экономическая безопасность и ИТ служба

[Константин Ильин]

Добрый день уважаемые коллеги!

Поступила задача от руководителя, подготовить обоснование включение ИТ службы в структуру безопасности холдинга.

Понимаю, вопрос о целесообразности такого включения достаточно спорен, но сложилась определенная ситуация.

Может быть есть какие нибудь наработки по данному вопросу?

Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

[Tigilman]

Если я правильно понял, ГД уже принял решение, но ему, в силу каких-то причин, нужно формальное обоснование.

Обычно бывает наоборот:(

В Вашем же случае, опять-таки, если я правильно понял, ГД требуется изложенный на бумаге хотя бы один аргумент, против которого "крыша" IT не сможет противопоставить ничего внятного.

Самый простой путь, на мой взгляд, в этом случае - риски при работе с КИ.

Какую бы защиту не ставили, какое бы разделение доступа не устанавливали, один человек видит все - сисадмин.

И если защита КИ возложена на СБ, то с целью предотвращения НСД к КИ просто необходимо:)) включить IT в СБ.

Правда, при таком "поглощении" возникают свои риски, не менее серьезные, но для формального обоснования такого повода может быть достаточно.

 

Спасибо.

Да, ГД управляющей компании решение принял, нужно обосновать перед акционерами.

Трудность заключается в том, что ИТ на настоящий момент входит не в УК, а в основную производственную дочку.

"Крыша" ИТ - ГД дочки, куда ИТ входит на настоящий момент. Кстати, крыша громко сказано, потому, что само ИТ очень хочет выйти из под этой крыши. ГД в основной дочке поменялся, и его антикризисный стиль управления, ИТ мягко говоря не нравится.

Да, кстати, для выполнения задачи, вполне может подойти и обоснование, что ИТ должно находиться не в основной производственной дочке, а в управляющей компании.

[Digger]

Уважаемый Digger, обоснуйте свое ИМХО

Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

[Tigilman]

Основной работой ИТ является автоматизация бизнеспроцессов предприятия и ее поддержка в рабочем состоянии...Много ли надется таких спецов в СБ? Замыкать ИТ под СБ нерационально, так как развитие ИТ будет тормозится в силу упомянутой причины...Что скажет руководитель СБ ИТишнику если он подойдет например с таким вопросом: "...для расшивки трафика мне нужен управляемый свич (такой то)"

ИТ это ведь не только информационная безопасность. Может быть ее надо создать? Зачем грузить СБ всяким железом, картриджами и сломаной мышкой у тети Маши...а это львиная работа ИТ при хорошем ИТ директоре, так как остальное все пучком...А если не пучком, то может надо ИТ директора на вменяемого заменить?

 

Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

 

[Digger]

Точка зрения ясна.

 

ну если ко мне подойдет Итэшник с вышеизложенным вопросом, я ему отвечу:"конечно".

 

Что значит создать информационную безопасность? По моему это выглядит примерно так:

- разработать и утвердить регламенты;

- довести их до персонала;

- обеспечить контроль за исполнением;

- разработать механизм реагирования и санкции в случае нарушения.

Уважаемый Диггер. что то добавите?

ну процента на 1.5 -2 вы насмотрели... :smile13:

О каких регламентах ведем речь?

КТ? безопасной работы в интернет и собственных сетях? безопасности коммуникаций (связь, VPN и подобное), документооборот в.т.ч. бумажный?

Определились с оборудованием которое все это может поддерживать? регламенты по работе с теми же доками в случае нестандартных ситуаций, типа шоу-маски нагрянули? Регламенты по прелюстрации почты, прослушки, проглядки и прочим шпиенским забавам, от которых увы не уйти?

Регламенты по защите технических каналов утечки информации и опять таки подбора и монтажа этого железа? регламентов по ПМ всяческих штучек-дрючек типа жучков и прочего железа по съему информации? И еще много чего...

И если всем этим будет заниматься СБ, тогда кто будет сохранять материальные ценности? выявлять и ловить мошенников, гасить дебиторку, пробивать контрагентов и персонал...да много чего...

Очень уж у Вас смутное представление об ИТ и ИБ...да наверное и о СЭБ с режимом...