20 сентября, четверг 09:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Идеальный и реальный Департамент Информационной Безопасности

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Идеальный и реальный Департамент Информационной Безопасности

    Часто на семинарах, можно услышать разные разговоры о составе подразделения занимающегося Информационной безопасностью.
    Некоторые товарищи утверждают, что если численность подразделения менее 3х специалистов, то ничего путного не получиться и т.д.
    На ваш взгляд, какая структура идеального подразделения и сколько в ней должно быть специалистов?
    6
    1-2 специалиста
    16.67%
    1
    3 специалиста должны справиться
    16.67%
    1
    Не менее 5
    50.00%
    3
    Аналогично штату ИТ
    16.67%
    1

  • #2
    1. Лидер по технической защите
    2. Лидер по управлению знаниями и повышению осведомленности
    3. Лидер по тестированию
    4. Лидер по аудиту
    5. Лидер по стандартам, политикам и процедурам
    6. Лидер по физической безопасности
    7. Лидер по реагированию на инциденты
    8. Лидер по персоналу и операциям ИБ
    9. Лидер по управлению рисками, юридическим вопросам, соответствию требованиям и расследованиям
    10. Менеджер по финансовым вопросам
    11. Менеджер по взаимодействию с ИТ
    12. Менеджер внутренней безопасности
    13. Менеджер по взаимодействию с бизнесом
    14. CISO

    Комментарий


    • #3
      barmalei
      Нужен ещё один вариант ответа - зависит от величины банка(компании, холдинга etc.)...
      Алексей Лукацкий
      Если Вам не сложно - детализируйте, пожалуйста (буквально в одно-два предложения) область деятельности каждого лица из списка.
      Просто лично мне по тому списку, что Вы привели, кажется, что некоторые позиции можно совместить, а некоторые, наоборот поделить...например: 2,3 и 5 - вполне объединяемы, 6 - я бы скорее отнёс к собственно СБ, 9 - поделил бы на две части:
      лидер по управлению рисками и
      лидер по юридическим вопросам, соответствию требованиям и расследованиям
      Всё в наших руках...(с)

      Комментарий


      • #4
        1. Лидер по технической защите. Отвечает за технические средства защиты, продукты и т.п.
        2. Лидер по управлению знаниями и повышению осведомленности. Отвечает за повышение осведомленности персонала в области ИБ.
        3. Лидер по тестированию. Penetration test, тестирование собственных разработок на предмет безопасности и т.п.
        4. Лидер по аудиту. Отвечает за аудит безопасности. Регулярное проведение. Исполнение рекомендаций по итогам аудита.
        5. Лидер по стандартам, политикам и процедурам. Тут тоже все ясно. Кто-то должен все это писать, обновлять, соотносить с другими политиками компании и т.д.
        6. Лидер по физической безопасности. Если вспомнить, что и в CISSP и в 27001 вопросам физической безопасности уделено по одному разделу, то вопрос не праздный. Отдавать в СБ надо реализацию мероприятий, а их контроль, выработку рекомендаций надо оставлять у себя. Хотя можно слить и с другой ролью.
        7. Лидер по реагированию на инциденты. Тут все понятно.
        8. Лидер по персоналу и операциям ИБ. Security Operations
        9. Лидер по управлению рисками, юридическим вопросам, соответствию требованиям и расследованиям. Соответствие всяческим требованиям, стандартам, законам...
        10. Менеджер по финансовым вопросам. Обоснование денег, ведение и контроль договоров службы ИБ...
        11. Менеджер по взаимодействию с ИТ. Все зависит от подчиненности ИБ. Может и не понадобится или размазать по другим ролям.
        12. Менеджер внутренней безопасности. Может и излишне, но я такое встречал. Все-таки засланные казачки могут встречаться и внутри ИБ ;-(
        13. Менеджер по взаимодействию с бизнесом. Это мы уже обсуждали. Чтобы говорить на одном с бизнесом языке нужен такой человек.
        14. CISO. Руководит всеми и общается с CxO

        Комментарий


        • #5
          Пух575 9 - поделил бы на две части:

          Можно в принципе, но все зависит от понимания рисков ИБ в компании и наличия нормальной службы внутреннего контроля или управления рисками. Многие функции она на себя возьмет.

          Комментарий


          • #6
            Алексей Лукацкий
            Спасибо.Ознакомился, основные идеи "уловил"...
            Но всё таки получается, что Ваш список это - "идеальный" расклад, своего рода "предел", к которому надо стремиться, поэтому любопытно узнать - лично Вам известны российские компании(банки,etc.), где структура подразделения ИБ наиболее близка к Вами приведённой или даже полностью ей соответствует?
            Всё в наших руках...(с)

            Комментарий


            • #7
              Ну и тема "Идеальный департамент ИБ" ;-) Есть как минимум одна такая компания в России - Вымпелком ;-)

              Комментарий


              • #8
                Алексей Лукацкий
                Тогда должен заметить, что подобная структура подразделения ИБ на практике оправдывает себя "на все 100" - баз номеров абонентов "Билайна" в розничной продаже мне пока ещё не попадалось
                Всё в наших руках...(с)

                Комментарий


                • #9
                  4. Лидер по аудиту. Отвечает за аудит безопасности. Регулярное проведение. Исполнение рекомендаций по итогам аудита. А нет ли в этом случае риска "сокрытия" недостатков ИБ ?
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    4. Лидер по аудиту. Отвечает за аудит безопасности. Регулярное проведение. Исполнение рекомендаций по итогам аудита. А нет ли в этом случае риска "сокрытия" недостатков ИБ ?
                    Ну этот "лидер по аудиту" может не проводить аудиты, а организовывать их и оказывать содействие - а проводить могут как внешние аудиторы, так и, например, какой-нибудь СВК.

                    Комментарий


                    • #11
                      George-on-Don
                      Так вот за этим и нужен
                      12. Менеджер внутренней безопасности. Может и излишне, но я такое встречал. Все-таки засланные казачки могут встречаться и внутри ИБ
                      Всё в наших руках...(с)

                      Комментарий


                      • #12
                        Сообщение от Пух575 Посмотреть сообщение
                        George-on-Don
                        Так вот за этим и нужен
                        12. Менеджер внутренней безопасности. Может и излишне, но я такое встречал. Все-таки засланные казачки могут встречаться и внутри ИБ
                        Менеджер Внутренней безоп.. - это скорее работа с людьми, а тут другое - допустим аудитор ИБ - нашел принципиальные пробелы в системе - которую уже потрачено куча средств и сил- и надежность которой была обоснована допустим самим CISO.... и что тогда?))Нет "засланных казачков"- все свои в доску... а проблема есть- классический конфликт интересов)))
                        Последний раз редактировалось George-on-Don; 27.03.2008, 18:39.
                        Мы продолжаем делать то, что мы уже много наделали

                        Комментарий


                        • #13
                          Алексей Лукацкий Кругом одни лидеры!
                          А работу-то кто будет работать? На каждого лидера ещё пяток исполнителей? Взять к примеру техническую защиту.

                          Комментарий


                          • #14
                            Конечно то что описал г-н Лукацкий это (к сожалению) только наше светлое будующее. Даже не делая поправку на размер банка.
                            С другой стороны, многие описаные роли можно спокойно совместить.
                            Тот же CISO обычно занимается и бюджетом (не такой же он большой по сравнению с бюджетом IT). Конечно должен быть специалист по регламентам, который не только понимает что должно быть, но и умеет описать это понятным для большинства пользователей языком. Нужны спецы по администрированию средств защиты и монитригу за всякими нехорошими событиями. Надо обучать персонал.
                            Много чего нужно, а народу как всегда не хватает.
                            Может интереснее было назвать тему (и обсудить) не идеальный Департамент ИБ, а реальный. Какие (минимум) спецы должны быть, какое количество сотрудников ИБ должно быть, пропрционально (к примеру)к числу пользователей или числу сотрудников IT. Т.е. в обсуждениях больше приблизится к реалиям, к земле.

                            Комментарий


                            • #15
                              ИМХО идеальной модели департамента ИБ не существует в принципе. Слишком все разные. Перефразируя известную поговорку "Что Вымпелкому - хорошо,то Урюпинсктелекому - смерть."
                              На мой взгляд необходимо
                              а) определить процессы ИБ, которые реализованы или хотим реализовать
                              б) в каждом процессе определить роли, посредством которых данные процессы осуществляются
                              в) для каждой роли описать круг обязанностей, необходимые знания, навыки и личные качества
                              г) исходя из последнего определить, какие роли могут быть объединены в рамках одной штатной единицы, а какие могу выполняться только разными людьми
                              д) исходя из текущей загруженности персонала и плана ИБ на текущий/следующий год определить количество штатных единиц и распределение между ними ролей
                              е) придумать каждому подходящее название должности

                              Комментарий


                              • #16
                                Каков минимальный штат Департамента Информационной Безопасности, в зависимости от размеров предприятия?
                                В каких пропорциях должен быть ДИБ к числу пользователей или числу сотрудников IT?
                                Какие специалисты должны быть обязательно, в минимальной комплектации, в зависимости от размеров предприятия?
                                Какие заработные ожидания у специалистов в зависимости от должности и размеров предприятия?
                                Какие роли могут быть совмещены и какие роли удачнее совмещаются в одном специалисте?

                                1. Лидер по технической защите
                                2. Лидер по управлению знаниями и повышению осведомленности
                                3. Лидер по тестированию
                                4. Лидер по аудиту
                                5. Лидер по стандартам, политикам и процедурам
                                6. Лидер по физической безопасности
                                7. Лидер по реагированию на инциденты
                                8. Лидер по персоналу и операциям ИБ
                                9. Лидер по управлению рисками, юридическим вопросам, соответствию требованиям и расследованиям
                                10. Менеджер по финансовым вопросам
                                11. Менеджер по взаимодействию с ИТ
                                12. Менеджер внутренней безопасности
                                13. Менеджер по взаимодействию с бизнесом
                                14. CISO

                                Комментарий


                                • #17
                                  to dlipper
                                  С пункта б) по е) - мне всё нравится. Особенно креатив в пункте е)

                                  имхо
                                  А вот: а) определить процессы ИБ, которые реализованы или хотим реализовать - как то из общего строя выбивается.

                                  Список процессов ИБ определен и конечен. Он содержит как основные процессы, так и вспомогательные.
                                  Основные - те, без которых никуда. Например: управление инцидентами (Лидер по реагированию на инциденты).
                                  Вспомогательные - те, которые могут быть, а могут и не быть. В зависимости от требований бизнеса. Например: собственная безопасность (Менеджер внутренней безопасности).

                                  То есть сначала нужно выяснить бизнес цели организации, а на их основе сформировать (выбрать) набор вспомогательных процессов и добавить их к основным.

                                  Комментарий


                                  • #18
                                    Полностью согласен с box_roller:
                                    То есть сначала нужно выяснить бизнес цели организации, а на их основе сформировать (выбрать) набор вспомогательных процессов и добавить их к основным.
                                    Другое дело, что роли 6,9,10,12 частенько выносят за компетенцию Информационной Безопасности.

                                    Комментарий


                                    • #19
                                      Сообщение от barmalei Посмотреть сообщение
                                      Каков минимальный штат Департамента Информационной Безопасности, в зависимости от размеров предприятия?
                                      Давйте считать. Как ни крути, есть 4 направления деятельности: а) организация и планирование, б) внедрение мер и средств защиты, в) эксплуатация, г) контроль и аудит.

                                      а), б) и в) требуют принципиально разных знаний, навыков и склада характера: из хорошего инженера не получится управленец, а системный архитектор скорее удавится, чем будет эксплуатировать то, что создал а) и б) можно было бы совместить, но это - конфликт интересов. Для в) нужно минимум два человека. Итого - меньше 5 человек быть не может.

                                      Сообщение от barmalei Посмотреть сообщение
                                      Какие роли могут быть совмещены и какие роли удачнее совмещаются в одном специалисте?
                                      а)
                                      10. Менеджер по финансовым вопросам
                                      11. Менеджер по взаимодействию с ИТ
                                      12. Менеджер внутренней безопасности
                                      13. Менеджер по взаимодействию с бизнесом
                                      14. CISO

                                      В минимальной комплектации все это совмещается в одном лице, но тогда у него должен быть зам. Итого - минимум два человека.

                                      б)
                                      1а. Лидер по технической защите (эксперт, который предлагает/оценивает технические решения)
                                      2. Лидер по управлению знаниями и повышению осведомленности (при условии, что самим обучением занимается тренинговое подразделение)
                                      5. Лидер по стандартам, политикам и процедурам
                                      9а. Лидер по управлению рисками, юридическим вопросам, соответствию требованиям

                                      В принципе, можно совместить в одном человеке, но это должен быть очеь разносторонний сспециалист.

                                      в)
                                      1б. Лидер по технической защите (человек, который рулит эксплуатацией средств защиты)
                                      7. Лидер по реагированию на инциденты
                                      8. Лидер по персоналу и операциям ИБ
                                      6. Лидер по физической безопасности
                                      9б. Лидер по расследованиям

                                      Последние два не совмещаются с первыми тремя, в идеале они должны быть в СБ. Расследования и охрана - разная специализация, хорошего универсала не так просто найти, и он должен быть продублирован. Первых троих в принципе, можно совместить. Итого - три человека. Админов, которые крутят ручки на средствах защиты можете приплючовать самостоятельно.

                                      г)
                                      3. Лидер по тестированию
                                      4. Лидер по аудиту

                                      Не совмещается: первый = технический специалист, второй - специалист по процессам.

                                      Итого - 9 человек, и это минимум. Его можно сократить, но тогда потеряем часть функий ИБ. Пукнты 3, 4, 6 и 9б обычно в штат отдела ИБ не входят.

                                      Сообщение от barmalei Посмотреть сообщение
                                      В каких пропорциях должен быть ДИБ к числу пользователей или числу сотрудников IT?
                                      Зависит от внутренней организации. Если бы у меня были эти 9 человек, при нашей организацией спокойно могли бы не напрягаясь рулить структурой из 100 - 150 отделений (это около 2000 человек).

                                      Сообщение от barmalei Посмотреть сообщение
                                      Какие специалисты должны быть обязательно, в минимальной комплектации, в зависимости от размеров предприятия?
                                      Некорректный вопрос. Исключить одну из ролей - это отказаться от части функций ИБ. Ответ, соответственно, зависит от готовности бизнеса от этих функций отказаться.

                                      Сообщение от barmalei Посмотреть сообщение
                                      Какие заработные ожидания у специалистов в зависимости от должности и размеров предприятия?
                                      Без комментариев

                                      Комментарий


                                      • #20
                                        Сообщение от sunny Посмотреть сообщение
                                        Алексей Лукацкий Кругом одни лидеры!
                                        А работу-то кто будет работать? На каждого лидера ещё пяток исполнителей? Взять к примеру техническую защиту.
                                        Лидер, не значит начальник ;-) Лидер значит главный за направление. Он и один может быть ;-)

                                        Комментарий


                                        • #21
                                          Я еще забыл одного человека, кстати. Ассистент(ка)! Важный человек. Особенно в крупном подразделении по ИБ.

                                          Комментарий


                                          • #22
                                            Часть ролей можно аутсорсить (про наличие их у аутсорсера пока молчу) - лидер по управлению знаниями и повышению осведомленности, лидер по тестированию, лидер по аудиту, лидер по политикам, процедурам и стандартам, лидер по персоналу и операциям.

                                            На этапе запуска программы ИБ эти роли можно аутсорсить, но со временем лучше вырастить своих лидеров.

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Лидер, не значит начальник ;-) Лидер значит главный за направление. Он и один может быть ;-)
                                              Н-да? Один Лидер на всю техническую защиту? У меня по одной криптографии не меньше двух спецов получается.

                                              Комментарий


                                              • #24
                                                лидер по этому направлению, по тому...
                                                "если ваш специалист не справляется, ищите другого специалиста". селяви...

                                                Комментарий


                                                • #25
                                                  Коллеги, кому-нибудь попадались на глаза западные исследования (например Gartner, Forrester, IDC и проч) на предмет количества сотрудников в департаменте ИБ, соотношения их с кол-вом ИТ-шников и общим количеством сотрудников банка?

                                                  Комментарий


                                                  • #26
                                                    Сообщение от dlipper Посмотреть сообщение
                                                    Коллеги, кому-нибудь попадались на глаза западные исследования (например Gartner, Forrester, IDC и проч) на предмет количества сотрудников в департаменте ИБ, соотношения их с кол-вом ИТ-шников и общим количеством сотрудников банка?
                                                    Нет таких. И быть не может.

                                                    Комментарий

                                                    Пользователи, просматривающие эту тему

                                                    Свернуть

                                                    Присутствует 1. Участников: 0, гостей: 1.

                                                    Обработка...
                                                    X