Перейти к содержанию

It на службе безопасности

Оценить эту тему:


Рекомендуемые сообщения

Коллеги, доброго времени суток. В отделе в ближайшее время начнется внедрение новой программы по контролю за персоналом( уход приход перемещение по территории) ,в помощь дают инженера IT на время пока программа приживется, есть вариант оставить этого товарища в отделе на постоянной основе, и, соответственно переложить на него ряд функций. Но для этого надо грамотно обосновать руководству необходимость в айтишнике.

Такие функции как контроль, координация, отчеты, обучение для работы с программой -не проканают.Надо привести веский аргумент его необходимости в отделе, что бы руководство дало добро и я вписал строчку в бюджете. Может у кого то есть опыт привлечения в СБ сотрудника IT, поделитесь. Заранее благодарен.

Ссылка на сообщение
Поделиться на другие сайты
Если бы все было так просто, функции должны быть более весомые

 

Ну, тогда хождение за пивом.

 

Что может быть весомее информационной безопасности? Может просто расшифровать это понятие... Риски и цена вопроса. А заодно так милый Вашему сердцу контроль за персоналом - эл.почта, аська. кто куда ходит, кто вешает резюме... И т.п. и т.д. Пароли соберите от ящиков, будете все про всех знать :)

Ссылка на сообщение
Поделиться на другие сайты

У меня похожая проблема. Ген. директор задумался о переподчинении ИТ отдела под службу безопасности, или под финансовую службу. В принципе меня это устраивает. но сам я не айтишник, поэтому боюсь, что воспользовавшись ситуацией мне попросту начнут вешать лапшу на уши. В связи с этим может кто нибудь из не айтишников поделится опытом руководства ай-ти отделом. Может есть какие-то контрольные точки, основные стратегические направления.

Да, добавлю, основная причина переподчинения ай-ти отдела, заключается в том, что на сегодняшний момент айтишники практически вышли из под контроля. Работают так, как будто они не сервисная служба, а основное подразделение. Это и вызывает недовольство в руководстве, хотя уровень их как специалистов вроде бы устраивает.

 

Что касается вопроса от Riksa, то полностью согласен с проктологом. В обосновании необходимости ит специалиста в СБ нужно исходить из информационной безопасности, разбивая это общее понятие на более конкретные направления.

Ссылка на сообщение
Поделиться на другие сайты

Ну иногда ИТ и правда весомый вклад вносит в "добычу денег", а если они именно сервисное подразделение, то вариантов много. В частности есть такая штука как ITIL. Вот тут понятно описано http://ru.wikipedia.org/wiki/ITIL. Если производство сертифицировано по какому либо стандарту (управление производством, управление качеством и т.п.) то и работа ИТ-подразделения должна соответствовать стандарту. Вот под гребенку стандартизации и можно вплести их в структуру, нарисовать стандарты и подчинения. Вес услуг ИТ в основном продукте закрепить, сроки пересмотра этого "веса". А процессом стандартизации очень часто ведает СБ. Если нет такого момента в деятельности, то можно привязаться к уровню предоставления сервиса. SLA (service level agreement). Начать с инфосекьюрити в ИТ. Время реакции на инциденты, шкала(градация) инцидентов, доступность внешних сервисов, оценка соответствия ИТ-инфраструктуры требованиям безопасности :о)) OMG, я это пару раз проходил с разных сторон, вспоминать страшно. Но делать это необходимо в любом разе.

По заглавной теме. Такой подход к делу говорит о том, что не нужен Вам ИТ-инженер в отделе. Вы его не использовать не можете. Попробуйте для начала ответить сами себе на вопрос, в каком виде Вы хотите увидеть данные о нарушении безопасности (инциденте) Я както в свое время неимоверным путем купил софтину за 200 евро. Зоналарм такой файервол. Она отсекала атаки, определяла их степень понятным языком типа "Попытка взлома с такого-то компьютера" и отслеживала его нахождение на карте. Спецом чтобы начальнику СБ показать. ВОт враг. ВОт что он пытался сделать. ВОт где находиться. Все. Просто и ясно. И с этого момента начало устанавливаться доверие.

Ссылка на сообщение
Поделиться на другие сайты

Все зависит от того, какова сфера деятельности Вашего предприятия. В любом случае, IT-шник нужен в СБ хотя бы для того, чтобы контролировать переписку сотрудников, обобщать и анализировать. Да и внешние атаки и попытки взлома - вещи не последние. Очеь важный момент: если человечек задумал переметнуться к конкурентам, он попытается скачать информацию о предприятии, какие-то базы, договора и проч. Был у меня такой случай. Так что вот Вами поле для деятельности такго специалиста.

Ссылка на сообщение
Поделиться на другие сайты

В обсуждении не упомянули контроль использования ресурсов нанимателя сотрудниками. Кто "левачит", делая курсовые, рефераты и пр. на оборудовании нанимателя. Кто и на каких сайтах проводит рабочее время? Не пора ли разобраться в объеме интернет трафика? Я не говорю о перехвате переписки, а вполне законный мониторинг использования интернета. Возможно организовать список интернет ресурсов, к которым запретить доступ сотрудникам. Вот тут и нужен грамотный айтишник.

Ссылка на сообщение
Поделиться на другие сайты
Но для этого надо грамотно обосновать руководству необходимость в айтишнике.

Такие функции как контроль, координация, отчеты, обучение для работы с программой -не проканают.Надо привести веский аргумент его необходимости в отделе, что бы руководство дало добро и я вписал строчку в бюджете. Может у кого то есть опыт привлечения в СБ сотрудника IT, поделитесь. Заранее благодарен.

 

На период обкатки новых систем безопасности приходится самый большой процент выявлений нарушений. И по этому, самое время проявить себя Вашему спецу.

Но возникает вопрос: спец то, от подрядчика к Вам хочет переметнуться что ли? Тогда почему?

Ну а если подрядчик наладит, обкатает, а Вы найдете молодого и зеленого, тоже не факт, что он эффективен будет.

 

Вобщем если Вас кандидат по всем параметрам устраевает, то показывайте на бумаге все выявленные за месяц нарушения, но только те, которые ранее не были заметны, а потери из-за которых есть. Соответственно все недоработки и злоупотребления персонала индексируются в бабло и возвращаются, или хотябы предотвращаются.

Если сумма месячных выявлений будет раза в четыре, в пять больше з/платы тишника, то Вам его скорей всего оставят. А если значительно меньше, то он Вам и не нужен, или он не на своем месте, так как после двух-трех месяцев работы нарушений должно быть минимум, на то она (система) и ставится.

Ссылка на сообщение
Поделиться на другие сайты
У меня похожая проблема. Ген. директор задумался о переподчинении ИТ отдела под службу безопасности, или под финансовую службу.

 

Сорри, что вмешиваюсь.

 

Нельзя подчинять ИТ безопасникам. Они выполняют противоречащие друг другу функции. Задача ИТ - обеспечить максимально простой и легкий доступ к информации, а задача безопасников - максимально его ограничить, иногда даже в ущерб эффективности работы исполнителей. Это теоретически. На практике помимо этого есть куча проблем, среди которых безопасник, которому подчиняется ИТ (не в обиду, но ИТ обрыдается, а за ними пользователи). В частности, Вы сами признали себя не специалистом в ИТ. Не нужно ими руководить, помяните мое слово, это совсем другая область деятельности со своими особенностями.

 

В идеале ИТ и ИБ должны делить функционал и бдительно зырить друг за другом. Уровень подчинения у обоих - равный остальным службам, что-то вроде зам директора по ИТ и зам дир по ИБ, и ни в коем разе не нужно их подчинять "булгахтерам", финансистам, технологам и прочим.

 

Более того, иногда имеет смысл разделить ИБ, экономических безопасников и тем более охрану в отдельные структуры, но это если масштабы предприятия и штаты подразделений СБ существенные.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...