GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Чем занимаются отделы защиты информации? printer friendly version
next newest post | next oldest post
Author Messages


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Thursday, July 24, 2003 @ 15:48:16  

Коллеги, интересно было бы обменяться опытом на тему того какие функции выполняют Отделы защиты информации в разных организациях. Вот например как я определил функции для своего отдела:

-Планирование и реализация организационных мер по обеспечению ИБ компании, включает в себя:
oАнализ и управление рисками;
oРазработку, внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов и других организационно-распорядительных документов по обеспечению ИБ;
oРазработку планов мероприятий по повышению уровня ИБ Компании.

-Контроль защищенности ИТ инфраструктуры компании от угроз ИБ реализуется путем:
oПроведения аудита безопасности информационных систем Компании;
oКонтроля выполнения требований организационно-распорядительных документов по обеспечению ИБ Компании администраторами и пользователями корпоративной сети;
oКонтроля доступа к локальным и сетевым ресурсам;
oКонтроля параметров системного и прикладного ПО, а также сетевых устройств, влияющих на уровень защищенности информационных систем Компании;
oЭкспертизы проектов и решений внедряемых в ИС Компании с точки зрения их соответствия требованиям ИБ.

-Выявление, расследование и реагирование на нарушения ИБ производится путем:
oМониторинга событий, происходящих в корпоративной сети Компании и критичных с точки зрения обеспечения ИБ, осуществляемого путем централизованного сбора и анализа журналов аудита критичных компонентов корпоративной сети, включая активное сетевое оборудование, МЭ, серверы и рабочие станции;
oМониторинга сетевого трафика с целью выявления сетевых атак;
oКонтроля процесса создания новых учетных записей пользователей и предоставления (изменения) доступа к ресурсам корпоративной сети;
oОпроса пользователей и администраторов информационных систем;
oПроведения совместно с Управлением информации, анализа и контроля служебных расследований и разбирательств по фактам нарушения ИБ в Компании.

-Внедрение и эксплуатация специализированных программных и программно-технических средств защиты информации совместно с администраторами сети, включая:
oМежсетевые экраны и средства VPN;
oСредства выявления атак системного и сетевого уровня;
oСредства централизованного сбора и анализа информации аудита;
oСредства контроля несанкционированных изменений файлов и баз данных;
oСредства анализа контента электронных сообщений;
oСредства антивирусной защиты;
oСпециализированные средства аутентификации пользователей и сетевых устройств (такие как выделенные серверы аутентификации);
oИнфраструктура открытых ключей (PKI);
oСредства контроля защищенности ОС, приложений и сетевых устройств;
oКриптографические средства защиты информации;
oСредства управления компонентами системы ИБ;
oПрочие программно-технические средства, необходимые для обеспечения ИБ корпоративной сети Компании.

-Координация деятельности всех структурных подразделений ДИТ и других подразделений Компании по поддержанию режима ИБ осуществляется путем:
oВовлечение сотрудников ДИТ, бизнес подразделений и инфраструктурных подразделений Компании в процесс разработки организационно-распорядительных документов, регламентирующих вопросы обеспечения ИБ Компании;
oОрганизация процессов совместной разработки, согласования, внедрения и контроля исполнения планов организационно-технических мероприятий по обеспечению ИБ.

-Повышение осведомленности сотрудников Компании в вопросах обеспечения ИБ осуществляется путем:
oПроведения мероприятий по обучению пользователей и технических специалистов по вопросам ИБ;
oВыдача рекомендаций пользователям и администраторам сети по соблюдению режима ИБ и решению проблем, связанных с обеспечением ИБ.

Такой набор функций диктует и структуру отдела - это администраторы безопасности, занимающиеся вопросами эксплуатации средств защиты, и эксперты, занимающиеся аудитом и организационными мерами.

А как у вас?

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 06:57:46    ICQ

Всё абсолютно правильно, на мой взгляд, я в нацбанке сделал тоже самое, только два замечания:
- кому подчиняется этот отдел? Должен починяться напрямую председателю.
- (самое важное, я всё же считаю, что вы сделали фатальную ошибку) Вы создали типичный конфликт интересов. Отдел НЕ МОЖЕТ аудировать то, что сам создаёт. Этим должен заниматься аудитор айти.

--------------------
Удача любит подготовленный разум



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:01:14  

Вопрос о подчиненности отдела защиты информации также не имеет однозначного решения как и вопрос о контроле действий админов. Вообще эти вопросы являются родственными.
У нас отдел защиты информации подчиняется ИТ Директору. С одной стороны это правильно, т.к. это один из ИТ отделов, а безопасность ИТ можно рассматривать как один из сервисов корпоративной сети. С другой стороны обеспечение ИБ не ограничивается только технической составляющей (фактически: 1/3 - технические меры, 2/3 - организационные). Поэтому область компетенции этого отдела выходит за рамки деятельности ИТ департамента. Также он выполняет функции аудита безопасности ИТ инфраструктуры, что говорит о необходимости его прямого подчинения руководителю организации. Возможно мы к этому придем в процессе эволюции.
Функции реализации контрмер и их контроля (аудита) у нас выполняют разные люди. Так что на уровне исполнителей конфликта интересов не происходит. И администраторы безопасности и эксперты, проводящие аудит, рапортуют руководителю Отдела защиты информации, который отвечает за обеспечение ИБ организации, что является, на мой взгляд, правильным. Неработоспособной была бы схема при которой администратор безопасности, подчиняется скажем начальнику отдела администрирования серверов, а аудитор - начальнику отдела внутреннего аудита. Для первого ИБ не является приоритетом и думать об этом он будет в последнюю очередь, второй вообще в ИБ ничего не понимает. Не говоря уже о том, что ИТ аудитору с хорошим техническим бэкграундом тяжело было бы работать во внутреннем аудите вместе с финансистами. В нашем случае ответственность за ИБ сосредоточена в руках профессионала, который представляет себе ситуацию с ИБ в целом и способен рассматривать ее под разными углами зрения, а также способен оказывать на ИТ процессы непосредственное влияние.

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:26:46  

Саш, не называй внутренних аудиторов - финансистами, это соответствует ярлыку "программисты", который рядовые пользователи вешают на весь ИТ департамент.


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:29:22  

Извини. Просто по отношеню к ним, я такой же пользователь
Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:33:56    ICQ

Quote:
Originally posted by Alexander Astahov
Вопрос о подчиненности отдела защиты информации также не имеет однозначного решения как и вопрос о контроле действий админов. Вообще эти вопросы являются родственными.
У нас отдел защиты информации подчиняется ИТ Директору. С одной стороны это правильно, т.к. это один из ИТ отделов, а безопасность ИТ можно рассматривать как один из сервисов корпоративной сети. С другой стороны обеспечение ИБ не ограничивается только технической составляющей (фактически: 1/3 - технические меры, 2/3 - организационные). Поэтому область компетенции этого отдела выходит за рамки деятельности ИТ департамента. Также он выполняет функции аудита безопасности ИТ инфраструктуры, что говорит о необходимости его прямого подчинения руководителю организации. Возможно мы к этому придем в процессе эволюции.
Функции реализации контрмер и их контроля (аудита) у нас выполняют разные люди. Так что на уровне исполнителей конфликта интересов не происходит. И администраторы безопасности и эксперты, проводящие аудит, рапортуют руководителю Отдела защиты информации, который отвечает за обеспечение ИБ организации, что является, на мой взгляд, правильным. Неработоспособной была бы схема при которой администратор безопасности, подчиняется скажем начальнику отдела администрирования серверов, а аудитор - начальнику отдела внутреннего аудита. Для первого ИБ не является приоритетом и думать об этом он будет в последнюю очередь, второй вообще в ИБ ничего не понимает. Не говоря уже о том, что ИТ аудитору с хорошим техническим бэкграундом тяжело было бы работать во внутреннем аудите вместе с финансистами. В нашем случае ответственность за ИБ сосредоточена в руках профессионала, который представляет себе ситуацию с ИБ в целом и способен рассматривать ее под разными углами зрения, а также способен оказывать на ИТ процессы непосредственное влияние.

Подчиненность организационной структуре, работу которой, в частности, необходимо контролировать и по результатам проверок наказывать, - неправильно.



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 10:52:43  

Ну зачем же сразу наказывать (по результатам проверок)?
На разных уровнях управления должны использоваться разные средства контроля. Если речь идет о том, кто и как контролирует начальника отдела защиты информации, то, в моем случае, для ИТ директора достаточно моих отчетов об иницентах, сколько вирусов было обезврежено, сколько сетевых атак отражено, сколько уязвимостей обнаружено и что сделано, и т.п., а также как мы соотетствуем требованиям ISO17799 В случае моей подчиненности напрямую руководителю организации, требовалось бы еще меньше отчетности. Для получения незавимых оценок, руководство и акционеры периодически приглашают внешних аудиторов.
Возложить дополнительный контроль на отдел внутренного аудита можно, но в наших условиях нецелесообразно (через это мы уже проходили). Аудитору ИБ через некоторое время нечего становиться делать и он фактически переходит в режим работы внешнего аудитора. Смысл держать человека на постоянной основе отпадает.
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:09:50    ICQ

!!!!Подчиненность организационной структуре, работу которой, в частности, необходимо контролировать и по результатам проверок наказывать, - неправильно.!!!!
Полностью согласен с г-м Климовым.
Ещё одно, судя по тому, что вы говорите. У Вас в организации огромный риск концентрации полномочий. С точки зрения контроля это неприемлемо.

--------------------
Удача любит подготовленный разум



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:15:17  

Да, правильно, у нас в организации огромный риск концентрации полномочий. Страшно сказать, но практически все полномочия сконцентрированы в руках председателя правления и начальника службы физической и экономической безопасности практически никто не контролирует (даже внешние аудиторы) и еще бог знает что ...
Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:30:30  

Ага. Согласен. "Сказ про то, как контролировать администраторов", - разговор ни о чем. Ну, а чтобы не было конфликта полномочий, предлагаю аудиторам управлять ИТ, а ИТшникам аудитом (ведь не может же начальник ИТ департамента контролировать деятельность "создаваемого" ИТ подразделения, не так ли?). Коллеги вспомните, наконец, что контроль бывает трех видов, и ничего страшного в том, чтобы безопасностью занимался ИТ департамент, нет. Страшно, когда аудитор, который априори не может быть крупным специалистов во всех системах, начинает учить сертифицированного администратора.
Забыл добавить про отсутствие исходных текстов, например Windows. Как же мы будем контролировать потенциального агрессора, на ПО которого мы работаем?

[Edit by Alexander on Monday, July 28, 2003 @ 11:34]

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:44:17    ICQ

Не согласен!
Напомню Вам роль аудитора во всём этом!
Меня мало интересует, как можно сделать что-то в айти, меня интересует совсем другое:
- зачем это нужно делать
- кто должен это делать
- можно и нужно ли это делать
- как распределены ответственность и полномочия
- как проверить
- как контролировать
- кто будет виноват (обязательное условие, хоть и сволочное)
А администратор, пусть даже суперсертифицированный, хай занимается своим делом!
Господа, Вы в банках когда-нибудь работали? Вот типичный пример, когда вопрос о концентрации полномочий, разделении полномочий и контроле стоит особенно остро! То о чём Вы говорите в банках недопустимо, потому, что речь идёт о деньгах! Если Вы ISP какой-нибудь, или там крышки пластмассовые делаете, то Ваш пример, я думаю, сойдёт. А ведь и вправду.... о чём это я... Даже 17799 написано, что этот стандарт неидеален и его нужно адаптировать под каждый конкретный случай.
Но я всё же останусь при своём мнении: "проверять подразделение, в котором ты сам находишься - неправильно!", "Подчинять департаменты, которые могут инициировать и завершать операции одному человеку - неправильно!"
Вот!

--------------------
Удача любит подготовленный разум

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:51:08    ICQ

Quote:
Originally posted by Pavel_Briantsev
Не согласен!
Напомню Вам роль аудитора во всём этом!
Меня мало интересует, как можно сделать что-то в айти, меня интересует совсем другое:
- зачем это нужно делать
- кто должен это делать
- можно и нужно ли это делать
- как распределены ответственность и полномочия
- как проверить
- как контролировать
- кто будет виноват (обязательное условие, хоть и сволочное)
А администратор, пусть даже суперсертифицированный, хай занимается своим делом!
Господа, Вы в банках когда-нибудь работали? Вот типичный пример, когда вопрос о концентрации полномочий, разделении полномочий и контроле стоит особенно остро! То о чём Вы говорите в банках недопустимо, потому, что речь идёт о деньгах! Если Вы ISP какой-нибудь, или там крышки пластмассовые делаете, то Ваш пример, я думаю, сойдёт. А ведь и вправду.... о чём это я... Даже 17799 написано, что этот стандарт неидеален и его нужно адаптировать под каждый конкретный случай.
Но я всё же останусь при своём мнении: "проверять подразделение, в котором ты сам находишься - неправильно!", "Подчинять департаменты, которые могут инициировать и завершать операции одному человеку - неправильно!"
Вот!

Что то уже не в ту степь понесло...

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:54:10    ICQ

Раскачиваем тему!

--------------------
Удача любит подготовленный разум

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 11:59:22    ICQ

На самом-то деле на эти вопросы нет однозначного ответа. Тут стоит вопрос по-другому:
Можно на все эти вопросы отвечать сразу: "Да фиг его знает, решений много!"
Можно спорить до усёру, при этом вылазят интересные моменты.
А можно на что-то опираться при обсуждении. Есть такой артефакт?
Вы просто на все посты сразу отвечаете, что это беспредметный спор, хотя признаёте, что такая проблема есть. В чём смысл форума тогда?

--------------------
Удача любит подготовленный разум

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 12:09:52    ICQ

Quote:
Originally posted by Pavel_Briantsev
На самом-то деле на эти вопросы нет однозначного ответа. Тут стоит вопрос по-другому:
Можно на все эти вопросы отвечать сразу: "Да фиг его знает, решений много!"
Можно спорить до усёру, при этом вылазят интересные моменты.
А можно на что-то опираться при обсуждении. Есть такой артефакт?
Вы просто на все посты сразу отвечаете, что это беспредметный спор, хотя признаёте, что такая проблема есть. В чём смысл форума тогда?

"Волшебными артефактами", на мой взгляд, должны являться признанные международные стандарты и, отчасти, статистические данные, полученные в результате исследований предметной области уважаемыми Компаниями. В противном случае, вес аргументов спора уже не тот.

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 12:21:22    ICQ

Согласен. Хотя...
Мне кажется, я придерживаюссь стандартов, однако вот народ говорит, что в практике всё совсем по-другому. Ну и что делать?

--------------------
Удача любит подготовленный разум

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 12:29:07    ICQ

Quote:
Originally posted by Pavel_Briantsev
Согласен. Хотя...
Мне кажется, я придерживаюссь стандартов, однако вот народ говорит, что в практике всё совсем по-другому. Ну и что делать?

"однако вот народ говорит, что в практике всё совсем по-другому"
Паш, говорить можно все, что угодно

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 12:57:38  

Quote:
Originally posted by Pavel_Briantsev
Не согласен!
Напомню Вам роль аудитора во всём этом!
Меня мало интересует, как можно сделать что-то в айти, меня интересует совсем другое:
- зачем это нужно делать
- кто должен это делать
- можно и нужно ли это делать
- как распределены ответственность и полномочия
- как проверить
- как контролировать
- кто будет виноват (обязательное условие, хоть и сволочное)
А администратор, пусть даже суперсертифицированный, хай занимается своим делом!
Господа, Вы в банках когда-нибудь работали? Вот типичный пример, когда вопрос о концентрации полномочий, разделении полномочий и контроле стоит особенно остро! То о чём Вы говорите в банках недопустимо, потому, что речь идёт о деньгах! Если Вы ISP какой-нибудь, или там крышки пластмассовые делаете, то Ваш пример, я думаю, сойдёт. А ведь и вправду.... о чём это я... Даже 17799 написано, что этот стандарт неидеален и его нужно адаптировать под каждый конкретный случай.
Но я всё же останусь при своём мнении: "проверять подразделение, в котором ты сам находишься - неправильно!", "Подчинять департаменты, которые могут инициировать и завершать операции одному человеку - неправильно!"
Вот!

Павел, в своих рассуждениях Вы напрочь забыли о здравом смысле. В Банках, как Вы изволили выразиться "мне приходится" работать с 1998 года, только вот забивать себе голову проблемой контроля эфемерного администратора мне на ум не приходило, хватает вполне реальных проблем и задач. Не зря Александр продемонстрировал Вам, как бы это помягче выразиться, неопределенность волнующего Вас вопроса, напомнив про Председателя Правления. Попытка пристегнуть сюда 17799 еще более бессмысленна, так как упомянутый стандарт – набор пространных общих принципов, не более того. Никто не спорит с Вами о необходимости разделения тех или иных функций, только вот как Вы, как специалист, которого "не волнует как что-то можно сделать в ИТ" будете контролировать администратора CheckPoint FW? И нафига, спрашивается, нам такой контроль нужен? У Вас идея контроля превращена в идею фикс, но ведь еще есть такой показатель, как "эффективность", не забывайте о нем. А если просто хочется много и бесполезно дискутировать, давайте с тем же успехом возьмемся за тему "Если жизнь на марсе?!".

[Edit by Alexander on Monday, July 28, 2003 @ 13:09]

Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 13:23:27    ICQ

Я могу и сертифицированному спецу рассказать, как настроить fw, но я таки думаю, что мне этого и не нужно делать! Это его работа. Мне нужно настроить бизнес процесс. Чтобы сам принцип работы был правилен. А то может быть он идеально настроил fw, а рутовый пароль хранит под клавой.
Да и чего Вы опять с этим админом. Ну всё, разобрались уже, всё ясно ну?!?!?! Я же говорю, я привёл этот вариант в качестве ПРИМЕРА!
Да и чем идея фикс на счёт контроля так плоха? Как это неудивительно, но я считаю, что вопрос контроля очень сложен и чтобы получить хоть какие-то результаты, нужно довести эту идею до всеобъемлющего абсурда. Полумер здесь быть не может. На мой взгляд вы всё слишком упрощаете, нужно рыть вглубь настолько, насколько это возможно. Главное, чтобы в цикл не зашли!
Теперь про Марс.
Я думаю, что жизни там нет.

--------------------
Удача любит подготовленный разум

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 13:26:01  

И контроля тоже.
Pavel_Briantsev
Sergeant

Gender: Unspecified
Location: Bishkek, KG
Registered: Mar 2006
Status: Offline
Posts: 30

Click here to see the profile for Pavel_Briantsev Send email to Pavel_Briantsev Send private message to Pavel_Briantsev Find more posts by Pavel_Briantsev Edit or delete this message Reply w/Quote
Posted Monday, July 28, 2003 @ 13:28:45    ICQ

Раз нет жизни, то какой уж там контроль. Это ведь жизненно-необходимая функция организма, как еда и оправление естесственных потребностей.

--------------------
Удача любит подготовленный разум

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Tuesday, July 29, 2003 @ 12:22:20    ICQ

Quote:
Originally posted by Pavel_Briantsev
Раз нет жизни, то какой уж там контроль. Это ведь жизненно-необходимая функция организма, как еда и оправление естесственных потребностей.

Контроль есть. Мониторинг возможных проявлений жизни на Марсе

Farit
Private

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 1

Click here to see the profile for Farit Send email to Farit Send private message to Farit Find more posts by Farit Edit or delete this message Reply w/Quote
Posted Thursday, November 17, 2005 @ 17:08:37  

К теме кому должен подчинятся отдел ИБ, хотелось бы отметить и такой момент.
Когда отдел ИБ подчиняется руководителю ИТ, то зачастую, когда ты говоришь о недостатках в ИТ, то тебе же и предлагают проработать меры над их исправлением. Проходили это!
Как пример могу привести как происходила миграция с NT4. Я не просто сказал, что это плохо и почему, но потом готовил предложения по тому сколько это стоит и кто это может сделать и собственно курировал процесс. Просто потому что админы очень заняты и руководитель ИТ посчитал нужным поручить это мне.
Возможно я тогда неправильно построил взаимоотношения, но я не отказывался от таких поручений, потому что понимал, что мне же потом проверять это и лучше с самого начала быть в курсе. А так же была некоторая гарантия, что процес не будет спущен на тормозах или пойдет не втом направлении. Но у этого всего есть такая подоплека, что иной раз справшиваешь себя, а стоит ли поднимать вопрос о каком-то недостатке, если исправлять скорее всего придется тебе.
Поэтому я поддерживаю мнение, что отдел ИБ не должен входить в структуру ИТ.


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Friday, November 18, 2005 @ 14:04:40  

На мой взгляд наиболее логичной выглядит такая структура подчинения:
Есть задачи по обеспечению ИТ безопасности и ими должен заниматься отдел ИТ безопаности, который входит в ИТ службу. Есть более широкий круг задач по обеспечению ИБ организации, выходящий за рамки компетенции ИТ службы, и ими должна заниматься служба ИБ, подчиняющаяся непосредственно руководству. Есть задачи по осуществлению внутреннего контроля и ими должна заниматься служба внутреннего контроля (аудита), подчиняющаяся руководству организации.

--------------------

Erken
Private

Gender: Male
Location: Almaty
Registered: Oct 2006
Status: Offline
Posts: 2

Click here to see the profile for Erken Send email to Erken Send private message to Erken Find more posts by Erken Edit or delete this message Reply w/Quote
Posted Monday, January 15, 2007 @ 09:18:08  

Парни помогите мне.
Устроился недавно в Банк небольшой. Здесь еще нет отдела по ИБ. Один я, специалист ИБ. Даже незнаю с какого края заехать, раньше работал айтишником, системным администратором.
flatch
Private

Gender: Male
Location: msc
Registered: Nov 2006
Status: Offline
Posts: 7

Click here to see the profile for flatch Send email to flatch Send private message to flatch Find more posts by flatch Edit or delete this message Reply w/Quote
Posted Monday, January 15, 2007 @ 16:23:06    ICQ

deny any any)

шучу. сначала нужна политика безопасности. раз ты работаешь в банке то лучше использовать стандарт Банка России СТО БР ИББС-1.0-200. Надо будет адаптировать под конкретный банк. Да, сначала необходимо донести до руководства, что дело, делаемое тобой- очень важное и оно(руководство) должно поддерживать твои идею(есесна идеи должны содержать рациональные мысли). Второе, проследить за внешними подключениями к файрволу(такой кончно же имеется??). Сквозь недовольство сотрудников, доказать, что компьютер- это не средсво развлечения в моменты отсутсвия работы, а конкретный рабочий инструмент(как автомобиль у водителя, ручка у депутата и вантус у сантехника). Хотя мое мнение, сразу извиняюсь, на защиту банка необходимо кидать более серьезные силы в лице прохаваного перца в таком деле. атамушта банк- это чужие бабки, а каснись чего спрашивать будут со всех, а с человека кто получает зарплату за сохранность этих баблк, тем более. Но все равно желаю тебе удачи. ведь только смелым покаряются моря



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Monday, January 15, 2007 @ 17:12:31  

Quote:
Originally posted by Erken

Парни помогите мне.
Устроился недавно в Банк небольшой. Здесь еще нет отдела по ИБ. Один я, специалист ИБ. Даже незнаю с какого края заехать, раньше работал айтишником, системным администратором.

Ну, здесь советов много можно надавать. Разберитесь сначала со своими полномочиями и обязанностями вместе со своими руководителями, попытайтесь понять какими информационными ресурсами банк располагает и от чего их надо защищать, что уже для этого делалось (делается) АЙтишниками, безопасниками, др. сотрудниками банка. Посмотрите на процесс предоставления доступа к ресурсам сети, использование паролей, каким образом защищен внешний периметр, как защищаются от вирусов и спама и т.п. Найдите хотя бы несколько слабых мест, которые бросаются в глаза и чреваты уроном. Постарайтесь красочно этот возможный урон описать с привязкой к основному бизнес процессу банка - управление финансовыми активами. Продемонстрируйте обнаруженные вами уязвимости сначала своему руководству, а потом руководству вышестоящему. Предложите решение проблемы, не забывая упомянуть о возможных альтернативах. Что вы сделаете сами, какие ресурсы вам еще понядобятся, что потребуется от вашего руководства (финансы, кадры, подписи, моральная поддержка и др. ресурсы которыми они располагают). От вас требуется план действий, от руководства - приказ об их реализации.

Используйте технику быстрых побед, т.е. желательно чтобы уже в течении первого месяца появился, пусть крошечный, но осязаемый руководством и полезный результат вашей деятельности, например, с вашей помощью устранили конкретную уязвимость или вы разработали некую инструкцию, которую уже давно надо было разработать и т.п.

В то же время не сделайте распространенной ошибки и не пугайте сразу руководство и сотрудников банка, вываливая на них лавину малопонятных им предложений по совершенствованию ИБ, внедрению суперсложных и супер дорогих систем защиты и т.д. Вас станут избегать как все непонятное и угрожающее нормальной и привычной работе. Больше прислушивайтесь и присматривайтесь к тому как люди работают и почему они так работают, а сами старайтесь говорить поменьше.

Очень полезно будет пообщаться со своими коллегами из других банков и конечно, как говорилось в предыдущем посте, не пренебрегайте использованием нормативной базы (в данном случае стандарта ЦБ) в качестве оправдания и аргументации. Нормативы ЦБ для банковского руководства - один из наиболее веских аргументов, который они обязательно воспримут о какой бы проблеме ИБ речь не велась, даже если не смогут переварить суть самой проблемы.

--------------------

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 23
There are currently 0 members and 23 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex