23 октября, вторник 14:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Нужна ли Служба Информационной безопасности?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Нужна ли Служба Информационной безопасности?

    На одном из сайтов в сети, нашел следующее мнение:


    Оперуполномоченный

    Первая проблема заключается в том, что надо изначально в рамках законодательства определить перечень защищаемой информации. Вторая проблема -разграничение по категориям лиц, допускаемых к защищаемым сведениям. Третья проблема - наличие у работников сотовых телефонов имеющих фотокамеру с матрицей в 5 мегапикселей, а это высококачественный фотоаппарат. Отсюда налицо главная проблема и нерашаемая в рамках российского законодательства-ограничение конституционных прав граждан (забрать на время работы все сторонние коммуникационные средства). Из истории советсткой разведки все помнят, что вся разведывательная информация исключительно поступала на фоторафической пленке. Тогда вывод такой: если работодателю интересно содержать штат бездельников для слежки за тем, куда ходят в сети работники -его дело, но это уже не защита конфиденциальной информация и тема для разговора совсем другая. И напоследок для спецов:снимать информацию можно и техническими средствами находящимся за пределами офиса, а вы говорите защита информации....так для личного успокоения топ менеджмента...а потом выясняется, что король то голый! И еще напоследок, покупка информации у лиц призванных защищать самые конфиденциальные сведения, тоже действенные меры. Вот и думайте...
    Теперь озвучу еще одну проблему, а что делать с налоговыми и контрольными оранами, которым предоставляется например бухгалтерский баланс?? Надо мыслить шире!!! Ваше предприятие в повседневной жизни оставляет следы (договора с контрагентами, платежи через банковскую систему, государтсвенная регистрация сделок, ведение различных реестров и многое многое другое!!!. А вы говорите "Просто систему ИБ нужно КВАЛИФИЦИРОВАННО организовывать....." Пока вы будете тратить миллионы на предприятии вкладываясь в безопасность, девочка бюджетница из налоговой продаст всю вашу отчетность за 300 баксов... увы... но это жизнь. А девочка бюджетница с таможни (отдел валютного контроля) сольет все ваши договора с зарубежными партнерами, суммы и счета....
    Поэтому продолжайте Грамотно Организовывать ИБ!! Желаю удачи!:-))

    Действительно некоторые моменты закрыть крайне тяжело(фотокамеры, мобильные телефоны, болтливость сотрудников, продажа Баз на рынках, подкупность чиновников и т.д.), но все же хочется услышать мнение специалистов по ИБ

  • #2
    И тогда и госбезопасность не нужна, ну зачем тратить огромные деньги раз все равно шпионы есть и всех не переловишь
    А в налоговой и на таможне свои СБэшники и ИБэшники должны быть, в функцию которых входит отлов барышень, продающих секреты за 300 баксов.
    Служба ИБ не дает 100% гарантию в пресечении всех случаев утечки информации и т.п. Она уменьшает риски такой утечки.
    А по мнению автора нужно вообще ручки опустить, раз риски слива информации остаются. Так тогда и его работа не нужна как оперативника, ведь не все преступления раскрываются.

    Комментарий


    • #3
      Лично я на это закрываю глаза...у некоторых людей хорошая память...а еще они писать умеют, в том числе ручкой на коже...как думаете можно в соответствии с законодательством отрубать головы и сдирать кожу?
      Вообщем мое мнение, средства позволяющие контролировать какая информация передается/читается/копируется сотрудником (особенно если их использование не афишируется) могут помочь выявить инсайдера, всерьез же надеятся на абсолютную конфиденциальность не приходится
      отбирать телефоны...казалось бы можно, но очень непопулярное решение, а + не так уж много..еще ведь принтеры есть, да и тот же листочек с ручкой...еще можно поставить везде камеры наблюдения - те же

      Комментарий


      • #4
        Меня всегда восхищала аргументация, типа - "а нужно ли защищать если все равно украдут, запомнят, разболтают и т.д..."
        Обычно этим любят заниматься ИТшники- у меня для таких умников всегда есть как минимум два контр-аргумента
        Агрумент 1. А нужно ли тогда что-либо автоматизировать (в ИТ) если все равно ручная обработка(труд, контроль и тд) хоть-где нибудь да останется)))))
        Аргумент 2.А нужно ли вообще жить - если все равно все будем там....?)))))))
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          А мне кажется, что в приведенной цитате первого поста есть разумное зерно.
          Ведь очень часто служба ИБ пытается контролировать все и считает шпионами всех.
          В результате усилия распыляются и действиетльно конфиденциальная информация может уйти.
          На мой взгляд, служба ИБ должна четко определиться за что она отвечает. Главное - это сохранность КОНФИДЕНЦИАЛЬНОЙ информации. К такой информации доступ имеет ограниченное число людей, самой информации не так много и контроль можно сделать достаточно эффективным. А вот когда служба ИБ пытается контролировать интернет-трафик, блокирует доступ к порнушным сайтам и считает риски от возможного землетрясения на Северном полюсе, то действительно можно задуматься - а нужна ли такая служба.

          Комментарий


          • #6
            2Berrimor
            блокирует доступ к порнушным сайтам
            Для вас это больная тема

            2George-on-Don +500

            Комментарий


            • #7
              Сообщение от barmalei Посмотреть сообщение
              2Berrimor

              Для вас это больная тема

              2George-on-Don +500
              Да нет, это скорее для вас больная тема раз вы только на это обращаете внимание.

              Комментарий


              • #8
                barmalei Действительно некоторые моменты закрыть крайне тяжело(фотокамеры, мобильные телефоны

                А вот в Лукойле телефоны и фотокамеры на входе сдают.

                Комментарий


                • #9
                  barmalei Действительно некоторые моменты закрыть крайне тяжело(фотокамеры, мобильные телефоны, болтливость сотрудников, продажа Баз на рынках, подкупность чиновников и т.д.), но все же хочется услышать мнение специалистов по ИБ

                  И вновь я о наболевшем ;-) Автор первоначального поста исходит из того, что задача ИБ закрыть что-то и помешать чему-то. Я про это уже писал в одном из топиков. Надо смотреть на ИБ шире. Не как на способ помешать чему-то, а как на способ содействовать чему-то (например, бизнесу).

                  Комментарий


                  • #10
                    А вот в Лукойле телефоны и фотокамеры на входе сдают.
                    К ним ещё и в джинсах не пускают

                    Комментарий


                    • #11
                      Сообщение от barmalei
                      хочется услышать мнение
                      Нужна ли служба ИБ, которая бдит не где надо, а где светлее?

                      Комментарий


                      • #12
                        Честно говоря, статейка-то - "бородатый баян"...

                        Любые инсайдерские действия "ни с того, ни с сего" не случаются - всегда есть причина.Так вот если посмотреть на вопрос шире - то нужно не дожидаться, пока кто-то сфотографирует/запомнит/запишет конф.инф-цию и попытается вынести её с рабочего места, а постараться предотвратить попытку подобного выноса заранее.И вот тут уже ИБ не обойтись без сотрудничества с HR и СБ:
                        задача первых - попытаться выяснить, насколько сам кандидат "изнутри" соответствует тому образу, который он пытается создать при устройстве на ту должность, где предполагается работа с "конфиденциалкой"...
                        задача вторых, в случае возникновения по отношению к кандидату или уже работающему сотруднику каких-либо подозрений - подтвердить их или опровергнуть...И только если подозрения подтвердятся, то тогда уже, совместными усилиями можно и скрытое наблюдение за таким устанавливать, и трафик его мониторить...
                        Ну и, конечно, категорирование информации тоже нужно проводить, что называется - "без фанатизма", не ориентируясь исключительно на мнение владельца (пользователя)...
                        Всё в наших руках...(с)

                        Комментарий


                        • #13
                          Нужна ли Служба Информационной безопасности? - Вопрос философский, в любом случае, работа службы ИБ - правильный и грамотный пиар, без него вы к сожалению никто.
                          http://www.iso27000.ru/chitalnyi-zai...-byt-uvolennym

                          Комментарий


                          • #14
                            Сообщение от oligarh Посмотреть сообщение
                            Нужна ли Служба Информационной безопасности? - Вопрос философский, в любом случае, работа службы ИБ - правильный и грамотный пиар, без него вы к сожалению никто.
                            http://www.iso27000.ru/chitalnyi-zai...-byt-uvolennym
                            Действительно, нужно правильно представлять олигархам (бизнесу) ;-) результаты работы. В этом и состоит одно из искусств цисо: уметь показывать презентации на понятном для бизнеса (олигарха) языке! :-)))
                            Цисо без "софтскилс" не цисо! :-)

                            Ведь уже сниженный риск, если о нем ничего не сказать и не упомянуть его последствий (которые теперь не настанут), сам по себе не расскажет, насколько он был опасен и чем дальнейшая рискованная деятельность грозила организации.

                            Комментарий


                            • #15
                              VSB К ним ещё и в джинсах не пускают

                              Кого как ;-)

                              Комментарий


                              • #16
                                Сообщение от griboff
                                нужно правильно представлять олигархам (бизнесу) ;-) результаты работы
                                Пардоньте, коллега, но это парафраз исходной ситуации:
                                Сообщение от barmalei
                                защита информации для успокоения топ менеджмента...а потом выясняется, что король то голый

                                Комментарий


                                • #17
                                  Сообщение от Лукацкий
                                  А вот в Лукойле телефоны и фотокамеры на входе сдают. К ним ещё и в джинсах не пускают
                                  Кого как ;-)
                                  Говорят, на выездных мероприятиях они тоже телефоны/джинсы/фотоаппараты отбирают и возвращают только по окончании, если вспомнят

                                  Комментарий


                                  • #18
                                    Сообщение от Ригель Посмотреть сообщение
                                    Говорят, на выездных мероприятиях они тоже телефоны/джинсы/фотоаппараты отбирают и возвращают только по окончании, если вспомнят
                                    Ходят в полосатой робе, руки за спину?

                                    Комментарий


                                    • #19
                                      Сообщение от Ригель Посмотреть сообщение
                                      Пардоньте, коллега, но это парафраз исходной ситуации:
                                      Не соглашусь, коллега. Я имел в виду ПРАВИЛЬНУЮ демонстрацию бизнесу ЧЕСТНЫХ результатов - хорошо сделанной работы, с помощью которой проблем для дальнейшего развития бизнеса стало меньше...

                                      А не показуху (для успокоения): что мол все нормально, ведь служба ИБ есть, значит работает...

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        VSB К ним ещё и в джинсах не пускают

                                        Кого как ;-)
                                        Году эдак в 2002 ребята из Лукойл-Информа рассказвали, что охрана не пустила одного из топов. Так что тогда круг избранных был очень узким

                                        Чем бы дитя не тешилось...

                                        Комментарий


                                        • #21
                                          Ригель Говорят, на выездных мероприятиях они тоже телефоны/джинсы/фотоаппараты отбирают и возвращают только по окончании, если вспомнят

                                          C таким не сталкивался ;-) Видимо везло ;-) Или не помню ;-)

                                          Комментарий


                                          • #22
                                            2Алексей Лукацкий Вы какое отношение к Лукойлу имеете?

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий
                                              C таким не сталкивался ;-) Видимо везло ;-) Или не помню ;-)
                                              У Вас на стройке несчастные случаи были? (с)

                                              Комментарий


                                              • #24
                                                barmalei Вы какое отношение к Лукойлу имеете?

                                                Представитель компании-производителя ;-)

                                                Комментарий


                                                • #25
                                                  А что Служба ИБ должна только конфиденциальность обеспечивать? Кроме угорз конфиденциальности есть ещё угрозы целостности и доступности. А если откроете ISO 17799, то вообще увидите, что Служба ИБ должна контролировать даже как сотрудники своё рабочее место вечером оставляют, когда домой уходят и носят ли они бейджи, когда в здании находятся.
                                                  Вообще, статья явно человека, который в ИБ мало что понимает. Быть может он пришёл откуда-то из милиции и всё что считает нужным делать - это поставить охранника и жучков с камерами навтыкать. Не самая лучшая позиция и в такой организации отдача от службы будет действительно нулевая.
                                                  А по поводу затрат скажу так - проведите обучение руководства, внедрите систему управления рисками ИБ в общую систему управления рисками организации и будет вам счастье, потому что руководство начнёт понимать, что и зачем вы делаете, а также само будет принимать решение, надо оно или нет.
                                                  Кроме того, даже если и считать, что служба должна заниматься только угрозами конфиденциальности, то не надо забывать одну очень важную вещь - служба нужна не для того, чтобы ловить нечистых на руку инсайдеров, а для того, чтобы ещё на корню предотвращать такие ситуации. Ключевая задача - это профилактика. Если в организации служба может только отлавливать злоумышленников, даже если она это очень хорошо делает, то такая служба нафиг не нужна, т.к. не выполняет главной своей роли.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Berckut
                                                    если откроете ISO 17799, то вообще увидите, что Служба ИБ должна контролировать даже как сотрудники своё рабочее место вечером оставляют и носят ли они бейджи
                                                    Организация. Служба там не названа.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Berckut Посмотреть сообщение
                                                      А что Служба ИБ должна только конфиденциальность обеспечивать? ...
                                                      В оригинальной дискуссии, кусок которой процитировал Бармалей, один из участников отметил совершенно правильный факт: "Эти люди бывшие и действующие сотрудники спецслужб> мыслят немного иначе, чем Вы".

                                                      Исторически сложилось так, что службами ИБ рулят бывшие сотрудники спецслужб или люди, много лет проработавшие на режимных объектах. При всем моем к ним уважении (некоторые из них стаю собак съели в своей области), их опыт и навыки закрывают только часть вопросов ИБ. Для них обеспечение конфиденциальности - основная и обязательная часть ИБ, а слово "целесообразность" им чуждо.

                                                      И еще один момент: то, что у задачи нет решения, еще не значит, что ее не нужно решать. Не все меры защиты входят в компетенцию отдела ИБ. Тысячи предпринимателей прекрасно обеспечивают конфиденциальность черной бухгалтерии и серых схем импорта, причем даже без привлечения специалистов по ИБ. Следы деятельности организации прекрасно скрываются за счет использования посредников-однодневок. Иногда эти схемы совершенно законны, иногда балансируют на грани закона, иногда уголовно наказуемы, но это решения, которые принимает бизнес.

                                                      Так что иногда встречается ситуации, когда вы идентифицируете угрозу, которую не можете устранить, доводите ее до сведения руководства, и через некоторое время вам сообщают, что на эту угрозу можно больше не обращать внимания - бизнес осознал риск и принял свои меры.

                                                      И меры, кстати, не ограничиваются предотвращением угрозы. Можно устранить объект угрозы. Топ менеджер имет судимость? Могу назвать десяток мелких и средних компаний, в которых ген. директор занимается подсчетом запасов туалетной бумаги и организацией корпоративов, а фактически управлением занимается человек, даже не числящийся ни в ее штате, ни среди учредителей. Даже если он вор-рецидивист -
                                                      никаких репутационных рисков от этого у компании нет.

                                                      Еще можно компенсировать или минимизировать ущерб от угрозы. В свое время был хороший пример. После утечки телефонных баз МТСу было предъявлено несколько обоснованных исков - рзглашение номеров некоторых мобильных телефонов привело к расторжению нескольких крупных сделок (деталей не помню), и у оператора были неплохие шенсы эти иски проиграть. Компания приняла изящное решение - обратилось в прокуратуру с заявлением о возбуждении уголовного дела по факту разглашения конфимденциальной информации. В соответствии с процессуальными кодексами, на время расследования уголовного дела все связанные с ним гражданские процессы приостанавливаются. Поскольку дело - стопроцентный глухарь, истцам придется ждать долго. А дальше или шах сдохнет, или ишак: кто-то из истцов ликвидируется, кто-то отзовет иск, кто-то согласится на компенсацию.

                                                      Так что нерешаемых проблем не бывает, и сложность проблемы - не повод отказываться от ее решения.

                                                      Комментарий


                                                      • #28
                                                        malotavr
                                                        Для них обеспечение конфиденциальности - основная и обязательная часть ИБ
                                                        Дык что бизнес от них требует, то и делают (хотя сами зачастую с этим могут быть и несогласны: например, на моём прежнем месте работы по воле владельца бизнеса штат личной охраны был чрезмерно "раздут".Понятное дело, что ни руководителю СБ, ни его заму весь "геморрой" по взаимодействию с "чужими" ЧОПами, дополнительным оружием и т.п. нафиг не был нужен)...
                                                        а слово "целесообразность" им чуждо.
                                                        А каким боком оценка целесообразности относится к ИБ?Ведь окончательное решение принимают всё равно ТОПы(владельцы бизнеса), которые "своей волей" с равной долей вероятности могут как "зарезать" совершенно целесообразный проект, так и "поднять" заведомо нецелесообразный...
                                                        Опять же, отнюдь не все руководители ИБ(СБ) во "времена оны" носили круглое и катали квадратное, да и ВУЗы различных Систем готовили не только командно-руководящий состав...
                                                        Кстати, в среде топ-менеджмента тоже встречаются люди, пришедшие в бизнес из различных Систем
                                                        Всё в наших руках...(с)

                                                        Комментарий


                                                        • #29
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          В оригинальной дискуссии, кусок которой процитировал Бармалей, один из участников отметил совершенно правильный факт: "Эти люди бывшие и действующие сотрудники спецслужб> мыслят немного иначе, чем Вы".

                                                          Исторически сложилось так, что службами ИБ рулят бывшие сотрудники спецслужб или люди, много лет проработавшие на режимных объектах. При всем моем к ним уважении (некоторые из них стаю собак съели в своей области), их опыт и навыки закрывают только часть вопросов ИБ. Для них обеспечение конфиденциальности - основная и обязательная часть ИБ, а слово "целесообразность" им чуждо.
                                                          Эх, господа, многим из вас свойственно широко распространенное убеждение в своей абсолютной правоте.
                                                          Поэтому мнение чужое, не совпадающее с вашим моментально отвергается и находятся причины: ИТ-шники не так понимают, "бывшие спецслужбовцы" не так мыслят.
                                                          А есть ли у кого-нибудь ДОКАЗАТЕЛЬСТВА полезности и необходимости предлагаемых вами мер по ИБ?
                                                          Ну вот например, "до внедрения" предлагаемых вами действий сидюки с конфиденциальной информацией появлялись на рынке регулярно, а после - исчезли.
                                                          Или "выловлено ххх шпиёнов". Или что-то еще.
                                                          А пока никакой статистики нет, то нет и доказательств вашей правоты, верности именно вашего, а не какого-либо иного подхода.
                                                          И вообще, часто разглагольствования о ИБ мне напоминают знаменитую "проблему 2000". Все помнят? Сколько было разговоров! Сколько "экспертов" выступало! Публикаций было!
                                                          А что на деле? Пшик оказался! Зато уйма народа неплохо на этом заработала.

                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Так что нерешаемых проблем не бывает, и сложность проблемы - не повод отказываться от ее решения.
                                                          Безусловно. Проблему решать надо. Но при этом не надо так уж отвергать чужую точку зрения даже если она не нравится.

                                                          Комментарий


                                                          • #30
                                                            И пошла мытая-перемытая тема про показатели эффективности (метрики).

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X