Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 ... 3 4 5 6 7
RSS
Кто такой «настоящий безопасник»?
 
Цитата
Вадим Андреев пишет:
Насколько на Ваш взгляд работоспособен вариант с безопасником, который только рекомендует что делать айтишникам, а сам безопасностью не рулит? Если он работоспособен, то какие необходимые условия для этого?
Направление функций администаратора безопасности сети и администратора сети все-таки отличаются. В принципе таковое возможно для небольших фирм или не осознавших значение ЗИ, но для дела обеспечения безопасности крайне нежелательно.

Фактически безопасник в роли контроллера не имеет ни реальных рычагов воздействия, ни авторитета, ни реальной возможности действительно защитить информацию.

Оптимально - начальник службы обеспечивающей безопасность (куда и должна входить как ИБ в общем, так и комп.Б в частности) должен быть заместителем руководителя (увы... очень часто это не так, отчего и страдает дело)

Если рассматривается банк, то советую посмотреть Стандарт ИБ банка России (раздел Специальные нормативные документы) - там рекомендуется не только разделять администраторов безопасности и сетевых администраторов, но и они должны подчиняться разным зампредам...
Цитата
Вадим Андреев пишет:
подиненность безопасника айтишнику
Имею уже печальный опыт такового - постепенно задачи защиты информации стали трансформироваться в администрирование БД. Потому при выборе следующего места работы отказался от более крупного работодателя только из-за того, что спец. по ИБ входил в IT-департамент, а не в СЭБ.
 
Цитата
Вадим Андреев пишет:
2 Toparenko: "И то и другое" Покупатель: "Скажите, продавец, какую кофту мне купить для этой юбки: синюю или красную?" Продавец: "Купите обе"

Контроль у любой службы обеспечивающей безопасность должен быть всегда. А комп. безопасность, как минимум, должна забрать на себя распределение доступа к критичным ресурсам (лучше если все функции распределения доступа). Про СКЗИ я вообще не веду речь - тут только подразделения безопасности.

Если повысить уровень с комп.Б до ИБ - конфиденциальное делопроизводство, ПД ТСР - тут тоже не стоит отдавать в другие руки...
 
2 Toparenko:
То что описанный мною вариант не надежен, думаю, что форумчанам понятно, но подобные наниматели считают, что техническая квалификация IT песонала достаточна для реализации защиты информации, а вот создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что техническая квалификация IT песонала достаточна для реализации защиты информации, а вот создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Мы уже прошли этап когда вся защита информации заключалась в быстром создании фирмы, получении "быстрых денег" и  ликвидации данной фирмы с последующим созданием новой...

Сейчас появилось осознание необходимости защиты информации (одни действительно осознали, другие делают "как все"), но еще не понимают как это делать. Кто-то послушает знающих людей, кто-то увидит чужие ошибки, кто-то "набъет свои шишки" (вполне вероятно, что большинство из последних могут и "утонуть"). Нам досталось жить и работать в дикий "период первоначального накопления и распределения капитала" - т.ч. это неизбежные издержки...

Будем надеятся, что доживем и до достаточно полного понимания. Тем более, что учить этому пониманию приходится нам.
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что ... создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Ну а для того, чтоб обосновать работодателю необходимость создания полноценной службы обеспечивающей безопасность стоит знать существующее законодательство, номативные документы и грамотно использовать эти знания

Любой системный администратор знает: самый страшный вирус всегда сидит перед монитором (с)
 
2 Toparenko: "Мы уже прошли этап когда вся защита информации заключалась в быстром создании фирмы"
Остается только верить.  Сам-то я для защиты информации фирм не создавал.  Если речь идет о фирмах-однодневках, то помойки и прочие временные фирмочки никто в России не отменял, насколько, я понимаю, их у нас пруд-пруди.
Но я не про тех, кто сознательно строит бизнес в расчете на год и потому не вкладывается, а про "нормальные" фирмы, у которых просто топы не имеют грамотного и всестороннего бизнес-образования, а собственная интуиция и здравый смысл подводят.

"Нам досталось жить и работать в дикий период"
Я, к слову, работаю в международной компании.  Если не путаю входит в сотню fortune.  Из Ваших слов я предполагаю, что "на западе" дикий период прошел и в головах у топов нужная ясность, а в компаниях порядок?  
Я знаю несколько очень крупных и преуспевающих международных компаний, имеющих в России серьезный бизнес и IT инфраструктуру, соответственно, но у которых в стране нет информационных безопасников в принципе.  В компаниях и топами, и айтишниками предполагается, что айтишники вполне справляются.

"Тем более, что учить этому пониманию приходится нам"
Если не учитывать влияние устоявшихся подразделений IT, а также других подразделений, которых реализация полноценной службы безопасности затронет, то да: нам

" Ну а для того, чтоб обосновать работодателю необходимость создания полноценной службы обеспечивающей безопасность стоит знать существующее законодательство, номативные документы и грамотно использовать эти знания"
Вы просто украли эти слова из начального поста Алексея   :D
 
Цитата
Гость пишет:
Сам-то я для защиты информации фирм не создавал.
Вообщето речь шла просто о фирмах/бизнесе России.

Я тоже не создавал и врядли буду создавать, хотя ЗИ занимаюсь уже лет 20 (с учетом получения профильного образования - 23)
Цитата
Гость пишет:
Из Ваших слов я предполагаю, что "на западе" дикий период прошел и в головах у топов нужная ясность, а в компаниях порядок?
Во всяком случае у нас они небезуспешно учатся организации безопасности, хотя нам же навязывают свой путь... К сожалению на т.н. "западе" превалируют узкие специалисты и из-за этого свои издержки
Цитата
Гость пишет:
Вы просто украли эти слова из начального поста Алексея
Просто еще раз повторил прописную истину (как и Алексей)...
 
Цитата
Вадим Андреев пишет:
подобные наниматели считают, что техническая квалификация IT песонала достаточна для реализации защиты информации, а вот создание полноценной службы ИБ приводит лишь к дублированию расходов на персонал.
Цитата
Гость пишет:
Из Ваших слов я предполагаю, что "на западе" дикий период прошел и в головах у топов нужная ясность, а в компаниях порядок?
Кстати еще одно уже довольно-таки старенькое (2001-2002 г.) мнение на этот счет: Новый взгляд на службу информационной безопасности компании
 
2 Toparenko: "Новый взгляд на службу информационной безопасности компании"
Публикация, действительно, давняя и растиражированная по рунету.  Является, насколько я понимаю, выжимкой из отчета Гарнера.  

Мне в ней многое не нравится.  Например,  утверждение, что задачей CISO является управление и, особенно, принятие рисков.  Причем риски перечеслены такие: технологические, производственные и информационный.

На мой взгляд, решение о том принимает ли компания риск или прикладывает усилия по их снижению принимает владелец или топ-менеджер, а не безопасник.  Я бы, например, в ряде случаев не принял бы риск, связанный с кадровой политикой, приводящей к серьезной текучке кадров, недостаточной квалификацией, мотивацией и лоальностью персонала, а борд может посчитать, что потери от этого риска меньше, чем расходы на его снижение.

Вторая ошибка в статье, как я думаю, в том, что CISO управляет всеми рисками.  Он может помочь в их определении, но многими управлять сам не сможет, так как они лежат в сфере ответственность других руководителей.  В примере с кадровой политикой, CISO может контрмеры осуществлять, еcли риск принят.  Скажем, изменить степень доверия к внутреннему персоналу, усилить мониторинг за действиями пользователей и т.д.  Но если компания принимает решение по снижению этого риска, то работа эта в сфере HR, а не CISO.

Схема, которая приведена в отчете и статье не дает ясности в вопросе разделения сфер ответственности ИТ и ИБ.  На ней и директор по IT и директор по ИБ имеют связи с блоками "Администрирование ИБ" и "Техническая поддержка ИБ".  Какие подразделения выполняют эти функции, кому они подчинены?  По-моему, схема названная "Организационная структура службы ИБ" структуры не содержит.

В схеме заявлен BISO, которого рассшифровывают Business Unit Information Security Officer.  BISO работает в бизнес-подразделении и занимается практической реализацией политики ИБ на уровне подразделения, но более в статье ничего про BISO не сказано.  Эта роль BISO гуляет из одной поверхностной статьи в другую, но подробно она, к сожалению,  не проработана.  
Какую часть времени BISO должен уделять вопросам ИБ?
Какой квалификацией он должен обладать?
Какие его полномочия, какова ответственность?
Какие интерфейсы с техническим подразделениями?

Вопросов больше, чем ответов.  Возможно, я слишком строго подхожу к статье, но в наших условиях, когда ИБ в компаниях только-только начинает появляться, представления о функциях людей, отвечающих за ИБ, организационной структуре ИБ практически отсутствуют, появление статьи с таким громким названием привлекает широкий интерес.  И если в статье решения ошибочны или не проработаны, то компании слепо копирующие советы из статьи получат отрицательный результат.  Например, скинут весь Risk Management на безопасника.  Уверен, что время затраченное им и полученные результат в вопросе возможных потерь бизнеса от тех или иных рисков будут неудовлетворительными.
 
Цитата
Вадим Андреев
Мне в ней многое не нравится.
Мне тоже не все нравится, но приведена как пример одного из мнений по этому вопросу - но уже существенно поднимающего уровень специалистов по ИБ. И учитывая вхождение специалиста по ИБ в Совет директоров - специалист по ИБ становится уже одним из ЛПР компании (потому и, возможно, на него возложено принятие рисков).
 
Цитата
Toparenko
И учитывая вхождение специалиста по ИБ в Совет директоров - специалист по ИБ становится уже одним из ЛПР компании (потому и, возможно, на него возложено принятие рисков)

То, что безопасник вошел в Совет директоров, но, на мой взгляд, это не делает из него человека, который принимает решения по рискам.

Бизнес-риски должны оценивать и принимать решения по ним люди от бизнеса.  Безопасник не знает, скажем ценности закупочных цен или технологии производства пищевой добавки.  Точно также безопасник, по-моему, не в праве принимать решения по доступности.  Решение о том, принимается ли риск выходя из строя серверной не в его компетенции, так принятие этого риска означает то, что бизнес-подразделения смогут выполнять свои функции в случае отказа ИТ-систем и будут выполнять их в течении оговоренного срока восстановления работоспособности.  Под этим подписаться должны руководители бизнес-подразделений, а не ИБшник.

С Ибшника при этом требуется оценка вероятности выходов и строя инфраструктуры по всем причинам, оценка возможных вариантов восстановления работоспособности с точки зрения сроков и стоимости, но это лишь информация для Совета директоров,  а решение принимать Совету.

В принципе, безопасник должен быть максималистом и предлагать несколько вариантов, но отстаивать наиболее безопасные, а Совет директоров  принимать решения по рискам на какой риск пойти, а на снижение каких истратить ресурс.
 
Цитата
Вадим Андреев
В принципе, безопасник должен быть максималистом и предлагать несколько вариантов, но отстаивать наиболее безопасные, а Совет директоров принимать решения по рискам на какой риск пойти, а на снижение каких истратить ресурс.
Вполне согласен, но:
- безопаснику необходимо знать (как минимум) какие бизнес-процессы являются критическими
- грамотно сформулировать риски и последствия их принятия
- не всегда остальные члены совета директоров осознают все последствия принимаемого решения

Потому (иногда) звучит: "Ты в этом лучше разбираешься - тебе и принимать решение". Это далеко не лучший вариант, но приходится сталкиваться и с этим (уже другая крайность по сравнению с возложением на безопасность только контролирующих функций и запрета на какие-либо решения).

В идеале должно быть разделение компетенций, где четко определено где и кто принимает решение, а где выносится на коллегиальное или вышестоящее (опять возвращаемся к уровню зрелости организации и наличию описанных/определенных бизнес-процессов - еще одно очень дорогое "удовольствие")
 
Цитата
q8nM72 пишет:
Попытаюсь изложить свою точку зрения «настоящий безопасник». Буду говорить о ИБ. В первую очередь это человек который реально занимался защитой информации, который сам настраивал ту же пикс, ису, который сам проводил анализ своей сети на проникновения в сеть из-вне, так и на утечку из нутри, в моем виденье это в первую очередь человек ТЕХНИЧЕСКИ грамотно подготовленный в этот вопрос и который либо частично этим занимается и сейчас, либо занимался в недавнем прошлом.

Второй момент менталитет (профессиональный) он должен присутствовать в обязательном порядке, то есть человека можно заставить(научить, выдрессировать), но всю полноту понимания не научишь, такие люди должны работать по мима $, но еще и для души, работа должна им нравится!

По по сертификатов и т.п, я считаю это отличным, так как в любом случае получая или проходя подобные курсы ты научишься чему то новому или систематизируешь старые знания.

Бумажки,инструкции – безопасник пишет только черновые наброски, что должно быть отраженно в них, дописывают дальше секретари(другой отдел, сосед Вася) и приносят ему, если им что то не ясно спрашивают. В моем понимание сотрудник ИБ не должен отвечать за физ.безопасность, тут дожен взаимодействовать с тем подразделеним, кто этим занимается но не отвечать. Не смотреть ему же камеры и не обрабатывать данные всех датчиков и сигнализаций, но вот например о том что корпуса должны быть опечатаны, а серверная (как минимум вход) под наблюдением камеры это должно быть. И если его интересует, что дела Вася с 6 отдела в час х, со своим системным блоком, находящимся в зоне видимости камеры, почему бы не скооперироваться.

И еще безопасник должен быть НАМНОГО профессиональнее админа, потому что это будет естественная реакция человека который сидит конфигурирует скажем ту же ису, а ему подходит сотрудник ИБ и говорит, ты делаешь не верно, при этом САМ не может настроить лучше или нормально объяснить, не абстрактно, что именно не верно. Я к такому человеку не буду питать уважения, то есть тут играет роль еще его авторитет и знания в области соприкосновения знания админов и ИБ.
Похоже на правду
 
Цитата

- безопаснику необходимо знать (как минимум) какие бизнес-процессы являются критическими
- грамотно сформулировать риски и последствия их принятия
+100
Это основа всего процесса управления ИБ. Оценить составляющие рисков и сами риски. Это кстати отдельная сложная задача. Как вы, например, оцените те или иные угрозы? С выявлением уязвимостей вроде щас полегче стало (не имею ввиду сканеры безопасности).
 
Цитата
Andymion пишет:
Как вы, например, оцените те или иные угрозы?
Здесь может быть оценка только применительно к конкретному бизнес-процессу и конкретному объекту.
Сейчас очень много возможностей по закрытию внешних угроз (снижению внешних рисков) и сравнительно мало по внутренним угрозам (внутренним рискам), не смотря на то, что об этом стали достаточно много сейчас говорить (отдельным вопросом здесь стоит введение режима защиты коммерческой тайны в соответствии с требованиями ФЗ РФ № 98-ФЗ от 29.07.2004 «О коммерческой тайне»).
Ну, а сама оценка стандартна: объект (иногда субъект) воздействия - вероятность реализации угрозы - возможные последствия реализации угрозы для объекта/субъекта воздействия -  последствия реализации угрозы для всего бизнеса/критичность воздействия на бизнес-процесс - меры по уменьшению риска (их стоимость/целесообразность применения, эффективность, совместимость, риски возникающие при применении и их отношение к исходному риску)

Цитата
Andymion пишет:
С выявлением уязвимостей вроде щас полегче стало (не имею ввиду сканеры безопасности).
ГОСТ Р 51275–99. (Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения) пока вроде никто не отменял т.ч. основные угрозы определены уже давно, все остальное позволяет произвести детализацию.
 
Александр, вы меня все больше и больше разочаровываете своей демагогией.
Да и статья ваша смахивает на оправдание.
И почитав сие (о том как вы были везде и нужны :) ) хочу задать один вопрос, а сейчас вы кто?

Цитата
а только «строчу статейки»

Самокритично. Но совершенно верно! Так оно и есть!
 
Цитата

Александр, вы меня все больше и больше разочаровываете своей демагогией.
Да и статья ваша смахивает на оправдание.
И почитав сие (о том как вы были везде и нужны :) ) хочу задать один вопрос, а сейчас вы кто?

а только «строчу статейки»


Самокритично. Но совершенно верно! Так оно и есть!
Я так понял, Вы обращаетесь к автору статьи? Но, вроде, в подписе стоит Алексей Лукацкий?

А статья скорее отражает внутреннюю неуверенность автора в себе. На мой взгляд, рассуждения о том кто "настоящий" а кто "не настоящий" не имеет большого смысла. Если человек делает нужное кому-то дело - очень здорово. А как его при этом называть - так ли важно?

По моим наблюдениям, чем меньше человек знает и умеет, тем больше он уверен в своей "настоящести".

Да, и все что я сейчас написал - неопровержимые истины!
Страницы: Пред. 1 ... 3 4 5 6 7
Читают тему