TopTop

Численность отдела иб

В этой теме 12 сообщений

Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

Отредактировал TopTop

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

да вот. начальник старший и запросил инфу, видимо хотя бы для примера что бы численность отстоять. я то понимаю что важность влияет, мой непосредственный начальник это понимает. а дальше всё, ступор

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

боюсь что к этому и идет. сейчас клетки посокращаем, а потом упремся в ситуацию, что те кто остались банально зашиваются (что временами и сейчас есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

По-хорошему было неправильно им даже предлагать обслуживать DLP. Значительная часть утечек происходит по вине привилегированных пользователей, тех самых "айтишников". Если вы доверяете им средство контроля, то смысл теряется. В идеале никто вообще не должен знать, что в компании стоит DLP или как она настроена, подключена и т.п. Известны случаи, когда DLP даже через бухгалтерию проводится как нечто совсем другое.

Поэтому обслуживать системы должны сами ИБ. Повысить эффективность можно. Но надо понимать чем загружены люди. Если они руками в режиме реального времени мониторят и отрабатывают все инциденты (DLP установлена в разрыв) - это одно. Если снимается копия трафика и затем анализируется - это другое. Но в обоих случаях настройка правил фильтрации (базы контентной фильтрации, цифровых отпечаткой и порогов для них, специальных правил обработки) поможет значительно сократить кол-во инцидентов, где будет требоваться внимание офицера безопасности. Постарайтесь определить критерии, по которым генерируются ошибочные или малозначимые инциденты, а затем по ним донастроить систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По-хорошему было неправильно им даже предлагать обслуживать DLP.

Это не совсем так - обслуживание то разное бывает :)

Имхо:

1. ИТ должны организовать установку DLP на все защищаемые ПК. Это рутина, требует времени и сил, работу эту при желании можно автоматизировать ... но риска утечки оно не создает. Как раз наоборот, появляется "крайний" в лице ИТ, допустившего выдачу юзеру ПК после его переустановки без установки необходимого ПО.

2. ИТ должны подготовить сервера системы DLP. Именно подготовить - закупить, протестировать, установить операционную систему

3. ИТ должны следить за исправностью DLP на защищаемых ПК. Как любая программа, DLP просто обязана глючить. Как следствие, они должны или получать ограниченный доступ к систме (позволяющий видеть исправность агентов), или получать автоматический отчет системы о том, на каких ПК следует проверить работоспособность системы DLP. В случае глюка именно ИТ должны убедиться, работает система или нет - и сообщить в ИБ о результатах, что скажем пользователь Пилюлькин снес агента DLP на таком-то ПК. Затем совместное расследование, проводимое ИБ с участием ИТ (и заодно разборка, откуда у Пилюлькина права админа на ПК, или как именно он умудрился это сделать).

4. Сервисдеск и работа с юзерами - это опять-же ИТ-шная часть. Они могут и должны переадресовать заявку на ИБ при условии, что видят, что формально их часть нет

5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

А уволить 1-2 ИТ-шников для профилактики не пробовали ? :) Описанная ситуация конечно бывает, и видел я такое много раз, увы это не редкость ... Хотя стоит подумать в том плане, что зачем DLP, если безопасность столь бессильна, что не может с собственными ИТ-шниками совладать ?! (и я могу предположить, и наверное угадаю, что не у всех ИТ-шников ПК под контролем, стоит и работает DLP ?).

В идеале это делается так:

- пишется положение о коммерческой тайне, создаются необходимые политики и регламенты. Отдельный пункт в них - что на всех ПК должна стоят DLP, а за вмешательство в ее работу - пожизненный эцих с гвоздями

- приказ директора по конторе о внедрении DLP. Там четко с указанием ответственных прописывается, кто и за что отвечает (и именно там прописывается, отдельными пунктами, что ИТ отвечает за установку и развертывание, ИБ отвечает за администрирование системы во исполнение требований политик и регламентов. Обычно еще пишется пункт, что ИБ должны доводить руководству сведения о значимых нарушениях и проводить служебные расследования. Контроль обычно оставляется за директором, или возлагается на начальника ОБ. В приказе прописываются сроки - обычно развертывание и настройка за месяц, сопровождение и анализ - постоянно. В такой ситуации вариант "наши "айтишники" отказались от поддержки" просто не рассматривается

Конечно, если просто попробовать нагрузить ИТ установкой DLP - они естественно будут отбиваться, им же это лишняя работа, лишние заявки, лишний SLA.

По повод аргументации численности ИБ, опять же из практики - лучше всего аргументировать не количеством ПК, а важностью информации на них, риском утечки и последствиями для фирмы (ведь может оказаться, что скажем компьютеров 50 - но на них сверхважные данные и штат ИБ будет скажем 10 человек ... или компьютеров тысячи, но важного ничего нет). А еще лучше - аргументировать на примере отловленных "несунов" информации, которых с помощью DLP поймали от отправили в Сибирь или наносящих ущерб фирме инцидентах, которые были до внедрения DLP и пропали после (логика: "сократите штат - и эти инциденты снова появятся").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Подразумевал именно это под самостоятельным обслуживанием. Первые 4 пункта можно доверить ИТ, но если нет особого режима секретности и если нужно DLP на уровне конечных точек. В минимальном варианте шлюзового DLP от ИТ потребует подключить на SPAN-порт коммутатора нужный патч-корд. Дальше уже не их дело :)

Вообще поставшик чаще всего настраивает сервер сам или поставляет решение целиком, все тестируется и привозит клиенту. Если проблемы есть, то их решает саппорт вендора и/или интегратора. Так что можно обойтись без ИТ или с минимальным их привлечением. Да, это схема "серого ИТ" (недавно услышал такой термин), но такова реальность ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну айтишники "умыли" руки на этапе "мы поставим на ПК а дальше сами". Дальше все мы, настройка DLP, реагирование на сбои и тд. У нас очень четко выделена группа пользователей, чьи машины "закрыты" DLP. Поскольку инфа на "крутящаяся" этих машинах весьма критична.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?
    • PR55.RP55
      + Info Software
      Media Lid
      Megabit
      Megabit, OOO
      'LLC' Dort
      "LLC" Dort