17 октября, среда 03:41
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Распределение прав доступа

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Распределение прав доступа

    Пришел в банк на должность CISO.
    В банке полный бардак с распределением прав доступа к ресурсам пользователей. Доступ вроде как назначается по служебкам, которые пишутся на имя директора департамента ИТ, а он админам дает усное распоряжение по телефону на присвоение прав тому или другому и это в лучшем случае. В худшем все усно без служебок.
    С чего посоветуете начать работу.
    Как организовать учет?
    Как организовать контроль за админами?

  • #2
    Стандартная ситуация))) - стандартное решение
    1. Работу нужно начинать с изучения нормативной базы и реального состояния дел))
    2.Учет доступа зависит от того какие у Вас используюется ОС,какая АБС и тд, а так же от Ваших(Вашего банка) способностей (или финансовых возможностей) - я например- сам в состоянии "организовать" программный учет доступа пользователей, как с выводом на печать так и с возможностью записи в базу данных и ведения истории изменений ит.д.
    3.Аналогично и "контроль" за админами.... -есть дорогое лицензионное ПО по контролю измений в AD, есть всякое разное специализированное ПО, есть возможность самому написать что-нидь подобное и тд.)))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Реальное состояние дел очень печальное, так как никакой нормативной базы по вопросам ИБ в банке не существует. И на меня возложена эта почетная обязанность - написать ее.
      Сам написать не смогу, так как это не мой профиль, к сожалению.

      Комментарий


      • #4
        Не смогу написать имею ввиду ПО.

        Комментарий


        • #5
          Сообщение от mation2001 Посмотреть сообщение
          Не смогу написать имею ввиду ПО.
          Это чего Вас одного заставили поднять ИБ или только разграничение доступа сделать, если второе то ИМХО стоит здесь консультацию устроить, если первое все грусно...

          Комментарий


          • #6
            Как раз первое.
            До меня в банке вообще такого понятия как ИБ не существовало.
            Безопасностью занимался кто хотел, пока банк не решили выкупить.
            Естественно заказали независимый аудит, который и выдал соответствующий результат.

            Комментарий


            • #7
              Аудиторы способствуют росту рынка ИБ

              Комментарий


              • #8
                По поводу разграничения доступа...
                Если за это ответственный директор департамента ИТ, то необходимо через вышестоящее руководство добиваться исполнения регламента назначения доступа.
                Админы должны в служебках делать отметку об исполнении.

                Мну кажется, что у вас проблема структурного плана. Посему начинать надо с нуля организовывать управление ИБ.

                Комментарий


                • #9
                  А если админы находятся на другой территории, отдаленной от центрального офиса где-то на 1 км.
                  Как тогда быть?
                  Факсом им пересылать, а они обратно мне?
                  Я настаиваю, чтобы оригиналы служебок хранились у меня, админы чтобы у них. Что посоветуете?

                  Комментарий


                  • #10
                    Сообщение от mation2001 Посмотреть сообщение
                    Пришел в банк на должность CISO.
                    В банке полный бардак с распределением прав доступа к ресурсам пользователей. Доступ вроде как назначается по служебкам, которые пишутся на имя директора департамента ИТ, а он админам дает усное распоряжение по телефону на присвоение прав тому или другому и это в лучшем случае. В худшем все усно без служебок.
                    С чего посоветуете начать работу.
                    Как организовать учет?
                    Как организовать контроль за админами?
                    На мой взгляд нужно написать документ 1 уровня в терминологии ЦБ.
                    В нем необходимо указать для чего это вообще нужно и чего вы хотите добиться введением ИБ например (выдержка из моего документа):
                    Основной целью информационной безопасности является обеспечение непрерывности бизнес-процессов Банка, достижение данной цели осуществляется путем:
                    -обеспечения конфиденциальности информации в информационных активах Банка;
                    -обеспечения целостности информации в информационных активах Банка;
                    -обеспечения доступности информации в информационных активах Банка;
                    -обеспечения подотчетности информации в информационных активах Банка;
                    -обеспечения достоверности информации в информационных активах Банка;
                    -идентификации и минимизации рисков бизнеса при работе с информационными активами Банка;
                    -введения и поддерживания защищенного документооборота;
                    -контроля деятельности сотрудников в рабочее время;
                    -тщательного подбора кадров.

                    Далее проводите аудит...в вашей ситуации все плохо и проводить особо нечего - ничего нет. Тем не менее не стоит сразу кидаться на разграничение доступа. Попробуйте сначала закрыться от внешних врагов т.е. настройки МЭ и АВЗ.
                    Дальше документы по системе резервного копирование и хранению резервных копий.
                    Вот примерный список (думаю есть еще, что добавить):
                    Для адекватного реагирования на возникающие угрозы информационной безопасности со стороны внутренних и внешних нарушителей в нормативных документах должны быть регламентированы требования:
                     по оценке рисков возникающих при угрозе бизнес-процессам Банка в части касающейся информационной безопасности;
                     по защите внешнего периметра и сервисов Банка;
                     по доступу и работе пользователей в сети Интернет;
                     по обеспечению безопасного удаленного доступа к информационным активам Банка;
                     по антивирусной защите;
                     по определению перечня сведений относящихся к коммерческой тайне;
                     по внутреннему документообороту Банка;
                     по работе сотрудников в корпоративной сети передачи данных;
                     по парольной защите;
                     по требованиям к программному обеспечению, устанавливаемому на рабочей ЭВМ сотрудника;
                     по определению роли исполняемой сотрудником в информационной инфраструктуре Банка;
                     по доступу и аудиту доступа сотрудников к информационным активам;
                     по резервному копированию информации;
                     по резервным каналам связи;
                     по работе с ключевой информацией;
                     по работе с внешними носителями информации;
                     по проверкам требований по информационной безопасности;
                     по поддержанию актуальности нормативных документов по информационной безопасности;
                     по контролю требований политики информационной безопасности.

                    Про админов. Не начинайте с них, контролировать админов особенно если вы один, а их много, практически невозможно. В самых узких местах можно отобрать у них пароль и выдавать только под роспись затем сразу менять (как вариант).

                    Вообще же начните с документов! Пока не будет их не будет и порядка.

                    Комментарий


                    • #11
                      Сообщение от mation2001 Посмотреть сообщение
                      А если админы находятся на другой территории, отдаленной от центрального офиса где-то на 1 км.
                      Как тогда быть?
                      Факсом им пересылать, а они обратно мне?
                      Я настаиваю, чтобы оригиналы служебок хранились у меня, админы чтобы у них. Что посоветуете?
                      Вариаций может быть много. Для примера, завести журналы на удаленной площадке, где админы будут расписываться за проделанную работу.

                      Главное, чтобы это вы так или иначе могли отслеживать действия по предоставлению доступа к ресурсам.

                      Комментарий


                      • #12
                        Сообщение от mation2001 Посмотреть сообщение
                        А если админы находятся на другой территории, отдаленной от центрального офиса где-то на 1 км.
                        Как тогда быть?
                        Факсом им пересылать, а они обратно мне?
                        Я настаиваю, чтобы оригиналы служебок хранились у меня, админы чтобы у них. Что посоветуете?
                        Только не берите на себя вопрос согласования!!!
                        Во первых замучаетесь, во вторых вы не должны давать доступ к информиационным активам хотя бы потому, что вы наверняка не представляете какие действия можно совершить используя тот или иной доступ. Доступ должны определять Владельцы активов, а они в свою очередь не должны быть админами и безопасниками (мое мнение).
                        По поводу оригиналов возможна примерно следующая схема. служебка в центральном офисе попадает к вам, служебка в доп офисах и филиалах попадает к специалисту СЭБа в филиалах банков они обычно есть. Далее передаются им факсом для вас. А сами оригиналы либо пусть хранит он, либо передает вам (но лучше он, путаницы меньше).

                        Комментарий


                        • #13
                          начать надо в двух направлениях:
                          1) определить владельцев ресурсов,
                          2) сделать учет всех заявок

                          это работы как минимум на полгода. потом выдно будет как дальше

                          Комментарий


                          • #14
                            Начните с простой инвентаризации - списки приложений, БД, папок с файлами. Потом установите ответственных за каждый из пунктов.
                            Распечатайте реальные списки доступа - покажите это ответственным, обсудите несоответствия (если есть).
                            Потом объяснить каждому ответственному как важно - что именно его данные не похитили всякие гады, и как важно, чтобы каждый шаг был зафиксирован.
                            Дальше - объяснить админам - риски для них того, что они предоставляют доступ по звонку, и как формальный процесс (а не по звонку) упростит им работу.
                            Дальше - регламенты, шаблоны служебок, процедура контроля.

                            Комментарий


                            • #15
                              Сообщение от mation2001 Посмотреть сообщение
                              Пришел в банк на должность CISO.
                              ...
                              С чего посоветуете начать работу.
                              Как организовать учет?
                              Как организовать контроль за админами?
                              Вообще говоря странно от CISO слышать такие вопросы.
                              Можно поинтересоваться, как была поставлена первоначальная задача при приеме на работу? Ещё важный вопросик - есть ли заинтересованность руководства в ИБ? в ветке правильные вещи написали - начинать нужно с высокоуровневых документов,
                              с определения политик, целей, задач, с правильного понимания ИБ не только руководством, но и рядовыми сотрудниками. Сначала четкий ответ на вопрос - зачем это нужно, и только - потом каким образом реализовывать?
                              В целом, насколько я понимаю, проблема не в заявках, а в построении комплексной СУИБ, а это уже проект. Дерзайте,
                              успехов !

                              Комментарий


                              • #16
                                В том то и дело, что я начал работу с написания документов.
                                Общая политика безопасности уже написана, кстати долго бился со своим начальником, чтобы не писать лирическую концепцию на 100 листов, а создавать конкретные работающие документы, вроде пришли к согласию.
                                Но для того чтобы, что-то писать, и самое главное, чтобы это что-то потом работало нужно представлять как все организовать на практике.
                                Вот я и пытаюсь, кстати совместно с теми же админами, они в этом заинтересованы ничуть не меньше, решить эту проблему.

                                Комментарий


                                • #17
                                  За чем дело стало? Служебка на доступ должна быть согласована владельцами ресурсов, вам она нужна только для учёта. Достаточно скан-копии от ИТ будет. Заносите данные вручную в свою табличку и регулярно сверяете с текущими данными, предоставленными ИТ. понятно, что волокита ручная неудобна, но начать с чего-то надо, автоматизируете потом по мере возможности/желания.
                                  Итого, первый шаг - список ресурсов и их владельцев - лиц, правомочных распоряжаться доступом.

                                  Комментарий


                                  • #18
                                    мои 5 коп ))

                                    Для начала я бы выбрал стандарт или методику по ИБ, на которую бы ориентировался в процессе своей дальнейшей работы.

                                    Желательно этот выбор согласовать с ТОП-ом. Это даст возможность ссылаться на выбранный стандарт при конфликтных ситуациях типа: "Почему мы делаем ИБ так, а не этак?".

                                    Комментарий


                                    • #19
                                      Сообщение от mation2001 Посмотреть сообщение
                                      Вот я и пытаюсь, кстати совместно с теми же админами, они в этом заинтересованы ничуть не меньше, решить эту проблему.
                                      Это они пока заинтерисованы...до тех пор пока вы на них обязанности возлагать не начали

                                      Для начала я бы выбрал стандарт или методику по ИБ, на которую бы ориентировался в процессе своей дальнейшей работы.
                                      Почти наверняка это будет стандарт ЦБ, но совет очень правильный

                                      Кстати не думали о том, что вас взяли просто так? чтобы было? или чтобы собак повесить в случае чего?
                                      Дело в том, что руководство еще на вряд ли продвинулось в осознание ИБ дальше паролей и антивирусов, поэтому стоит как то выяснить, а что конкретно они понимают под ИБ

                                      Комментарий


                                      • #20
                                        мои 5 коп ))

                                        Для начала я бы выбрал стандарт или методику по ИБ, на которую бы ориентировался в процессе своей дальнейшей работы.

                                        Желательно этот выбор согласовать с ТОП-ом. Это даст возможность ссылаться на выбранный стандарт при конфликтных ситуациях типа: "Почему мы делаем ИБ так, а не этак?".

                                        Стандарт уже выбран ISO 17799:2005, при чем не нами, а нашими кураторами из финансовой группы.

                                        Комментарий


                                        • #21
                                          Кстати не думали о том, что вас взяли просто так? чтобы было? или чтобы собак повесить в случае чего?

                                          Я наверное повторюсь, что отдел был создан, по рекомендациям аудиторов из Ernst$Young's
                                          на создании отдела и соответственно продвижении ИБ в банке
                                          настаивают наши кураторы.

                                          Комментарий


                                          • #22
                                            mation2001
                                            странно, а ISO 27001 они не упоминали?

                                            Комментарий


                                            • #23
                                              Сообщение от Kutyrs Посмотреть сообщение
                                              mation2001
                                              странно, а ISO 27001 они не упоминали?
                                              У них вообще ничего нет. Им бы "практические правила" для начала внедрить а потом уже думать о СУИБ

                                              Комментарий


                                              • #24
                                                У них вообще ничего нет. Им бы "практические правила" для начала внедрить а потом уже думать о СУИБ

                                                Точно подмечено, только смешного тут для меня что-то маловато.

                                                Вот выдержка из инструкции
                                                The standard, Code of Practice for Information Security Management (ISO/IEC 17799:2005), will serve as a guideline for the management of the security work. The purpose with the standard is to have a common norm for the security area.

                                                Комментарий


                                                • #25
                                                  The standard, Code of Practice for Information Security Management (ISO/IEC 17799:2005), will serve as a guideline for the management of the security work. The purpose with the standard is to have a common norm for the security area.
                                                  Ни о каком соответствии 17799 там речи не идёт. Там написано: "...данный стандарт послужит ориентиром..."

                                                  Комментарий


                                                  • #26
                                                    mation2001
                                                    хинт: берем ГОСТ ИСО/МЭК 17799-2005 и работаем (это русский перевод-аналог ISO 17799)

                                                    The purpose with the standard is to have a common norm for the security area.
                                                    Цель стандарта - общая норма в сфере безопасности

                                                    Комментарий


                                                    • #27
                                                      Я и имею ввиду, что при построении ИБ мы руководствуемся этим стандартом.
                                                      А что Вы понимаете под соответствием?
                                                      Если сертификацию, то по 17799 - сертификация не проводится, только по 27001.
                                                      А про это пока даже речи быть не может.

                                                      Комментарий


                                                      • #28
                                                        mation2001
                                                        все, понял уже.

                                                        Комментарий


                                                        • #29
                                                          хинт: берем ГОСТ ИСО/МЭК 17799-2005 и работаем (это русский перевод-аналог ISO 17799)

                                                          Все это чудесно
                                                          только я наверное забыл упомянуть, что работаю я в Киеве, а украинское законодательство в области ИБ еще далеко позади российского.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от mation2001 Посмотреть сообщение
                                                            Я и имею ввиду, что при построении ИБ мы руководствуемся этим стандартом.
                                                            А что Вы понимаете под соответствием?
                                                            Если сертификацию, то по 17799 - сертификация не проводится, только по 27001.
                                                            А про это пока даже речи быть не может.
                                                            А я посоветую следующее вначале надо оценить уровень безопасности, для этого надо провести
                                                            1. Анализ корпоративной информационной системы
                                                            2. Анализ информационных потоков и взаимодействия между компонентами КИС
                                                            3. Идентификация и категорирование информационных ресурсов
                                                            4. Определение актуальных угроз информационной безопасности и возможностей их реализации потенциальным нарушителем.
                                                            5. Выявление уязвимостей в корпоративной информационной системе , в том числе и в подсистеме безопасности.
                                                            6. Оценка рисков информационной безопасности, связанных с выявленными угрозами и уязвимостями.
                                                            7. Разработка плана обработки рисков и рекомендаций по снижению.
                                                            8. Анализ полноты имеющейся в вашем банке документации, регламентирующей процессы и процедуры в области информационной безопасности.
                                                            9. Оценка адекватности реализованных в информационной системе вашего банка системы управления информационной безопасностью и механизмов обеспечения информационной безопасности на соответствие внутренним требованиям по безопасности и например требованиям Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
                                                            После анализа этих рисков выработать след. документы
                                                            1. «Методика анализа рисков»;
                                                            2. «Реестр информационных активов»;
                                                            3. «Реестр технологических компонент информационной инфраструктуры»;
                                                            4. «Модель нарушителя»;
                                                            5. «Модель угроз»;
                                                            6. «Реестр идентифицированных уязвимостей»;
                                                            7. «Отчет об анализ мер по обеспечению информационной безопасности»;
                                                            8. «Отчет об анализе рисков».
                                                            и потом работать с ними...
                                                            Хм..., вообще ИМХО работа для целой группы спецов. Вам надо пригласить соответствующую структуру в банк, рекомендую поговорить об этом с руководством.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X