14 апреля, среда 23:49
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Начальник отдела ИБ. Кто он?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • sanpriv
    Участник создал тему Начальник отдела ИБ. Кто он?

    Начальник отдела ИБ. Кто он?

    Добрый день.
    Есть ли какие-то требования по образованию и опыту работы к этой должности?
    Где в НПА есть какие требования?

  • Dmitry leviev
    Участник ответил
    Начальник ИБ Банка - психолог, политик, менеджер, юрист, админ в одном флаконе. Перечисление дано согласно букве закона - первым указываем чего больше.
    На практике все зависит от разделения обязанностей.
    У большинства коллег из Банков теперь огромный вопрос - статью 22.1 152-ФЗ вешают на начальника ИБ и о радость подчиняют напрямую Председателю Правления, но мало кто рад этому.

    Прокомментировать:


  • Turkish
    Участник ответил
    Ещё раз, хороший начальник по ИБ должен уметь хорошо управлять, понимать процессы, цели, желания других и свои задачи, должен уметь грамотно и четко объяснять вопросы и задачи (как вниз, так и на верх), шарить в законах, бумагах, быть коммуникабельным, иметь хорошие-базовые познания как в теории ИБ, так и понимать практически как это работает (в основе, включая и IT). Ну и многое другое...
    В современной систем образования в России есть такая специальность - менеджмент.
    По идее на нее и должен поступать человек, который имеет одну (базовую профессию) и только потом(!) обучается непосредственно менеджменту...
    Но здесь возникает другой вопрос, что наше заочное образование так сильно теперь дискредитировано... а очно, увы, 27 лет - потолок (по закону об образовании)

    зы: Еще можно добавить, что руководителем быть дано не каждому... способности должны быть незаурядными, а не только знания (как предметные, так и управленческие)...

    Прокомментировать:


  • !Сергуня
    Участник ответил
    don_huan,
    Сообщение от don_huan Посмотреть сообщение
    А зачем крайности - начальник по ИБ не шарит в ИТ и ИБ, зато умеет управлять? Он так же не эффективен, как и начальник по ИБ, который мыслит как сис. админ.
    Золотые слова! Это и есть главный вывод.

    А единого рецепта нет, хоть мы все тут заобсуждаемся...

    Прокомментировать:


  • don_huan
    Участник ответил
    Любая крайность вредна. Я, например, не утверждал, что начальник не должен уметь управлять. Поэтом примеры типа инженер->начальник->караул! так же верны и опасны. Нельзя ставить ПРОСТО инженера управлять чем-то. потому что он должен знать как строить процессы, как эффективно влиять на то или на это с целью получения результата и многое другое, а не только шарить в предмете. Ещё раз, хороший начальник по ИБ должен уметь хорошо управлять, понимать процессы, цели, желания других и свои задачи, должен уметь грамотно и четко объяснять вопросы и задачи (как вниз, так и на верх), шарить в законах, бумагах, быть коммуникабельным, иметь хорошие-базовые познания как в теории ИБ, так и понимать практически как это работает (в основе, включая и IT). Ну и многое другое... ссылка все та же Вот. А зачем крайности - начальник по ИБ не шарит в ИТ и ИБ, зато умеет управлять? Он так же не эффективен, как и начальник по ИБ, который мыслит как сис. админ.

    Прокомментировать:


  • !Сергуня
    Участник ответил
    OLit,
    Сообщение от OLit Посмотреть сообщение
    А что там с Прохоровым и биатлоном?
    А Вы не в теме?
    Сообщение от OLit Посмотреть сообщение
    Предложил системный подход для развития спорта вместо поиска виновных и постоянных замен одних бестолковых руководителей на других?
    Так давно пора.
    Это делается на уровне детского и юношеского спорта. А не на уровне обеспечения результата взрослыми дядями и тетями. Особенно когда они перестали сей результат обеспечивать (хотя до Прохорова обеспечивали).

    Сообщение от OLit Посмотреть сообщение
    как раз в советское время чаще всего применялась модель карьерного роста от доярки в руководители колхоза (довоенное время опустим для ясности).
    Ага. Не пройдет и 100 лет, как доярка станет руководителем колхоза. По-моему, чаще всего была модель - "комсомольский деятель - совпартшкола - руководитель хоть чего". За пару-тройку лет. Вы, наверное, тогда еще не жили сознательно. А я жил и видел это повсюду.

    Сообщение от OLit Посмотреть сообщение
    Ладно, полемика бессмысленная. Каждый все равно при своем останется.
    И то верно

    Прокомментировать:


  • OLit
    Участник ответил
    Сообщение от !Сергуня Посмотреть сообщение
    OLit,

    Ага. Это как Михаил Прохоров руководит российским биатлоном, типичный пример.
    Или как при совке любой коммунист-управленец мог руководить хоть чем - хоть домом культуры, хоть заводом по производству валенок, хоть колхозом. Эффект от знания "базовых вещей управления" всегда был одинаковый. Т.е. никакой...
    А что там с Прохоровым и биатлоном? Предложил системный подход для развития спорта вместо поиска виновных и постоянных замен одних бестолковых руководителей на других?
    Так давно пора. Хотя можно щеки и дальше надувать.

    А насчет совка. Похоже у вас просто аллергия на то время. Всех под одну гребенку собрали. А как раз в советское время чаще всего применялась модель карьерного роста от доярки в руководители колхоза (довоенное время опустим для ясности). И на 1000 таких вот доярок ставших у руля единицы обладали способностями руководить коллективом и производством. Переход к псевдорыночной экономике быстро отфильтровал таких.

    з.ы. В мои годы работы в одним НИИ постоянно обсуждалась проблема назначения одного из ведущих инженеров директором. Неожиданно, непонятно, а аргумент - дык дескать талантливый больно. Говорить научился, воровать тоже, а руководить увы. В итоге и толкового инженера предприятие потеряло и руководителя не приобрело.

    Ладно, полемика бессмысленная. Каждый все равно при своем останется.

    Прокомментировать:


  • !Сергуня
    Участник ответил
    OLit,
    Сообщение от OLit Посмотреть сообщение
    Хороший и талантливый руководитель всегда толково организует работу своего подразделения, подберет соответствующих "узких"специалистов. Он прежде всего должен знать базовые вещи управления. Это его и отличает от руководителя-технаря, который вместо руководства подразделением будет лезть в каждую дырку.
    Ага. Это как Михаил Прохоров руководит российским биатлоном, типичный пример.
    Или как при совке любой коммунист-управленец мог руководить хоть чем - хоть домом культуры, хоть заводом по производству валенок, хоть колхозом. Эффект от знания "базовых вещей управления" всегда был одинаковый. Т.е. никакой...

    Прокомментировать:


  • Turkish
    Участник ответил
    руководителями не рождаются, руководителями становятся (с)
    И не спроста существует такое понятие как карьерный рост.
    Придерживаюсь мысли, что нормальный руководитель должен пройти большинство ступеней карьерной лестницы в одной профессии, от специалиста до CISO.
    Вопрос только в том, какая стартовая площадка лучше - специалист в ИТ или непосредственно в ИБ.

    а негативных примеров, когда человека назначают руководить из другой проф.сферы, масса...

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Осталось только определиться с тем базовым минимумом, который должен быть у руководителя ИБ ;-)

    Прокомментировать:


  • don_huan
    Участник ответил
    Не-не-не. Я говорю про ЗНАНИЯ в голове. Про опыт. Про понимание. а не про вмешательство в непосредственные дела. От уровня пирамиды зависит уровень погружения Начальника в практическую часть дела. НО это не значит, что при высокой пирамиде, Начальник по ИБ не должен ОБЛАДАТЬ базовыми знаниями по IT/IT.Sec. Это необходимо. Более того, он так же должен следить за развитием этой шараги, за новыми угрозами. трендами и общими фичами. Понятно. что вникать в детали или разбираться с каждой ерундой - нет времени и не для него это. Но быть в курсе и шарить - обязан. Пример я привел ниже из реальной перепиской с Тех. директором. Вот так неззя. Вот я о чем...
    И как пример - http://www.csoonline.com/article/221...urity-officer- - это требования к CSO. Возможно скорее к CISO, но сть та же - см. последнюю строку там -
    Must have a solid understanding of information technology and information security.
    .

    Прокомментировать:


  • OLit
    Участник ответил
    Дон, похоже обсуждаемый вами тип начальника отдела, это человек, который руководит собой и максимум "еще вон тем парнем". В этом случае все сказанное вами справедливо. Но это "фиктивный" руководитель, поскольку реально никем не руководит
    Вообще представление о руководстве и о том, кто что должен знать резко меняется, когда "под тобой" оказывается хотя бы человек 10-20

    Прокомментировать:


  • don_huan
    Участник ответил
    Президент не управляет операциями на сердце. И не заведует отделением хирургии и кардиологии. Он просто говорит - "Медицина это круто. Надо поддерживать медицину. Сделайте там что-нибудь, что бы врачи не жаловались и были счастливы." (этот пример не является цитатой а лишь, пытается сравнительно показать уровень вмешательства президента в дела медицины). Таким образом, в аналогии выгодно сравнить с президентом "председателя правления", а не начальника по ИБ. А вот начальника по ИБ выгодно сравнить с управляющим отделением кардиологии или с директором больницы(не знаю есть ли такая должность, но уверен, что они в медицине шарят, а не только в том, как управлять). Так что Ваш пример - не хорош со всеми выводами.

    Прокомментировать:


  • VSolon
    Участник ответил
    Так все ж - начальник чего?
    Отдела, Управления, Департамента? Или ...
    Мне кажется все зависит от величины пирамиды.
    Если у этого начальника под ним всего ничего - то он должен многое знать и о многом иметь представление.

    Прокомментировать:


  • surfer
    Участник ответил
    OLit, +100

    Прокомментировать:


  • OLit
    Участник ответил
    Хороший и талантливый руководитель всегда толково организует работу своего подразделения, подберет соответствующих "узких"специалистов. Он прежде всего должен знать базовые вещи управления. Это его и отличает от руководителя-технаря, который вместо руководства подразделением будет лезть в каждую дырку. Кстати последних можно встретить все чаще и чаще. Бывшие сисадмины, которые ни мысль сформулировать не могут, ни бумажку написать. Без обид.

    А вас послушать, так президент государства должен иметь базовые знания по операции на митральном клапане, а то не сможет подобрать министра здравоохранения.

    Прокомментировать:


  • Идущий
    Участник ответил
    Да, Алексей, спор действительно глупый. Потому как руководитель ИБ, имеющий подчиненных руководителей направлений, обязан владеть темой, иначе не сможет подобрать руководителей направлений. ТОП-манагер по ИБ, не разбирающийся в теме, подберет таких же толстолобиков и на направления. Ну а если окажется на таком месте руководитель подобраный не им, а предшественником - то позаботится об его удалении.
    Спор действительно глупый, потому как примеров противоположных написанному найти не могу.

    Прокомментировать:


  • don_huan
    Участник ответил
    Никто и не говорил о глубоких знаниях. Мы говорим про базовые вещи. Их знать стоит, и в требования включать их надо. А когда начальник не знает основ IT и КБ, то тяжко что-то объяснять, то же "риск". Могу выложить цитату...

    Ответ на письмо, что в ПО есть ошибка типа переполнения буфера в стеке, если изменить параметры содержимого конфиг файла на диске (шаре).

    CVSS2: 5.4AV:L/AC:H/Au:S/C:C/I:C/A:C/E:P/RL:U/RC:C


    "
    А на самом деле последствием уязвимости является всего лишь тот факт, что клиентская программа с измененной конфигурацией просто не загрузится. По существу может выполниться не произвольный код, как у вас написано, а код в рамках запущенного процесса, т.е. код приложения. Пока трудно представить себе, как это можно сделать. Если уж на машине есть троян, гораздо проще украсть ключи.

    С уважением,
    технический директор ЗАО "**************"
    ******** *******
    "

    Конечно директор прав, что что если ПК захвачен, то проще сразу ключи тырить, чем что-то атаковать через изменения локальной конфигурации, но суть не в этом, во-первых по опыту работы с этим ПО - конфиг-файл типовой и он тупо копируется с шары при развертывании новой машины, поэтому моя идея была в том, что можно внутри конфига запрятать эксплойт , который выполняет произвольный код- вредоносный. Но это лирика, суть в том, что директор не знаком с тем, что я описываю, какую ошибку, какие могут быть последствия и как может быть выполнен вредоносный код. Да и вообще не должно быть таких ошибок в банковском софте. После очередной попытки объяснить что такое BoF, получаю короткое и последнее письмо:

    "
    В контексте процесса name.exe нельзя выполнить ПРОИЗВОЛЬНЫЙ код, только код name.exe.

    С уважением,
    ****** *****
    "

    Короче базовые вещи знать надо....

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Вопрос в соотношении этих знаний. Когда в компании в отделе ИБ всего два человека - начальник и специалист, то вопрос "манагер или технарь" даже не стоит. Но если говорить о крупной компании, то технические навыки все менее важны и важны становятся совсем другие знания и умения. Спор бессмысленный - я работал в компаниях с 30 сотрудниками (где ИБ не было вовсем и эта задача лежала на админе) и с 70000 сотрудников, где CISO входит в топ-менеджмент и его основная компетенция управление рисками, работа с людьми, управление программой ИБ, донесение до остальных топ-менеджеров важности темы ИБ и т.д. Технически он грамотен, но на очень высоком уровне - в детали он не погружается, да ему и не надо - у него подчиненные руководители направлений и проектов есть

    Прокомментировать:


  • Идущий
    Участник ответил
    Сообщение от OLit Посмотреть сообщение
    Как правило можно встретить ошибку, когда к начальникам предъявляют требования, как к техническим специалистам.
    Начальник прежде всего должен быть хорошим менеджером, управленцем.
    Т.е. Вы считаете, что знания в сфере управления и знания в технической сфере не могут и не должны совмещаться в начальнике?
    Вопрос риторический и ответа не требует.

    Прокомментировать:


  • Идущий
    Участник ответил
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    А он управляет не техсредствами, что характерно.
    Это да, начальник ИБ управляет людьми, которые работают с техсредствами.
    Другой пример вспомнил. Конечно, пример не полностью проецируется на начальника ИБ, однако.
    Этот пример - ФЗ-152.
    А теперь доказывайте, что начальник ИБ - это манагер и обязан не знать сферу в которой он работает.

    Прокомментировать:


  • Идущий
    Участник ответил
    Начальник ИБ, это конечно 90% - бумаги, которые на те же 90-70% регламентируют действия с техникой и процессами, которые эта техника обеспечивает. Поэтому начальнику ИБ ничего знать о сфере регламентации не следует. Ярчайший пример такого управления - Саяно-Шушенская ГЭС. Главное - подписать бумаги. Другие примеры, Алексей Лукацкий, приведите сами. Полагаю, что Первопристольной таких примеров не один.

    Прокомментировать:


  • don_huan
    Участник ответил
    Ладно, пусть 10% - IT, все же я в те 90% не лезу, могу про них и не знать.... Все равно, почему-то на подсознательном уровне, "ИБ" тянет в сторонку IT... может чисто моя проблема восприятия 8) Тем не менее это не меняет сути - чем больше начальник шарит в этих 10%, тем эффективнее он будет в управлении ИБ этой части.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от don_huan Посмотреть сообщение
    Он же не просто начальник, а по ИБ. И - информация. 90% информации это компутеры, сети и прочая "магия". Так вот если он в этой магии хотя бы разбирается на адекватном уровне (учитывая свои обязанности), то это огромный +.
    Предположу, что 90% информации - это все-таки бумаги ;-) И только 10% - компутеры, сети и прочая "магия". На эту тему несколько лет на Западе шла дискуссия, почему CIO называет себя CIO, хотя на самом деле он должен быть CITO. Ведь он управляет не информацией, а ИТ.

    Прокомментировать:


  • don_huan
    Участник ответил
    Зато процессами, которые, в том числе, должны обеспечиваться "тех. средствами" и часть угроз связанна с "тех. средствами", а кроме того в банках большая часть бизнеса завязана на "тех. средствах".

    Вообще я хотел просто выразить мысль, что из одинаковых в плане качеств по менеджменту и управлению начальников по ИБ лучше тот, который разберется не только в своем управленческом деле, но и в под-профильном. Он же не просто начальник, а по ИБ. И - информация. 90% информации это компутеры, сети и прочая "магия". Так вот если он в этой магии хотя бы разбирается на адекватном уровне (учитывая свои обязанности), то это огромный +. В противном случае, будет тратится больше времени на объяснение чего либо "технического" такому начальнику, а потеря времени - не эффективно 8)

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Сообщение от don_huan Посмотреть сообщение
    ИМХО. Плох тот ИБначальник, который не разбирается в тех. вопросе (Сети/ОС/Комп. без.), хотя бы на уровне студента 3-го курса 8) Он не будет эффективным менеджером хотя бы потому, что не понимает как работает (ну хотя бы базово!) то, чем управляет.
    А он управляет не техсредствами, что характерно.

    Прокомментировать:


  • don_huan
    Участник ответил
    ИМХО. Плох тот ИБначальник, который не разбирается в тех. вопросе (Сети/ОС/Комп. без.), хотя бы на уровне студента 3-го курса 8) Он не будет эффективным менеджером хотя бы потому, что не понимает как работает (ну хотя бы базово!) то, чем управляет.

    Прокомментировать:


  • surfer
    Участник ответил
    OLit,
    +1.
    Ну, конечно, со знанием дела

    Прокомментировать:


  • OLit
    Участник ответил
    Как правило можно встретить ошибку, когда к начальникам предъявляют требования, как к техническим специалистам.
    Начальник прежде всего должен быть хорошим менеджером, управленцем.

    Прокомментировать:


  • Алексей Лукацкий
    Участник ответил
    Нет в НПА таких требований

    Прокомментировать:

Обработка...
X