Bankir.Ru
10 декабря, суббота 11:56

Объявление

Свернуть
Пока нет объявлений.

Мы и безопасность !!!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Мы и безопасность !!!

    Здравствуйте дорогие коллеги ! Шолом Уважаемые !!!
    Подскажите как складываются у Вас отношения со службой информационной безопасности. И правомочно ли утверждение, что все делают автоматизаторы, а безопасники все КОНТРОЛИРУЮТ !!!
    С Уважением !

    ------------------
    Darii
    Darii

  • #2
    Правомочно!
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

    Комментарий


    • #3
      Служба информационной безопасности нам очень сильно помогает. Все коммуникационный задачи взяли на себя. Все от человека зависит. Если он - специалист, то это рельная помощь. а если профессиональный безопасник - якорь.

      Комментарий


      • #4
        2 BUDB. На этом с Вами полностью согласен.
        Тогда как затачивать под себя якоря ? Подскажите пожалуйста !
        Darii

        Комментарий


        • #5
          Darii - В идеале - "Безопасник" видит всё /что безопасит/, но ничего не может сделать. Как ревизор(внутренний контроль)... тока понимающий ЧТО он видит.
          По этому ответ на вопрос :правомочно ли утверждение - да.

          Но реаль - конечно отличается...

          А якорь затачивать просто! Берете ИТ-ешника работягу, с жаждой поработать - и на курсы/обучение/ его!
          Вернется /если вернётся / - отличнийший спец будет!

          По вопросам:
          Основание - Положение по безопасности ИТ.
          Конечный результат - Выполнение Положения по безопасности ИТ.
          Подавая сигналы в рог будь всегда справедлив, но строг. ©

          Комментарий


          • #6
            Затачивал якорь под себя следующим образом (кажется, это называется итальянской забастовкой). Беру карандаш, внимательнейшим образом читаю Положение по безопасности и делаю все так, как там написано. Назавтра НИ У КОГО НИЧЕГО НЕ РАБОТАЕТ (в серной кислоте не поплаваешь). После этого Папа велит срочно вернуть все взад, а безопаснику велит все его книги переделать.

            Комментарий


            • #7
              Pif абсолютно прав, хотя это жестоко, но в некоторых случаях это единственное решение.

              Комментарий


              • #8
                А, на фига, надо принимать, Положение по безопасности... - такое, что не работа, а тока конфликты???
                Я, так понимаю... что все заинтересованы в сохранении технологий? А информации?
                А вообще ваши положения различают - защиту информации и защиту технологии???

                Конечно, если в СБ - то сверху тьма инструкций и указаний, причем многие устарели, многие не затачиваються под "отдельно взятое" отделение...

                А сесть и написать рабочее положение .... в месте со всеми заинтересоваными сторонами
                Подавая сигналы в рог будь всегда справедлив, но строг. ©

                Комментарий


                • #9
                  to Romsan

                  Для того, чтобы "заинтересованные стороны" приняли участие в написании "рабочего положения", ну или хотя бы поставили визу при согласовании в написанном положении необходимо приложить очень большие усилия. Очень часто просто НЕЧЕЛОВЕЧЕСКИЕ усилия. Вот в этом случае и приходится использовать ВСЕ методы убеждения.

                  Комментарий


                  • #10
                    2 Rosman
                    А если Вы работаете в филиале большого банка (не СБ!!!)? Все равно наверху, в конторе сидят очень далекие от народа люди. Например, Инет нам ПРОСТО НЕ РАЗРЕШАЮТ ИЗ СООБРАЖЕНИЙ БЕЗОПАСНОСТИ (так что этот спич долблю из дома). Вымрем, как мамонты с такой политикой... Правда, это скорее тема "Где лучше работать - в крупном, мелком или среднем банке". Так вот: что-то согласовать с ЭТИМИ людьми невозможно. Только и остается тыкать их носом в их же инструкции и порядки и с кайфом наблюдать, как у них мозги скрипеть начинают.

                    Комментарий


                    • #11
                      Прям и не знаю что сказать!
                      Одноко отработал в СБ, и автоматчиком, и безопасником. Кассовые инструкции с 14 года, регламент хранения перфокарт...
                      Был правда большой плюс - не боялся потерять работу/так-себе зарплатка была/!
                      Пошел по пути утоньшения клиента, ужесточения политик...
                      Просто не подписывал акты проверок, если считал, что ерунду написали... А управляющему доказывал - что так и должно быть... А через годик - согласились, т.к формально требования выполнялись... а инструментарий - второй вопрос. К тому же, приняли своё Положение по ИБ - т.сказать "их" требования в своей транскрипции... сильно жизнь облегчило...
                      А инета - тоже не было, не делал, слишком много требований...

                      ЗЫЖ Ушел сам /не выгнали/
                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                      Комментарий


                      • #12
                        to BUDB & Darii
                        Господа, а почему сразу идет противопоставление "профессиональный безопасник" и "специалист"? Что, профессиональный безопасник не может быть специалистомв it? Обратная ситуация вполне возможна: хороший it-специалист может разбираться в обеспечении безопасности лишь на уровне здравого смысла, безопаснику же это не позволительно.
                        По сути вопроса: конфликты чаще всего случаются как раз из-за стереотипа "автоматизаторов", что у "безопасника" в приниципе одна извилина, и та - след от фуражки Естественно, я не имею ввиду патологический случай, когда больной на голову менеджмент поручает проблему it-security специалисту по рукопашному бою
                        Earl Vlad Drakula. ///

                        Комментарий


                        • #13
                          Я просто тащусь...
                          хороший it-специалист может разбираться в обеспечении безопасности лишь на уровне здравого смысла
                          А Вам этого мало? Все и должно основываться на здравом смысле. Все инструкции, положения, технологии. А конфликты не от стереотипа про извилину, а от того, что она действительно одна...

                          Комментарий


                          • #14
                            Цитаты из одной хорошей инструкции моего друга:
                            (я совсем немного подправил акценты)

                            N1 - " Компания оплачивает ВЕСЬ сервис, связанный с интернетом (WWW, электронная почта и т.д.) В связи с этим рекомендуем ВОЗДЕРЖАТЬСЯ ОТ ЗЛОУПОТРЕБЛЕНИЯ этими ресурсами (в основном касается посещения порно-сайтов). Все, что Вы делаете в интернете (включая электронную почту и ICQ) фиксируется в специальных журналах и доступно для анализа сотрудниками отдела автоматизации и руководства."

                            N2 - "Cтрого ЗАПРЕЩАЕТСЯ запускать, сохранять или устанавливать на локальные или сетевые диски программы, полученные из Интернета, по электронной почте, принесенные на дискетах или других носителях, БЕЗ СОГЛАСОВАНИЯ согласования с системными администраторами... Также напоминаем Вам о необходимости внимательно относится к документам WinWord и Excel. В них могут содержаться вирусы.... В сложных случаях консультируйтесь с системными администраторами."


                            N3 - "Итак, ЗАПРЕЩАЕТСЯ:
                            Записывать на сетевые диски архивы и программы
                            Скачивать из сети Internet какие-либо программы
                            Устанавливать новые программы, скринсейверы и т.д.
                            Запускать программы, не санкционированные к использованию отделом автоматизации (категорически запрещается запускать ЛЮБЫЕ программы, пришедшие к Вам по почте)
                            Оставлять надолго компьютер без принятия мер безопасности.
                            ...
                            Все то, что не разрешено явным указанием службы системных администраторов - ЗАПРЕЩЕНО.
                            В случае невыполнения этих правил ответственность за выход из строя программ и компьютеров несет ПОЛЬЗОВАТЕЛЬ."

                            МОЕ РЕЗЮМЕ. Надо иметь голову на плечах, следовать ясным правилам (ДОЛЖНОСТНЫЕ ИНСТРУКЦИИ?) и понимать свою ответственность. А от использования Интернета в РАБОТЕ никуда не уйдешь - иначе другие банки обгонят.

                            Комментарий


                            • #15
                              Подобные инструкции (см. выше) напоминают известное заклинание: "Минздрав предупреждает ...".
                              Когда пльзователь сделает свое "черное дело" и что-нибудь рухнет, то уже поздно будет разбираться, можно это было делать или нельзя. Все контролировать должен сисадмин, раздавая соответствующие полномочия на локальную сеть и инет. И тогда, за все действия, не разрешенные всякими инструкциями, ответственность должен нести он сам. Но для этого надо иметь соответствующую квалификацию и инструментарий. И работать, работать ...

                              Комментарий


                              • #16
                                to Pif
                                А Вам этого мало? Все и должно основываться на здравом смысле. Все инструкции, положения, технологии.

                                Да, мало. Наличие здравого смысла обязательное, но недостаточное условие. "Автоматизатор" знает что сделать, чтобы "оно работало", а про безопасность чаще всего знает что "пароль должен быть". Особо продвинутые даже в курсе, что самая правильная политика "запрещено все, что не разрешено явно", т.е. все лишние сервисы убраны.
                                Вобщем, если коротко, то в обеспечении инф. безопасности есть много моментов, неочевидных для администратора/автоматизатора.

                                А конфликты не от стереотипа про извилину, а от того, что она действительно одна...

                                Это Вы лично мне? Ну, мне с Вами не работать, посему ничего доказывать не буду. Но Ваш пассаж - очередное подтверждение упомянутого стереотипа или неадекватности вашего менеджмента.
                                Earl Vlad Drakula. ///

                                Комментарий


                                • #17
                                  hugevlad & Pif извените что вмешиваюсь , но у меня складывается впечетление, что спор ваш параллелен...

                                  И вопрос даже, не в инструментарий, которым пользуется админ или безопасник, а в логике действий...
                                  Если можно, я попробую систематизировать?
                                  1. Безопасник должен следить за выполнением правил. /хочу обратить внимание, что именно этот пункт, именно первоочередная задача/
                                  2. Безопасник должен иметь право создвать правила. /принимать участие, накладывать вето/
                                  3. Безопасник должен разделять направления на защиту данных, и защиту технологий.

                                  Воистину, рынок породивший спрос на безопасность - молод и бестолков, и соответственно существуют перегибы в обе стороны: когда обязанности безопасника выполняет администратор "сети", или милиционер с перекрестка...
                                  /ИМХО не известно что хуже /

                                  Дайте право "внутреннему контролю" исправлять "ошибки" бухгалтеров, или все что они находят отправляете в ЦБ - и вы получите картину схожую...

                                  Сейчас самым логичным кажется путь "выращивания" безопасников из "админов". Но отымите у админа права, и большенство из них ...
                                  Обучать ревизоров технологиям , тоже не самый легкий путь ...
                                  Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                  Комментарий


                                  • #18
                                    To shamai: КОММЕНТАРИЙ
                                    1. "когда пользователь сделает свое "черное дело..." - если нет пользователей, ты и даром не нужен. Надо воспитывать пользователя в духе совместного сотрудничества с системным администратором, четко очертив рамки ясными
                                    для пользователя утвержденными инструкциями. И учти, что именно ТЫ являешься наемным сотрудником, ОБЯЗАННЫМ ИХ обслуживать, а не ОНИ наняты ОТВЛЕКАТЬ тебя своими проблемами от чтения ТОБОЙ новой статьи на ixbt.

                                    2. "...что-нибудь рухнет" - нужно иметь порядок в
                                    голове админа, порядок в пользовательской среде в сети, порядок в приложениях на рабочих местах + прописанный четкий план действий при возникновении нештатных ситуаций (самое простое - БЭКАП) - срочных/неотложных/экстренных/пожарных
                                    (в т.ч. и в прямом смысле).

                                    3. И следует прежде всего начать с себя: если у тебя
                                    сотрясение мозга - ты же идешь к специалисту (ВРАЧУ), и таким специалистом (или м.б. нет :-)))?) ТЫ служишь для ПОЛЬЗОВАТЕЛЕЙ своей информационной сети.

                                    4. "Все контролировать должен сисадмин" - у Господа
                                    Бога всего лишь яблоко сперли, а ты хочешь за всем
                                    уследить - время и здоровье где купишь, раб божий?

                                    5. "... раздавая соответствующие полномочия на локальную сеть и инет" - это называется правильно
                                    вести бюджеты пользователей.

                                    6. "...для этого надо иметь соответствующую квалификацию и инструментарий" - ПРАВИЛЬНЫЙ ВЫВОД и Я БЫ ДОБАВИЛ еще "СОТРУДНИЧЕСТВО С ПОЛЬЗОВАТЕЛЯМИ". Если пользователи будут бояться
                                    к тебе обращаться - сам вымрешь.

                                    Комментарий


                                    • #19
                                      2Orion
                                      Спасибо за столь серьезный анализ моего постинга.
                                      Хочу только добавить, что я не страдаю "юзерофобией", но если бы все пользователи были "законопослушными", то эта тема была бы никому не интересна.
                                      Да, нужно иметь "четкий план действий при возникновении нештатных ситуаций", но если они возникают через день, то наверное, грош тебе цена, как специалисту. И если инструкция не подкреплена грамотными действиями админа (п.5 комментария), то это просто бумажка.
                                      А по п.4, если не понятно, поясняю: сисадмин должен контролировать все, за что он отвечает.Как мне кажется, в эту категорию и попадает использование различных сетевых ресурсов пользователями.

                                      Комментарий


                                      • #20
                                        2 Hugevlad
                                        Согласен, что IT-шник должен разбираться в безопасности больше, чем просто на уровне здравого смысла, если он выполняет эти функции. Думаю, согласитесь и Вы, что НОРМАЛЬНЫЙ безопасник должен разбираться в IT на уровне IT-специалиста. А теперь, внимание, вопрос:
                                        1. Много ли Вы знаете таких безопасников?
                                        2. Из кого больше шансов вырастить безопасника нормального - из IT-шника или из того, у кого от фуражки след?

                                        Комментарий


                                        • #21
                                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                          Думаю, согласитесь и Вы, что НОРМАЛЬНЫЙ безопасник должен разбираться в IT на уровне IT-специалиста.
                                          [/quote]
                                          А я с этим спорил? Я лишь просил не противопоставлять безопасность и айти, а также не выставлять всех безопасников недалекими людьми с бритыми затылками и стальными взглядами

                                          1. Много ли Вы знаете таких безопасников?
                                          Навскидку - вспомнил 7 человек (включая себя любимого ). Айтишников, поглубже разбирающихся в секьюрити - одного.

                                          2. Из кого больше шансов вырастить безопасника нормального - из IT-шника или из того, у кого от фуражки след?
                                          Мое мнение - из выпускника университета по специальности "защита информации" (если он там учился, конечно, а не отсиживался от армии).

                                          Люди, у которых "след от фуражки" вместо извилин в принципе неспособны выполнять интеллектуальную работу, даже не связанную с такой технологически сложной областью, как защита информации (организовать физическую охрану и сопровождение VIP - тоже не баран накашлял).

                                          Собственно, я с самого начала толкую о том, что для безопасника обязательно отличное знание айти наряду с вопросами безопасности (иначе, он не соответствует занимаемой должности), в то время как айтишник может иметь об организации защиты только общее представление.
                                          Earl Vlad Drakula. ///

                                          Комментарий


                                          • #22
                                            Может подскажете как можно бороться с безопасником, который не видел в жизни АБС (у него есть представление о сетях и т.д., но не о самой банковской системе) и не знает банковского документооборота, при этом не хочет никак подписывать внутренне положение, по которому можно будет хоть часть документов хранить в виде "электронных баз данных"? А без этого положения очень актуален лозунг "да здраствует бумажная технология, прощай автоматизация"!
                                            Как найти разумное соотношение между желанием безопасников все засекретить, выдать всем сотрудникам банка закрытые ключи, которые перед прочтением рекомендуется съесть, поставить компьютеры в бетонные бункеры с решетками и желанием организовать максимально быстрое и безбумажное обслуживание клиентов? И есть ли у нас хоть одна АБС, которая может пройти сертификацию в соответствии с проектом закона по ЭЦП?
                                            С уважением, Евгения

                                            Комментарий


                                            • #23
                                              evg
                                              Придется идти на принципиальный конфликт. Постарайтесь вместе с безопасником попасть к шефу и договориться о разграничении обязанностей. Естественно, достаточно большая доля Ваших обязанностей перейдет к безопаснику (интернет, почта, распределение прав пользователей в АБС и сети, резервное копирование, антивирусы, ИБП). После этого спросите у безопасника в присутствии шефа: справится ли он со всем этим без расширения штатного расписания (дополнительных затрат)своего отдела (управления). Далее 2 варианта:
                                              1. Ответ "Да" - Вам пора искать другую работу.
                                              2. Ответ "Нет" - вопрос к шефу из серии : "Парень хочет делать то, что делаю я, но я это делаю,причем за небольшие деньги, а он не умеет, да еще хочет банк по миру пустить".
                                              В любом случае, между безопасностью и автоматизацией будут трения. Вопрос только насколько сильные.

                                              Комментарий


                                              • #24
                                                to ex-bankir

                                                Походы "на принципиальный конфликт" выгоды еще никому и никогда не приносили. Лично на моей практике был вариант с ответом "да" и сделано было в результате лучше. Самое смешное, что и информатизатора не уволили, и безопаснику премию не дали
                                                Я "немного в курсе" описанного Евгенией конфликта. Если коротко, он состоит не в нежелании безопасности избавиться от бумаг, а в неприемлемости предлагамого аналога собственноручной подписи для защиты электронных документов при хранении. Так что конфликта нет, есть техническая проблема и необходимость ее решить.
                                                Earl Vlad Drakula. ///

                                                Комментарий


                                                • #25
                                                  !!!ВИРУС!!!
                                                  Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                  Комментарий


                                                  • #26
                                                    Вы обсуждаете отношения "безопасника" и "ит-шника". А формализован ли предмет взаимоотношений? Разработана ли "Политика информационной безопасности"? Иначе все делается на уровне затыкания дыр. При таком подходе действительно возможны и конфликты и бестолковые действия.

                                                    Комментарий


                                                    • #27
                                                      A.Bur где - как...

                                                      В том-то и дело, что неотработана концепция ИБ...
                                                      Поэтому каждый изобретает свой велосипед.

                                                      А разговора, тематического не получается...
                                                      Интим.
                                                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                      Комментарий


                                                      • #28
                                                        Приветствую, господа!

                                                        Выручите пожалуйста - ЦБ-шная проверка грядет, а у нас должность инженера информационной безопасности не описана. Не поделитесь должностной инструкцией?!

                                                        Заранее спасибо.

                                                        Комментарий


                                                        • #29
                                                          вот тут посмотри: http://www.networkdoc.ru/doc/instr.html
                                                          может что-нибудь пригодиться

                                                          Комментарий


                                                          • #30
                                                            Ksenofontov http://rsl.bankir.ru/docs.shtml - тут еще...
                                                            Подавая сигналы в рог будь всегда справедлив, но строг. ©

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X