25 сентября, вторник 21:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Администраторы ИБ - кто эти люди?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Администраторы ИБ - кто эти люди?

    Про администраторов ИБ в стандартах упоминается:

    8.2.4.3. ---
    регистрация действий персонала и пользователей в специальном электронном журнале.
    Данный электронный журнал должен быть доступным для чтения, просмотра, анализа,хранения и резервного копирования только администратору ИБ


    8.2.7.1. Средства криптографической защиты информации:
    должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ организации за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, исполь
    зование ключей и сдача ключевого носителя)



    8.2.8.9. Обязанности по администрированию средств защиты платежной информации для каждого технологического участка ее прохождения возлагаются приказом по организации БС РФ
    на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с отражением этих функций в его должностных обязанностях.
    Администратор информационной безопасности должен действовать на основании соответствующего нормативного документа, разработанного в организации БС РФ и утвержденного руководством организации БС РФ.


    8.2.9.5. Если в АБС обрабатывается информация, требующая по решению руководства защиты, то соответствующим распоряжением должен быть назначен администратор информационной безопасности. Допускаются назначение одного администратора информационной
    безопасности на несколько АБС, а также совмещение выполнения указанных функций с другими обязанностями.
    При этом совмещение в одном лице функций администратора АБС и администратора информационной безопасности АБС не допускается.


    Для каждой АБС должен быть определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.

    Ну и ГП:
    Назначены ли на каждом технологическом участке ответственные за администрирование средств защиты платежной информации (администраторы ИБ)?

    Существует ли нормативный документ (документы), которым руководствуются администраторы ИБ в своей деятельности?

    Назначен ли в АБС администратор ИБ, если в АБС обрабатывается информация, требующая по решению руководства защиты?

    Отсутствует ли совмещение в одном лице функций администратора АБС и администратора ИБ?

    Осуществляет ли администратор ИБ контроль над действиями администраторов АБС и пользователей?


    Вопросы простые - из кого набирать администраторов ИБ, в каком документе прописывать их наличие (в Политике? плюс Положение? плюс Инструкция?).
    Чем больше связей, тем меньше степеней свободы.

  • #2
    ИМХО в 8.2.8.9.- говорится о лицах(сотрудниках) ответственных за состояние информационной безопасности в подразделениях (администраторы ИБ) - такой "институт" есть в Сбере))
    а вот 8.2.4.3, 8.2.7.1, 8.2.9.5 - это сотрудник подразделения ИБ
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      George-on-Don, но называются они одинаково
      Чем больше связей, тем меньше степеней свободы.

      Комментарий


      • #4
        Вопросы простые, ответы - не очень

        Если мы уважаем законодательство, то, строго говоря, мы должны иметь лицензию ФСТЭК на ТЗКИ или хотя бюы соответствовать лицензионным требованиям. В этом случае мы обязаны набирать админов ИБ из людей, имеющих профильное образование по ТЗИ или прошедших курсы переподготовки. Не хочу никого обидеть, но вероятность найти среди выпускников той же академии ФСБ кого-нибудь стоящего стремится к нулю. Как человек разумный, я исхожу из того, что в админы ИБ нужно брать айтишников, имеющих опыт работы у системных интеграторов в области ИБ. К выходцам из МВД и спецслужб стоит относиться очень аккуратно: коллега Пух представляет собой очень редкое исключение. Обычно же сотрудники спецслужб хорошо разбираются в оперативной и бумажной работе, но откровенно плавают в IT шных вопросах.

        Я придерживаюсь мнения, что администрированием ИБ должны заниматься специалисты отдела ИТ. Дело в том, что большинство функций безопасности интегрировано в приложения, и разделить "вот эту фичу настраиваю я, а вот эту - безопасник" не всегда возможно. То есть "администратор ИБ" - это не должность, а роль.

        Часть функций можно, конечно, вынести в отдельное подразделение или в СБ/СИБ - управление файрволами, мониторинг IDS, мониторинг инцидентов и, разумеется, управление ключами. Но опять-таки этим будут заниматься люди с чисто ITшным образованием.

        Наличие админов обычно прописывается в политике, положениях о соответствующих отделах и должностных инструкциях. Вы в любом случае в политике описываете наличие такой функции ка к администрирование ИБ, а положения и должностные синструкции назначают этой функции конкретных исполнителей.

        Требование разделять функции администрирования ИТ и администрирования ИБ считаю откровенной глупостью и исполнять не намерен

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          Часть функций можно, конечно, вынести в отдельное подразделение или в СБ/СИБ - управление файрволами, мониторинг IDS, мониторинг инцидентов и, разумеется, управление ключами. Но опять-таки этим будут заниматься люди с чисто ITшным образованием.
          С точки зрения реалий - так часто и бывает. Но с точки зрения здравого смысла... МСЭ, IPS - это в чистом виде сетевые устройства, которые влияют на эксплуатационные характеристики сети. Более того. Они могут нарушить работоспособсность сети или отдельных приложений и сервисов. А за работоспособсность отвечает ИТ-подразделение. И кто будет виноват, если сеть встанет? При вынесении некоторых эксплуатационных процессов за рамки ИТ, есть соблазн все проблемы перекладывать на ИБ. Что часто и бывает ;-( Поэтому лучше ИБ оставить функции мониторинга, управления ключами (для прикладных систем) и, конечно же, разработки политик и другие вопросы security governance, risk management и compliance. Не гоже безопасникам лезть в чужую епархию - им и так при правильном подходе куча дел остается.

          Комментарий


          • #6
            Сообщение от malotavr Посмотреть сообщение
            Требование разделять функции администрирования ИТ и администрирования ИБ считаю откровенной глупостью и исполнять не намерен
            А что есть - "откровенная глупость"? Лишенное смысла и целесообразности? Или это действие, причины которого (смысл и цели) неизвестны. Ещё не известны

            Не разделяя функции, нельзя будет разделять ответственность. Если IT и ИБ будут выполнять одни функции, то правая рука не будет знать, что делает левая. И в случае нестыковки действий приведшей к инциденту, спросить будет не с кого.

            Хотя... возможно при грамотно построенном процессе управления конфигурацией, несогласованность действий будет сведена к нулю.

            Комментарий


            • #7
              Сообщение от box_roller Посмотреть сообщение
              А что есть - "откровенная глупость"? Лишенное смысла и целесообразности? Или это действие, причины которого (смысл и цели) неизвестны. Ещё не известны
              А какая разница, есть у требования смысл и цели или они неизвестны, если требование заведомо невыполнимо? Алексей привел хороший пример: даже если мы разделим функции администрирования маршрутизаторов и файрволов между ИТ и ИБ, разделения ответственности все равно не получится. Безопасники будут крайними.

              Данное же требование лишено целесообразности. Ответственность распределяется не разделением "кто что администрирует", а выделением в разные подразделения функций исполнения и контроля. И если ИБ выполняет контролирующую функцию, то оно уже не может заниматься техническим администрированием - это функция исполниетельная.

              Комментарий


              • #8
                Сообщение от malotavr Посмотреть сообщение
                Ответственность распределяется не разделением "кто что администрирует", а выделением в разные подразделения функций исполнения и контроля. И если ИБ выполняет контролирующую функцию, то оно уже не может заниматься техническим администрированием - это функция исполниетельная.
                Надо просто принять за факт, что ИБ = отдел ИБ. И все. Тогда все замечательно решается. Эксплуатация ИБ ложится на выделеных людей в ДИТ. А на отдел ИБ ложится функция GRC (Governance, Risk & Compliance). Он выполняет функцию контроля в этом случае.

                Комментарий


                • #9
                  Сообщение от malotavr Посмотреть сообщение
                  А какая разница, есть у требования смысл и цели или они неизвестны, если требование заведомо невыполнимо?
                  А разница есть. Если есть смысл и цели, то это не "глупость", как вы написали. Всякому слову есть свое место.

                  Сообщение от malotavr Посмотреть сообщение
                  Алексей привел хороший пример: даже если мы разделим функции администрирования маршрутизаторов и файрволов между ИТ и ИБ, разделения ответственности все равно не получится. Безопасники будут крайними.
                  Алексей привел пример: "И кто будет виноват, если сеть встанет?". Допустим, она встала. Причина локализована - это МСЭ. Допустим - некорректные настройки. Кто виноват?
                  Требования для МСЭ разработаны в ИБ. Далее они согласованы с IT, где они были признаны корректными и не нарушающими доступность сетевых сервисов (проверили на стенде - всё ok). Администратор IT настраивает МСЭ, согласно требованиям ИБ. После, администратор ИБ проверяет работу администратора IT на соответствие предъявленным требованиям. Требования ИБ выполнены - ok.
                  И кто в данном случае будет признан виноватым?
                  И обратная ситуация в той же сети. Есть в ней некий маршрутизатор дающий доступ к важному ресурсу. Админит его уже администратор ИБ, а требования по доступности к ресурсу относительно данного устройства, предъявляет уже IT. И IT же мониторит их выполнение, хотя права доступа раздает ИБ.
                  Вот ответственность и разделилась. А зачем это все так разделено? Ответ: Это требование бизнеса. И бизнесом же, данное разделение признано целесообразным. Возможно, после некого инцидента, имевшего место быть.

                  Комментарий


                  • #10
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Надо просто принять за факт, что ИБ = отдел ИБ. И все. Тогда все замечательно решается. Эксплуатация ИБ ложится на выделеных людей в ДИТ. А на отдел ИБ ложится функция GRC (Governance, Risk & Compliance). Он выполняет функцию контроля в этом случае.
                    Всё верно и красиво написано. Хороший шаблон
                    Как вы считаете, при реализации ИБ в организации стоит воспользоваться данным шаблоном или сначала изучить конкретную организацию и потом, индивидуально, под неё, разработать и реализовать ту ИБ, которая идеально подойдет для выполнения её бизнес-задач?

                    Комментарий


                    • #11
                      Сообщение от Чернушка Посмотреть сообщение
                      George-on-Don, но называются они одинаково
                      - согласен- и в этом я вижу большую тайну))) - но если это все люди ИБ - то они должны постоянно физически присутствовать на всех технологических участках)))
                      Для меня вопрос решен (и я знаю что это работает на примере Сбера)- в подразделениях - ответственные за состояние ИБ- из числа сотрудников подразделения- а уж на администрировании серверов, средств защиты(МЭ, впн и тд) - сотрудники ИБ либо ИТ- администраторы безопасности
                      Мы продолжаем делать то, что мы уже много наделали

                      Комментарий


                      • #12
                        George-on-Don, я тоже себе примерно так вижу. Но, есть вопрос - кого из числа сотрудников подразделения назначать, если Банк маленький? Начальников подразделений?
                        Чем больше связей, тем меньше степеней свободы.

                        Комментарий


                        • #13
                          Сообщение от Чернушка Посмотреть сообщение
                          Но, есть вопрос - кого из числа сотрудников подразделения назначать, если Банк маленький? Начальников подразделений?
                          )) Это самое веселое занятие))) - у меня такие же проблемы- банк еще меньше, есть "подразделения" из 1-2 х человек)))- но решение есть-
                          1 - выделяете "технологические" участки в рамках которых объединяете несколько подразделений))
                          Мы продолжаем делать то, что мы уже много наделали

                          Комментарий


                          • #14
                            George-on-Don, и, если не секрет, чем эти АИБ в подразделениях реально занимаются? Правда проверяют права доступа? Или даже раздают их?
                            Чем больше связей, тем меньше степеней свободы.

                            Комментарий


                            • #15
                              Сообщение от Чернушка Посмотреть сообщение
                              George-on-Don, и, если не секрет, чем эти АИБ в подразделениях реально занимаются? Правда проверяют права доступа? Или даже раздают их?
                              1.Они занимаются "бумажным"-первичным оформлением доступа (изменением доступа) сотрудников подразделения(технологического участка).Раздают права руководители, а оформление и согласование - это ответственные за ИБ в подразделении.
                              2 Контролируют ежедневно целостность стикеров(наклеек) на СВТ(ПЭВМ) подразделения
                              3Отвечают за использование и хранение ключевого материала(ЭЦП) сотрудников подразделения.
                              4.Контролируют своевременное офорлемние(переофорлмение) паспортов СВТ(ПЭВМ) при ремонте-переустановке ПО, и тд.
                              5.Определяюь перечень информационных активов подразделения, ведут списки лиц(сотрудников) подразделения доупщенных к этим Активам
                              6 Проводят совместно с ИБ категорирование активов подразеделия
                              7. Ведут(контролируют) журналы внештатных ситуаций(рисков-событий ИБ)
                              и тд. - короче много чего они могут делать))) полезного))
                              Мы продолжаем делать то, что мы уже много наделали

                              Комментарий


                              • #16
                                George-on-Don, спасибо! Т.е. институт не самый бесполезный?
                                Чем больше связей, тем меньше степеней свободы.

                                Комментарий


                                • #17
                                  Сообщение от Чернушка Посмотреть сообщение
                                  George-on-Don, спасибо! Т.е. институт не самый бесполезный?
                                  - нет конечно- это отвечает требованиям "каждый ИА должен иметь своего владельца", "доступ к активам должен контролироваться владельцем" и тд. и в результате мы либо должны в каждое подразделение поместить выделенного сотрудника ИБ или эти функции ложатся на подразделения)). К примеру в Сбере этот институт ответственных за ИБ подраздедения вводился еще в 1998-1999 годах - и действует очень удачно и эффективно)))- к тому же действует и до сих пор, никто и не думает его менять))
                                  Мы продолжаем делать то, что мы уже много наделали

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Надо просто принять за факт, что ИБ = отдел ИБ. И все. Тогда все замечательно решается. Эксплуатация ИБ ложится на выделеных людей в ДИТ. А на отдел ИБ ложится функция GRC (Governance, Risk & Compliance). Он выполняет функцию контроля в этом случае.
                                    Да, именно так у нас и сделано, и другого варианта я просто не вижу.

                                    Комментарий


                                    • #19
                                      George-on-Don, т.е. вы АИБами назначили владельцев ИА?
                                      Чем больше связей, тем меньше степеней свободы.

                                      Комментарий


                                      • #20
                                        Сообщение от Чернушка Посмотреть сообщение
                                        George-on-Don, т.е. вы АИБами назначили владельцев ИА?
                                        - тут все завязано на методику категорирования - согласно которой мы и определяем что кому принадлежит )) - если актив "принадлежит" подразделению -то подразделение и будет "владельцем" актива, а в подразделении персональная ответственность уже ложится на ответственного за ИБ подразделения( и лицо его замещающее)
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #21
                                          George-on-Don, ага. Т.е. у вас есть роль - ответственный за ИБ в подразделении. И так в каждом подразделении? Или в маленьких, как вы писали выше, нет?
                                          Чем больше связей, тем меньше степеней свободы.

                                          Комментарий


                                          • #22
                                            Сообщение от box_roller Посмотреть сообщение
                                            А разница есть. Если есть смысл и цели, то это не "глупость", как вы написали. Всякому слову есть свое место.
                                            Формалист Хорошо, "... я субъективно считаю откровненной глупостью". Причины:
                                            1. Такое разделение не приводит к достижению заявленной цели (разделению ответственности).
                                            2. В десятке организаций, в которых я проводил аудит ИБ, подобное рахделение на практике не работало.

                                            Сообщение от box_roller Посмотреть сообщение
                                            Алексей привел пример: "И кто будет виноват, если сеть встанет?". Допустим, она встала. Причина локализована - это МСЭ. Допустим - некорректные настройки. Кто виноват? Требования для МСЭ разработаны в ИБ. Далее они согласованы с IT, где они были признаны корректными и не нарушающими доступность сетевых сервисов (проверили на стенде - всё ok). Администратор IT настраивает МСЭ, согласно требованиям ИБ. После, администратор ИБ проверяет работу администратора IT на соответствие предъявленным требованиям. Требования ИБ выполнены - ok.
                                            И кто в данном случае будет признан виноватым?
                                            Оба плюс менеджер ИБ, разработавший этот процесс. Отдел ИТ - потому что в стенде (тестовая система) есть отличия от продуктивной системы. Отдел ИБ - потому что по результатам его контроля тестовая система была признана пригодной для тестирования, а это не так. Менеджер ИБ - потому что процедура переноса настроек не предуматривала мониторинг и откат к предыдущему состоянию.

                                            Кроме того, ответственность и виновность - это разные понятия. Если сеть встала через достаточно длительное время после переноса, то искать виноватых бессмысленно. Нормальный инцидент ИБ.

                                            Сообщение от box_roller Посмотреть сообщение
                                            И обратная ситуация в той же сети. Есть в ней некий маршрутизатор дающий доступ к важному ресурсу. Админит его уже администратор ИБ, а требования по доступности к ресурсу относительно данного устройства, предъявляет уже IT. И IT же мониторит их выполнение, хотя права доступа раздает ИБ. Вот ответственность и разделилась. А зачем это все так разделено? Ответ: Это требование бизнеса. И бизнесом же, данное разделение признано целесообразным. Возможно, после некого инцидента, имевшего место быть.
                                            Обычно требование бизнеса формулируется очень просто - любые действия в системе, свяазнные с риском (не только ИБ), должны контролироваться. Разделение функций ИТ и ИБ - это реализация данного требования, которая, по идее, должна решать эту задачу. Но раздалять функции можно по-разному. Тот вариант, который изложен в стандарте ЦБ (разделение функций технического администрирования) поставленную задачу не решает. В вашем же примере действия администраторов ИБ не контролируются (кто сказал, что они не настроили лишнего?). Кроме того, само по себе разделение технического администрирования содержит системную ошибку - ни одно из служб не котролирует систему целиком, только отдельные ее кусочки.

                                            В том варианте, который описывает Алексей (и который реализован у нас) у ИБ нет функций технического администрирования, зато есть функция контроля и право в любой момент без предварительного уведомления проверить, соответствуют ли текущие настройки железа и софта тем, которые были согласованы с ИБ. На мой взгляд, это вполне решает поставленную бизнесом задачу.

                                            Комментарий


                                            • #23
                                              )у нас есть технологические участки- иногда ТУ и подразделение могут совпадать(например операционный отдел), а иногда в одном ТУ несколько подразделений(например руководство- несколько человек= один ТУ), а иногда в одном подразделении несколько ТУ- если подразделение большое но территориально находится в разных местах (например вклады- доп офисы, ОКВКУ, операционный отдел по работе с физлицами- все это несколько разных ТУ).
                                              Самое главное - это то что ответственный за ИБ должен находиться в непосредственной близи "к активу" т.е. в одном с ним помещении(в комнате).- иначе любой "контроль" будет фикцией)))
                                              Мы продолжаем делать то, что мы уже много наделали

                                              Комментарий


                                              • #24
                                                Сообщение от malotavr Посмотреть сообщение
                                                Формалист Хорошо, "... я субъективно считаю откровненной глупостью".
                                                "субъективно" - согласен

                                                У нас с Вами разный подход и виденье данной ситуации. Наверное это оттого, что в ИБ пришли разными путями . Приведенные аргументы для меня таковыми не оказались.

                                                ps А можно разложить так, что разделения прав администрирования и ответственности между подразделениями и не понадобится
                                                Подобные вопросы возникают при функциональной и матричной форме оргструктуры предприятия. При проектной оргструктуре данная проблема стоять (и даже лежать поблизости) не будет.

                                                Комментарий


                                                • #25
                                                  Сообщение от box_roller Посмотреть сообщение
                                                  Всё верно и красиво написано. Хороший шаблон
                                                  Как вы считаете, при реализации ИБ в организации стоит воспользоваться данным шаблоном или сначала изучить конкретную организацию и потом, индивидуально, под неё, разработать и реализовать ту ИБ, которая идеально подойдет для выполнения её бизнес-задач?
                                                  Стоит воспользоваться, конечно. Это то, к чему пришли на Западе после различных сценариев разделения и подчиненности ИТ и ИБ. Разумеется, это не догма, но зерно и не малое здравого смысла в этом есть. А когда два подразделения начинают перетягивать одеяло на себя и заниматься несвойственными им функциям, это уже никак не помогает бизнес-задачам.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    Стоит воспользоваться, конечно. Это то, к чему пришли на Западе после различных сценариев разделения и подчиненности ИТ и ИБ. Разумеется, это не догма, но зерно и не малое здравого смысла в этом есть. А когда два подразделения начинают перетягивать одеяло на себя и заниматься несвойственными им функциям, это уже никак не помогает бизнес-задачам.
                                                    Если это не догма, а всего лишь одно из возможных решений, то к чему тогда хаять другие решения? По вашему выходит, что так всё будет работать идеально, а по другому вкривь и в кось . Перетягивание одеяла, характеризует личностные характеристики конкретных людей, а не тот или иной выбранный сценарий.

                                                    И даже если существует статистика, что в 100-а организациях один сценарий работает лучше, а другой хуже, то это ни о чем ещё не говорит. Рынок ИБ молод и не устоялся. Люди только учатся работать. А статистика переходного периода будет интересна только историкам

                                                    Комментарий


                                                    • #27
                                                      Сообщение от box_roller Посмотреть сообщение
                                                      Если это не догма, а всего лишь одно из возможных решений, то к чему тогда хаять другие решения? По вашему выходит, что так всё будет работать идеально, а по другому вкривь и в кось . Перетягивание одеяла, характеризует личностные характеристики конкретных людей, а не тот или иной выбранный сценарий.
                                                      Догм вообще не существует - все придумано человеком и им же замечательно обходится. ISO, ITIL, COBIT - тоже не догма, но не высосано не из пальца и взято не с потолка. Эти рекомендации и стандарты позволяют унифицировать ряд процедур и выстроить процессы так, чтоюы не зависеть от личностных качеств отдельных людей. Сегодня он есть, а завтра уволился и все пошло крахом, т.к. зависело от одного человека. Поэтому и появляются различные best practices.

                                                      Тот же Питер на основании многолетних наблюдений сделал вывод, что работоспособсность и живучесть хорошей системы на 80% зависит от эффективных процессов и на 20% - от человеческого фактора. Классический принцип Парето. Разделение ответственности и вынесение ИБ за пределы ИТ - это из этой оперы. Разумеется, если мы думает о развитии бизнеса своей компании (которая будет существовать и после нашего ухода из нее), а не о сиюминутном решении тех или иныхзадач.

                                                      Я не хаю все, что не соответствует этой практике. Я просто сам видел к чему это приводит (в долгосрочной перспективе) в России и знаю к чему это приводит зарубежом. Можно учиться на своих ошибках, а можно их не повторять, учась на ошибках других.

                                                      Комментарий


                                                      • #28
                                                        Собственно, мои 5 копеек:
                                                        Если админ ИБ нужен для "галочки" - то вполне сгодится и "бывший", обладающий хотя бы базовыми знаниями в сфере IT...

                                                        В идеале лично я вижу команду из 3-х человек:
                                                        "технарь"(бывший IT с опытом, практическими навыками и умениями)
                                                        "писатель-мыслитель" (аналитик, хорошо знающий английский и умеющий грамотно выражать мысли на бумаге)
                                                        "стратег-оценщик"(менеджер, "рисковик", способный оценивать процессы ИБ и интегрировать их в схему бизнеса).
                                                        Как вариант - 2 человека: функции последних двоих выполняет один...
                                                        malotavr
                                                        Во-первых - благодарю за лестное мнение , во-вторых, imho, неважно какой именно профильный ВУЗ заканчивал кандидат ("дубов" хватает везде), главное - чтобы он хотел и умел самообразовываться не только в процессе непосредственного обучения...
                                                        Всё в наших руках...(с)

                                                        Комментарий


                                                        • #29
                                                          )На досуге в эти выходные еще раз перечел ИСО 13335-1-2007 - там в п 5.1.3 написано об администраторах ИБ и о том какие функции админа ИБ можно делегировать в подразделения). Так что рекомендую.
                                                          Мы продолжаем делать то, что мы уже много наделали

                                                          Комментарий


                                                          • #30
                                                            Пух575 Довольно неплохо разработанный, а главное действующий институт АИБов Вам пришлось укоротить до "В идеале лично я вижу команду из 3-х человек". Интересно, но как-то очень скромно... Может это и вариант, но здесь указана команда только верхнего уровня АИБ (к сожалению очень непросто найти хороших специалистов под эту тему. Мне так вообще одному на этом уровне приходиться крутиться ), а ведь нужен еще обязательный исполнительный уровень (и желательно не один, в зависимости от размеров банка), ради чего все и затевалось! (см.выше 8.2.8.9. и 8.2.9.5.) А может мы об одном и том же говорим, только в терминологии "Администратор ИБ" непонятки возникают? Давайте придерживаться стандарта...

                                                            Маленькое примечание:
                                                            Институт АИБов внедрен в подразделениях ЦБ уже достаточно давно, так что практически в любой проверяющей группе найдется хотя бы один хорошо ориентирующийся в этом вопросе человек.
                                                            Так что пишите не затягивая внутреннюю нормативку (положение по администраторам ИБ, инструкции для АИБ различного уровня, внесение ролей АИБ в имеющиеся внутренние документы, etc), тем более, что ЦБ эту тему уже начинает потихоньку запрашивать (см. БЭСП).
                                                            Последний раз редактировалось Ichiro; 15.01.2008, 01:35.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X