16 октября, вторник 01:00
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обязанности отдела ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обязанности отдела ИБ

    1. Разработка нормативной базы.
    2. Контроллирование выполнения политик ИБ в информационных системах предприятия.
    3. Управление рисками(инвентаризация, классификация, определение значимости активов, управление рисками, выработка контрмер)
    4. Обучение сотрудников предприятия
    5. Расследование инцидентов


    Предлагаю составить список основных фуекциональных обязанностей отдела ИБ

  • #2
    Еще можно добавить следующее:

    Организация и координация работ по защите информации в структурных подразделениях банка, филиалах и отделениях.

    Взаимодействие с государственными органами, контролирующими деятельность в области защиты информации.

    Сопровождение систем криптографической защиты информации, антивирусной защиты, системы обнаружения сетевых атак и других систем, функционирующих исключительно в целях защиты информации.

    Взаимодействие с поставщиками услуг, специализированного оборудования и программного обеспечения по защите информации.

    Подготовка и представление руководству банка отчётов о состоянии информационной безопасности.

    Комментарий


    • #3
      Сопровождение систем криптографической защиты информации, антивирусной защиты, системы обнаружения сетевых атак и других систем, функционирующих исключительно в целях защиты информации.
      Администрирование антивируса лучше отдать ИТ.
      Мне близка позиция, когда ИТ поддерживает системы, а ИБ контроллирует.

      Комментарий


      • #4
        Сопровождение СКЗИ лучше тоже отдать ИТотделу.
        А вот выработка ключевого материала, контроль соблюдения требований безопасности - это уже полномочия ИБотдела.

        Комментарий


        • #5
          Предлагаю составить список администрируемых средств отделом ИБ.

          Список администрируемых средств отделом ИБ:
          1. системы обнаружения сетевых атак(у меня предположение что склонить ИТ на поддержку этой системы не удастся)

          Комментарий


          • #6
            barmalei
            у меня в фирме получилось так, что айтишникам отдано сопровождение антивируса и криптошлюза.
            Когда будет установка CISCO MARS - то за ИТ будет его внедрение, а за ИБ - его использование.

            Комментарий


            • #7
              Сообщение от barmalei Посмотреть сообщение
              Предлагаю составить список администрируемых средств отделом ИБ.
              2. Системы сбора и корреляции событий.

              Комментарий


              • #8
                - Организация технической защиты информации
                - контроль технической защиты
                - мониторинг ИБ
                - управление СМИБ
                Да пребудет с тобой Сила!

                Комментарий


                • #9
                  к уже перечисленному.

                  - договорная работа (анализ и внесение изменений, в части ИБ, догворов с внешними организациями предоставляющими услуги ЭДО, Клиентами и т.д., участие в разработке договоров организации по внедряемым, разрабатываемым .... систем ИТ и ЭДО в части ИБ);
                  - участие в рабочих группах по внедрению систем ИТ и ЭДО в части ИБ.

                  Комментарий


                  • #10
                    Сообщение от xell Посмотреть сообщение
                    к уже перечисленному.

                    - договорная работа (анализ и внесение изменений, в части ИБ, догворов с внешними организациями предоставляющими услуги ЭДО, Клиентами и т.д., участие в разработке договоров организации по внедряемым, разрабатываемым .... систем ИТ и ЭДО в части ИБ);
                    - участие в рабочих группах по внедрению систем ИТ и ЭДО в части ИБ.
                    Сообщение от barmalei Посмотреть сообщение
                    Администрирование антивируса лучше отдать ИТ.
                    Мне близка позиция, когда ИТ поддерживает системы, а ИБ контроллирует.
                    Сообщение от security_user Посмотреть сообщение
                    Сопровождение СКЗИ лучше тоже отдать ИТотделу.
                    А вот выработка ключевого материала, контроль соблюдения требований безопасности - это уже полномочия ИБотдела.
                    Посмотрите что получаетя, господа ИБ-шники: прослеживается четкая тенденция передать весь "головняк" на чужие плечи. То есть Вы решили захапать себе тему заключения договоров на поставку оборудования на видеонаблюдение, сигнализацию и прочее, получив с этого "откаты", а затем, передать уже не интересную тему сопровождения закупленного оборудования(от которой только шишки от начальства) на IT-шников, оставив себе лишь "контроль за исполнением", то есть наблюдательно-карательные функции? Не кажеться ли это слишком? Опыт нормальных организаций показывает что ВСЕ (подчеркиваю) что касается ИБ от начала и до конца, в том числе и сопровождение оборудование и настройка и эксплуатация - лежит на плечах отдела безопасности. И в том числе настройка каналов связи (администрирование CISCO и других маршрутизаторов), настройка и сопровождение межсетевых экранов и антивирусного ПО. Вот это правильная позиция. Тогда вас не будут пренебрежительно считать нахлебниками и дармоедами на вашем предприятии.

                    Комментарий


                    • #11
                      Nikopol, тема откатов не раскрыта.
                      Чем больше связей, тем меньше степеней свободы.

                      Комментарий


                      • #12
                        Nikopol Опыт нормальных организаций

                        А имена "нормальных" можно? Я так понимаю, что вы представляете те самые "плечи", т.е. ИТшников. Кто у вас отвечает за работоспособность сети? ИТ или отвечает несколько отделов?

                        Комментарий


                        • #13
                          Nikopol,
                          Вы решили захапать себе тему заключения договоров на поставку оборудования на видеонаблюдение, сигнализацию и прочее, получив с этого "откаты"

                          внимательнее нужно читать! для тех кто на бронике: анализ и внесение изменений, в части ИБ, догворов с внешними организациями предоставляющими услуги ЭДО, Клиентами и т.д., участие в разработке договоров организации по внедряемым, разрабатываемым .... систем ИТ и ЭДО в части ИБ.
                          мне очень интересно посмотреть на ИТ-шнегофф, которые знают например нормативную базу по применению СКЗИ, ЭЦП, ИБ и т.д., которые например при внедрении какой-нить системы будут думать про информационную безопасность, опять же применение СКЗИ, учитывать нормативные вопросы.
                          слово "вчасти ИБ" означает что при заключении договора с внешней орг., предоставляющей ЭДО - именно вопрософф ИБ, криптографии и т.д. участвовал не один раз во внедрениях и заключениях - чо та я ваааще не помню ИТ-шнегофф!!!
                          а вот откаты как раз таки ВАШИ ИТШНЫЕ ВОЖДИ ПОЛУЧАЮТ С ЭТОГО, да и вы сами! так что не визжи! безопасность она и есть безопасность, она и бореться как раз и с такими как вы, которые бояться свой откат потерять, а не надежную систему внедрить! Она как раз и должна участвовать во всех договорах, чтобы такие не заводили в банк бесполезные, дырявые системы - а потом на ИБ перекладовали ответсвенность за то что оно молчало, когда это внедрялось, должны были предупредить, ИБ виновато что оно упало или утекло!!! Сами договора заключает не ИБ - но виза ИБ должна быть обязательно! тчк.

                          (разозлил!)
                          Последний раз редактировалось Людмила Кулагина; 10.10.2008, 16:39.

                          Комментарий


                          • #14
                            Сообщение от Nikopol Посмотреть сообщение
                            Посмотрите что получаетя, господа ИБ-шники: прослеживается четкая тенденция передать весь "головняк" на чужие плечи. То есть Вы решили захапать себе тему заключения договоров на поставку оборудования на видеонаблюдение, сигнализацию и прочее, получив с этого "откаты", а затем, передать уже не интересную тему сопровождения закупленного оборудования(от которой только шишки от начальства) на IT-шников, оставив себе лишь "контроль за исполнением", то есть наблюдательно-карательные функции? Не кажеться ли это слишком? Опыт нормальных организаций показывает что ВСЕ (подчеркиваю) что касается ИБ от начала и до конца, в том числе и сопровождение оборудование и настройка и эксплуатация - лежит на плечах отдела безопасности. И в том числе настройка каналов связи (администрирование CISCO и других маршрутизаторов), настройка и сопровождение межсетевых экранов и антивирусного ПО. Вот это правильная позиция. Тогда вас не будут пренебрежительно считать нахлебниками и дармоедами на вашем предприятии.

                            Да вы правы дармоедами будут считать IT'шников

                            Комментарий


                            • #15
                              xell мне очень интересно посмотреть на ИТ-шнегофф, которые знают например нормативную базу по применению СКЗИ, ЭЦП, ИБ и т.д.

                              В качестве шутки, но мне очень интересно посмотреть на ИБшников, которые знают нормативную базу ;-)

                              Комментарий


                              • #16
                                Алексей Лукацкий,
                                посмотреть на ИБшников

                                гы-гы, могу про себя говорить, но и с форума таких людей знаю )

                                Комментарий


                                • #17
                                  xell гы-гы, могу про себя говорить, но и с форума таких людей знаю

                                  Ага, особенно вспоминая наши споры и дискуссии по поводу только персданных ;-)

                                  Комментарий


                                  • #18
                                    Алексей Лукацкий,

                                    ПД не мое - это так халтурка. а вот то что ИБ-шнеги знают нормативную базу по ИБ сильно лучше чем ИТ-шнеги, по-моему это беспорно. (я конечно не имею ввиду безопастнегофф,которые получили высшее образование в области ИБ и не умееют ничего кроме раздувания щек и разговоров про абисс, сио и т.д. и т.п.)
                                    Последний раз редактировалось xell; 14.10.2008, 10:52.

                                    Комментарий


                                    • #19
                                      xell ИБ-шнеги знают нормативную базу по ИБ сильно лучше чем ИТ-шнеги, по-моему это беспорно

                                      В такой постановке бесспорно. Но имел ввиду немного иное. Я вот делал на InfoSecurity презу по стандартам в области ИБ. Потом ко мне подходили многие и говорили "о! мы и не знали, что такие стандарты есть" ;-) Т.е. существует огромное количество нормативных актов, о которых большинство и не догадывается.

                                      Я уж не говорю про российские требования, коих тоже немало.

                                      Комментарий


                                      • #20
                                        дык это проблема то получается не только самих ИБшнегов, а в первую очередь тех организаций, которые должны доводить...

                                        Это я к тому, что в юридических документах более менее порядок есть - регистрация в Минюсте, публикация в Российской газете, обновления в "Гаранте", "Консультанте"... то например с документами из ФСТЭК (некоторыми) далеко не все так просто...
                                        а про организацию, занимающуюся ГОСТ Р я вообще молчу..
                                        Да пребудет с тобой Сила!

                                        Комментарий


                                        • #21
                                          Алексей Лукацкий Потом ко мне подходили многие и говорили "о! мы и не знали, что такие стандарты есть"

                                          дыг и я говорю, что люди (я конечно не имею ввиду безопастнегофф,которые получили высшее образование в области ИБ и не умееют ничего кроме раздувания щек и разговоров про абисс, сио и т.д. и т.п.) и даже если эти люди имеют в кругах ИБ больших пап , которые собираються учится на СИО, ПИО и т.д.
                                          да и если честно, не нужна такая куча стандартов, точно так же как и ЦБ-ный (не ну нужен конечно, но абисс и все енти пальцы не нужны, и стандартом он не будет никогда-просто каша из всех буржуйских стандартофф)!!! - все-таки россия не омерика или какая другая буржуиния, не все вещи которые работают у них будут работать или сработают у нас, и огромного количества буржуйских гостофф не нужно...
                                          про контролирующие органы я ваще молчу - мало того сами договориться не могут между собой, не знают чо им хочется, дык еще и на вопросы не умеют отвечать, скрываютья...нужно чтобы оне сначала разобрались, потом уже про госты говорить можно буит.

                                          Комментарий


                                          • #22
                                            Turkish а про организацию, занимающуюся ГОСТ Р я вообще молчу..

                                            А вот это зря ;-) Как раз они секретов из своей работы не делают и по многим из их стандартов можно делать комментарии, замечания и т.п.

                                            Комментарий


                                            • #23
                                              Сообщение от Snip Посмотреть сообщение
                                              Да вы правы дармоедами будут считать IT'шников
                                              Другого ответа я и не ожидал увидеть от представителя ИБ

                                              Вопрос на засыпку: _КТО_ будет считать IT-шников дармоедами?

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                Nikopol Опыт нормальных организаций

                                                А имена "нормальных" можно? Я так понимаю, что вы представляете те самые "плечи", т.е. ИТшников. Кто у вас отвечает за работоспособность сети? ИТ или отвечает несколько отделов?
                                                Разделение полномочий у нас такие: организация каналов связи с удаленными подразделениями, обеспечение работоспособности этих каналов - ИТ-подразделение. Межсетевые экраны, аксесс-листы на маршрутизаторах - ИБ-подразделение.
                                                Сопровождение и администрирование локальной сети предприятия - ИТ-подразделение, определение и согласование доменных политик и политик безопасности в сети - ИБ-подразделение. По моему - разумное разделение полномочий, а Вы как считаете?

                                                Комментарий


                                                • #25
                                                  Сообщение от xell Посмотреть сообщение
                                                  Nikopol,
                                                  Вы решили захапать себе тему заключения договоров на поставку оборудования на видеонаблюдение, сигнализацию и прочее, получив с этого "откаты"

                                                  внимательнее нужно читать! для тех кто на бронике: анализ и внесение изменений, в части ИБ, догворов с внешними организациями предоставляющими услуги ЭДО, Клиентами и т.д., участие в разработке договоров организации по внедряемым, разрабатываемым .... систем ИТ и ЭДО в части ИБ.
                                                  мне очень интересно посмотреть на ИТ-шнегофф, которые знают например нормативную базу по применению СКЗИ, ЭЦП, ИБ и т.д., которые например при внедрении какой-нить системы будут думать про информационную безопасность, опять же применение СКЗИ, учитывать нормативные вопросы.
                                                  слово "вчасти ИБ" означает что при заключении договора с внешней орг., предоставляющей ЭДО - именно вопрософф ИБ, криптографии и т.д. участвовал не один раз во внедрениях и заключениях - чо та я ваааще не помню ИТ-шнегофф!!!
                                                  а вот откаты как раз таки ВАШИ ИТШНЫЕ ВОЖДИ ПОЛУЧАЮТ С ЭТОГО, да и вы сами! так что не визжи! безопасность она и есть безопасность, она и бореться как раз и с такими как вы, которые бояться свой откат потерять, а не надежную систему внедрить! Она как раз и должна участвовать во всех договорах, чтобы такие не заводили в банк бесполезные, дырявые системы - а потом на ИБ перекладовали ответсвенность за то что оно молчало, когда это внедрялось, должны были предупредить, ИБ виновато что оно упало или утекло!!! Сами договора заключает не ИБ - но виза ИБ должна быть обязательно! тчк.

                                                  (разозлил!)
                                                  Немного сумбурно написано, но суть я все же уловил. Мое мнение такое:
                                                  1. По поводу СКЗИ, ЭДО с сторониими организациями - я ничего против не имею, и нормативную базу ИТ-шники занимающиеся разработкой ПО изучают не меньше вашего, а вот какие откаты с этого имеют ИТ-шники я так и не понял (имеют откаты только те ИТ-шники, кто закупает технику - сервера, ПК, принтера, но они же и занимаются внедрением и сопровождением этой техники и не взваливают это на чужие не ИТ-шные плечи любишь на саночках кататься - люби саночки и возить).
                                                  2. _НЕ_ сфера ответственности ИТ-шников определять степень уязвимости автоматизированной системы (АС) - функциональные свойства АС определяют заказчик ("функционалы" эксплуатирующие АС) и ИБ-шники (в части риска совершения в данной АС противоправных действий).
                                                  3. Ничего не имею против визы ИБ на договорах Я против таких ситуаций созданных ИБ-службами, например: Некое ИБ-подразделение устраивает закрытый тэндер на организацию видеонаблюдения на неких объектах предприятия, выбирает фирму-подрядчик, заключает договора на монтаж и ежемесячное обслуживание, производиться монтаж оборудования (по ценам намного выше среднерыночных)и тут же передается сопровождение данных точек видеонаблюдения под ответственность ИТ-службы (не право менять договор и условия по неаму, а именно ответственность за эксплуатацию и работоспособность видеонаблюдения). Как это понимать? То есть в случае возникновения разборок по возникшему инциденту неработоспособности видеонаблюдения, ответственность за это ложиться на ИТ, хотя оно НЕ ВЫБИРАЛО фирму подрядчика и не устраивало тэндер. ИБ - в данной ситуации остается в стороне, как бы не причем. Другой пример: ИБ заключает договор с некой фирмой поставляющей оборудование - считыватели touch memory, установку на ПК и сопровождение данных считывателей ТМ передается в ИТ-службу. Через некоторое время выясняется что 50% считывателей ТМ имеют заводской дефект, а закупочные цены на них завышены в два раза, далее следует отказ в гарантийной замене неисправных считывателей. В итоге все пользователи ТМ за неработоспособность считывателей считают виновными именно ИТ-подразделение (оно же их устанавливало на ПК). ИБ как всегда в стороне конфликта, тихонько похихикивая потирает потные рученки.
                                                  PS/ все примеры приведенные мной реальные.

                                                  Комментарий


                                                  • #26
                                                    Nikopol По моему - разумное разделение полномочий, а Вы как считаете?

                                                    Я так не считаю ;-) И не потому, что ACL у вас в руках безопасников. А потому, что вы так и не ответили на мой вопрос. Я его повторю - кто отвечает за работоспособность сети? Кто виноват, если топ-менеджер не получает доступа к сайту РБК, РТС или Насдака? ИТ или ИБ? Кому надают по шапке? Кому будут звонить?

                                                    Если для вас все четко и регламентировано, то это для вас. Я более чем уверен, что топ-менеджер либо просто не знает о том, что за ACL отвечает ИБ, либо забыл об этом. И кому он будет звонить, когда не получит доступа к РТС? ИТшнику. И что скажет ИТшник? Что это ИБ все позакрывала? И как он будет выглядеть перед начальством? Как человек, который перекладывает всю вину на кого-то! А если он примет все на себя и скажет, что будет разбираться, то непроще ли сразу ему было отдать ВСЮ эксплуатацию? А безопасникам отдать функцию разработки политик и контроль их соблюдения. А также такие вещи, как согласование доступа к ресурсам, управление ключами и т.п.

                                                    Комментарий


                                                    • #27
                                                      Nikopol все примеры приведенные мной реальные.

                                                      Их сотни, тысячи? Или всего в одной, двух компаниях, в которых вы работали? Проблема откатов была, есть и будет! Она есть в ИТ и в ИБ. В ИТ больше, как минимум потому, что ИТ-бюджеты были, есть и будут больше ИБшного на порядок. И с этим тоже ничего не поделаешь ;-)

                                                      Комментарий


                                                      • #28
                                                        Nikopol, неудачный у Вас несколько жизненный опыт.
                                                        обычно в таких случаях можно предложить либо пытаться ситуацию "переломить" под себя (можно как "подковерными" способами и "закулисными" технологиями, можно и в открытую - быть умнее, аргументированее), либо "менять туроператора", либо смириться со всем происходящим.
                                                        В общем виде ИТ и ИБ могут сосуществовать при разных способах разделения ответственности без конфликта интересов. Любые конфликты интересов отделов - это всего лишь конфликты интересов их начальнегов, спроецированные в служебную оласть. "Ничего личного - только бизнес"
                                                        Да пребудет с тобой Сила!

                                                        Комментарий


                                                        • #29
                                                          Nikopol, (имеют откаты только те ИТ-шники, кто закупает технику - сервера, ПК, принтера, но они же и занимаются внедрением и сопровождением этой техники и не взваливают это на чужие не ИТ-шные плечи любишь на саночках кататься - люби саночки и возить)

                                                          которые,например закупают АБС, ПО Банк-Клиента и др. ИТ-системы

                                                          Ничего не имею против визы ИБ на договорах - я думаю,что любой договор на ИТ, ИБ решение, систему и т.д. должны согласовываться и с одними и с другими обязатачно!

                                                          в остальном полностью согласен с Алексем Лукацким.

                                                          Комментарий


                                                          • #30
                                                            камеры, сигнализация, система контроля доступа - это сфера даже не ИБ, а того, кто занимается режимом и охраной объекта.Да, этим может заниматься ИБ-шник (обычно он этим и занимается), но не потому, что это сфера его ответственности,а потому это человек, который находится в штате СБ и разбирается в технике.
                                                            Ещё я бы выделил из ИБ ИТ-безопаность (и передал её в ИТ), которая и отвечает за внедрение политик, администрирование фаерволов и т.д. Отдавать это в ИБ бессмысленно, т.к. во-первых, за работоспособность сети всёравно отвечает ИТ, во-вторых, в этом плане хороший админ ИБшнику фору даст.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X