Перейти к содержанию

экономическая безопасность и ИТ служба


Рекомендуемые сообщения

Добрый день уважаемые коллеги!

Поступила задача от руководителя, подготовить обоснование включение ИТ службы в структуру безопасности холдинга.

Понимаю, вопрос о целесообразности такого включения достаточно спорен, но сложилась определенная ситуация.

Может быть есть какие нибудь наработки по данному вопросу?

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 22
  • Создана
  • Последний ответ

В нашем СБ мое подразделение занимается частью вопросов, связанных с IT. Это включает в себя:

- Защиту электронной информации;

- Поддержку и совершенствование информационных поисковых ресурсов СБ;

- Разработку и поддержку систем учета деятельности и автоматизации;

- Участие в рабочих группах с другими подразделениями (экспертиза IT систем по линии СБ);

- Сбор данных и подготовку отчетности по СБ + анализ причин, следствий и прогнозирование;

- Подготовка материалов для презентаций и обучения;

- много всего другого, специфичного только для финансовой сферы.

Нужно смотреть конкретно структуру Вашего СБ и сферу деятельности организации.

 

Ссылка на комментарий
Поделиться на другие сайты

Наверное, в задачу руководителя СБ входит профилактическая работа с руководством в плане того, что бы оно таких задач не ставило ИМХО.

Ссылка на комментарий
Поделиться на другие сайты

В нашем СБ мое подразделение занимается частью вопросов, связанных с IT. Это включает в себя:

- Защиту электронной информации;

- Поддержку и совершенствование информационных поисковых ресурсов СБ;

- Разработку и поддержку систем учета деятельности и автоматизации;

- Участие в рабочих группах с другими подразделениями (экспертиза IT систем по линии СБ);

- Сбор данных и подготовку отчетности по СБ + анализ причин, следствий и прогнозирование;

- Подготовка материалов для презентаций и обучения;

- много всего другого, специфичного только для финансовой сферы.

Нужно смотреть конкретно структуру Вашего СБ и сферу деятельности организации.

 

Спасибо.

Сфера деятельности организации - управляющая компания холдинга, занимающегося строительством энергетических объектов.

В настоящее время, ИТ служба входит в структура одной дочки, пусть и основной, вокруг которой, в принципе, и образовался холдинг.

С целью улучшения управляемости выделили управляющую компанию, однако ИТ в новую структуру по субъективным причинам не вошло. Сейчас ситуацию хотят изменить, но в силу опять же субъективных причин процесс тормозится.

Объясняю почему решили замкнуть на СБ. Начальник ИТ подразделения хороший технарь, но есть проблемы с коммуникацией, в связи с чем возникают проблемы с пользователями различного уровня. Совместная деятельность по внедрению системы информационной безопасности показала, что когда он работает под руководством СБ, данная проблема пропадает. Поэтому, чтобы не вешать на себя геморрои по ИТ, ГД решил замкнуть его на СБ.

Ссылка на комментарий
Поделиться на другие сайты

Наверное, в задачу руководителя СБ входит профилактическая работа с руководством в плане того, что бы оно таких задач не ставило ИМХО.

 

Уважаемый Digger, обоснуйте свое ИМХО

Ссылка на комментарий
Поделиться на другие сайты

Добрый день уважаемые коллеги!

Поступила задача от руководителя, подготовить обоснование включение ИТ службы в структуру безопасности холдинга.

Понимаю, вопрос о целесообразности такого включения достаточно спорен, но сложилась определенная ситуация.

Может быть есть какие нибудь наработки по данному вопросу?

Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

Ссылка на комментарий
Поделиться на другие сайты

Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

Спасибо.

Да, ГД управляющей компании решение принял, нужно обосновать перед акционерами.

Трудность заключается в том, что ИТ на настоящий момент входит не в УК, а в основную производственную дочку.

"Крыша" ИТ - ГД дочки, куда ИТ входит на настоящий момент. Кстати, крыша громко сказано, потому, что само ИТ очень хочет выйти из под этой крыши. ГД в основной дочке поменялся, и его антикризисный стиль управления, ИТ мягко говоря не нравится.

Да, кстати, для выполнения задачи, вполне может подойти и обоснование, что ИТ должно находиться не в основной производственной дочке, а в управляющей компании.

Ссылка на комментарий
Поделиться на другие сайты

Уважаемый Digger, обоснуйте свое ИМХО

Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

Ссылка на комментарий
Поделиться на другие сайты

Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

 

Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

 

Ссылка на комментарий
Поделиться на другие сайты

Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

ну процента на 1.5 -2 вы насмотрели... :smile13:

О каких регламентах ведем речь?

КТ? безопасной работы в интернет и собственных сетях? безопасности коммуникаций (связь, VPN и подобное), документооборот в.т.ч. бумажный?

Определились с оборудованием которое все это может поддерживать? регламенты по работе с теми же доками в случае нестандартных ситуаций, типа шоу-маски нагрянули? Регламенты по прелюстрации почты, прослушки, проглядки и прочим шпиенским забавам, от которых увы не уйти?

Регламенты по защите технических каналов утечки информации и опять таки подбора и монтажа этого железа? регламентов по ПМ всяческих штучек-дрючек типа жучков и прочего железа по съему информации? И еще много чего...

И если всем этим будет заниматься СБ, тогда кто будет сохранять материальные ценности? выявлять и ловить мошенников, гасить дебиторку, пробивать контрагентов и персонал...да много чего...

Очень уж у Вас смутное представление об ИТ и ИБ...да наверное и о СЭБ с режимом...

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...