16 октября, вторник 11:39
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Перелом старой системы безопасности на новую или почему не хотят внедрять станд. ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Перелом старой системы безопасности на новую или почему не хотят внедрять станд. ЦБ

    Предлагаю следующую тему для обсуждения:
    Представте себе, что вы пришли на работу в банк, а там вам говорят, что система безопасности банка существует уже много лет и внедрять стандарты ЦБ, прочие новые методики никто не планирует, риски реализации угроз ИБ для них не критичны. А вы в то же самое время видите, проблем у банка с безопасностью предостаточно, а в течении ближайшего года возможна реализация ряда крайне неприятных угроз. Страшилки для руководства о больших ущербах за бугром, их не впечатляют, ведь это все там, за границей, а у нас своя страна, свои порядки и прочее.
    Поэтому ставлю вопрос - Как убедить консервативное руководство в том, что они не знают и не особо хотят знать?

  • #2
    Я со своими борюсь уже почти год, двигается очень медленно. Наверно опыт маленький . Хотя знаю, что волшебного заклинания или методики не существует, как и не существует единой правильной методики внедрения СМИБ и т.п.
    Поддерживаю вопрос.

    Комментарий


    • #3
      Верхи не хотят, низы не могут.

      ИМХО, такие коренные изменения в работе нужно начинать сверху.

      Думаю переубедить нереально.

      Комментарий


      • #4
        Terufer Поэтому ставлю вопрос - Как убедить консервативное руководство в том, что они не знают и не особо хотят знать?

        А задачу какую вы ставите? Внедрить новый подход? Тогда стандарт ЦБ тут не причем. Или внедерить стандарт ЦБ? Тогда анонимно позвоните в ЦБ и инициируйте проверку своего банка ;-)

        Комментарий


        • #5
          Сообщение от Terufer Посмотреть сообщение
          Как убедить консервативное руководство в том, что они не знают и не особо хотят знать?
          Честно говоря довольно странная ситуация, обычно к мнению регулятора прислушиваются если это не сбер или россельхоз Вообще же делайте то ради чего вас взяли ставьте антивирусники файрволы, закупайте девайслок и налаживайте систему резервного копирования. А когда руководство созреет займетесь и остальным, если еще работать будете

          Комментарий


          • #6
            Во-первых, никакого перелома не будет. В руководстве банка сидят разумные люди, если их устраивает сложившаяся ситуация, значит у них есть для этого основания. Их можно переубедить, но это продолжительная, планомерная и постепенная работа. Первые изменения (отнюдь не радикальные) вы заметите не раньше, чем через год-полтора.

            во-вторых, я бы пошел сразу двумя путями. С одной стороны, выделяем процессы/ресурсы с максимальными рисками. Для этих рисков расписаем возможные способы реализации угроз (если мы с вами не знаем, как реализовать угрозу, то наша оценка риска несостоятельна). Результат показываем айтишникам (если речь идет о технических моментах) или бизнесу (если речь идет о бизнес-процессах). С некоторыми угрозами они согласятся, с некоторыми - нет. Вторые относим к маловероятным, для первых предлагаем решения и оцениваем их стоимость. Результат показываем руководству. Вот, что мы можем потерять, защита от потерь стоит вот столько, с объективностью все согласны. Возможно, руководство решит не вкладываться - его право.

            С другой стороны, выделяем процессы/технические решения с недостатками. которые можно сравнительно легко и дешево устранить. Предлагаем решения, согласовываем с заинтересованными сторонами, выносите на утверждение руководству. Это, конечно, дешевый пиар, но нужно зарабатывать авторитет.

            Если в течение разумного срока (полгода - год) все ваши предложения отвернаются, стоит трезво оценить как вменяемость руководства, так и свою компетентность.

            Комментарий


            • #7
              Сообщение от Terufer Посмотреть сообщение
              Представте себе, что вы пришли на работу в банк, а там вам говорят, что система безопасности банка существует уже много лет и внедрять стандарты ЦБ, прочие новые методики никто не планирует, риски реализации угроз ИБ для них не критичны.
              Первый ответ напрашивается сам собой. А зачем приходить на работу в этот банк? Может стоит поработать в другом?

              Сообщение от Terufer Посмотреть сообщение
              Поэтому ставлю вопрос - Как убедить консервативное руководство в том, что они не знают и не особо хотят знать?
              имхо Либо по чуть-чуть, день за днем... шаг за шагом. Выработать стратегию и постепенно двигаться в необходимом направлении.

              Либо сделать резкий рывок... и может не один. Например самостоятельно спровоцировать некий инцидент, что бы люди на практике оценили глубину и важность конкретных угроз по ИБ. Поскольку инциденты будут подконтрольными, ущерб будет минимальный, а шуму будет много.
              Или дождаться когда грянет настоящий «гром» )) И под это дело продавить изменение осознания руководства.

              Комментарий


              • #8
                Сообщение от Terufer Посмотреть сообщение
                Представте себе, что вы пришли на работу в банк, а там вам говорят, что система безопасности банка существует уже много лет и внедрять стандарты ЦБ, прочие новые методики никто не планирует, риски реализации угроз ИБ для них не критичны.
                А вы поставьте себя на место руководства. ЗАЧЕМ что-то внедрять если угроз нет? (с точки зрения руководства). Значит, пока вы не убедите начальство в обратном (или сами не примете точку зрения начальства) внедрить ничего вам не удастся.
                Но раз вас взяли на работу, значит что-то меняется, значит начальство осознает, что делать что-то надо.
                Я бы взялся за конфиденциальную информацию. Доказал бы, что ее сохранить стандартными средствами ОС невозможно, и предложил бы свои варианты.

                Комментарий


                • #9
                  Но раз вас взяли на работу, значит что-то меняется, значит начальство осознает, что делать что-то надо.
                  Скорее всего, руководство нашло способ решить проблему "Кто виноват, если..." за счёт ОТВЕТСТВЕННОГО сотрудника. Вам же платят зарплату? Вот и работайте!
                  В данной ситуации я поддерживаю malotavrа:
                  С одной стороны, выделяем процессы/ресурсы с максимальными рисками. Для этих рисков распишем возможные способы реализации угроз. Результат показываем айтишникам или бизнесу. С некоторыми угрозами они согласятся, с некоторыми - нет. Вторые относим к маловероятным, для первых предлагаем решения и оцениваем их стоимость. Результат показываем руководству. Вот, что мы можем потерять, защита от потерь стоит вот столько, с объективностью все согласны. Возможно, руководство решит не вкладываться - его право.
                  Удачи!

                  Комментарий

                  Пользователи, просматривающие эту тему

                  Свернуть

                  Присутствует 1. Участников: 0, гостей: 1.

                  Обработка...
                  X