14 ноября, среда 14:10
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Отношения ИТ и ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Отношения ИТ и ИБ

    Доброго времени суток. На новой работе столкнулся с проблемой. Обслуживанием ИТ занимается аутсорсинговая компания и всячески вставляет палки в колеса ИБ. На запрос о предоставлении доступа к средствам контроля (DeviceLock,Statwin, GFI) отвечают, что для использования требуются права админа домена. Предоставить такие права они не могут, так как после этого, не гарантируют работу систем. Администрированием данных систем занимаются тоже они. Но для выполнения функций контроля доступ нужен и мне. Кто нибудь сталкивался с такой проблемой?

  • #2
    Сообщение от don_simon Посмотреть сообщение
    Доброго времени суток. На новой работе столкнулся с проблемой. Обслуживанием ИТ занимается аутсорсинговая компания и всячески вставляет палки в колеса ИБ. На запрос о предоставлении доступа к средствам контроля (DeviceLock,Statwin, GFI) отвечают, что для использования требуются права админа домена. Предоставить такие права они не могут, так как после этого, не гарантируют работу систем. Администрированием данных систем занимаются тоже они. Но для выполнения функций контроля доступ нужен и мне. Кто нибудь сталкивался с такой проблемой?
    Постоянно сталкиваюсь с такой проьблемой у себя ))) со своими ИТ-никами)). ИМХО выход один- решать через руководство банка на руководство ИТ))- т.к. в данном случае отсутствие возможностей контроля у специалиста по ИБ за действиями ИТ означет невозможность исполнения обязанностей спецалистом по ИБ - если это указано в его должностных обязанностях. А дельше пусть руководство решает )) кого оно больше "любит" ИТ или ИБ)) и выносит потом соответствующее решение- либо "принудить" ИТ поделиться своими правами, либо изменить обязанности спеца по ИБ ( в таком случае с Вас и спроса никакого за невозможность проведения контроля и небудет)
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      а ты вождям раскажи про ситуевины, которые могут произойти, нууу, фор экзампл:
      - админ обиделся на банку(зрп, отношения в коллективе, политические моменты и прочее прочее прочее).
      - нужно кого-то уволить вчера! а он например ИТ-шнег, да ф конце концов кто угодно (бывают такие случаи - человек, где-то еще на совещании сиди, а его уже уволили, или спизднул чо-нить и вот пока он идет до рабочего места его нужно забанить, шоп ф кампутир и сетку он уже не попал, да или просто на минуточку забанить до выяснения обстоятельств....)
      - просто ИТ-шнеги на минуточку кому-то прав дали, чо-нить потырили и вернули в зад.
      - просто банка посралась с аутсорсингом.
      - а еще скажи что кризиса еще не было и начнется он в 2010 году..сокращения там всякие, обиженные люди....вааще рост инцидентов...
      воопщем включай фантазию, по другому не получится.
      распеши возможные варианты и официальной служебкой пульни на вождя своего - пусть думают! ты главное, ф курсе их предупредил.
      пы. сы. дааа можешь сюды добавить, типа: "а вот у моего знакомого ИБ-шнега такое произошлооооо, оооо.....а у знакомого ИТ-шнега ф Банке Х вааще пипетс чо случилось.........не ну выже понимаете, инфа не официальная, её скрывают...." ну воопщем в таком ключе.

      Комментарий


      • #4
        Сообщение от George-on-Don Посмотреть сообщение
        Постоянно сталкиваюсь с такой проблемой у себя ))) со своими ИТ-никами)).
        У коллеги ситуация более сложная: поставщик услуг руководствуется не пожеланиями его начальства, а договором на оказание услуг. Так что нужно запастись сильными аргументами

        don_simon,
        разрулить ситуацию можно, но потребуется время.
        1. Возьмите методику самооценки СТО БР ИББС и пройдитесь по первым двум блокам групповых показателей. В сухом остатке у вас получится, как минимум, что отсутствует контроль банка над инфраструктурой. Да, обслуживание инфраструктуры - это, по договору, деятельность аутсосрсера, но банк эту деятельность не контролирует, поскольку у вас банально нет для этого технической возможности.
        2. Возьмите "Основные мероприятия..." по защите персональных данных и пройдитесь, хотя бы, по требованиям 3 класса многопользовательских систем с разными правами. Там масса требований вида "средство А должно обепечивать Б". Каждое такое требование означает две вещи: а) функция Б должна быть реализована в средстве А и б) функция Б должна быть настроена в средстве А. В итоге у вас получитя, что настройку этих функций вы проверить не можете.
        3. Возьмите CISовский или NISTовский чеклист по настройке функций безопасности Windows, Cisco, СУБД - какие найдете. Или рекомендации самих произзводителей по настройке этих функций. Попробуйте проверить, насколько ваши системы соответствуют этим рекомендациям. У вас получится, что для рабочих станций вы сможете проверить процентов 30 рекомендаций, а серверы, СУБД и сетевое оборудование вы не можете проконтролировать в принципе.


        Все это изложите в виде подробного отчета и небольшой докладной записки. В идеале отчет должен выглядеть примерно так:
        1. Банк должен контролировать то-то и то-то (со ссылками на 242-П, СТО БР ИББС, методички по ПД
        2. В реальности этого контроля нет
        3. Этот контроль можно организовать вот так или вот так.


        Отчет и докладную записку направляете руководству плюс в службу внутреннего контроля.

        Что касается п. 3, то есть всего два варианта организации такого контроля:
        1. Банк исключает админстрирование средств защиты из функций подрядчика и передает их вам. В этом случае вы поимеете все те проблемы, о которых написал George-on-Don, только в более тяжелой форме (он-то находит общий язык со своими )
        2. Банк закрепляет за собой право контролировать деятельность подрядчика в том, что касается ИБ и накладывает на подрядчика обязанность предоставлять соответствующий доступ, отчетность и т.п.


        Ваша задача а) заручитьcя поддержкой службы внуттреннего контроля, б) совместно с ней убедить руководство, что ситуацию нужно менять и в) аккуратно расписать, какие именно функции вам нужны, чтобы контролировать подрядчика. Если вам удастся это сделать, начнут работать юристы (придется либо подписывать доп. соглашение к договору либо расторгать договор и искать более вменяемого подрядчика). Если не удастся - я бы на вашем месте начал подыскивать другую работу, поскольку в текущей ситуации в вашем банке слово безопасность можно использовать только с кавычками.

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          У коллеги ситуация более сложная: поставщик услуг руководствуется не пожеланиями его начальства, а договором на оказание услуг. Так что нужно запастись сильными аргументами
          ну это конечно все правильно сказано)) это и имелось ввиду- что в любом случае решать проблему нужно через руководство))
          Мы продолжаем делать то, что мы уже много наделали

          Комментарий


          • #6
            Сообщение от George-on-Don Посмотреть сообщение
            ну это конечно все правильно сказано)) это и имелось ввиду- что в любом случае решать проблему нужно через руководство))

            Комментарий


            • #7
              Всем спасибо большое за советы! Пойду писать весомые аргументы. По результатам постараюсь отписаться.)

              Комментарий


              • #8
                Сообщение от don_simon Посмотреть сообщение
                Всем спасибо большое за советы! Пойду писать весомые аргументы. По результатам постараюсь отписаться.)
                Начните с того, что почитайте договор внимательно.
                Потом - смею предположить, что со стороны аутсорсера вы общались с рядовыми суппортерами - а они скорее всего вас отфутболят Пообщайтесь с кем-нибудь повыше из представителей фирмы-аутсорсера - объясните что вас волнует, может и получится решить вопрос без эскалации и конфликтов.

                Комментарий

                Пользователи, просматривающие эту тему

                Свернуть

                Присутствует 1. Участников: 0, гостей: 1.

                Обработка...
                X