26 ноября, четверг 21:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Увеличение штата ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Увеличение штата ИБ

    Добрый день, коллеги.
    Собрались мы увеличивать штат, но никак не можем добиться расположения руководства, может у кого нибудь завалялись служебки или какие нибудь графики и тд. и тп. об увеличение штата? Или на худой конец просто поделитесь мыслями чем можно оперировать.

  • #2
    Если вы банк, то есть на сайте ЦБ РС-ка http://www.cbr.ru/credit/Gubzi_docs/rs-27-15.pdf в которой есть формулы для расчета и требования к численности отделов ИБ.

    Комментарий


    • #3
      Сообщение от Sascha Посмотреть сообщение
      Если вы банк, то есть на сайте ЦБ РС-ка http://www.cbr.ru/credit/Gubzi_docs/rs-27-15.pdf в которой есть формулы для расчета и требования к численности отделов ИБ.
      это я все видел, одно плохо мы не присоединены к СТО поэтому оперировать им не удается

      Комментарий


      • #4
        Сообщение от H4mek Посмотреть сообщение
        это я все видел, одно плохо мы не присоединены к СТО поэтому оперировать им не удается
        Но ведь можно это взять за основу для расчетов, сославшись на лучшие практики.

        Комментарий


        • #5
          ИМХО, конечно, но не рекомендую разговаривать с руководством, апеллируя к РС-2.7-2015. Спору нет, там формулы красивые, но привязать их к своей организации сложно. Ещё сложнее будет их аргументированно разъяснить руководству.
          Вопрос увеличения штатов - это деньги. Немаленькие между прочим, как минимум несколько сот тысяч в год. И за эти несколько сот тысяч увидеть только формулы из РС - слабоватый аргумент. Гораздо проще изложить в человеко/часах, кто и что уже сейчас делает, насколько за год увеличились объемы или расширились задачи, что вы перестали успевать делать и какие из этого появляются реальные риски (а вот тут можно и формулы, и про финансовые потери упомянуть).
          Не надо в очень приземлённых вопросах про деньги и про штаты углубляться далеко в теорию.

          Комментарий


          • #6
            Если ссылаться на РС-2.7-2015, то лучше показывать пункт 8.4 и говорить, что вам надо штат минимум из 4-х человек.
            Но учитывая финансовое состояние банков - дело тухлое.

            Комментарий


            • #7
              Сообщение от H4mek Посмотреть сообщение
              Или на худой конец просто поделитесь мыслями чем можно оперировать.
              Ну с худым лучше вообще не связываться, а так обычно модель работы такова:

              1. Проводите проверку состояния ИБ в организации (желательно с привлечением внешнего аудита, у нас своим не верят)
              2. По неутешительным итогам, с красочным описанием денежных затрат (на штрафы, суды и прочее в случае прихода контролирующих органов), начинаете приучать руководство, что ИБ может приносить деньги (с экономленное= заработанное)
              3. Получаете звиздюлей, за то что в конторе бардак
              4. Даёте время руководству на очухаться
              5. Урезаете первоначальные хотелки в два раза
              6. Пишите конкретные предложения и направления работ где у Вас пробелы (размер не более одного листа А4, больше никто читать не будет)
              7. Долго и нудно напоминаете
              8. Должно что то получиться.
              [OFF]Красим белим, иногда защищаем[/OFF]

              Комментарий


              • #8
                Хотелось немного добавить к ответу многоуважаемого akitukitua:
                1. При проведении проверки (оценки соответствия) внешними аудиторами, в ТЗ на данную услугу можно включить пункт по поводу формирования аудиторами рекомендаций по устранению выявленных недостатков с приоритезацией рекомендаций по величине возможных последствий в случае их не устранения - как раз понадобится красочное описание последствий в денежном эквиваленте, как уже писали: штрафы и прочее (в дальнейшем это позволит играть с ценой вопроса в + и - при подготовки смет руководству);
                2. "Красочность" описания необходимых денежных затрат ("первоначальных хотелок") не должна слишком сильно отличаться от той суммы, которую вы в действительности рассчитываете получить (то есть она не должна отличаться в два раза) иначе у руководства сложится ощущение, что его просто разводят.
                3. Звиздюли однозначно будут выписаны, но в тоже время - это означает, что руководство понимает и принимает существующие проблемы. Теперь ссылаясь на звездюли будет проще просить и людей и денежку.
                4. Лучше внешнего аудитора необходимость в людях не обоснует никто. Когда в рамках наблюдения устанавливается, что при возникновении определенных событий ИБ, лица ответственные за данный тип событий заняты (и такие ситуации не единичны), а функциональные обязанности (роли ИБ) распределены между работниками оптимальным образом (опять же с точки зрения аудитора и учета соответствия ролевых матриц лучшим практикам (во избежания совмещения и избыточности ролей)).

                Комментарий


                • #9
                  звездюли обычно бывают после инцидента, когда деньги уже ушли. Потом все будет, но ответственному за ИБ это уже не поможет. Его уволят, а вот новому дадут все возможные ресурсы.

                  Комментарий


                  • #10
                    Сообщение от khusainov rustam Посмотреть сообщение
                    звездюли обычно бывают после инцидента, когда деньги уже ушли. Потом все будет, но ответственному за ИБ это уже не поможет. Его уволят, а вот новому дадут все возможные ресурсы.
                    Не согласен. После инцидента - это само собой разумеющееся. Однако на совещаниях по результатам оценки соответствия с руководством организации (при их присутствии на совещании) эта самая неприятная сущность (звездюли) раздается направо и налево, а уж после таких совещаний при вызове "на ковер" тэт-а-тэт руководителя службы и его подчиненных (всех или выборочно) их раздача продолжается за закрытыми дверями. Причиной этому становится следующее:
                    - теперь о наших проблемах станет известно всем (и никакие доводы о наличии соглашения о конфиденциальности и последствий у аудиторов при его не соблюдении не воспринимаются);
                    - почему вы раньше не могли об этом сказать (и никакие "поднятые" служебные записки не работают против довода - надо было напомнить, о чем уже писал многоуважаемый akitukitua);
                    - вы вообще чем все это время занимались, если у нас так много проблем выявлено и т.д.

                    Иногда очень жалко действительно толковых представителей ИБ структур, действительно стремящихся сделать полезную работу мотивированно (не прося лишнего), но получая и по "рукам" и по "шапке".

                    Комментарий


                    • #11
                      GP, Согласен.

                      Комментарий


                      • #12
                        Коллеги, то что я написал, проверено многолетним опытом, это не моя формула, мне её озвучили тогда, когда я был безусым старшим лейтенантом, я тогда долго спорил не соглашался, но со временем я понял: это то, что действительно работает. Причём не только в ИБ (первоначально, эта конструкция касалась совсем другой области)
                        [OFF]Красим белим, иногда защищаем[/OFF]

                        Комментарий

                        Обработка...
                        X