19 ноября, понедельник 21:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

дайте примеров распределения ролей когда служба ИБ - один человек

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • дайте примеров распределения ролей когда служба ИБ - один человек

    Банк маленький.
    филиалов нет.
    Атишнегов 4-6 человек.
    специалист по ИБ один и в составе службы экономической безопасности.
    Как у вас при этом роли распределяются????
    Спасибо.

  • #2
    А какие Роли у вас определены?

    у меня роли не определены, по ДИ примерно так

    ИБ 1.·Ответственный за эксплуатацию СЗИ
    ИБ 2.·Ответственный за антивирусную защиту
    ИТ 3.·Ответственный за установку ПО
    ИТ 4.·Ответственный за эксплуатацию СВТ
    ИТ 5.·Администратор ИС
    ИБ 6.·Администратор информационной безопасности
    СБ 7.·Ответственный за безопасность помещений

    Комментарий


    • #3
      Если в подчинении у экономичекой безопасности, то как ни распределяй, он никто и звать его никак. Т.е. почти все технические вопросы, которые должен решать ИБшник, его собственное руководство ваще никаким боком не волнуют.

      А в принципе при таком раскладе на нем остается оценка рисков, постановка задач ITшникам и контроль исполнения. Ничего больше он не потянет.

      Комментарий


      • #4
        Сообщение от Joystick Посмотреть сообщение
        Банк маленький.
        филиалов нет.
        Атишнегов 4-6 человек.
        специалист по ИБ один и в составе службы экономической безопасности.
        Как у вас при этом роли распределяются????
        Спасибо.
        - всё СКЗИ (включая изготовление и учёт ключей, установку ПО, издание приказов), кроме выдачи ключей электронной подписи клиентам;
        - разработка правил, регламентов, инструкций;
        - контроль всея Руси;
        - управление доступом в режимные помещения;
        - мониторинг сообщений о заёмщиках в инете;
        - видеонаблюдение и техническая защита.
        Всё остальное не моё. Как-то так.
        Больничные отменяются, отпуск - по обстановке...
        Последний раз редактировалось Berckut; 04.06.2012, 08:29.

        Комментарий


        • #5
          Собственно еще раз спрошу. Может более детально.

          Ну про все ключи это да.
          Еще swift - офицер безопасности
          Документы по СТО и иже с ними...(главное у айтишнегов их части вытащить)
          Согласование прав доступа к ресурсам, в т.ч абс (есть ли у вас такое и если да то и технически как то или только на бумаге???)

          да и как при этом быть с отпуском????

          Комментарий


          • #6
            Сообщение от Joystick Посмотреть сообщение
            Собственно еще раз спрошу. Может более детально.

            Ну про все ключи это да.
            Еще swift - офицер безопасности
            Документы по СТО и иже с ними...(главное у айтишнегов их части вытащить)
            Согласование прав доступа к ресурсам, в т.ч абс (есть ли у вас такое и если да то и технически как то или только на бумаге???)

            да и как при этом быть с отпуском????
            К ИББС не присоеденились.
            Согласованием доступа не занимаюсь. Да и незачем. Доступ согласуется либо руководителем подразделения - владельца "ресурса", либо руководством банка. Налагать свою свою визу бессмысленно. А вот контроль - да.
            Ещи ни разу без разрывов и переносов не отгулял.

            Комментарий


            • #7
              народ! вопрос встал ребром.
              Мне в отпуск надо на 4 дня.
              свифт есть на кого передать...а вот остальное..... обязательно возлагать? или чего делать?

              Комментарий


              • #8
                а какая роль ИБ в свифте?

                у меня в ИТ есть запасной админ ИБ (по ключам)

                Комментарий


                • #9
                  Сообщение от Joystick Посмотреть сообщение
                  народ! вопрос встал ребром.
                  Мне в отпуск надо на 4 дня.
                  свифт есть на кого передать...а вот остальное..... обязательно возлагать? или чего делать?
                  у нас согласно приказам возложены обязанности на кучу разных сотрудников, но реально никто не заместит. Только всякие неотложные моменты, да и то стараюсь чтоб не происходили.

                  Комментарий


                  • #10
                    Сообщение от Joystick Посмотреть сообщение
                    народ! вопрос встал ребром.
                    Мне в отпуск надо на 4 дня.
                    свифт есть на кого передать...а вот остальное..... обязательно возлагать? или чего делать?
                    Сочувствую. Такая же ситуация. Один в семи лицах. Отпуск урывками между генерацией, сменой ключей, обновлением и т.д. Обязанности по ИБ Вы ни на кого возлагать не имеете права. У вас в должностной должно быть прописано. Как вы генерацию ключей, к примеру, возложите на айтишника? Обо всем этом написано в СТО БР ИББС (стандарт Банка России).

                    Комментарий


                    • #11
                      Сообщение от serg_mur Посмотреть сообщение
                      . Как вы генерацию ключей, к примеру, возложите на айтишника? Обо всем этом написано в СТО БР ИББС (стандарт Банка России).
                      зачем на себя брать эту ответственность, считаю что это проблема работодателя, если он не хочет расширять штат ИБ. иначе нужно вообще не ходить в отпуск... да и домой тоже.
                      у меня один ИТшник вписан в приказ администратора скзи в разных системах

                      Комментарий


                      • #12
                        Сообщение от trancerr Посмотреть сообщение
                        зачем на себя брать эту ответственность, считаю что это проблема работодателя, если он не хочет расширять штат ИБ. иначе нужно вообще не ходить в отпуск... да и домой тоже.
                        у меня один ИТшник вписан в приказ администратора скзи в разных системах
                        А Вы - банковская структура или нет? Если Вы - банк, то как выполняете рекомендации СТО БР ИББС-1.0-2010, п.7.2.3 о совмещении ролей? А требование иметь разных кураторов по ИБ и IT? Если у Вас один человек администрирует и СКЗИ (ИБ), и систему (как айтишник), то степень риска ИБ у Вас должна быть очень высокой. Это не есть хорошо.

                        Комментарий


                        • #13
                          Сообщение от serg_mur Посмотреть сообщение
                          А Вы - банковская структура или нет? Если Вы - банк, то как выполняете рекомендации СТО БР ИББС-1.0-2010, п.7.2.3 о совмещении ролей? А требование иметь разных кураторов по ИБ и IT? Если у Вас один человек администрирует и СКЗИ (ИБ), и систему (как айтишник), то степень риска ИБ у Вас должна быть очень высокой. Это не есть хорошо.
                          я полностью с Вами согласен. но есть другое мнение...

                          Комментарий


                          • #14
                            Сообщение от trancerr Посмотреть сообщение
                            .. но есть другое мнение...
                            Это "другое" мнение должно совпадать с мнением Регулятора, и никак иначе.

                            Комментарий


                            • #15
                              Сообщение от serg_mur Посмотреть сообщение
                              Это "другое" мнение должно совпадать с мнением Регулятора, и никак иначе.
                              я работаю в этом направлении, честно

                              Комментарий


                              • #16
                                А должен ли по СТО БР ИБшник в одном лице быть ИБшником (который пишет, планирует и контролирует) и администратором ИБ СКЗИ (который генерит ключи, регистрирует их и хранит)? Это уже совмещение ролей, что противоречит СТО БР.
                                Оптимальным может быть такое распределение - в ИБ два человека - один контролирует, руководит. Второй ключами занимается (генерит, регистрирует, контролирует ИТ). ИТ устанавливает ПО СКЗИ, подгружает сертификаты на компах юзеров. Все по актам и записям в журналах. Еще как вариант, назначить вместо второго ИБшника кого-нибудь из ИТ администратором ИБ СКЗИ.

                                Комментарий


                                • #17
                                  У нас это в одном лице на ИБ. ИТ криптографии почти не касается.
                                  Контроль ведётся на уровне СВК.

                                  Комментарий


                                  • #18
                                    Berckut, Но согласно стандарту - это в корне не верно Причем там же сказано, что на распределение ролей не должно влиять устоявшееся положение дел в организации. Т.е. если всю жизнь ИБ занималось ключами, а на каком-то этапе банк решил перейти на правильную СУИБ, то ключи уже не могут лежать на ИБ (как бы ИТшникам этого не хотелось), если в нем только один человек, тем более, если как сказал топик стартер - в ИТ у них 4-6 человек.
                                    Есть правила и их надо соблюдать, а так получается, что вроде как служба ИБ есть, но она формальна и свое деятельностью только повышает, а не снижает риски ИБ. А СВК вообще не должно затрагивать тему ИБ, даже как контролер - это по сути независимый аудит, типа проверки ЦБ.

                                    Модель распределения ролей получается такая:
                                    - ИБ - 1 человек - разработка политик, анализ рисков. построение моделей угроз, повышение осведомлености персонала, контроль и мониторинг, распределение прав и ролей, мониторинг программно-технических средств защиты (в режиме просмотра, установка и настройка за ИТ), 202 и 203 формы отчетности.
                                    - ИТ - 5 человек - 3 из них - чисто ИТ (админы и т.п.), 2 - Администратор ПО СКЗИ и Администратор ИБ СКЗИ.
                                    - СВК - контроль за исполнением требований Бака России в части ИБ (соответствие внутренних документов, порядок исполнеия внутренних документов).
                                    - Высшее руководство - общий контроль ИБ, курирование Иб.

                                    Комментарий


                                    • #19
                                      Сообщение от Sascha Посмотреть сообщение
                                      Berckut, Но согласно стандарту - это в корне не верно Причем там же сказано, что на распределение ролей не должно влиять устоявшееся положение дел в организации. Т.е. если всю жизнь ИБ занималось ключами, а на каком-то этапе банк решил перейти на правильную СУИБ, то ключи уже не могут лежать на ИБ (как бы ИТшникам этого не хотелось), если в нем только один человек, тем более, если как сказал топик стартер - в ИТ у них 4-6 человек.
                                      Есть правила и их надо соблюдать, а так получается, что вроде как служба ИБ есть, но она формальна и свое деятельностью только повышает, а не снижает риски ИБ. А СВК вообще не должно затрагивать тему ИБ, даже как контролер - это по сути независимый аудит, типа проверки ЦБ.
                                      Да вроде как раз наоброт.
                                      ИБ занимается только ключами. Т.е. я могу сгенерировать ключи и выдать их пользователю, но рулить распределением прав в АБС не могу. Я даже не админ домена, а рядовой пользователь с немного расширенными полномочиями.
                                      СВК, как независимая служба со своей стороны проверяет, есть ли необходимые приказы, расписались ли пользователи за получений ключевых носителей, проходили ли обучение и т.д. Т.е. исполнение тех требований, которые прописаны во внутренних нормативных документах.
                                      В технической же части, которая для СВК тёмный лес, ИБ контролирует ИТ, а ИТ присматривает за ИБ и не даёт ей лишних прав.
                                      Да и для получения лицензии по крипте было необходимо иметь подразделение, на которое можно возложить функции органа криптографической защиты. А учитывая требования по образованию и стажу таким органом только служба ИБ и могла стать.

                                      Модель распределения ролей получается такая:
                                      - ИБ - 1 человек - разработка политик, анализ рисков. построение моделей угроз, повышение осведомлености персонала, контроль и мониторинг, распределение прав и ролей, мониторинг программно-технических средств защиты (в режиме просмотра, установка и настройка за ИТ), 202 и 203 формы отчетности.
                                      - ИТ - 5 человек - 3 из них - чисто ИТ (админы и т.п.), 2 - Администратор ПО СКЗИ и Администратор ИБ СКЗИ.
                                      - СВК - контроль за исполнением требований Бака России в части ИБ (соответствие внутренних документов, порядок исполнеия внутренних документов).
                                      - Высшее руководство - общий контроль ИБ, курирование Иб.
                                      Если банк небольшой, то с таким набором полномочий ИБ прослывёт просижителем штанов, а через пару лет скорее всего деградирует, т.к. без работы "в поле" останется. Да и скучно одной бумагой заниматься. Хотя на истину не претендую.

                                      Комментарий


                                      • #20
                                        Сообщение от Berckut Посмотреть сообщение
                                        Да вроде как раз наоброт.
                                        ИБ занимается только ключами. Т.е. я могу сгенерировать ключи и выдать их пользователю, но рулить распределением прав в АБС не могу. Я даже не админ домена, а рядовой пользователь с немного расширенными полномочиями.
                                        СВК, как независимая служба со своей стороны проверяет, есть ли необходимые приказы, расписались ли пользователи за получений ключевых носителей, проходили ли обучение и т.д. Т.е. исполнение тех требований, которые прописаны во внутренних нормативных документах.
                                        В технической же части, которая для СВК тёмный лес, ИБ контролирует ИТ, а ИТ присматривает за ИБ и не даёт ей лишних прав.
                                        Да и для получения лицензии по крипте было необходимо иметь подразделение, на которое можно возложить функции органа криптографической защиты. А учитывая требования по образованию и стажу таким органом только служба ИБ и могла стать.


                                        Если банк небольшой, то с таким набором полномочий ИБ прослывёт просижителем штанов, а через пару лет скорее всего деградирует, т.к. без работы "в поле" останется. Да и скучно одной бумагой заниматься. Хотя на истину не претендую.
                                        в практическом виде как ИБ, при таком раскладе, контролирует ИТ?? например как ИБ может просмотреть какие у права по доступу ИТ раздали простым пользователям, а какие оставили себе? или что видно ИБ в AD??
                                        Мы продолжаем делать то, что мы уже много наделали

                                        Комментарий


                                        • #21
                                          Сообщение от Berckut Посмотреть сообщение
                                          ИБ контролирует ИТ, а ИТ присматривает за ИБ и не даёт ей лишних прав.
                                          Так по правилам ИТ не должно раздавать права, оно должно вносить в AD пользователей, с правами, которые определило для них ИБ.
                                          А в вашем случае получается совмещение ролей администратора СКЗИ и контролера...что в свою очередь создает прецедент для проверяющих из ЦБ. В предписании будет написано, что данное совмещение несет в себе предпосылки к возникновению операционного риска.

                                          Сообщение от Berckut Посмотреть сообщение
                                          Если банк небольшой, то с таким набором полномочий ИБ прослывёт просижителем штанов, а через пару лет скорее всего деградирует, т.к. без работы "в поле" останется. Да и скучно одной бумагой заниматься. Хотя на истину не претендую.
                                          Ну никто и не говорит, что должно быть интересно - должно быть правильно. А с учетом того, как у нас правительство и регуляторы меняют правила, скучать и с бумагами не придется. На одно то, чтобы регламенты в порядок привести уйдет не менее года (я имею ввиду не просто скачать с инета и утвердить с минимальными исправлениями, а по настоящему, самостоятельно продумать все бизнес-процессы, описать их на бумаге и заставить работников соблюдать все это). Затем внедрить правильные системы защиты, правильно распределить права/роли и т.п.

                                          Комментарий


                                          • #22
                                            Сообщение от Sascha Посмотреть сообщение
                                            Тоно должно вносить в AD пользователей, с правами, которые определило для них ИБ.
                                            Одинокий специалист ИБ, знающий, какие права нарезать пользователям - это оксюморон.
                                            Для этого он должен разбираться в технологических процессах примерно на том же уровне, что и все остальные подразделения, вместе взятые. А так не бывает.
                                            Я бы отдал все эксплуатационные функции, включая генерацию ключей, в ИТ, оставив ИБшнику только контрольные функции.

                                            Комментарий


                                            • #23
                                              Сообщение от George-on-Don Посмотреть сообщение
                                              в практическом виде как ИБ, при таком раскладе, контролирует ИТ?? например как ИБ может просмотреть какие у права по доступу ИТ раздали простым пользователям, а какие оставили себе? или что видно ИБ в AD??
                                              Все пользователи и их группы отлично видны через команду net.
                                              Плюс контроль непосредственно на рабочих местах никто не отменял, в том числе на местах ИТ.

                                              Сообщение от Sascha Посмотреть сообщение
                                              Так по правилам ИТ не должно раздавать права, оно должно вносить в AD пользователей, с правами, которые определило для них ИБ.
                                              А в вашем случае получается совмещение ролей администратора СКЗИ и контролера...что в свою очередь создает прецедент для проверяющих из ЦБ. В предписании будет написано, что данное совмещение несет в себе предпосылки к возникновению операционного риска.
                                              Ещё раз.
                                              ИБ только генерирует и раздаёт ключи. Она же проверяет, как пользователи этими ключами пользуются, в том числе, правильно ли они их хранят. Эти ключи без доступа в АБС (или, например, без полномочий подписывать договора) бесполезны, а этим доступом уже рулит ИТ. СВК, в свою очередь, контролирует то, как ИБ организует работу с ключами - для этого технические знания не нужны.

                                              Сообщение от Sascha Посмотреть сообщение
                                              Ну никто и не говорит, что должно быть интересно - должно быть правильно. А с учетом того, как у нас правительство и регуляторы меняют правила, скучать и с бумагами не придется. На одно то, чтобы регламенты в порядок привести уйдет не менее года (я имею ввиду не просто скачать с инета и утвердить с минимальными исправлениями, а по настоящему, самостоятельно продумать все бизнес-процессы, описать их на бумаге и заставить работников соблюдать все это). Затем внедрить правильные системы защиты, правильно распределить права/роли и т.п.
                                              ИБ нечего не внедрит, если не знает сути деталей и не чувствует процессов. Либо этот документ будет нерабочим. Иначе говоря, я не буду писать положение об управлении доступом в АБС, но сообщу, что оно должно быть написано и буду его согласовывать.

                                              P.S. Давайте не будем забывать, что разговор идёт о маленьком банке и штат там никто раздувать не даст.

                                              Комментарий


                                              • #24
                                                Сообщение от malotavr Посмотреть сообщение
                                                Одинокий специалист ИБ, знающий, какие права нарезать пользователям - это оксюморон.
                                                Для этого он должен разбираться в технологических процессах примерно на том же уровне, что и все остальные подразделения, вместе взятые. А так не бывает.
                                                Я бы отдал все эксплуатационные функции, включая генерацию ключей, в ИТ, оставив ИБшнику только контрольные функции.
                                                Я эту тему забрал себе из следующих соображений: оказолось "дешевле" вести это всё самому, чем учить жизни других и постоянно исправлять косяки. В конечном итоге, незасимо от того, кто что делает, перед проверяющими из ЦБ и ФСБ ответ всё равно ИБ держит. Хотя конечно, логичней держать это у ИТ.

                                                Комментарий


                                                • #25
                                                  Сообщение от Berckut Посмотреть сообщение
                                                  Все пользователи и их группы отлично видны через команду net.
                                                  Плюс контроль непосредственно на рабочих местах никто не отменял, в том числе на местах ИТ.
                                                  а глубже?? какие права у группы?? какие групповые политики и как они настроены? так что не так все просто.. одной командой net не обойтись.. можно конечно еще кое что увидеть через оснастки MMC... но там тоже далеко не все видно... и самое главное... как контролировать "изменения".... получается что только хорошей памятью и глазами(
                                                  впрочем есть программа AD expolorer... но для ее использования нужны соответствующие права, за которыми нужно иди в ИТ, и там все на низком уровне... но зато есть возможность сохранить текущее состояние AD а потом сравнить его .. и выявить "изменения" программным путем
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Berckut Посмотреть сообщение
                                                    оказолось "дешевле" вести это всё самому, чем учить жизни других и постоянно исправлять косяки. В конечном итоге, незасимо от того, кто что делает, перед проверяющими из ЦБ и ФСБ ответ всё равно ИБ держит. Хотя конечно, логичней держать это у ИТ.
                                                    На мой взгляд, лучше "учить жизни" других и заставлять их исправлять косяки.
                                                    В этом случае средний уровень подготовки ИТ-шников будет хоть каким-то, но не нулевым.

                                                    Комментарий


                                                    • #27
                                                      Всё обсуждение - наш случай (банк ОЧЕНЬ небольшой). Товарищ Sascha приводил распределение ролей такое:

                                                      Сообщение от Sascha Посмотреть сообщение
                                                      Модель распределения ролей получается такая:
                                                      - ИБ - 1 человек - разработка политик, анализ рисков. построение моделей угроз, повышение осведомлености персонала, контроль и мониторинг, распределение прав и ролей, мониторинг программно-технических средств защиты (в режиме просмотра, установка и настройка за ИТ), 202 и 203 формы отчетности.
                                                      - ИТ - 5 человек - 3 из них - чисто ИТ (админы и т.п.), 2 - Администратор ПО СКЗИ и Администратор ИБ СКЗИ.
                                                      - СВК - контроль за исполнением требований Бака России в части ИБ (соответствие внутренних документов, порядок исполнеия внутренних документов).
                                                      - Высшее руководство - общий контроль ИБ, курирование Иб.
                                                      Пункт 1 - всё моё (я в единственном числе).
                                                      Пункт 2 - ИТ 2 человека (СКЗИ не занимаются, это моя функция как Администратора ИБ).
                                                      Пункт 3 - точно так.
                                                      Пункт 4 - точно так.
                                                      Добавить могу, что периодически провожу контроль доступов, прав, соблюдение правил хранения ключевой информации и т.д.

                                                      Комментарий


                                                      • #28
                                                        Как правило людей везде в Банках не хватает - если не брать в расчет естественные монополии ;-)
                                                        По опыту работы распределение ролей нужно проводить между подразделениями ИТ, СВК и ИБ оставив за ИБ только функции контроля.
                                                        Это сильно помогает разгрузить подразделение ИБ, а при использовании SIEM системы вообще наладить взаимодействие в рамках этой системы:

                                                        1. http://tenablesecurity.livejournal.com/1438.html
                                                        2. http://tenablesecurity.livejournal.com/1554.html
                                                        3 http://tenablesecurity.livejournal.com/1904.html

                                                        Что помогло - анализ рисков ИБ теперь переехал в эту систему - там есть и управление расчетом и показателями значимости. Прошу буржуев (разработчиков) чтобы сделали нормальный расчет СВР.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от George-on-Don Посмотреть сообщение
                                                          а глубже?? какие права у группы?? какие групповые политики и как они настроены? так что не так все просто.. одной командой net не обойтись.. можно конечно еще кое что увидеть через оснастки MMC... но там тоже далеко не все видно... и самое главное... как контролировать "изменения".... получается что только хорошей памятью и глазами(
                                                          впрочем есть программа AD expolorer... но для ее использования нужны соответствующие права, за которыми нужно иди в ИТ, и там все на низком уровне... но зато есть возможность сохранить текущее состояние AD а потом сравнить его .. и выявить "изменения" программным путем
                                                          Функции контроля и доступа за объектами нужно переносить в SIEM систему:

                                                          http://tenablesecurity.livejournal.com/1237.html
                                                          http://tenablesecurity.livejournal.com/2272.html

                                                          Исключение составляют СЗИ от НСД типа ПАК Соболь - их промониторить нельзя - поэтому вместо них ставится Dallas Lock оставляющий записи в логах - с теми же средствами НСД и НДВ + 1Г.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Sascha Посмотреть сообщение
                                                            Так по правилам ИТ не должно раздавать права, оно должно вносить в AD пользователей, с правами, которые определило для них ИБ.
                                                            А в вашем случае получается совмещение ролей администратора СКЗИ и контролера...что в свою очередь создает прецедент для проверяющих из ЦБ. В предписании будет написано, что данное совмещение несет в себе предпосылки к возникновению операционного риска.


                                                            Ну никто и не говорит, что должно быть интересно - должно быть правильно. А с учетом того, как у нас правительство и регуляторы меняют правила, скучать и с бумагами не придется. На одно то, чтобы регламенты в порядок привести уйдет не менее года (я имею ввиду не просто скачать с инета и утвердить с минимальными исправлениями, а по настоящему, самостоятельно продумать все бизнес-процессы, описать их на бумаге и заставить работников соблюдать все это). Затем внедрить правильные системы защиты, правильно распределить права/роли и т.п.
                                                            Функций контроля у ИТ быть не должно ;-) Но и контроль за действиями ИТ сотрудников должен быть. Как то 4 года назад был вопрос у аудиторов - а как вы контролируете ИТ администраторов - на этот случай показывали отдельный фильтр в SIEM системе (Tenable SC). Удовлетворили ;-)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X