Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 5 6 След.
RSS
Защита от своих
 
Цитата
Ригель пишет:
Неужто по-старинке через ознакомление с приказом якобы директора? По каждой ерунде?
Нет конечно не по старинке, но и приказ по серьезному вопросу вряд ли будет лишним. Если он был, с нарушителя спросить будет проще. В целом, я считаю, что при неких общих принципах построения рабочей системы противодействия инсайдерам (предовращения их появления) в каждой отдельно взятой организации методы и подходы к этой работе могут оказаться разными, в большинстве случаев это будет зависеть от специфики бизнеса компании, ее структуры, размера, и еще целого ряда факторов.
 
Цитата
Чуковский пишет:
Целесообразно службу информационной безопасности иметь в лице самих информационщиков.
Это если путать информационную безопасность с защитой информации в АС? Все равно спорно.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Чуковский пишет:
Целесообразно службу информационной безопасности иметь в лице самих информационщиков.
Это менее затратно да и правильнее.
Системный администратор всегда компетентнее своего коллеги-безопасника в технических вопросах, читай - вопросах безопасности..
Наверное, я с вами в этом вопросе не соглашусь. Да, на каждые 100 работников отделов ИБ, только 2-3 могут отвечать предъявляемым к ним требованиям. Но именно эти 2 - 3 чел, будут достаточно компетентны в технических вопросах и очень серьезно подготовлены в вопросах безопасности, о многих из которых системный администратор мог даже и не слышать никогда. Прежде чем написать эту статью, я прошел очень многое. Например учение на флоте о котором вскользь упоминалось в статье - это полностью моя разработка, я же его и проводил. Но в то время я работал с закрытыми системами, потом были проекты уже в открытых. Чтобы понять все процессы мне довелось работать не только в ИБ различных структур и компаний, но и на достаточно серьезных позициях в коммерческих блоках крупных и средних компаний.  Даже после этого, я не возьму на себя смелость утверждать, что могу спорить с кем либо по вопросам его профессионльной компетенции. Узкий специалист в одной из областей работы - это все же узкий специалист, свой предмет он знает обычно на пять и платят ему именно за это. Но к сожалению узкий специалист не способен построить систему, не знает тонкостей работы других узких специалистов, да и очень много еще чего. В общем - информационщик (по вашему выражению) - это не безопасник, а безопасник - часто технарь никакой. Поэтому мы и говорим сейчас не оличностях, а о системе, которую можно создать даже в вашей компании, было бы  только желание.
 
Ну очень полезная статья. Нам рассказали прописные истины.

" Некий не рядовой сотрудник уже упомянутой  компании - оператора связи осенью 2004 года решил воспользоваться корпоративной почтой для отправки содержимого музыкального диска объемом 700 Мб своему другу. Мощный корпоративный почтовый .."

- А куда админ смотрит ?

" И теперь, наконец, третья группа – сотрудники, сочувствующие совершаемым противоправным действиям. Эта группа, конечно же не так опасна в нанесении убытков компании, как рассмотренные первые две группы. Они сами ничего не воруют и не думают о своей выгоде. Их главная опасность заключается в  равнодушии к происходящим вокруг них событиям противоправного характера, а то и ставшим возможными просто с молчаливого их согласия. В группу могут входить  в принципе любые сотрудники компании, администраторы, пользователи сети. Они видят и понимают, что их коллега за соседним столом занимается воровством и получением личной выгоды за счет ресурсов компании, но молчат, не останавливают его сами и не сообщают в службу безопасности. "

- Ну так стукачей премировать надо. :)

Аффтар не пешы больше !
 
Цитата
Мася пишет:
Ну очень полезная статья. Нам рассказали прописные истины.
- Ну так стукачей премировать надо.
Цитата
Мася пишет:
А куда админ смотрит ?


Да, печально, конечно если ничего не понял человек. Извини друг.

Оффтопик  не читай больше :)
 
крайне своевременная статья.  сам недавно учасвовал в поимке инсайдера...  проблем, связанных с его деятельностью бвло крайне много
 
Цитата
Олег Кузьмин (Alkor) пишет:
Оффтопик

?
Вообще-то моя рецензия на статью перед публикацией была крайне положительна.
Что касается сути - то четко обозначена но оставлена в стороне проблема оценки эффективности службы ИБ. Я понимаю, что это большая головная боль для всех. Предлагаемый автором вариант оценки общей прибыли после принятия каких-то конкретных мер видится мне абсолюно неработоспособным, хотя бы потому, что за исключением катострофических рисков напрямую ИБ влияет на бизнес крайне редко. Чтобы бац - и за полгода все прокисло после того, как...  См. в смежной теме о CISO пример про сотовых операторов.
Вариант с "всех под роспись" и "месяц к компу не пущать" мил сердцу любого военного, но в реальном мире просто не работоспособен. Бизнесу нужен выхлоп от работника.
Если честно, я придерживаюсь мнения, что обучение пользователей должно заканчиватся их должностными обязанностями, ну и элементарными запретами. А рассматривать обучние как серьезную контролю - не стоит. Если только денег на технические средства нет (например - на админитратора который квоты на почтовом сервере настроит).
Иначе мы попадаем в бесконечный круг "блэклистов": не делай того, не делай того, не делай того.
Это ИМХО исключительно.

Что касается "инсайдеров" и "аутсайдеров" - я не вижу в современной ситуации разделять эти две группы в модели злоумышленника. В чем по сути разница? Только в том что на "инсайдера" накинута дополнительная "контроля" в виде договора?
Человек, уволившийся из компании и тянующий документы через VPN доступ к которому не закрыт - инсайдер или аудсадер (не путать с лузером :-)? Или инсайдер - администратор, забывший удалить учетную запись?
 
>Или инсайдер - администратор, забывший удалить учетную запись?

Вопрос - а во многих конторах админа предупреждают об увольнении сотрудника? А в тот же день?
 
Цитата
Вопрос - а во многих конторах админа предупреждают об увольнении сотрудника? А в тот же день?
А подумать головой?
Простой вариант, придуманный давно и не нами, - обходной лист. Сотрудник перед увольнением получает его в отделе кадров, проходит в ним все инстанции: бухгалтерию (сдает командировочные, расчитывается с займами и пр.), АХО (сдает материальное обеспечение - телефоны, компьютеры и пр.), отдел ИТ (выполняются необходимые настройки сети). Только подписанный всеми инстанциями обходной лист дает основание отделу кадров выдать сотруднику трудовую книжку.
Почему-то, если сотруднк не сдал деньги об этом все помнят, а вот если он "не сдал" допуск к ресурсам сети или идентификаторы - не все и не всегда...
 
> Простой вариант, придуманный давно и не нами, - обходной лист.
> Только подписанный всеми инстанциями обходной лист дает
> основание отделу кадров выдать сотруднику трудовую книжку.

обходной лист можно использовать в сортире по назначению,
трудовую - подарить на память РАБотодателю (новый бланк стоит 100 руб.),
а расчет получить через суд (или некоторые досудебные процедуры).
любители трудовой дисциплины - вешайтесь.
 
Цитата
Гость пишет:
а во многих конторах админа предупреждают об увольнении сотрудника?

Ещё один вариант "инсайдера" в этой же ситуации - "верхний" руководитель, не озаботвшийся созданием адекватной СУИБ....
 
Цитата
chinga пишет:
Простой вариант, придуманный давно и не нами, - обходной лист. Сотрудник перед увольнением получает его в отделе кадров, проходит в ним все инстанции: бухгалтерию (сдает командировочные, расчитывается с займами и пр.), АХО (сдает материальное обеспечение - телефоны, компьютеры и пр.), отдел ИТ (выполняются необходимые настройки сети). Только подписанный всеми инстанциями обходной лист дает основание отделу кадров выдать сотруднику трудовую книжку.
Трудовой Кодекс почитайте для расширения профессионального кругозора.
Работник ничего не должен и имеет полное право поступить с этим Вашим листочком так, как сочтет нужным - работодатель все равно обязан в последний день работы выдать ему Трудовую и произвести расчет.
Вы не знали, что это противозаконный приемчик, рассчитанный "на лоха"?
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
offtopic пишет:
Вообще-то моя рецензия на статью перед публикацией была крайне положительна.
Моя фраза "Оффтопик не читай больше   :) " имела отношение к МАСЕ! Под оффтопиком - подразумевается - небольшое лирическое отступление, а не НИК редактора, надеюсь я никого не обидел.?  А за положительный отзыв - весьма признателен.
 
Согласен с предыдущим автором. Полностью.
 
Цитата
offtopic пишет:
Что касается сути - то четко обозначена но оставлена в стороне проблема оценки эффективности службы ИБ. Я понимаю, что это большая головная боль для всех. Предлагаемый автором вариант оценки общей прибыли после принятия каких-то конкретных мер видится мне абсолюно неработоспособным, хотя бы потому, что за исключением катострофических рисков напрямую ИБ влияет на бизнес крайне редко. Чтобы бац - и за полгода все прокисло после того, как... См. в смежной теме о CISO пример про сотовых операторов.

Разбираем по порядку:
1. проблема оценки эффективности работы службы ИБ - не была основной целью статьи, т.к. это отдельная сложная тема. Материал в настоящее время у меня готовиться под публикацию с рабочим названием "Может ли отдел ИБ приносить прибыль организации". Буду признателен также возможности разместить его для всеобщего обсуждения на данном сайте.
2.Некоторое уточнение по поводу оценки прибыли - она оценивается путем сравнения "до" и "после" принятия предлагаемых (и некоторых других) мер. Вариант абсолютно работоспособен и проверен мною на практике, в период  нахождения в должности начальника отдела организации продаж в достаточно серьезной по обороту денежных средств компании. Я же отмечал, что учитываются все факторы, оцениваются не только доходные, но и затратные статьи бюджета. Сокращение затрат - это тоже важная составляющая любого бизнеса.
3. Важно также понимать, что ИБ далеко не главная составляющая этой работы, а просто один из винтиков системы, который должен быть естественно настроен соотвествующим образом (затянут до определенного порогового значения). Катострафических рисков ИБ мало, но тем не менее они иногда случаются и не принимать их во внимание было бы серьезной ошибкой. Направленность статьи, как раз и состоит в том, чтобы показать необходимость вовлечения в систему противодействия инсайдерам: службы управления персоналом, коммерческого блока, ИБ, службы экономики и финансов, частично технических подразделений. При умело выстроенной системе, а также в достаточной степени компетентном ею управлении и достигается положительный результат.
 
Да при таком подходе все сотрудники враги: половина потенциальных, а половина действующих сознательно или бессознательно.
Как не руководителю бросается в глаза следующее:
1) почти все боссы считают что подчиненные им ДОЛЖНЫ по жизни только за сам факт приема на работу. Причем каждый босс отождествляет себя с Фирмой как одно целое независимо от ее формы собственности.
2) сотрудник подписывает кучу бумаг о неразглашении  КТ подчас не имея возможности сохранить КТ для себя как источника. Т.е. в случае "это вы!" у него нет возможности доказать "это не я!"
3) админ И-сети фирмы всегда является ПЕРВЫМ инсайдером "на селе", чтобы не говорили их шефы. Да и сами админы этого не скрывают. А вот документально его отвественность подчас закреплена на порядок меньшая.
 
Цитата
Гостья пишет:
Да при таком подходе все сотрудники враги: половина потенциальных, а половина действующих сознательно или бессознательно.

В этом и есть наша основная проблема, а вернее даже в подходе к ней -  все стоят по разные стороны баррикад. Одни считают, что все им должны, другие, что надо взять самим, третьи придумывают себе еще что-то... Создаваемая система в компании не должна быть громозской, она в принципе не должна даже быть заметной для сотрудников. Вы слышали о фирменнном патриотизме? Так, вот там, где он есть многих групп инсайдеров не может быть в принципе (и как правило не бывает).
 
Работаю начальником отдела ИБ в достаточно крупной конторе. При прочтении невольно появлялась ухмылка от мысли, что если бы я сам с этим не боролся, был бы офигенно злым исайдером :D Просто потому, что всем друзьям интересно, какие у нас планы и маркетинговые трюки, подделка или настоящий тот или иной товар, какова его закупочная стоимость.. Еще разглашал бы зп сотрудников, тогда начальству придется повышать зп всему отделу :) Автору респект за огромный опыт и интересное изложение, жду продолжения публикации с более практическими аспектами. Еще хотелось бы ссылок и литературы..
 
Цитата
Ригель пишет:
Работник ничего не должен и имеет полное право поступить с этим Вашим листочком так, как сочтет нужным - работодатель все равно обязан в последний день работы выдать ему Трудовую и произвести расчет.
Пока он работает в компании, он обязан подчиняться внутреннему распорядку, если Вы не знали.
Поверьте, у работодателя, есть много куда более действенных способов осложнить работнику жизнь. Увольнение возможно не только по статье 80, если, опять же, Вы не знали. Но это лирика.

А вообще-то данная мера направлена исключительно на устранение хаоса и снижение энтропии. Мне лично за годы работы не доводилось сталкиваться со случаями противодействия со стороны сотрудников, наверное, потому что люди все адекватные, а описанные Вами и еще кем-то тут действия - бессмысленны.  В нашей Компании подобный порядок действий при уваольнении - это нормально.
 
Цитата
chinga пишет:
Пока он работает в компании, он обязан починятья внутреннему распорядку, если Вы не знали.
Поверьте, у работодателя, есть много куда более действенных способов осложнить работнику жизнь. Увольнение возможно не только по статье 80, если, опять же, Вы не знали.
Локальное положение о дисциплине (или Внутренний распорядок, как Вы это называете) тоже филькина грамота, если противоречит ТК. Но не в этом дело.

Итак. Пишет работник заявление свое за две недели, ему его подписывают. Когда он его в кадры отдавал, они ему Обходной лист дали. Он, не будь дурак, спорить не стал, взял. В день увольнения заявляется за Трудовой, у него взамен подписанный Обходной лист просят: "Извиняйте, тетки, но выкинул я его в унитаз, о чем не жалею". И что дальше? (Напоминаю: Вы его обязаны уволить и рассчитать сегодня, т.к. законный срок вышел).
Вот радио есть, а счастья нет. (с) Ильф
Страницы: Пред. 1 2 3 4 5 6 След.
Читают тему