветуйте
Заранее благодарен.

Вы уж простите, но вопрос явно с неполными исходными данными. Чтобы знать куда бежать - надо знать конкретную ситуацию. То ли у вас там все вдруг остро осознали необходимость ЗИ и просто не знают с чего начать, то ли всем все до лампочки с этой самой ЗИ, просто вдруг случилось нечто и теперь ищут крайних. И потом чтобы давать практические советы - масштабы компании тоже желательно представлять.
XAlone
Private

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 2

Click here to see the profile for XAlone Send email to XAlone Send private message to XAlone Find more posts by XAlone Edit or delete this message Reply w/Quote
Posted Saturday, April 23, 2005 @ 23:38:56  

Quote:
Originally posted by Grigory
Похоже, что организация у Вас маленькая.

Увы, совсе не обязательно ... Иногда в больших конторах такие чудеса творятся, просто дух захватывает ...
Alex K.
Private

Gender: Male
Location:
Registered: Mar 2007
Status: Offline
Posts: 2

Click here to see the profile for Alex K. Send email to Alex K. Send private message to Alex K. Find more posts by Alex K. Edit or delete this message Reply w/Quote
Posted Tuesday, March 13, 2007 @ 15:21:52  

Quote:
Originally posted by Grigory
Похоже, что организация у Вас маленькая.

Quote:
Originally posted by XAlone

Увы, совсе не обязательно ... Иногда в больших конторах такие чудеса творятся, просто дух захватывает ...

А вот это уже наш случай...
Приветствую, уважаемые безопасники.
Тоже хотелось бы получить небольшие консультации и понять а правильной ли дорогой мы идем? Со своей стороны постарасюь передоставить максимальное кол-во информации.
Общая информация: компания со штатом примерно в 1500 человек, из которых примерно 500 активные пользователи ПК - БД, почта, интернет. Имеются представительства во многих городах, но большей частью состоящие из 2-5 человек. Из крупных офисов - 4. Два в столице, другие - в другом не маленьком городе
Назовем из С1, С2, В1, В2. С1 - головной - практически все руководство, финансовые, коммерческие, рекламные и т.п. департаменты. С2 - по большей части технический персонал. В1, В2 - представители компании, технический персонал и т.п.
Офисы С1, С2, В1 связаны через FrameRelay. В1 и В2 связаны по радиоканалу.
По поводу бюджета. Думаю что не более 10000USD в год (это при том, то сумеем отстоять свое).
Надеюсь достаточно начальной информации.
А теперь то что имеем и что хотим.
На самом деле ИБ в компании на 0-вом уровне. Как таковая отдельная ветка от ИТ по ИБ сформировалась 1 год назад (1 человек). Нормальная работа началась примерно с конца прошлого года. В новом году выделили +1 человека. Итого на штат в 500 активных пользователей и с такой инфраструктурой по стране мы имеем 28 человек из ИТ, из которых 2 занимаются ИБ. Один из них соответсвенно я - ваш покорный слуга.
Совсем недавно закончили разработку таких документов как структура сети (и то не до конца, есть еще куча пробелов), процедуру по резервированию данных. Это те два момента которые нужно было закончить и сделать в кратчайшие сроки. Существует соглашение по работе с электронной почтой и Интернет. Теперь полным ходом идет разработка структуры компании, разбиение работы компании на бизнес процессы, их описание, после этого начнется разработка, точнее доработка до ума Политики безопасности и процедур и приложений к ней (политика и процедуры есть. но они "мертвые" просто оформленные в виде бумажек на которые никто не смотрит. Мы хотим создать "живые" документы, с которыми можно и нужно работать в балансе между возможностью выполнять свои функциональные обязанности и возможностью защитить интересы компании).
Это то что мы имеем. Хотим мы намного больше.
Как я уже сказал ранее - у нас в планах внедрение "живой" политики безопасности. Процесс этот будет очень долгим и затяжным. Основная часть будет разрабатываться нашими зелеными силами, после этого будут привлечены сторонние специалисты, задача которых будет заключаться в анализе системы ИБ, соответсвие политики стандартам ISO (как громко звучит), возможно разработка СУИБ.
Почему мы хотим сначала разработать и внедрить политику а потом привлечь специалистов? Наверное потому что сам процесс внедрения - это больной вопрос. Мы должны будем сначал убедить всех в необходимости измненений в работе, а уже после внести изменения, рекомендованные сторонними специалистами будет проще. Хотя и есть пониамние того, что разработка правильных документов в соответсвии со стандратами с самого начала сэкономит и время и нервы, но есть также желание не просто положиться на сторонних специалистов, но и вырасти в плане ИБ самому, посмотреть а есть ли способности.
Вот такое мое видение. Предполагаю, что найдется много противников такой точки зрения, потому и написал все что выше, дабы, в случае необходимости, подкорректировать свое понимание проблемы.

З.Ы.
просьба учитывать то, что это все писал совершенно "зеленый" безопасник...



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Tuesday, March 13, 2007 @ 20:34:27  

Бюджет компании по ИБ в значительной степени состоит из заработной платы сотрудников. $10к - это наверное те деньги, которые вы могли бы заплатить внешним консультантам. На эти деньги вы максимум сможете себе позволить небольшой внешний аудит московских офисов.

Не понятно каким образом внешние специалисты помешают вашему росту, скорее наоборот. А набить свои шишки конечно надо, но с таким бюджетом на ИБ, который явно несоотносится с размерами вашей организации, у вас таких возможностей будет много.

--------------------

Alex K.
Private

Gender: Male
Location:
Registered: Mar 2007
Status: Offline
Posts: 2

Click here to see the profile for Alex K. Send email to Alex K. Send private message to Alex K. Find more posts by Alex K. Edit or delete this message Reply w/Quote
Posted Thursday, March 15, 2007 @ 07:22:48  

В принципе 10К это сумма которая может быть выделена на ИБ в т.ч. привлечение внешних специалистов, закуп ПО, оборудования и т.п.
Какова должна быть сумма выделенная на ИБ (без учета з/п) в год с учетом размеров нашей организации.

А насчет внешних специалистов... Надо подумать, но опять-таки сколько есть денег и сколько стоят специалисты, с учетом того, что эти деньги нужны еще и на другие нужды. Перспективы действительно не радужные.



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, March 15, 2007 @ 12:24:57  

По опыту: в организации должны быть как минимум три функциональные роли, которые не могут совмещаться в одном человеке. Это: менеджер ИБ, администратор ИБ и внутренний аудитор ИБ. Это как минимум три высокооплачиваемых сотрудника, занятых исключительно вопросами ИБ. С этого и надо начинать планирование бюджета. Это минимум $120k в год.

Далее посчитайте сколько стоит джентельменский набор программно-технических средств защиты в рассчете хотя бы на 500 раб. мест:
средства антивирусной защиты - $30k и $10k ежегодно
средства защиты периметра - примерно столько же
средства резервного копирования - тот же порядок величины

Грубо говоря $90k сразу и $30k ежегодно вынь да полож. Это я подсчитал только 3 основные подсистемы ИБ из 10.
Полюс услуги интеграторов по внедрению и тех. поддержке этих систем - не меньше 10k в год.
Плюс услуги внешних аудиторов - не меньше 10k в год.

Таким образом самый грубый подсчет дает годовой бюджет вашей компании на ИБ ~ от $170k ежегодно (точно не меньше без учета приобретения лицензий на новые средства защиты), а на практике получиться больше $200k.

Может быть вашему руководству стоит начинать обеспечение ИБ компании с уяснения этих цифр?

--------------------

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 26
There are currently 0 members and 26 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex