GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
ИТ безопасность и биллинг printer friendly version
next newest post | next oldest post
Author Messages
Dmitry Kostrov
Private First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 10

Click here to see the profile for Dmitry Kostrov Visit http://www.dvkostrov.narod.ru Send email to Dmitry Kostrov Send private message to Dmitry Kostrov Find more posts by Dmitry Kostrov Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 17:13:34    ICQ

Добрый день коллеги,
хотел бы услышать мнение о такой работе службы информационной безопасности.
Должен ли специалист службы участвовать (проводить :confused: ) работы по аудиту систем АСР (биллинг систем) в частности выявлять потери. Если может, то СИБ становиться из подразделения , которое только тратит в подразделение зарабатывающее. Но...не роль ли эта финансовых аудиторов ?
Пример: было НСД к АСР, товарищ изменил тарифный план для одной из компаний. Трафик прошел с другим коэффициентом оплаты, потом все вернул. Финансовый специалист в ИТ не понимает и логи (если ведуться) не прочтет.
Вот такой вопрос.
Dmitry Kostrov
Private First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 10

Click here to see the profile for Dmitry Kostrov Visit http://www.dvkostrov.narod.ru Send email to Dmitry Kostrov Send private message to Dmitry Kostrov Find more posts by Dmitry Kostrov Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 17:35:23    ICQ

Колеги ,
в этот же вопрос.
Должна лли участвовать(организовывать) СИБ fraud control (борьба с мошенничеством) ?
Тема очень модная , но ясности ни кто не привносит.
Dmitry Popkov
Private

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 2

Click here to see the profile for Dmitry Popkov Send email to Dmitry Popkov Send private message to Dmitry Popkov Find more posts by Dmitry Popkov Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 17:40:53  

Похожая ситуация. Думаю что надо смотреть шире, т.е. СИБ не только информационая безопасность, но и экономическая без-ть\контр-ка, которые и определяют так называемую эффективность (с финансовой стороны в том числе) СИБ в Компании.
В Вашем случае, коллега, на финансового аудитора возлагать такие функции нецелесообразно. А вот по Вашей технической экспертизе финансовый аудитор сможет оценить ущерб и спргнозирует упущенную выгоду и т.п., а при правильной постановки вопроса и поможет СИБ укрепить свои материально-технические позиции :-)

Quote:
Originally posted by Dmitry Kostrov
Добрый день коллеги,
хотел бы услышать мнение о такой работе службы информационной безопасности.
Должен ли специалист службы участвовать (проводить :confused: ) работы по аудиту систем АСР (биллинг систем) в частности выявлять потери. Если может, то СИБ становиться из подразделения , которое только тратит в подразделение зарабатывающее. Но...не роль ли эта финансовых аудиторов ?
Пример: было НСД к АСР, товарищ изменил тарифный план для одной из компаний. Трафик прошел с другим коэффициентом оплаты, потом все вернул. Финансовый специалист в ИТ не понимает и логи (если ведуться) не прочтет.
Вот такой вопрос.

--------------------
FYI



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 17:55:36  

Мое мнение: служба ИБ должна обеспечить защиту биллинговых систем от НСД путем реализации комплексной системы мер ИБ, предусматривающих предотвращение, выявление, реагирование, расследование, ликвидацию последствий... Аудит биллинг систем необходим и может рассматриваться как одна из мер по предотвращению НСД. Аудит должен быть независимым. Желательно привлечение специализированной фирмы (внешний аудит).

Служба ИБ здесь ни во что не превращается, т.к. выполняет свои обычные функции: предотвращение и/или сокращение возможного ущерба от реализации угроз ИБ. Оценка ущерба и выявление потерь составная часть работ по анализу рисков, мониторингу безопасности и реагированию на инциденты - функции службы ИБ. Основной задачей финансовых аудиторов, как известно, является независимая проверка финансовой отчетности организации.

--------------------



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 18:05:53  

Quote:
Originally posted by Dmitry Kostrov
Колеги ,
в этот же вопрос.
Должна лли участвовать(организовывать) СИБ fraud control (борьба с мошенничеством) ?
Тема очень модная , но ясности ни кто не привносит.

Обязательно должна участвовать в части предотвращения, выявления, реагирования и расследования.

--------------------

Dmitry Kostrov
Private First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 10

Click here to see the profile for Dmitry Kostrov Visit http://www.dvkostrov.narod.ru Send email to Dmitry Kostrov Send private message to Dmitry Kostrov Find more posts by Dmitry Kostrov Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 18:19:43    ICQ

Все правильно. Должны участвовать.
Но смотрите какой уровень спецов должен быть.
БИЛЛИНГ:
- специалист должен работать с системой; знать ее функциональность; если нет специализированного рабочего места то работать с понятием "счет-клиент-тарифный план-коэффициент скидок и т.п.", заходить в систему по "нижнему" уровню (через ОС или БД). Контроль действий пользователей, и оценка их действий. Понятие что если компания потеряла деньги, то потенциально это мог сделать Иванов-Петров, который за ведомо обращался к таблице тако-то.
FRAUD:
- знание работы всей сети; оценка трафика; работа с биллингом и промежуточными системами накопления; установка "пробников" и общая оценка потерь в системе.

Тут еще есть вопросы о реализации ИТ безопасности в таких системах как ERP например и т.п.
ИТ безопасность уже выходит за рамки требований руководящих документов и становиться (по моему наблюдению) рядом с бизнесом ( DRP, BRP, расчет бизнес процессов с учетом рисков).



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 18:34:04  

Очевидно это должна быть группа специалистов различных профилей (и из различных подразделений компании). Служба ИБ должна координировать их работу и отвечать за конечный результат.

А роль руководящих документов не стоит переоценивать. Деятельность по обеспечению ИБ никогда не ограничивалась требованиями РД.

--------------------

Dmitry Popkov
Private

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 2

Click here to see the profile for Dmitry Popkov Send email to Dmitry Popkov Send private message to Dmitry Popkov Find more posts by Dmitry Popkov Edit or delete this message Reply w/Quote
Posted Wednesday, January 14, 2004 @ 18:55:32  

господа, как я и говорил речь идет о полнофункциональной Службе экономической безопасности (аналитика, финансовый стелс-мониторинг, тех. обеспечение, ИБ, собственная безопасность).

Специалисты должны быть именно в прямом подчинении СЭБ (СИБ), координация специалистов из других подрпазделений на определенном этапе (например после внедрения DRP ERP) уже не эффективна.

Согласен, что специалисты должны быть высококвалифицированными и знать специфику всего процесса (например на стыке финансового контроля, биллинга и их технического обеспечения).

--------------------
FYI

Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Thursday, January 15, 2004 @ 13:16:49    ICQ

Добрый день.
Задачей СИБ должно являться предотвращение возможности НСД к биллинговой системе, так как СИБ обязана управлять рисками ИБ, каковым и является потенциальная возможность доступа к АСР, тогда как, на мой взгляд, сами изменения в АСР не относятся к рискам ИБ (возможно их стоит назвать рисками АСР). Они являются следствием сработавших рисков ИБ. Поэтому если в Вашей компании управление рисками АСР введено в сферу компетенции СИБ, то СИБ и занимается анализами логов и прочего и обязана обладать необходимыми знаниями по АСР. Может быть целесообразно возлагать управление рисками АСР на ИТ-риск менеджера/внутреннего аудитора.

Quote:
Originally posted by Dmitry Kostrov
Добрый день коллеги,
хотел бы услышать мнение о такой работе службы информационной безопасности.
Должен ли специалист службы участвовать (проводить :confused: ) работы по аудиту систем АСР (биллинг систем) в частности выявлять потери. Если может, то СИБ становиться из подразделения , которое только тратит в подразделение зарабатывающее. Но...не роль ли эта финансовых аудиторов ?
Пример: было НСД к АСР, товарищ изменил тарифный план для одной из компаний. Трафик прошел с другим коэффициентом оплаты, потом все вернул. Финансовый специалист в ИТ не понимает и логи (если ведуться) не прочтет.
Вот такой вопрос.

--------------------
"We are eating out own dog's food!"



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, January 15, 2004 @ 14:03:43  

Quote:
Originally posted by Anton Pershin
Добрый день.
Задачей СИБ должно являться предотвращение возможности НСД к биллинговой системе, так как СИБ обязана управлять рисками ИБ, каковым и является потенциальная возможность доступа к АСР, тогда как, на мой взгляд, сами изменения в АСР не относятся к рискам ИБ (возможно их стоит назвать рисками АСР). Они являются следствием сработавших рисков ИБ. Поэтому если в Вашей компании управление рисками АСР введено в сферу компетенции СИБ, то СИБ и занимается анализами логов и прочего и обязана обладать необходимыми знаниями по АСР. Может быть целесообразно возлагать управление рисками АСР на ИТ-риск менеджера/внутреннего аудитора.

Прошу прощения за повторение общеизвестных вещей: Величина риска ИБ прямо пропорциональна вероятности успешного осуществления угрозы ИБ (в вашей терминологии - "сработавший риск" и величине возможного ущерба (в вашей терминологии - изменения ACP). Поэтому фактически вы все же говорите об управлении рисками ИБ, которое, как известно, включает в себя выбор и реализацию контрмер, адекватных существующим рискам ИБ, и основная роль здесь должна принадлежать СИБ, ибо как-раз для этого такие подразделения и создаются. Конечно в этом процессе также участвуют и администраторы ACP и аудиторы и риск-менеджеры, если такие имеются.

--------------------

Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Thursday, January 15, 2004 @ 15:46:57    ICQ

С точки зрения теории, все что Вы написали - верно. Однако на практике получается что штат СИБ мал и либо там должны работать всезнающие и всеуспевающие люди, либо приходится распределять ответственность за риски. Мне кажется, что Вы не совсем поняли мой комментарий. СИБ отвечают за риски ИБ, которые определяются вероятностью НСД к АСР и величиной ущерба от НСД к АСР. СИБ без помощи специалистов по АСР (либо ИТ-риск менеджера/внутреннего аудитора) или "всезнаний" едва ли сможет точно ущерб. Кроме того, из практических соображений СИБ возможно вообще не нужно его точно оценивать, достотачно качественной оценки. Написав, риски АСР, я имел ввиду вероятности изменения ожидаемого ущерба при НСД.

Quote:
Originally posted by Alexander Astahov

Прошу прощения за повторение общеизвестных вещей: Величина риска ИБ прямо пропорциональна вероятности успешного осуществления угрозы ИБ (в вашей терминологии - "сработавший риск" и величине возможного ущерба (в вашей терминологии - изменения ACP). Поэтому фактически вы все же говорите об управлении рисками ИБ, которое, как известно, включает в себя выбор и реализацию контрмер, адекватных существующим рискам ИБ, и основная роль здесь должна принадлежать СИБ, ибо как-раз для этого такие подразделения и создаются. Конечно в этом процессе также участвуют и администраторы ACP и аудиторы и риск-менеджеры, если такие имеются.

--------------------
"We are eating out own dog's food!"



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, January 16, 2004 @ 10:55:35  

Конечно управление рисками ИБ это задача не только СИБ. В этом процессе должны участвовать все пользователи и администраторы ИС. Финансовый ущерб должны оценивать финансисты, независимый аудит проводить должны аудиторы, настраивать параметры ACP должны администраторы ACP, ущерб от дезорганизации деятельности должны оценивать руководители бизнес-подразделений и т.п. СИБ этот процесс планирует, контролирует и координирует. СИБ также участвует в реализации механизмов безопасности и сопровождение специализированных СЗИ. От специалистов СИБ вовсе не требуется быть всезнающими. Не требуется также включать в состав СИБ специалистов из других проблемных областей.

--------------------

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Tuesday, February 17, 2004 @ 17:09:59    ICQ

Quote:
Originally posted by Dmitry Kostrov
Все правильно. Должны участвовать.
Но смотрите какой уровень спецов должен быть.
БИЛЛИНГ:
- специалист должен работать с системой; знать ее функциональность; если нет специализированного рабочего места то работать с понятием "счет-клиент-тарифный план-коэффициент скидок и т.п.", заходить в систему по "нижнему" уровню (через ОС или БД). Контроль действий пользователей, и оценка их действий. Понятие что если компания потеряла деньги, то потенциально это мог сделать Иванов-Петров, который за ведомо обращался к таблице тако-то.
FRAUD:
- знание работы всей сети; оценка трафика; работа с биллингом и промежуточными системами накопления; установка "пробников" и общая оценка потерь в системе.

Тут еще есть вопросы о реализации ИТ безопасности в таких системах как ERP например и т.п.
ИТ безопасность уже выходит за рамки требований руководящих документов и становиться (по моему наблюдению) рядом с бизнесом ( DRP, BRP, расчет бизнес процессов с учетом рисков).

Почему бы не рассмотреть вопрос приоретения спец. систем обнаружения фрода?

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 18
There are currently 0 members and 18 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex