17 октября, среда 19:17
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Отдел ИБ создан!!!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Отдел ИБ создан!!!

    Коллеги история такая! классика!
    Хотелось бы услышать ваше мнения на счет разделения должностных между отелами ИТ и ИБ!
    Теоретически все понятно, политики есть, (практический опыт небольшой но имею в этой области) а практически начинается война в компании кто за что отвечает (фаерволы, смена паролей, мониторинг, внедрение средств защиты IDS/IPS, honeypot, crypto) вплоть до того одни кричат покупаем такой софт, другие кричат покупаем другой софт.
    не говоря уже о configuration и change management,
    причем руководство уже наслушавшись стало думтаь а может все назад и пусть всем ИТ занимается...

    ОЧЕНЬ хотелось бы выслушать у кого что и как функционирует!!! можно в общих чертах, уже оббил весь язык доказывая что я не осел и что ИБ в соответствии 27001 27 002 13335 ИМЕЕТ ПРАВО НА ЖИЗНЬ!!!

  • #2
    Сообщение от udarov Посмотреть сообщение
    Коллеги история такая! классика!
    Хотелось бы услышать ваше мнения на счет разделения должностных между отелами ИТ и ИБ!
    Теоретически все понятно, политики есть, (практический опыт небольшой но имею в этой области) а практически начинается война в компании кто за что отвечает (фаерволы, смена паролей, мониторинг, внедрение средств защиты IDS/IPS, honeypot, crypto) вплоть до того одни кричат покупаем такой софт, другие кричат покупаем другой софт.
    О!!! Я просто рыдаю - опять эта тема!!!
    Ведь говорил же давно - терки будут постоянно пока не будет четкого разделения кто за что отвечает.
    Не могу тут писать своего мнения - коллеги заплюют сразу же...:-)
    Разве что в личку.

    Комментарий


    • #3
      2udarov Примите поздравления
      http://dom.bankir.ru/showthread.php?t=83779
      http://dom.bankir.ru/showthread.php?t=82542

      Комментарий


      • #4
        2 Berrimor ))почему "заплюют" - наоборот полностью согласен - "терки будут постоянно пока не будет четкого разделения кто за что отвечает" -респпект)))
        Мы продолжаем делать то, что мы уже много наделали

        Комментарий


        • #5
          Сообщение от Berrimor Посмотреть сообщение
          О!!! Я просто рыдаю - опять эта тема!!!
          Ведь говорил же давно - терки будут постоянно пока не будет четкого разделения кто за что отвечает.
          Не могу тут писать своего мнения - коллеги заплюют сразу же...:-)
          Разве что в личку.
          Коллеги спасибо! но тема так сказать не раскрыта!
          Например политика антивирусной защиты есть! можно поручить это ИТ-кам, но получается что над ними новый чел будет который будет их терзать за их не радивость!!! ИТ-директор уже взбрыкнул!
          тоже стало вырисовываться с сменой паролей и политикой соответствующей...

          кстати когда я топам заикнулся про комитет по ИБ ... они долго думали морщили извилины которыми сидят и сказали что они сомневаются в его необходимости ))))

          ДАННАЯ ТЕМА БУДЕТ ВСПЛЫВАТЬ ДО ТЕХ ПОР ПОКА КУЛЬТУРА БИЗНЕСА И ЗРЕЛОСТЬ НЕ ДОСТИГНЕТ ПОНИМАНИЯ ИБ!!!

          раньше удавалось (респект мне и уважуха) внедрять и политики и всем остальным рулить но именно будучи отдельно взятым экспертом поручая задачи ИТ-кам...

          новая работа в неадекватной компании, я сам в шоке! но раз назвался груздем так ...

          ВСЕ-ТАКИ ПЛИЗ КАМЕНТЫ! Я УЖЕ ЯЗЫК ОББИЛ ДОКАЗЫВАЯ... уже и сам не пойму ciso я тут или кто!

          а по поводу классики я лет 7 назад одним клиентам долго доказывал что при сетях от 15 и больше ПК надо домен и корпоративную почту! как минимум а мне их технический директор доказывал, что рабочие группы и почта на майл.ру это предел совершенства!!! тогда общий язык не нашли!

          Комментарий


          • #6
            Сообщение от George-on-Don Посмотреть сообщение
            2 Berrimor ))почему "заплюют" - наоборот полностью согласен - "терки будут постоянно пока не будет четкого разделения кто за что отвечает" -респпект)))
            +1

            Комментарий


            • #7
              Сообщение от udarov Посмотреть сообщение
              Например политика антивирусной защиты есть! можно поручить это ИТ-кам, но получается что над ними новый чел будет который будет их терзать за их не радивость!!! ИТ-директор уже взбрыкнул!
              Правильно взбрыкнул. Терзать за нерадивость может только руководитель соответствующего департамента. Если вы отдаете управление антивирями It-шникам, то за собой вы оставляете право оконтроля и оценки. На основании вашей оценки либо IT-директор будет терзать подчиненных, либо соответствующий топ - IT-директора. Но никак не вы

              Принцип единоначалия, знаете ли

              Сообщение от udarov Посмотреть сообщение
              тоже стало вырисовываться с сменой паролей и политикой соответствующей...
              Та же фигня

              Сообщение от udarov Посмотреть сообщение
              кстати когда я топам заикнулся про комитет по ИБ ... они долго думали морщили извилины которыми сидят и сказали что они сомневаются в его необходимости ))))
              Комитет по ИБ нужен тогда, когда есть вопросы, которые никто, кроме такого комитета решит не может. Еслди вы такие вопросы придумаете, сомневаться никто не будет.

              На практике комитет по ИБ - это, чаще всего даже не орган управления. Это некий перечень лиц, до которых вы как CISO доводите те или иные вопросы ИБ. Это не обязательно ежемесячные собрания - часто достаточно просто переписки по электронной почте. Обычно просто пишется короткая процедура, описывающая:
              - кого вы привлекаете к решению вопросов ИБ
              - кто имеет право совещательного голоса, а кого вы просто информируете
              - как вы учитываете их мнение, предлагая решение
              - кто принимает решение.

              Такую структуру в вполне можете считать комитетом по ИБ.

              Сообщение от udarov Посмотреть сообщение
              раньше удавалось (респект мне и уважуха) внедрять и политики и всем остальным рулить но именно будучи отдельно взятым экспертом поручая задачи ИТ-кам...
              Прямо сама скромность Привыкайте к тому, что теперь вы не ITшник и поручать задачи самостоятельно не можете. Теперь вам рипдется действовать убеждением.

              Сообщение от udarov Посмотреть сообщение
              новая работа в неадекватной компании, я сам в шоке! но раз назвался груздем так ...
              Компания, скорее всего, вполне адекватная, просто вы себе пока нместо в ней не создали. Если не сломаетесь, то через год при адекватных действиях с вашей стороны ситуация начнет меняться. На более быыстрый успех даже не рассчитывайте.

              Сообщение от udarov Посмотреть сообщение
              ВСЕ-ТАКИ ПЛИЗ КАМЕНТЫ! Я УЖЕ ЯЗЫК ОББИЛ ДОКАЗЫВАЯ... уже и сам не пойму ciso я тут или кто!
              Вы просто не стой стороны к проблеме подошли. Не нужно рассказывать, как делать правильно, нужно решать конкретные задачи.

              Вот смотрите - у вас "одни кричат покупаем такой софт, другие кричат покупаем другой софт". Такой ситуации просто не должно быть. Есть два предложения, оба имеют право на существование, у каждого есть плюсы и минусы. Ваша задача (как крайнего) эти продукты сравнить и продемонстрировать плюсы и минусы. Если так получилось, что ваше слово не последнее, то вы можете только договариваться. Если договориться не можете - решение оставляется соответствующему топу.

              Просто держите в голове, что CISO - однюдь не крайнее звено в принятии решений по безопасности. Иногда бизнес готов поступиться безопасностью ради других интересов. Ваша задача - сделать так, чтобы это решение было осознанным, и чтобы бизнес ясно понимал, чем рискует.

              Комментарий

              Пользователи, просматривающие эту тему

              Свернуть

              Присутствует 1. Участников: 0, гостей: 1.

              Обработка...
              X