Перейти к содержанию
TopTop

Численность отдела иб

Recommended Posts

TopTop

Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

Отредактировал TopTop

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

да вот. начальник старший и запросил инфу, видимо хотя бы для примера что бы численность отстоять. я то понимаю что важность влияет, мой непосредственный начальник это понимает. а дальше всё, ступор

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

боюсь что к этому и идет. сейчас клетки посокращаем, а потом упремся в ситуацию, что те кто остались банально зашиваются (что временами и сейчас есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

По-хорошему было неправильно им даже предлагать обслуживать DLP. Значительная часть утечек происходит по вине привилегированных пользователей, тех самых "айтишников". Если вы доверяете им средство контроля, то смысл теряется. В идеале никто вообще не должен знать, что в компании стоит DLP или как она настроена, подключена и т.п. Известны случаи, когда DLP даже через бухгалтерию проводится как нечто совсем другое.

Поэтому обслуживать системы должны сами ИБ. Повысить эффективность можно. Но надо понимать чем загружены люди. Если они руками в режиме реального времени мониторят и отрабатывают все инциденты (DLP установлена в разрыв) - это одно. Если снимается копия трафика и затем анализируется - это другое. Но в обоих случаях настройка правил фильтрации (базы контентной фильтрации, цифровых отпечаткой и порогов для них, специальных правил обработки) поможет значительно сократить кол-во инцидентов, где будет требоваться внимание офицера безопасности. Постарайтесь определить критерии, по которым генерируются ошибочные или малозначимые инциденты, а затем по ним донастроить систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
По-хорошему было неправильно им даже предлагать обслуживать DLP.

Это не совсем так - обслуживание то разное бывает :)

Имхо:

1. ИТ должны организовать установку DLP на все защищаемые ПК. Это рутина, требует времени и сил, работу эту при желании можно автоматизировать ... но риска утечки оно не создает. Как раз наоборот, появляется "крайний" в лице ИТ, допустившего выдачу юзеру ПК после его переустановки без установки необходимого ПО.

2. ИТ должны подготовить сервера системы DLP. Именно подготовить - закупить, протестировать, установить операционную систему

3. ИТ должны следить за исправностью DLP на защищаемых ПК. Как любая программа, DLP просто обязана глючить. Как следствие, они должны или получать ограниченный доступ к систме (позволяющий видеть исправность агентов), или получать автоматический отчет системы о том, на каких ПК следует проверить работоспособность системы DLP. В случае глюка именно ИТ должны убедиться, работает система или нет - и сообщить в ИБ о результатах, что скажем пользователь Пилюлькин снес агента DLP на таком-то ПК. Затем совместное расследование, проводимое ИБ с участием ИТ (и заодно разборка, откуда у Пилюлькина права админа на ПК, или как именно он умудрился это сделать).

4. Сервисдеск и работа с юзерами - это опять-же ИТ-шная часть. Они могут и должны переадресовать заявку на ИБ при условии, что видят, что формально их часть нет

5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

А уволить 1-2 ИТ-шников для профилактики не пробовали ? :) Описанная ситуация конечно бывает, и видел я такое много раз, увы это не редкость ... Хотя стоит подумать в том плане, что зачем DLP, если безопасность столь бессильна, что не может с собственными ИТ-шниками совладать ?! (и я могу предположить, и наверное угадаю, что не у всех ИТ-шников ПК под контролем, стоит и работает DLP ?).

В идеале это делается так:

- пишется положение о коммерческой тайне, создаются необходимые политики и регламенты. Отдельный пункт в них - что на всех ПК должна стоят DLP, а за вмешательство в ее работу - пожизненный эцих с гвоздями

- приказ директора по конторе о внедрении DLP. Там четко с указанием ответственных прописывается, кто и за что отвечает (и именно там прописывается, отдельными пунктами, что ИТ отвечает за установку и развертывание, ИБ отвечает за администрирование системы во исполнение требований политик и регламентов. Обычно еще пишется пункт, что ИБ должны доводить руководству сведения о значимых нарушениях и проводить служебные расследования. Контроль обычно оставляется за директором, или возлагается на начальника ОБ. В приказе прописываются сроки - обычно развертывание и настройка за месяц, сопровождение и анализ - постоянно. В такой ситуации вариант "наши "айтишники" отказались от поддержки" просто не рассматривается

Конечно, если просто попробовать нагрузить ИТ установкой DLP - они естественно будут отбиваться, им же это лишняя работа, лишние заявки, лишний SLA.

По повод аргументации численности ИБ, опять же из практики - лучше всего аргументировать не количеством ПК, а важностью информации на них, риском утечки и последствиями для фирмы (ведь может оказаться, что скажем компьютеров 50 - но на них сверхважные данные и штат ИБ будет скажем 10 человек ... или компьютеров тысячи, но важного ничего нет). А еще лучше - аргументировать на примере отловленных "несунов" информации, которых с помощью DLP поймали от отправили в Сибирь или наносящих ущерб фирме инцидентах, которые были до внедрения DLP и пропали после (логика: "сократите штат - и эти инциденты снова появятся").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Подразумевал именно это под самостоятельным обслуживанием. Первые 4 пункта можно доверить ИТ, но если нет особого режима секретности и если нужно DLP на уровне конечных точек. В минимальном варианте шлюзового DLP от ИТ потребует подключить на SPAN-порт коммутатора нужный патч-корд. Дальше уже не их дело :)

Вообще поставшик чаще всего настраивает сервер сам или поставляет решение целиком, все тестируется и привозит клиенту. Если проблемы есть, то их решает саппорт вендора и/или интегратора. Так что можно обойтись без ИТ или с минимальным их привлечением. Да, это схема "серого ИТ" (недавно услышал такой термин), но такова реальность ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop

Ну айтишники "умыли" руки на этапе "мы поставим на ПК а дальше сами". Дальше все мы, настройка DLP, реагирование на сбои и тд. У нас очень четко выделена группа пользователей, чьи машины "закрыты" DLP. Поскольку инфа на "крутящаяся" этих машинах весьма критична.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×