Comments 13
Например в положениях ЦБ по ИБ явно сказано, у ИБ должен быть отдельный куратор, ИБ не должно входить в ИТ отдел.
Поскольку ИБ в широком смысле это еще и работа с людьми, физическая безопасность.
Какие-то узкоспециализированные задачи, например спец будет заниматься только только защитой сайта онлайн-компании и только этим, возможны и введением в отдел ИТ.
Что касается руководителя «военного», ну так надо со всеми говорить на понятном им языке :)
Поскольку ИБ в широком смысле это еще и работа с людьми, физическая безопасность.
Какие-то узкоспециализированные задачи, например спец будет заниматься только только защитой сайта онлайн-компании и только этим, возможны и введением в отдел ИТ.
Что касается руководителя «военного», ну так надо со всеми говорить на понятном им языке :)
Если взять безопасность персданных, то там есть только либо ответственный сотрудник либо отдел. О подчиненности ни слова.
Вообще с отраслевыми стандартами у нас всё гораздо лучше, чем в целом по больнице, но сколько отраслевиков на общем рынке ИБ?
Про «военное» руководство проблема усугубляется некими стереотипами, типа ну раз в компьютерах шарит, значит задрот, значит можно подкалывать и он ничего не сделает.
Вообще с отраслевыми стандартами у нас всё гораздо лучше, чем в целом по больнице, но сколько отраслевиков на общем рынке ИБ?
Про «военное» руководство проблема усугубляется некими стереотипами, типа ну раз в компьютерах шарит, значит задрот, значит можно подкалывать и он ничего не сделает.
Специалист по ИБ или отдел ИБ должны подчиняться ТОЛЬКО генеральному. Чтобы ИБ не была просто модным трендом в компании и реально работала у службы или специалиста ИБ должна быть реальная власть. Простая ситуация, когда у ИБ нет власти: приходит ИБшник в бухгалтерию и начинает рассказывать тетушкам-бухгалтерам о том, что пароли нельзя записывать на бумаге и клеить на монитор, да и вообще пароль «111111» не очень, а ему в ответ: «слышь, ты кто такой? пшел вон отсюда из нашего монастыря со своим уставом».
ИБшник, который не умеет общаться с руководством — не ИБшник. Это может быть хайскиллд блэкхэт-затворник, но не ИБшник в организации. Ибо в наше время и в нашей стране, проповедование религии информационной безопасности это основная задача ИБшника в организации (если конечно он не тупо просиживает штаны за фиксированную ЗП). Лично я люблю использовать аналогии, сравниваю информационную систему с понятными обычному человеку вещами. Например, говорю, чтобы представили, что компьютер, на котором хранится информация это квартира, а информация это материальная ценность. Когда в квартире нет ничего, голые стены и раскладушка, то можно вообще не закрывать дверь на ключ, все равно оттуда нести нечего, по мере того как в квартире появляются ценности на двери появляются все более сложные замки, более прочные двери, сигнализации на окнах и тд — это нормально для материального мира, это нормально и для информации.Конечно можно не закрывать дверь в квартиру, где много чего ценного, но кто сейчас идет на такие риски? Потом идет вопрос — вы же привыкли уходя из дома закрывать дверь? Вряд ли кто-то считает это дополнительным неудобством, так почему вставая из-за рабочего места, нельзя приучить себя нажимать Win+L?
И еще один момент — начальство должно прочувствовать важность защиты информации. Ибо если генеральный тут и там будет нарочито громким голосом восклицать «Опять эти ибэшники тут намудрили!», все труды будут напрасны. Это снова отсыл к важности скилла общения с руководством и сотрудниками.
ИБшник, который не умеет общаться с руководством — не ИБшник. Это может быть хайскиллд блэкхэт-затворник, но не ИБшник в организации. Ибо в наше время и в нашей стране, проповедование религии информационной безопасности это основная задача ИБшника в организации (если конечно он не тупо просиживает штаны за фиксированную ЗП). Лично я люблю использовать аналогии, сравниваю информационную систему с понятными обычному человеку вещами. Например, говорю, чтобы представили, что компьютер, на котором хранится информация это квартира, а информация это материальная ценность. Когда в квартире нет ничего, голые стены и раскладушка, то можно вообще не закрывать дверь на ключ, все равно оттуда нести нечего, по мере того как в квартире появляются ценности на двери появляются все более сложные замки, более прочные двери, сигнализации на окнах и тд — это нормально для материального мира, это нормально и для информации.Конечно можно не закрывать дверь в квартиру, где много чего ценного, но кто сейчас идет на такие риски? Потом идет вопрос — вы же привыкли уходя из дома закрывать дверь? Вряд ли кто-то считает это дополнительным неудобством, так почему вставая из-за рабочего места, нельзя приучить себя нажимать Win+L?
И еще один момент — начальство должно прочувствовать важность защиты информации. Ибо если генеральный тут и там будет нарочито громким голосом восклицать «Опять эти ибэшники тут намудрили!», все труды будут напрасны. Это снова отсыл к важности скилла общения с руководством и сотрудниками.
Спасибо за столь развернутый комментарий.
Про подчинение — это понятно и ясно нам с вами, понятно по логике и best practice. К сожалению, пока ИБ остаётся модной фишкой, её будут задвигать.
А про общение с руководством, это практически пример из жизни. В идеале, конечно, это отдел, состоящий из руководителя — ИБ-манагера, и нескольких довольно узких спецов. И тут если у манагера язык подвешен (а иначе он и не манагер вовсе) и связи налажены, то работа будет идти, как по маслу.
Про аналогии, я тоже люблю их использовать, к примеру в ликбезах для юзеров, свойства информации я приравниваю к банковскому счёту, а пароли — к нижнему белью :-)
Про начальство расскажу один случай из моей практики: работал я в одной группе компаний, как раз-таки начальником у меня был начальник СБ, бывший полицейский. Я долгое время клепал СУИБ, писал документы, всё это в плотной связке с начальником, потому как он тоже был заинтересован в хороших показателях работы. Подошёл момент, когда основные документы пошли на согласование наверх, мы собрали верхушку конторы, дабы я всё в деталях разжевал что и как, для чего и тд. И в самом начале мой начальник изрек: а я вообще не понимаю, нафига нам эта система управления нужна. После этих слов у меня просто всё упало.
Про подчинение — это понятно и ясно нам с вами, понятно по логике и best practice. К сожалению, пока ИБ остаётся модной фишкой, её будут задвигать.
А про общение с руководством, это практически пример из жизни. В идеале, конечно, это отдел, состоящий из руководителя — ИБ-манагера, и нескольких довольно узких спецов. И тут если у манагера язык подвешен (а иначе он и не манагер вовсе) и связи налажены, то работа будет идти, как по маслу.
Про аналогии, я тоже люблю их использовать, к примеру в ликбезах для юзеров, свойства информации я приравниваю к банковскому счёту, а пароли — к нижнему белью :-)
Про начальство расскажу один случай из моей практики: работал я в одной группе компаний, как раз-таки начальником у меня был начальник СБ, бывший полицейский. Я долгое время клепал СУИБ, писал документы, всё это в плотной связке с начальником, потому как он тоже был заинтересован в хороших показателях работы. Подошёл момент, когда основные документы пошли на согласование наверх, мы собрали верхушку конторы, дабы я всё в деталях разжевал что и как, для чего и тд. И в самом начале мой начальник изрек: а я вообще не понимаю, нафига нам эта система управления нужна. После этих слов у меня просто всё упало.
Я долгое время клепал СУИБ, писал документы
…
После этих слов у меня просто всё упало.
Я вам указывал на в прошлых постах на один полезный iso по внедрению. Не надо было долго что-то писать, а надо было сначала добиться одобрения высшего руководства (верхушки).
принести красочную презентацию с планом, что куда и зачем. По каждому пункту — одобрение и подпись.
Только после этого начинается долгая и нудная работа по реализации.
А иначе получится мартышкин труд, будет больно и обидно. Клепал клепал гору документации, а она в итоге и не нужна была руководству. Ну вот не видит генеральным нужды вот в этом, этом и этом вот «геморрое» хоть уписайся. Остальное вроде «ничё». Половина труда в корзину. :)
…
После этих слов у меня просто всё упало.
Я вам указывал на в прошлых постах на один полезный iso по внедрению. Не надо было долго что-то писать, а надо было сначала добиться одобрения высшего руководства (верхушки).
принести красочную презентацию с планом, что куда и зачем. По каждому пункту — одобрение и подпись.
Только после этого начинается долгая и нудная работа по реализации.
А иначе получится мартышкин труд, будет больно и обидно. Клепал клепал гору документации, а она в итоге и не нужна была руководству. Ну вот не видит генеральным нужды вот в этом, этом и этом вот «геморрое» хоть уписайся. Остальное вроде «ничё». Половина труда в корзину. :)
На тот момент не опытен был, недавно только диплом получил и был еще слабо знаком с реалиями. Тем более что как раз таки собрал совещание на этапе согласования, еще не так болезненно и долго сделать изменения.
Сейчас да, сначала долго общаюсь с руководством организации, ком блоком, ит-отделом, потом потихоньку начинаю предлагать, писать и тд
Сейчас да, сначала долго общаюсь с руководством организации, ком блоком, ит-отделом, потом потихоньку начинаю предлагать, писать и тд
UFO just landed and posted this here
UFO just landed and posted this here
Ну вот у нас в конторе совмещенный отдел экономической и информационной безопасности и подчиняемся напрямую директору.
Конечно, если аспектов много, то зам. по безопасности должен быть, но опять же, 99,99% что это будет бывший полицейский/фсбшник/военный и проблемы описанные в разделе ИБ, как часть СБ — останутся.
Конечно, если аспектов много, то зам. по безопасности должен быть, но опять же, 99,99% что это будет бывший полицейский/фсбшник/военный и проблемы описанные в разделе ИБ, как часть СБ — останутся.
UFO just landed and posted this here
Как хорошо, у нас Директор бывший безопасник ;) Не нужно аргументировать заботу о безопасности и необходимость ходить на продакшен по токенам.
Вообще безопасности надо учиться в комплексе — потому что тот же фишинг — это тоже вектор атаки.
Sign up to leave a comment.
Немного об организации отдела информационной безопасности