24 октября, среда 06:46
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Взаимодействие ИБ с ИТ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Взаимодействие ИБ с ИТ

    Уважаемые предлагаю в этом топике обсудить проблемы общения отдела ИБ с отделом ИТ.
    Часто интересы ИБ и ИТ пересекаются и требуется находить общий язык.
    Интересно послушать мнение специалистов ИБ, о том как находить общий язык с ИТ, если они не очень заинтересованы в этом. Если они не охотно идут на сотрудничество или вообще отказываются сотрудничать.

  • #2
    На собственном опыте убедился- пока нет четкого регламента взаимодействия ИТ и ИБ(кто что делает, кто за что отвечает и т.д.) - будут проблемы, вплоть до выяснения КТО КОГО должен контролировать и ограничивать)))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      будут проблемы, вплоть до выяснения КТО КОГО должен контролировать и ограничивать)))
      +1

      Комментарий


      • #4
        )спасибо -долетел с "ветерком" и даже вино наливали)))
        В вопросы взаимодейтвия с ИТ у меня "размазаны" по всем внутренним документам по ИБ - В Политике, в различных регламентах и тд. Одного документа в котором бы было четко прописано взимодействие ИТ с бизнес-подразделениями и с ИБ пока нет((((
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          Соглашусь с Джорджем: именно официальный порядок взаимодействия и раздел сфер ответственности должен быть определён "большими отцами" (ТОПами) и зафиксирован документально.
          Если же говорить о неофициальном - то тут надо смотреть в каждом конкретном случае: например, каковы отношения между CIO и CISO (если говорить буржуазной терминологией), каков уровень квалификации сотрудников подразделения ИБ именно в ИТ-шных вопросах, да даже от характеров конкретных людей всё зависит.
          У нас как такового отдельного подразделения ИБ со своим CISO пока нет, поэтому вопросы с ИТ решаются либо на уровне личного общения сотрудников и руководителей, либо (что на моей памяти было только один раз) "административным" методом, "по цепочке": через руководителя СБ(CSO) к ТОПам и от них уже - в ИТ(CIO)...
          Но перспектива выделения ИБ в отдельное самостоятельное подразделение всё же хде-то там, далеко-далеко, проглядывается...
          Всё в наших руках...(с)

          Комментарий


          • #6
            Сообщение от Пух575 Посмотреть сообщение
            Соглашусь с Джорджем: именно официальный порядок взаимодействия и раздел сфер ответственности должен быть определён "большими отцами" (ТОПами) и зафиксирован документально.
            Знаете, у меня давно зреет мысль о том как следует разводить зоны ответственности ИБ и ИТ.
            По-моему, так.
            ИБ отвечает за КОНФИДЕНЦИАЛЬНЫЕ документы. За доступ к ним, сохранность, чтоб их нельзя было вынести или напечатать. Для этого ИБ использует специальные программы типа моего любимого сикрет-нета.
            ИТ на конфиденциальные документы будет на... безразлично, короче.

            В свою очередь, за безопасность СЕТИ, включая настройти файрволла и антивируса отвечает ИТ, поскольку любого администратора обучают вопросам безопасности, а уж антивирус установить большого ума не надо.

            ИБ может, конечно, иногда проверять как чего обновляется, но по большому счету постоянные проверки приведут лишь к конфликтам.

            Я не претендую на универсальность своего подхода, просто вспоминаю свою бытность сетевым админом и как я придумывал способы (а их много!) послать подальше сотрудников ИБ с их идиотскими придирками.

            Комментарий


            • #7
              Сообщение от Berrimor Посмотреть сообщение
              ....
              Из того что видел - ни к чему хорошему, это не приходило.

              Комментарий


              • #8
                Мне кажется ИТ должно отвечать за внешнюю безопасность (естественно, при праве ИБ на контроль), а ИБ должно больше внимания уделять внутренним угрозам. Тем более, как пишут различные профильные и непрофильные издания (и на мой взгляд это правильно)внутренние угрозы несут больший риск.
                А договорится с ИТ о сферах ответственности можно.

                Комментарий


                • #9
                  ИМХО конечно разграничение сферы деятельности ИТ и ИБ описывается (по факту) во многих местах- это и положения об отделах (управлениях, департаментах и тд), это и в политках по ИБ(в глобальной, и в частных) это и в соглашениях об уровнях сервиса (SLA), это и в должностных обязанностях сотрудников. Причем основной "камень" лежит именно в том что ИТ -как структура отвечает в основном на непрерывность процессов и иногда!! за целостность но решая эти вопросы, конфиденциальность,как правило,совсем не учитывается (т.к. это не сфера деятельности ИТ). Информационная безопастность - отвечает за конфиденциальность (и иногда с точки зрения ИТ- в ущерб непрывности), но ИБ так же отвечает и за непрерывность и за целостность - как видите - есть пересекающиеся сферы.- здесь и происходят всякие "накладки" и "трения".
                  ИМХО на сегодня- по факту- я затруднюсь, как можно разделить действия айИТишного сисадмина-который администрирует AD -от
                  действий которые должнен делать администратор безопасности- т.к. любая настройка в групповой политике это обязательно вопрос безопасности, но может-быть и непрерывности (если будут какие-нибудь конфликты с действующим ПО ит.д). Иначе говоря- сейчас для меня "загадка" в штате какого подразделения должны быть -допустим администраторы AD,администраторы МЭ (там где нет возможности настроить работу в "две руки"- как это описано в СТО БР ИББС)- действия которых напрямую касаются настроек этих объектов а значит реализация(или игнорирование) мер безопасности?
                  Мы продолжаем делать то, что мы уже много наделали

                  Комментарий


                  • #10
                    George-on-Don, интересно, мне очень близка Ваша точка зрения.
                    Тут есть еще два обстоятельства.

                    Первое. Программы, операционки, приложения очень быстро меняются и чтобы быть в курсе всех изменений, которые касаются и настроек безопасности, сотрудник должен быть постоянно в курсе, должен учиться, тренироваться, РАБОТАТЬ с теми приложениями, за которые отвечает. Ну скажите на милость, КАК сотрудник ИБ, который не работает постоянно с тем же межсетевым экраном (если настройки и установку его осуществляет ИТ) может что-то контролировать? Он тогда будет вынужден постоянно обращаться с вопросами с сисадмину, и получится, что тот кто контролирует знает меньше того, кого надо контролировать! Ну? И кому это надо? Абсурд!

                    Второе. Если сотрудник ИБ не работает с конечными пользователями, откуда он может знать кто что использует, какие права необходимы отдельным пользователям, какие порты надо открыть на файрволле? А если он что-то по глупости запретит, к кому бежать этим же самым пользователям? К безопаснику? К сисадмину? Мне кажется, это создаст больше проблем, чем решит их.
                    Вообще, несмотря на многие рекомендации, мне кажется, что сотрудник ИБ должен входить в ИТ, а вот проверки того, как реализуются разные инструкции (в том числе и ЦБшние) может осуществлять внутренний аудит.

                    Сообщение от George-on-Don Посмотреть сообщение
                    ИМХО на сегодня- по факту- я затруднюсь, как можно разделить действия айИТишного сисадмина-который администрирует AD -от
                    действий которые должнен делать администратор безопасности- т.к. любая настройка в групповой политике это обязательно вопрос безопасности
                    Вот-вот. Честно говоря, я не понимаю, почему сисадмин не в состоянии сам все нормально настроить, почему за ним кто-то должен наблюдать и контролировать. Вы же не стоите за спиной дилеров, которые, как показывает зарубежный опыт, могут совершенно спокойно разорить целый банк!

                    Комментарий


                    • #11
                      Вот-вот. Честно говоря, я не понимаю, почему сисадмин не в состоянии сам все нормально настроить, почему за ним кто-то должен наблюдать и контролировать.
                      - я тоже не понимаю)) но есть опыт реального общения )))- и по факту почему то получается так что - сисаДмины "оптимизиурют" свои действия, не делая все, что им -по их мнению мешает работать, почему то с точки зрения сисадмина- нормально настроено- это все по-умолчанию.
                      Мы продолжаем делать то, что мы уже много наделали

                      Комментарий


                      • #12
                        Berrimor
                        То, о чём Вы говорите, зависит от квалификации сотрудника подразделения ИБ (тут можно вернуться к этой и этой темам), опять же - лично я с трудом представляю сотрудника ИБ, не имеющего представления о "подопечных" пользователях.
                        Кстати, в большинстве тех организаций, где подразделение ИБ существует и функционирует в качестве отдельного, к его компетенции относится в т.ч. вопрос рассмотрения и визирования заявок от руководителей бизнес-подразделений на "нарезку" прав пользователям.Соответственно, человек, работающий с этими заявками должен, как минимум, "иметь представление" о том, к чему он разрешает/запрещает доступ, а уж реализовать сию заявку "в железе" - дело исключительно сисадмина...
                        Всё в наших руках...(с)

                        Комментарий


                        • #13
                          ИМХО если смотреть через призму модели PDCA, то Планирование и Проверку процессов обеспечения ИБ надо отдавать ИБ, а Реализацию (Do) целесообразно отдать ИТ. Хотя в некоторых ситуациях администрирование антивируса или фаервола тоже берут на себя ИБ, так как у ИТ, на котором и так все бизнесовые системы, на них может не хватать ресурсов, времени или "желания"

                          Комментарий


                          • #14
                            Сообщение от Пух575 Посмотреть сообщение
                            Berrimor
                            То, о чём Вы говорите, зависит от квалификации сотрудника подразделения ИБ опять же - лично я с трудом представляю сотрудника ИБ, не имеющего представления о "подопечных" пользователях.
                            Простой пример из моей жизни.
                            Дилеры просят им установить некую программу для торговли акциями или векселями. К кому они пойдут? Понятное дело, к ИТшникам. Приходят они ко мне (в прошлой моей жизни), я им настраиваю саму программу (в том числе права выставляю, многие кривые программы работают под правами локального админа), настраиваю файрволл чтоб они могли работать, устанавливаю всякие ява-машины и прочую байду.
                            Если к этому процессу привлечь безопасников, то процесс растянется многократно, потому что у нас в безопасности были в-основном менеждеры, которые умели бумаги ваять, но что такое порт и как его открыть в файрволле не знали.
                            Вот вам пример того, что безопасники понятия не имели о том, какие конкретно программы стоят на компьютерах пользователей. А даже если б и знали: без постоянного общения с пользователями, знания их проблем, просто знать что на компьютере ХХХ стоит программа YYY - что даст?

                            Да и вообще я не понимаю, ну почему, бухгалтер, к примеру работает без всякого надзора, хотя работает с деньгами, а за сисадмином непременно надо следить?

                            Комментарий


                            • #15
                              Может я чего не понимаю, но мне казалось, что ИБ ИТшникам говорит к примеру - локалка разработчиков и локалка бухгалтерии должны быть развязаны. ИТ смотрит на допустимость с т.з. имеющегося оборудования и т.п. и либо делает либо обосновывает невозможность. А знать ИБ-шникам какой строчкой в каком конкретном экране будет прописана эта развязка - зачем? Потом при аудите - а покажите мне развязку - её показывают и если аудитор не в теме, поясняют с помощью например мануала по Снорту.

                              Вроде Малотавр когда-то тут описывал такую систему взаимоотношений ИБ с ИТ.

                              Комментарий


                              • #16
                                Сообщение от VSB Посмотреть сообщение
                                Может я чего не понимаю, но мне казалось, что ИБ ИТшникам говорит к примеру - локалка разработчиков и локалка бухгалтерии должны быть развязаны. ИТ смотрит на допустимость с т.з. имеющегося оборудования и т.п. и либо делает либо обосновывает невозможность.
                                Ну хорошо, развязали. А дальше что? КТО будет отвечать за последствия такого шага? Как после этого разработчики (или ИТшники) будут ставить патчи на компьютеры бухгалтерии? Как будет происходить обмен файлами?

                                Поймите, я вовсе не против всякого взаимодействия между ИБ и ИТ, но очень часто возникает ситуация когда ЧТО надо делать говорит ИБ, а вот клизмы за реализацию такой "безопасности" достаются ИТшникам. Поэтому я и считаю, что надо четко разделять функционал этих подразделений. А если за что-то отвечают двое, то виноватых не найти.

                                Комментарий


                                • #17
                                  Berrimor
                                  Дилеры просят им установить некую программу для торговли акциями или векселями. К кому они пойдут? Понятное дело, к ИТшникам
                                  Вы описываете ситуацию так, как она уже случилась, т.е. "де-факто", а случилась она именно так потому, что
                                  у нас в безопасности были в-основном менеждеры, которые умели бумаги ваять, но что такое порт и как его открыть в файрволле не знали.
                                  Если использовать сослагательное наклонение (т.е. "бы"), то подобная ситуация никогда бы не возникла, поскольку:
                                  - алгоритм установки нового(дополнительного) ПО был бы описан и задокументирован(и за его возможное нарушение понесли бы ответственность все три стороны)
                                  - второй шаг руководителя дилингового подразделения(после принятия решения об установке) по этому алгоритму был бы сделан в сторону ИБ, где мог(ли) бы сидеть грамотный(ые) специалист(ы), который(ые)и должны были бы дать своё заключение о возможных вариантах установки этого конкретного ПО (тут в случае нарушения ответственность понести могли бы или сами дилеры, или ИБ)
                                  - соответственно, IT должно было бы установить ПО только после вынесения "вердикта" со стороны ИБ (тут тоже с "крайним" всё понятно)

                                  Да и вообще я не понимаю, ну почему, бухгалтер, к примеру работает без всякого надзора, хотя работает с деньгами, а за сисадмином непременно надо следить?
                                  Бухгалтер, в отличие от сисадмина, так или иначе ходит "под статьёй" УК (т.е. за ним уже "надзирает" государство в лице проверяющих ЦБ, налоговой, etc...) и в случае профессиональной ошибки он рискует своей свободой и имуществом, привлечь же по УК сисадмина - гораздо "помороченнее"(если, конечно, он не полный кретин и сам не укажет себя в качестве автора созданного им вируса)
                                  Всё в наших руках...(с)

                                  Комментарий


                                  • #18
                                    Сообщение от Пух575 Посмотреть сообщение
                                    Berrimor
                                    Вы описываете ситуацию так, как она уже случилась, т.е. "де-факто", а случилась она именно так потому, что
                                    у нас в безопасности были в-основном менеждеры, которые умели бумаги ваять, но что такое порт и как его открыть в файрволле не знали.
                                    Увы... Таких безопасников тоже много. Это - жизнь, где ж вы наберете везде квалифицированных людей?

                                    Сообщение от Пух575 Посмотреть сообщение
                                    Если использовать сослагательное наклонение (т.е. "бы"), то подобная ситуация никогда бы не возникла, поскольку:
                                    - алгоритм установки нового(дополнительного) ПО был бы описан и задокументирован(и за его возможное нарушение понесли бы ответственность все три стороны)
                                    Эх... Да не спасет вас бумажка! Там же нельзя все прописать. В любом случае, если за установку софта будут отвечать несколько подразделений, то вероятность бардака увеличивается неимоверно.

                                    Давайте отталкиваться от целей. Мы что хотим сделать? Обеспечить безопасность. так? Почему надо сразу предполагать, что администратор будет враг или некомпетентен? И еще вопрос из этой же "оперы" - почему вы действия админа контролируете, а безопасника - нет? Не логично.

                                    Сообщение от Пух575 Посмотреть сообщение
                                    - второй шаг руководителя дилингового подразделения(после принятия решения об установке) по этому алгоритму был бы сделан в сторону ИБ, где мог(ли) бы сидеть грамотный(ые) специалист(ы), который(ые)и должны были бы дать своё заключение о возможных вариантах установки этого конкретного ПО (тут в случае нарушения ответственность понести могли бы или сами дилеры, или ИБ)
                                    - соответственно, IT должно было бы установить ПО только после вынесения "вердикта" со стороны ИБ (тут тоже с "крайним" всё понятно)
                                    Да не будет "распальцованный" руководитель дилинга за кем-то ходить! Он придет тогда к Пред.Праву и скажет - "мне надо!".
                                    Кроме того, по-вашему, получается, что надо иметь грамотных специалистов (причем по одним и тем же продуктам), как в ИТ так и в ИБ. Зачем? Чтоб одни проверяли других? Разделите вы функционал, проверяйте людей, доверяйте им - и все! Не потребуется ни дублирование, не будет проблем в общении подразделений, каждый будет делать свое дело.

                                    Сообщение от Пух575 Посмотреть сообщение
                                    Бухгалтер, в отличие от сисадмина, так или иначе ходит "под статьёй" УК (т.е. за ним уже "надзирает" государство в лице проверяющих ЦБ, налоговой, etc...)
                                    Ну хорошо, давайте вместо бухгалтера возьмем дилера. Им работать на свой карман просто элементарно. Тогда на них тоже надо делать свой ИБ. Так, получается?

                                    Комментарий


                                    • #19
                                      Сообщение от George-on-Don Посмотреть сообщение
                                      ИМХО конечно разграничение сферы деятельности ИТ и ИБ описывается (по факту) во многих местах- это и положения об отделах (управлениях, департаментах и тд), это и в политках по ИБ(в глобальной, и в частных) это и в соглашениях об уровнях сервиса (SLA), это и в должностных обязанностях сотрудников. Причем основной "камень" лежит именно в том что ИТ -как структура отвечает в основном на непрерывность процессов и иногда!! за целостность но решая эти вопросы, конфиденциальность,как правило,совсем не учитывается (т.к. это не сфера деятельности ИТ). Информационная безопастность - отвечает за конфиденциальность (и иногда с точки зрения ИТ- в ущерб непрывности), но ИБ так же отвечает и за непрерывность и за целостность - как видите - есть пересекающиеся сферы.- здесь и происходят всякие "накладки" и "трения".
                                      Совершенно согласен.

                                      У нас существует система заявок, мы (ОИБ) туда пишем все свои хотелки. Если стуацию могут решить операторы, ставящие задачи разработчикам, инженерам или сисадминам, то она решится автоматом со сроком, который мы укажем. В остальных случаях задача поднимется до директора ИТ или выше. там будет приниматься решение о целесообразности выполнения этой задачки.

                                      Задачки, в основном ставим исходя из плана мероприятий по смягчению рисков, которые были определены с участием самих ИТешников (там и ТЗ для нового ПО, и покупка и установка железа и ПО и т.д.)

                                      Если в 2х словах, то боремся с юзерами рука об руку с ИТешниками. Они сами сдают нам зарвавшихся и мешающих работать, и железки новые пробивают через нас (попало в риски, утвердили меру - купили)

                                      Комментарий


                                      • #20
                                        Сообщение от Berrimor Посмотреть сообщение
                                        Ну хорошо, развязали. А дальше что? КТО будет отвечать за последствия такого шага? Как после этого разработчики (или ИТшники) будут ставить патчи на компьютеры бухгалтерии? Как будет происходить обмен файлами?
                                        Хмм. Уберём ИБшников. Кто отвечает за то, что патчи не поставлены? За то, что файлы не ходят? ИМХО в общем случае ИТшники.
                                        Возвращаем ИБ. Почему бы ИТ не убедиться в том, что развязка сетей не помешает им выполнять свои обязанности по установке патчей и передаче файлов перед развязкой? Или выполнить эту развязку так, чтобы не затронуть имеющиеся процессы? Или сообщить обратно, что при такой развязке надо ставить второй сервер обновлений.

                                        Комментарий


                                        • #21
                                          Возвращаем ИБ. Почему бы ИТ не убедиться в том, что развязка сетей не помешает им выполнять свои обязанности по установке патчей и передаче файлов перед развязкой? Или выполнить эту развязку так, чтобы не затронуть имеющиеся процессы? Или сообщить обратно, что при такой развязке надо ставить второй сервер обновлений.Совершенно согласен, т.к постоянно приходится доказывать своему ИТ!!! что для того чтобы, с появлением новых требований ИБ, не ухудшилась работа бизнес-подразделений и т.д - айТнишкам придется затратить еще некоторые дополнительные усилия.... А отсюда и резюме -огромное значение имеет качество менеждмента ИТ и ИБ.
                                          Мы продолжаем делать то, что мы уже много наделали

                                          Комментарий


                                          • #22
                                            Сообщение от VSB Посмотреть сообщение
                                            Хмм. Уберём ИБшников. Кто отвечает за то, что патчи не поставлены? За то, что файлы не ходят? ИМХО в общем случае ИТшники.
                                            Возвращаем ИБ. Почему бы ИТ не убедиться в том, что развязка сетей не помешает им выполнять свои обязанности по установке патчей и передаче файлов перед развязкой? Или выполнить эту развязку так, чтобы не затронуть имеющиеся процессы? Или сообщить обратно, что при такой развязке надо ставить второй сервер обновлений.
                                            Стоп-стоп-стоп! Чье предложение было по развязке сетей? ИБ? А думать о том чтоб все после этого не развалилось должен ИТ? И вы хотите чтоб была любовь и дружба? А если развалится кто отвечать будет?
                                            Мне кажется, принцип прост - кто предлагает, тот и ОТВЕЧАЕТ за последствия. Иначе можно такого напредложить...

                                            Комментарий


                                            • #23
                                              Сообщение от Berrimor Посмотреть сообщение
                                              Чье предложение было по развязке сетей? ИБ? А думать о том чтоб все после этого не развалилось должен ИТ?
                                              )) К сожалению типичная реакция менеджеров ИТ))- ИМХО -прошу не принимать на личный счет, но это типичная реакция обиженных чем-то (маленькой зарплатой, большой загруженностью, чувством малозначимости, кризисом среднего возраста и тд). А на мой взгяд какая разница от кого происходит предложение -от ИБ или от бизнес подразделений или от ИТ - продумывать последствия необходимо все равно.
                                              Мы продолжаем делать то, что мы уже много наделали

                                              Комментарий


                                              • #24
                                                Сообщение от George-on-Don Посмотреть сообщение
                                                )) К сожалению типичная реакция менеджеров ИТ))- ИМХО -прошу не принимать на личный счет, но это типичная реакция обиженных чем-то (маленькой зарплатой, большой загруженностью, чувством малозначимости, кризисом среднего возраста и тд). А на мой взгяд какая разница от кого происходит предложение -от ИБ или от бизнес подразделений или от ИТ - продумывать последствия необходимо все равно.
                                                :-) Хмм... Так с вашей стороны - тоже типичная реакция обиженного менеджера ИБ, который, по большому счету и не нужен... Тоже на свой счет не принимайте...
                                                Ведь в самом деле, как доказать свою незаменимость? Отдать дурацкий приказ а выполнять его и расхлебывать обязать других...
                                                Может и тут повинны... как там у вас?..."кризис среднего возраста" и чувство своей малозначимости. :-)

                                                Комментарий


                                                • #25
                                                  Сообщение от Berrimor Посмотреть сообщение
                                                  Стоп-стоп-стоп! Чье предложение было по развязке сетей? ИБ? А думать о том чтоб все после этого не развалилось должен ИТ? И вы хотите чтоб была любовь и дружба? А если развалится кто отвечать будет?
                                                  Мне кажется, принцип прост - кто предлагает, тот и ОТВЕЧАЕТ за последствия. Иначе можно такого напредложить...
                                                  Как я разумею, ИТ НИКОГДА не захочет усложнять сама себе жизнь. Кто им скажет, что нужен межсетевой? Что его нужно настроить, добавлять правила и т.д.
                                                  Никто? Значит этого и не будет? Или они проявят самосознание и самостоятельность? Тогда надо их на полставки в ИБ

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Berrimor Посмотреть сообщение
                                                    :-) Хмм... Так с вашей стороны - тоже типичная реакция обиженного менеджера ИБ, который, по большому счету и не нужен... Тоже на свой счет не принимайте...
                                                    Ведь в самом деле, как доказать свою незаменимость? Отдать дурацкий приказ а выполнять его и расхлебывать обязать других...
                                                    Может и тут повинны... как там у вас?..."кризис среднего возраста" и чувство своей малозначимости. :-)
                                                    Вот и я о том же- что в результате получается что ИТ находятся как бы в "космосе", где-то далеко-далеко.... от бизнес подразделений, от обязательных или согласованных и утверженных(а не придуманных лично специалистом по ИБ) требований по защите информации (персональных данных и т.д.)- а страдает от всего этого основной бизнес.. потому что в банковской деятельности безопасность бизнеса- одно из самых главных условий существования любого банка, т.к. клиенты несут деньги в банк не потому что там % по вкладам выше, а % по кредитам ниже, а потому что доверяют банку, а если не будет доверия ( или безопасности) - то никакими процентами Вы в банк клиента не заманите))))
                                                    Последний раз редактировалось George-on-Don; 22.05.2008, 17:14.
                                                    Мы продолжаем делать то, что мы уже много наделали

                                                    Комментарий


                                                    • #27
                                                      Сообщение от VSB Посмотреть сообщение
                                                      Как я разумею, ИТ НИКОГДА не захочет усложнять сама себе жизнь. Кто им скажет, что нужен межсетевой? Что его нужно настроить, добавлять правила и т.д.
                                                      Никто? Значит этого и не будет? Или они проявят самосознание и самостоятельность? Тогда надо их на полставки в ИБ
                                                      Господа, проблема ваша в том, что вы себя считаете умнее ИТ.
                                                      Отсюда и желание учить их жизни.

                                                      А вы на секундочку представьте, что они умнее вас. Ну? Представили?
                                                      Что они прекрасно знают что такое межсетевой экран и как его настраивать.
                                                      Вот для такого умного ИТ я и предлагаю свой вариант, как в анектоте "Абрам не дает кредиты, а ЧейзМанхеннен Банк не торгует семечками".
                                                      То есть:
                                                      1) Четкое разделение полномочий. Никто никого не контролирует.
                                                      2) ИБ занимается конфиденциалкой, ИТ - сетью.
                                                      3) За любое предложение и его последствия как ИТ как ИБ должен отвечать тот, кто его предлагает.

                                                      При этом: 1) никаких конфликтов. 2) четко и понятно к кому когда обращаться. 3) предложения будут выдвигаться только обоснованные, а не такие которые захочется.

                                                      Еще раз. Прежде чем ругать мной предлагаемое, представьте, что в ИТ сидят люди нисколько не глупее вас.
                                                      А чтобы не было личных нападок - я в ИТ давно не работаю, но проблему представляю очень хорошо.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от George-on-Don Посмотреть сообщение
                                                        безопасность бизнеса- одно из самых главных условий существования любого банка, т.к. клиенты несут деньги в банк не потому что там % по вкладам выше, а % по кредитам ниже, а потому что доверяют банку, а если не будет доверия ( или безопасности) - то никакими процентами Вы в банк клиента не заманите))))
                                                        Я конечно понимаю, что каждому хочется себя считать главным.
                                                        Но в банке главное вовсе не ИБ и не ИТ, а именно бизнес.
                                                        И важнее всего ИМЕННО процент по вкладу!
                                                        Покажите мне вкладчика, который положил деньги в банк, прельстившись его службой безопасности!!
                                                        Вы в самом деле такого мнения о своей службе???

                                                        Комментарий


                                                        • #29
                                                          Какая же не новая ;-) тема. 6 лет назад под впечатлением АНАЛОГИЧНОГО вопроса на старом банкире у меня родилась статья "Когда в товарищах согласья нет".

                                                          Berrimor Поймите, я вовсе не против всякого взаимодействия между ИБ и ИТ, но очень часто возникает ситуация когда ЧТО надо делать говорит ИБ, а вот клизмы за реализацию такой "безопасности" достаются ИТшникам. Поэтому я и считаю, что надо четко разделять функционал этих подразделений. А если за что-то отвечают двое, то виноватых не найти.

                                                          Вы исходите из того, что взаимодействия НЕТ. Ваша ситуация, как раз из этой области. А вопрос-то и был как взаимодействие наладить. И только официально задокументированное разделение обязанностей проблему не решит. Нужно общение и отказ от постоянных наездов друг на друга, которые сплошь и рядом происходят в ИТ и ИБ.

                                                          На Западе существует некоторая общепринятая стратегия разделения (конечно не панацея и из нее могут быть исключения в зависимости от ситуации), которая предлагает вот что:
                                                          - за бесперебойную работу инфраструктуры (включая сеть, сервера, ПК, приложения и т.п.) отвечает ИТ и никто другой. Делить ответственность ни с кем они не будут. Хотя бы по той причине, что "два владельца - нет владельца". Поэтому на ИТ ложится задача ЭКСПЛУАТАЦИИ систем защиты. Именно они настраивают СЗИ, обновляют антивирусы, ставят патчи и т.п.
                                                          - за планирование, разработку политик и КОНТРОЛЬ отвечает ИБ. Именно они описывают, ЧТО надо делать с точки зрения безопасности. Разумеется у них должно быть определенное понимание того, что можно сделать на уровне ИТ, а что нельзя. Как и ИТ должны понимать, что можно реализовать из требований ИБ, а что нельзя.

                                                          Тут возникает закономерный вопрос, который уже задавался "А кто ответит, если что не так?" Ответ будет простой - ИТ. Именно они отвечают за бесперебойную работу. Виноваты ли они? Да. Почему? Потому что сами приняли и допустили изменения, которые повлекли последующие проблемы. Им надо было трезво и непредвзято оценить требования ИБ и если они нереализуемы или реализуемы с большими затратами (не только финансовыми), то необходимо было высказать свои замечания и ВМЕСТЕ с ИБ найти консенсус.

                                                          На вопрос "Как?" ответа простого быть не может. Этому посвящены специальные курсы, например, про "Conflict Management". Главное, понять причины конфликта и иметь желание его разрулить. Есть это, придет и все остальное.

                                                          Надо и ИТ и ИБ взглянуть на себя немного со стороны. Что, например, ИТ думает о ИБ? Вот несколько высказываний:
                                                          - Они являются помехой на пути к успеху
                                                          - Говорят на птичьем языке
                                                          - Они живут в изолированном мире
                                                          - Они сосредоточены на деталях и не могут окинуть бизнес общим - взглядом
                                                          - У них слишком развито чувство превосходства
                                                          - Они не заинтересованы в масштабных проектах
                                                          (также часто ИБ думает и об ИТ ;-).

                                                          Что сами безопасники думают о себе? Например, вот что:
                                                          - Мы непонятые гении
                                                          - Мы люди второго сорта и нас не любят
                                                          - Мы жертвы обстоятельств
                                                          - Мы перегружены работой, нас не ценят, нам недоплачивают
                                                          - Нас нельзя винить в сбое «железа» и софта или потому что сеть «медленно работает».

                                                          Куча стереотипов и, как следствие, куча проблем, которые надо разрушать путем внедрения правильного коммуникативного процесса. Но это уже отдельная тема ;-)

                                                          Комментарий


                                                          • #30
                                                            То есть:
                                                            1) Четкое разделение полномочий. Никто никого не контролирует.
                                                            2) ИБ занимается конфиденциалкой, ИТ - сетью.
                                                            3) За любое предложение и его последствия как ИТ как ИБ должен отвечать тот, кто его предлагает.
                                                            ИМХО не совсем так
                                                            1. ИБ контролировать ИТобязаны а особенно лиц имеющих наивысшие полномочия (админов,сисадминов и тд)
                                                            2.А как вы разделите проблемы безопасности конфиденцилальной информации циркулирующей по сети от проблем безопасности самой сети (сетвого оборудования, неверных аппаратных, программных настроек, неверной раздачи прав и тд)?
                                                            3.Между предложением и последствием всегда есть реализация - кто и как реализовал предложение, и кто в этом виноват - ИМХО вот за что нужно кому-то нести ответственность.... или ИБ или ИТ.
                                                            Мы продолжаем делать то, что мы уже много наделали

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X