Перейти к содержанию

экономическая безопасность и ИТ служба

Оценить эту тему:


Рекомендуемые сообщения

Добрый день уважаемые коллеги!

Поступила задача от руководителя, подготовить обоснование включение ИТ службы в структуру безопасности холдинга.

Понимаю, вопрос о целесообразности такого включения достаточно спорен, но сложилась определенная ситуация.

Может быть есть какие нибудь наработки по данному вопросу?

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 22
  • Создана
  • Последний ответ

Топ авторов темы

В нашем СБ мое подразделение занимается частью вопросов, связанных с IT. Это включает в себя:

- Защиту электронной информации;

- Поддержку и совершенствование информационных поисковых ресурсов СБ;

- Разработку и поддержку систем учета деятельности и автоматизации;

- Участие в рабочих группах с другими подразделениями (экспертиза IT систем по линии СБ);

- Сбор данных и подготовку отчетности по СБ + анализ причин, следствий и прогнозирование;

- Подготовка материалов для презентаций и обучения;

- много всего другого, специфичного только для финансовой сферы.

Нужно смотреть конкретно структуру Вашего СБ и сферу деятельности организации.

 

Ссылка на сообщение
Поделиться на другие сайты

Наверное, в задачу руководителя СБ входит профилактическая работа с руководством в плане того, что бы оно таких задач не ставило ИМХО.

Ссылка на сообщение
Поделиться на другие сайты
В нашем СБ мое подразделение занимается частью вопросов, связанных с IT. Это включает в себя:

- Защиту электронной информации;

- Поддержку и совершенствование информационных поисковых ресурсов СБ;

- Разработку и поддержку систем учета деятельности и автоматизации;

- Участие в рабочих группах с другими подразделениями (экспертиза IT систем по линии СБ);

- Сбор данных и подготовку отчетности по СБ + анализ причин, следствий и прогнозирование;

- Подготовка материалов для презентаций и обучения;

- много всего другого, специфичного только для финансовой сферы.

Нужно смотреть конкретно структуру Вашего СБ и сферу деятельности организации.

 

Спасибо.

Сфера деятельности организации - управляющая компания холдинга, занимающегося строительством энергетических объектов.

В настоящее время, ИТ служба входит в структура одной дочки, пусть и основной, вокруг которой, в принципе, и образовался холдинг.

С целью улучшения управляемости выделили управляющую компанию, однако ИТ в новую структуру по субъективным причинам не вошло. Сейчас ситуацию хотят изменить, но в силу опять же субъективных причин процесс тормозится.

Объясняю почему решили замкнуть на СБ. Начальник ИТ подразделения хороший технарь, но есть проблемы с коммуникацией, в связи с чем возникают проблемы с пользователями различного уровня. Совместная деятельность по внедрению системы информационной безопасности показала, что когда он работает под руководством СБ, данная проблема пропадает. Поэтому, чтобы не вешать на себя геморрои по ИТ, ГД решил замкнуть его на СБ.

Ссылка на сообщение
Поделиться на другие сайты
Наверное, в задачу руководителя СБ входит профилактическая работа с руководством в плане того, что бы оно таких задач не ставило ИМХО.

 

Уважаемый Digger, обоснуйте свое ИМХО

Ссылка на сообщение
Поделиться на другие сайты
Добрый день уважаемые коллеги!

Поступила задача от руководителя, подготовить обоснование включение ИТ службы в структуру безопасности холдинга.

Понимаю, вопрос о целесообразности такого включения достаточно спорен, но сложилась определенная ситуация.

Может быть есть какие нибудь наработки по данному вопросу?

Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

Ссылка на сообщение
Поделиться на другие сайты
Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

Спасибо.

Да, ГД управляющей компании решение принял, нужно обосновать перед акционерами.

Трудность заключается в том, что ИТ на настоящий момент входит не в УК, а в основную производственную дочку.

"Крыша" ИТ - ГД дочки, куда ИТ входит на настоящий момент. Кстати, крыша громко сказано, потому, что само ИТ очень хочет выйти из под этой крыши. ГД в основной дочке поменялся, и его антикризисный стиль управления, ИТ мягко говоря не нравится.

Да, кстати, для выполнения задачи, вполне может подойти и обоснование, что ИТ должно находиться не в основной производственной дочке, а в управляющей компании.

Ссылка на сообщение
Поделиться на другие сайты
Уважаемый Digger, обоснуйте свое ИМХО

Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

Ссылка на сообщение
Поделиться на другие сайты
Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

 

Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

 

Ссылка на сообщение
Поделиться на другие сайты
Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

ну процента на 1.5 -2 вы насмотрели... :smile13:

О каких регламентах ведем речь?

КТ? безопасной работы в интернет и собственных сетях? безопасности коммуникаций (связь, VPN и подобное), документооборот в.т.ч. бумажный?

Определились с оборудованием которое все это может поддерживать? регламенты по работе с теми же доками в случае нестандартных ситуаций, типа шоу-маски нагрянули? Регламенты по прелюстрации почты, прослушки, проглядки и прочим шпиенским забавам, от которых увы не уйти?

Регламенты по защите технических каналов утечки информации и опять таки подбора и монтажа этого железа? регламентов по ПМ всяческих штучек-дрючек типа жучков и прочего железа по съему информации? И еще много чего...

И если всем этим будет заниматься СБ, тогда кто будет сохранять материальные ценности? выявлять и ловить мошенников, гасить дебиторку, пробивать контрагентов и персонал...да много чего...

Очень уж у Вас смутное представление об ИТ и ИБ...да наверное и о СЭБ с режимом...

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...

×
×
  • Создать...