Добрый день.
Есть ли какие-то требования по образованию и опыту работы к этой должности?
Где в НПА есть какие требования?
-
Начальник ИБ Банка - психолог, политик, менеджер, юрист, админ в одном флаконе. Перечисление дано согласно букве закона - первым указываем чего больше.
На практике все зависит от разделения обязанностей.
У большинства коллег из Банков теперь огромный вопрос - статью 22.1 152-ФЗ вешают на начальника ИБ и о радость подчиняют напрямую Председателю Правления, но мало кто рад этому. -
В современной систем образования в России есть такая специальность - менеджмент.Ещё раз, хороший начальник по ИБ должен уметь хорошо управлять, понимать процессы, цели, желания других и свои задачи, должен уметь грамотно и четко объяснять вопросы и задачи (как вниз, так и на верх), шарить в законах, бумагах, быть коммуникабельным, иметь хорошие-базовые познания как в теории ИБ, так и понимать практически как это работает (в основе, включая и IT). Ну и многое другое...
По идее на нее и должен поступать человек, который имеет одну (базовую профессию) и только потом(!) обучается непосредственно менеджменту...
Но здесь возникает другой вопрос, что наше заочное образование так сильно теперь дискредитировано... а очно, увы, 27 лет - потолок (по закону об образовании)
зы: Еще можно добавить, что руководителем быть дано не каждому... способности должны быть незаурядными, а не только знания (как предметные, так и управленческие)...Прокомментировать:
-
don_huan,
Золотые слова! Это и есть главный вывод.Сообщение от don_huan Посмотреть сообщение
А единого рецепта нет, хоть мы все тут заобсуждаемся...Прокомментировать:
-
Любая крайность вредна. Я, например, не утверждал, что начальник не должен уметь управлять. Поэтом примеры типа инженер->начальник->караул! так же верны и опасны. Нельзя ставить ПРОСТО инженера управлять чем-то. потому что он должен знать как строить процессы, как эффективно влиять на то или на это с целью получения результата и многое другое, а не только шарить в предмете. Ещё раз, хороший начальник по ИБ должен уметь хорошо управлять, понимать процессы, цели, желания других и свои задачи, должен уметь грамотно и четко объяснять вопросы и задачи (как вниз, так и на верх), шарить в законах, бумагах, быть коммуникабельным, иметь хорошие-базовые познания как в теории ИБ, так и понимать практически как это работает (в основе, включая и IT). Ну и многое другое... ссылка все та же
Вот. А зачем крайности - начальник по ИБ не шарит в ИТ и ИБ, зато умеет управлять? Он так же не эффективен, как и начальник по ИБ, который мыслит как сис. админ.
Прокомментировать:
-
OLit,
А Вы не в теме?Сообщение от OLit Посмотреть сообщение
Это делается на уровне детского и юношеского спорта. А не на уровне обеспечения результата взрослыми дядями и тетями. Особенно когда они перестали сей результат обеспечивать (хотя до Прохорова обеспечивали).Сообщение от OLit Посмотреть сообщение
Ага. Не пройдет и 100 лет, как доярка станет руководителем колхоза. По-моему, чаще всего была модель - "комсомольский деятель - совпартшкола - руководитель хоть чего". За пару-тройку лет. Вы, наверное, тогда еще не жили сознательно. А я жил и видел это повсюду.Сообщение от OLit Посмотреть сообщение
И то верноСообщение от OLit Посмотреть сообщениеПрокомментировать:
-
А что там с Прохоровым и биатлоном? Предложил системный подход для развития спорта вместо поиска виновных и постоянных замен одних бестолковых руководителей на других?Сообщение от !Сергуня Посмотреть сообщение
Так давно пора. Хотя можно щеки и дальше надувать.
А насчет совка. Похоже у вас просто аллергия на то время. Всех под одну гребенку собрали. А как раз в советское время чаще всего применялась модель карьерного роста от доярки в руководители колхоза (довоенное время опустим для ясности). И на 1000 таких вот доярок ставших у руля единицы обладали способностями руководить коллективом и производством. Переход к псевдорыночной экономике быстро отфильтровал таких.
з.ы. В мои годы работы в одним НИИ постоянно обсуждалась проблема назначения одного из ведущих инженеров директором. Неожиданно, непонятно, а аргумент - дык дескать талантливый больно. Говорить научился, воровать тоже, а руководить увы. В итоге и толкового инженера предприятие потеряло и руководителя не приобрело.
Ладно, полемика бессмысленная. Каждый все равно при своем останется.Прокомментировать:
-
OLit,
Ага. Это как Михаил Прохоров руководит российским биатлоном, типичный пример.Сообщение от OLit Посмотреть сообщение
Или как при совке любой коммунист-управленец мог руководить хоть чем - хоть домом культуры, хоть заводом по производству валенок, хоть колхозом. Эффект от знания "базовых вещей управления" всегда был одинаковый. Т.е. никакой...Прокомментировать:
-
руководителями не рождаются, руководителями становятся (с)
И не спроста существует такое понятие как карьерный рост.
Придерживаюсь мысли, что нормальный руководитель должен пройти большинство ступеней карьерной лестницы в одной профессии, от специалиста до CISO.
Вопрос только в том, какая стартовая площадка лучше - специалист в ИТ или непосредственно в ИБ.
а негативных примеров, когда человека назначают руководить из другой проф.сферы, масса...
Прокомментировать:
-
Осталось только определиться с тем базовым минимумом, который должен быть у руководителя ИБ ;-)Прокомментировать:
-
Не-не-не. Я говорю про ЗНАНИЯ в голове. Про опыт. Про понимание. а не про вмешательство в непосредственные дела. От уровня пирамиды зависит уровень погружения Начальника в практическую часть дела. НО это не значит, что при высокой пирамиде, Начальник по ИБ не должен ОБЛАДАТЬ базовыми знаниями по IT/IT.Sec. Это необходимо. Более того, он так же должен следить за развитием этой шараги, за новыми угрозами. трендами и общими фичами. Понятно. что вникать в детали или разбираться с каждой ерундой - нет времени и не для него это. Но быть в курсе и шарить - обязан. Пример я привел ниже из реальной перепиской с Тех. директором. Вот так неззя. Вот я о чем...
И как пример - http://www.csoonline.com/article/221...urity-officer- - это требования к CSO. Возможно скорее к CISO, но сть та же - см. последнюю строку там -.Must have a solid understanding of information technology and information security.Прокомментировать:
-
Дон, похоже обсуждаемый вами тип начальника отдела, это человек, который руководит собой и максимум "еще вон тем парнем". В этом случае все сказанное вами справедливо. Но это "фиктивный" руководитель, поскольку реально никем не руководит
Вообще представление о руководстве и о том, кто что должен знать резко меняется, когда "под тобой" оказывается хотя бы человек 10-20
Прокомментировать:
-
Президент не управляет операциями на сердце. И не заведует отделением хирургии и кардиологии. Он просто говорит - "Медицина это круто. Надо поддерживать медицину. Сделайте там что-нибудь, что бы врачи не жаловались и были счастливы." (этот пример не является цитатой а лишь, пытается сравнительно показать уровень вмешательства президента в дела медицины). Таким образом, в аналогии выгодно сравнить с президентом "председателя правления", а не начальника по ИБ. А вот начальника по ИБ выгодно сравнить с управляющим отделением кардиологии или с директором больницы(не знаю есть ли такая должность, но уверен, что они в медицине шарят, а не только в том, как управлять). Так что Ваш пример - не хорош со всеми выводами.Прокомментировать:
-
Так все ж - начальник чего?
Отдела, Управления, Департамента? Или ...
Мне кажется все зависит от величины пирамиды.
Если у этого начальника под ним всего ничего - то он должен многое знать и о многом иметь представление.Прокомментировать:
-
Хороший и талантливый руководитель всегда толково организует работу своего подразделения, подберет соответствующих "узких"специалистов. Он прежде всего должен знать базовые вещи управления. Это его и отличает от руководителя-технаря, который вместо руководства подразделением будет лезть в каждую дырку. Кстати последних можно встретить все чаще и чаще. Бывшие сисадмины, которые ни мысль сформулировать не могут, ни бумажку написать. Без обид.
А вас послушать, так президент государства должен иметь базовые знания по операции на митральном клапане, а то не сможет подобрать министра здравоохранения.Прокомментировать:
-
Да, Алексей, спор действительно глупый. Потому как руководитель ИБ, имеющий подчиненных руководителей направлений, обязан владеть темой, иначе не сможет подобрать руководителей направлений. ТОП-манагер по ИБ, не разбирающийся в теме, подберет таких же толстолобиков и на направления. Ну а если окажется на таком месте руководитель подобраный не им, а предшественником - то позаботится об его удалении.
Спор действительно глупый, потому как примеров противоположных написанному найти не могу.Прокомментировать:
-
Никто и не говорил о глубоких знаниях. Мы говорим про базовые вещи. Их знать стоит, и в требования включать их надо. А когда начальник не знает основ IT и КБ, то тяжко что-то объяснять, то же "риск". Могу выложить цитату...
Ответ на письмо, что в ПО есть ошибка типа переполнения буфера в стеке, если изменить параметры содержимого конфиг файла на диске (шаре).
CVSS2: 5.4AV:L/AC:H/Au:S/C:C/I:C/A:C/E:P/RL:U/RC:C
""А на самом деле последствием уязвимости является всего лишь тот факт, что клиентская программа с измененной конфигурацией просто не загрузится. По существу может выполниться не произвольный код, как у вас написано, а код в рамках запущенного процесса, т.е. код приложения. Пока трудно представить себе, как это можно сделать. Если уж на машине есть троян, гораздо проще украсть ключи.
С уважением,
технический директор ЗАО "**************"
******** *******
Конечно директор прав, что что если ПК захвачен, то проще сразу ключи тырить, чем что-то атаковать через изменения локальной конфигурации, но суть не в этом, во-первых по опыту работы с этим ПО - конфиг-файл типовой и он тупо копируется с шары при развертывании новой машины, поэтому моя идея была в том, что можно внутри конфига запрятать эксплойт , который выполняет произвольный код- вредоносный. Но это лирика, суть в том, что директор не знаком с тем, что я описываю, какую ошибку, какие могут быть последствия и как может быть выполнен вредоносный код. Да и вообще не должно быть таких ошибок в банковском софте. После очередной попытки объяснить что такое BoF, получаю короткое и последнее письмо:
""В контексте процесса name.exe нельзя выполнить ПРОИЗВОЛЬНЫЙ код, только код name.exe.
С уважением,
****** *****
Короче базовые вещи знать надо....Прокомментировать:
-
Вопрос в соотношении этих знаний. Когда в компании в отделе ИБ всего два человека - начальник и специалист, то вопрос "манагер или технарь" даже не стоит. Но если говорить о крупной компании, то технические навыки все менее важны и важны становятся совсем другие знания и умения. Спор бессмысленный - я работал в компаниях с 30 сотрудниками (где ИБ не было вовсем и эта задача лежала на админе) и с 70000 сотрудников, где CISO входит в топ-менеджмент и его основная компетенция управление рисками, работа с людьми, управление программой ИБ, донесение до остальных топ-менеджеров важности темы ИБ и т.д. Технически он грамотен, но на очень высоком уровне - в детали он не погружается, да ему и не надо - у него подчиненные руководители направлений и проектов естьПрокомментировать:
-
Т.е. Вы считаете, что знания в сфере управления и знания в технической сфере не могут и не должны совмещаться в начальнике?Сообщение от OLit Посмотреть сообщение
Вопрос риторический и ответа не требует.Прокомментировать:
-
Это да, начальник ИБ управляет людьми, которые работают с техсредствами.Сообщение от Алексей Лукацкий Посмотреть сообщение
Другой пример вспомнил. Конечно, пример не полностью проецируется на начальника ИБ, однако.
Этот пример - ФЗ-152.
А теперь доказывайте, что начальник ИБ - это манагер и обязан не знать сферу в которой он работает.Прокомментировать:
-
Начальник ИБ, это конечно 90% - бумаги, которые на те же 90-70% регламентируют действия с техникой и процессами, которые эта техника обеспечивает. Поэтому начальнику ИБ ничего знать о сфере регламентации не следует. Ярчайший пример такого управления - Саяно-Шушенская ГЭС. Главное - подписать бумаги. Другие примеры, Алексей Лукацкий, приведите сами. Полагаю, что Первопристольной таких примеров не один.Прокомментировать:
-
Ладно, пусть 10% - IT, все же я в те 90% не лезу, могу про них и не знать.... Все равно, почему-то на подсознательном уровне, "ИБ" тянет в сторонку IT... может чисто моя проблема восприятия 8) Тем не менее это не меняет сути - чем больше начальник шарит в этих 10%, тем эффективнее он будет в управлении ИБ этой части.Прокомментировать:
-
Предположу, что 90% информации - это все-таки бумаги ;-) И только 10% - компутеры, сети и прочая "магия". На эту тему несколько лет на Западе шла дискуссия, почему CIO называет себя CIO, хотя на самом деле он должен быть CITO. Ведь он управляет не информацией, а ИТ.Сообщение от don_huan Посмотреть сообщениеПрокомментировать:
-
Зато процессами, которые, в том числе, должны обеспечиваться "тех. средствами" и часть угроз связанна с "тех. средствами", а кроме того в банках большая часть бизнеса завязана на "тех. средствах".
Вообще я хотел просто выразить мысль, что из одинаковых в плане качеств по менеджменту и управлению начальников по ИБ лучше тот, который разберется не только в своем управленческом деле, но и в под-профильном. Он же не просто начальник, а по ИБ. И - информация. 90% информации это компутеры, сети и прочая "магия". Так вот если он в этой магии хотя бы разбирается на адекватном уровне (учитывая свои обязанности), то это огромный +. В противном случае, будет тратится больше времени на объяснение чего либо "технического" такому начальнику, а потеря времени - не эффективно 8)Прокомментировать:
-
А он управляет не техсредствами, что характерно.Сообщение от don_huan Посмотреть сообщениеПрокомментировать:
-
ИМХО. Плох тот ИБначальник, который не разбирается в тех. вопросе (Сети/ОС/Комп. без.), хотя бы на уровне студента 3-го курса 8) Он не будет эффективным менеджером хотя бы потому, что не понимает как работает (ну хотя бы базово!) то, чем управляет.Прокомментировать:
-
Как правило можно встретить ошибку, когда к начальникам предъявляют требования, как к техническим специалистам.
Начальник прежде всего должен быть хорошим менеджером, управленцем.Прокомментировать:
Прокомментировать: