7 марта, воскресенье 04:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Начальник отдела ИБ. Кто он?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Начальник отдела ИБ. Кто он?

    Добрый день.
    Есть ли какие-то требования по образованию и опыту работы к этой должности?
    Где в НПА есть какие требования?

  • #2
    Знаю только про требования ФСБ, о том, что должно быть либо профильное высшее образование, либо, если высшее не профильное, то должен быть пройден курсы повышения квалификации по программе согласованной с ФСБ (такие курсы много контор проводит). Также должен быть стаж работы по специальности 5 лет. Но все это только в том случае если необходимо получение лицензий ФСБ.

    Комментарий


    • #3
      В СТО БР ИББС целая туча требований к службе ИБ, оттуда и выводите...

      Комментарий


      • #4
        Нет в НПА таких требований

        Комментарий


        • #5
          Как правило можно встретить ошибку, когда к начальникам предъявляют требования, как к техническим специалистам.
          Начальник прежде всего должен быть хорошим менеджером, управленцем.

          Комментарий


          • #6
            OLit,
            +1.
            Ну, конечно, со знанием дела

            Комментарий


            • #7
              ИМХО. Плох тот ИБначальник, который не разбирается в тех. вопросе (Сети/ОС/Комп. без.), хотя бы на уровне студента 3-го курса 8) Он не будет эффективным менеджером хотя бы потому, что не понимает как работает (ну хотя бы базово!) то, чем управляет.

              Комментарий


              • #8
                Сообщение от don_huan Посмотреть сообщение
                ИМХО. Плох тот ИБначальник, который не разбирается в тех. вопросе (Сети/ОС/Комп. без.), хотя бы на уровне студента 3-го курса 8) Он не будет эффективным менеджером хотя бы потому, что не понимает как работает (ну хотя бы базово!) то, чем управляет.
                А он управляет не техсредствами, что характерно.

                Комментарий


                • #9
                  Зато процессами, которые, в том числе, должны обеспечиваться "тех. средствами" и часть угроз связанна с "тех. средствами", а кроме того в банках большая часть бизнеса завязана на "тех. средствах".

                  Вообще я хотел просто выразить мысль, что из одинаковых в плане качеств по менеджменту и управлению начальников по ИБ лучше тот, который разберется не только в своем управленческом деле, но и в под-профильном. Он же не просто начальник, а по ИБ. И - информация. 90% информации это компутеры, сети и прочая "магия". Так вот если он в этой магии хотя бы разбирается на адекватном уровне (учитывая свои обязанности), то это огромный +. В противном случае, будет тратится больше времени на объяснение чего либо "технического" такому начальнику, а потеря времени - не эффективно 8)

                  Комментарий


                  • #10
                    Сообщение от don_huan Посмотреть сообщение
                    Он же не просто начальник, а по ИБ. И - информация. 90% информации это компутеры, сети и прочая "магия". Так вот если он в этой магии хотя бы разбирается на адекватном уровне (учитывая свои обязанности), то это огромный +.
                    Предположу, что 90% информации - это все-таки бумаги ;-) И только 10% - компутеры, сети и прочая "магия". На эту тему несколько лет на Западе шла дискуссия, почему CIO называет себя CIO, хотя на самом деле он должен быть CITO. Ведь он управляет не информацией, а ИТ.

                    Комментарий


                    • #11
                      Ладно, пусть 10% - IT, все же я в те 90% не лезу, могу про них и не знать.... Все равно, почему-то на подсознательном уровне, "ИБ" тянет в сторонку IT... может чисто моя проблема восприятия 8) Тем не менее это не меняет сути - чем больше начальник шарит в этих 10%, тем эффективнее он будет в управлении ИБ этой части.

                      Комментарий


                      • #12
                        Начальник ИБ, это конечно 90% - бумаги, которые на те же 90-70% регламентируют действия с техникой и процессами, которые эта техника обеспечивает. Поэтому начальнику ИБ ничего знать о сфере регламентации не следует. Ярчайший пример такого управления - Саяно-Шушенская ГЭС. Главное - подписать бумаги. Другие примеры, Алексей Лукацкий, приведите сами. Полагаю, что Первопристольной таких примеров не один.

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          А он управляет не техсредствами, что характерно.
                          Это да, начальник ИБ управляет людьми, которые работают с техсредствами.
                          Другой пример вспомнил. Конечно, пример не полностью проецируется на начальника ИБ, однако.
                          Этот пример - ФЗ-152.
                          А теперь доказывайте, что начальник ИБ - это манагер и обязан не знать сферу в которой он работает.

                          Комментарий


                          • #14
                            Сообщение от OLit Посмотреть сообщение
                            Как правило можно встретить ошибку, когда к начальникам предъявляют требования, как к техническим специалистам.
                            Начальник прежде всего должен быть хорошим менеджером, управленцем.
                            Т.е. Вы считаете, что знания в сфере управления и знания в технической сфере не могут и не должны совмещаться в начальнике?
                            Вопрос риторический и ответа не требует.

                            Комментарий


                            • #15
                              Вопрос в соотношении этих знаний. Когда в компании в отделе ИБ всего два человека - начальник и специалист, то вопрос "манагер или технарь" даже не стоит. Но если говорить о крупной компании, то технические навыки все менее важны и важны становятся совсем другие знания и умения. Спор бессмысленный - я работал в компаниях с 30 сотрудниками (где ИБ не было вовсем и эта задача лежала на админе) и с 70000 сотрудников, где CISO входит в топ-менеджмент и его основная компетенция управление рисками, работа с людьми, управление программой ИБ, донесение до остальных топ-менеджеров важности темы ИБ и т.д. Технически он грамотен, но на очень высоком уровне - в детали он не погружается, да ему и не надо - у него подчиненные руководители направлений и проектов есть

                              Комментарий


                              • #16
                                Никто и не говорил о глубоких знаниях. Мы говорим про базовые вещи. Их знать стоит, и в требования включать их надо. А когда начальник не знает основ IT и КБ, то тяжко что-то объяснять, то же "риск". Могу выложить цитату...

                                Ответ на письмо, что в ПО есть ошибка типа переполнения буфера в стеке, если изменить параметры содержимого конфиг файла на диске (шаре).

                                CVSS2: 5.4AV:L/AC:H/Au:S/C:C/I:C/A:C/E:P/RL:U/RC:C


                                "
                                А на самом деле последствием уязвимости является всего лишь тот факт, что клиентская программа с измененной конфигурацией просто не загрузится. По существу может выполниться не произвольный код, как у вас написано, а код в рамках запущенного процесса, т.е. код приложения. Пока трудно представить себе, как это можно сделать. Если уж на машине есть троян, гораздо проще украсть ключи.

                                С уважением,
                                технический директор ЗАО "**************"
                                ******** *******
                                "

                                Конечно директор прав, что что если ПК захвачен, то проще сразу ключи тырить, чем что-то атаковать через изменения локальной конфигурации, но суть не в этом, во-первых по опыту работы с этим ПО - конфиг-файл типовой и он тупо копируется с шары при развертывании новой машины, поэтому моя идея была в том, что можно внутри конфига запрятать эксплойт , который выполняет произвольный код- вредоносный. Но это лирика, суть в том, что директор не знаком с тем, что я описываю, какую ошибку, какие могут быть последствия и как может быть выполнен вредоносный код. Да и вообще не должно быть таких ошибок в банковском софте. После очередной попытки объяснить что такое BoF, получаю короткое и последнее письмо:

                                "
                                В контексте процесса name.exe нельзя выполнить ПРОИЗВОЛЬНЫЙ код, только код name.exe.

                                С уважением,
                                ****** *****
                                "

                                Короче базовые вещи знать надо....

                                Комментарий


                                • #17
                                  Да, Алексей, спор действительно глупый. Потому как руководитель ИБ, имеющий подчиненных руководителей направлений, обязан владеть темой, иначе не сможет подобрать руководителей направлений. ТОП-манагер по ИБ, не разбирающийся в теме, подберет таких же толстолобиков и на направления. Ну а если окажется на таком месте руководитель подобраный не им, а предшественником - то позаботится об его удалении.
                                  Спор действительно глупый, потому как примеров противоположных написанному найти не могу.

                                  Комментарий


                                  • #18
                                    Хороший и талантливый руководитель всегда толково организует работу своего подразделения, подберет соответствующих "узких"специалистов. Он прежде всего должен знать базовые вещи управления. Это его и отличает от руководителя-технаря, который вместо руководства подразделением будет лезть в каждую дырку. Кстати последних можно встретить все чаще и чаще. Бывшие сисадмины, которые ни мысль сформулировать не могут, ни бумажку написать. Без обид.

                                    А вас послушать, так президент государства должен иметь базовые знания по операции на митральном клапане, а то не сможет подобрать министра здравоохранения.

                                    Комментарий


                                    • #19
                                      OLit, +100

                                      Комментарий


                                      • #20
                                        Так все ж - начальник чего?
                                        Отдела, Управления, Департамента? Или ...
                                        Мне кажется все зависит от величины пирамиды.
                                        Если у этого начальника под ним всего ничего - то он должен многое знать и о многом иметь представление.

                                        Комментарий


                                        • #21
                                          Президент не управляет операциями на сердце. И не заведует отделением хирургии и кардиологии. Он просто говорит - "Медицина это круто. Надо поддерживать медицину. Сделайте там что-нибудь, что бы врачи не жаловались и были счастливы." (этот пример не является цитатой а лишь, пытается сравнительно показать уровень вмешательства президента в дела медицины). Таким образом, в аналогии выгодно сравнить с президентом "председателя правления", а не начальника по ИБ. А вот начальника по ИБ выгодно сравнить с управляющим отделением кардиологии или с директором больницы(не знаю есть ли такая должность, но уверен, что они в медицине шарят, а не только в том, как управлять). Так что Ваш пример - не хорош со всеми выводами.

                                          Комментарий


                                          • #22
                                            Дон, похоже обсуждаемый вами тип начальника отдела, это человек, который руководит собой и максимум "еще вон тем парнем". В этом случае все сказанное вами справедливо. Но это "фиктивный" руководитель, поскольку реально никем не руководит
                                            Вообще представление о руководстве и о том, кто что должен знать резко меняется, когда "под тобой" оказывается хотя бы человек 10-20

                                            Комментарий


                                            • #23
                                              Не-не-не. Я говорю про ЗНАНИЯ в голове. Про опыт. Про понимание. а не про вмешательство в непосредственные дела. От уровня пирамиды зависит уровень погружения Начальника в практическую часть дела. НО это не значит, что при высокой пирамиде, Начальник по ИБ не должен ОБЛАДАТЬ базовыми знаниями по IT/IT.Sec. Это необходимо. Более того, он так же должен следить за развитием этой шараги, за новыми угрозами. трендами и общими фичами. Понятно. что вникать в детали или разбираться с каждой ерундой - нет времени и не для него это. Но быть в курсе и шарить - обязан. Пример я привел ниже из реальной перепиской с Тех. директором. Вот так неззя. Вот я о чем...
                                              И как пример - http://www.csoonline.com/article/221...urity-officer- - это требования к CSO. Возможно скорее к CISO, но сть та же - см. последнюю строку там -
                                              Must have a solid understanding of information technology and information security.
                                              .

                                              Комментарий


                                              • #24
                                                Осталось только определиться с тем базовым минимумом, который должен быть у руководителя ИБ ;-)

                                                Комментарий


                                                • #25
                                                  руководителями не рождаются, руководителями становятся (с)
                                                  И не спроста существует такое понятие как карьерный рост.
                                                  Придерживаюсь мысли, что нормальный руководитель должен пройти большинство ступеней карьерной лестницы в одной профессии, от специалиста до CISO.
                                                  Вопрос только в том, какая стартовая площадка лучше - специалист в ИТ или непосредственно в ИБ.

                                                  а негативных примеров, когда человека назначают руководить из другой проф.сферы, масса...
                                                  Да пребудет с тобой Сила!

                                                  Комментарий


                                                  • #26
                                                    OLit,
                                                    Сообщение от OLit Посмотреть сообщение
                                                    Хороший и талантливый руководитель всегда толково организует работу своего подразделения, подберет соответствующих "узких"специалистов. Он прежде всего должен знать базовые вещи управления. Это его и отличает от руководителя-технаря, который вместо руководства подразделением будет лезть в каждую дырку.
                                                    Ага. Это как Михаил Прохоров руководит российским биатлоном, типичный пример.
                                                    Или как при совке любой коммунист-управленец мог руководить хоть чем - хоть домом культуры, хоть заводом по производству валенок, хоть колхозом. Эффект от знания "базовых вещей управления" всегда был одинаковый. Т.е. никакой...
                                                    Mina ainult õlu armastan! (rahva Eesti)

                                                    Комментарий


                                                    • #27
                                                      Сообщение от !Сергуня Посмотреть сообщение
                                                      OLit,

                                                      Ага. Это как Михаил Прохоров руководит российским биатлоном, типичный пример.
                                                      Или как при совке любой коммунист-управленец мог руководить хоть чем - хоть домом культуры, хоть заводом по производству валенок, хоть колхозом. Эффект от знания "базовых вещей управления" всегда был одинаковый. Т.е. никакой...
                                                      А что там с Прохоровым и биатлоном? Предложил системный подход для развития спорта вместо поиска виновных и постоянных замен одних бестолковых руководителей на других?
                                                      Так давно пора. Хотя можно щеки и дальше надувать.

                                                      А насчет совка. Похоже у вас просто аллергия на то время. Всех под одну гребенку собрали. А как раз в советское время чаще всего применялась модель карьерного роста от доярки в руководители колхоза (довоенное время опустим для ясности). И на 1000 таких вот доярок ставших у руля единицы обладали способностями руководить коллективом и производством. Переход к псевдорыночной экономике быстро отфильтровал таких.

                                                      з.ы. В мои годы работы в одним НИИ постоянно обсуждалась проблема назначения одного из ведущих инженеров директором. Неожиданно, непонятно, а аргумент - дык дескать талантливый больно. Говорить научился, воровать тоже, а руководить увы. В итоге и толкового инженера предприятие потеряло и руководителя не приобрело.

                                                      Ладно, полемика бессмысленная. Каждый все равно при своем останется.

                                                      Комментарий


                                                      • #28
                                                        OLit,
                                                        Сообщение от OLit Посмотреть сообщение
                                                        А что там с Прохоровым и биатлоном?
                                                        А Вы не в теме?
                                                        Сообщение от OLit Посмотреть сообщение
                                                        Предложил системный подход для развития спорта вместо поиска виновных и постоянных замен одних бестолковых руководителей на других?
                                                        Так давно пора.
                                                        Это делается на уровне детского и юношеского спорта. А не на уровне обеспечения результата взрослыми дядями и тетями. Особенно когда они перестали сей результат обеспечивать (хотя до Прохорова обеспечивали).

                                                        Сообщение от OLit Посмотреть сообщение
                                                        как раз в советское время чаще всего применялась модель карьерного роста от доярки в руководители колхоза (довоенное время опустим для ясности).
                                                        Ага. Не пройдет и 100 лет, как доярка станет руководителем колхоза. По-моему, чаще всего была модель - "комсомольский деятель - совпартшкола - руководитель хоть чего". За пару-тройку лет. Вы, наверное, тогда еще не жили сознательно. А я жил и видел это повсюду.

                                                        Сообщение от OLit Посмотреть сообщение
                                                        Ладно, полемика бессмысленная. Каждый все равно при своем останется.
                                                        И то верно
                                                        Mina ainult õlu armastan! (rahva Eesti)

                                                        Комментарий


                                                        • #29
                                                          Любая крайность вредна. Я, например, не утверждал, что начальник не должен уметь управлять. Поэтом примеры типа инженер->начальник->караул! так же верны и опасны. Нельзя ставить ПРОСТО инженера управлять чем-то. потому что он должен знать как строить процессы, как эффективно влиять на то или на это с целью получения результата и многое другое, а не только шарить в предмете. Ещё раз, хороший начальник по ИБ должен уметь хорошо управлять, понимать процессы, цели, желания других и свои задачи, должен уметь грамотно и четко объяснять вопросы и задачи (как вниз, так и на верх), шарить в законах, бумагах, быть коммуникабельным, иметь хорошие-базовые познания как в теории ИБ, так и понимать практически как это работает (в основе, включая и IT). Ну и многое другое... ссылка все та же Вот. А зачем крайности - начальник по ИБ не шарит в ИТ и ИБ, зато умеет управлять? Он так же не эффективен, как и начальник по ИБ, который мыслит как сис. админ.

                                                          Комментарий


                                                          • #30
                                                            don_huan,
                                                            Сообщение от don_huan Посмотреть сообщение
                                                            А зачем крайности - начальник по ИБ не шарит в ИТ и ИБ, зато умеет управлять? Он так же не эффективен, как и начальник по ИБ, который мыслит как сис. админ.
                                                            Золотые слова! Это и есть главный вывод.

                                                            А единого рецепта нет, хоть мы все тут заобсуждаемся...
                                                            Mina ainult õlu armastan! (rahva Eesti)

                                                            Комментарий

                                                            Обработка...
                                                            X