TopTop

Численность отдела иб

В этой теме 12 сообщений

Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

Отредактировал TopTop

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

да вот. начальник старший и запросил инфу, видимо хотя бы для примера что бы численность отстоять. я то понимаю что важность влияет, мой непосредственный начальник это понимает. а дальше всё, ступор

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

боюсь что к этому и идет. сейчас клетки посокращаем, а потом упремся в ситуацию, что те кто остались банально зашиваются (что временами и сейчас есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

По-хорошему было неправильно им даже предлагать обслуживать DLP. Значительная часть утечек происходит по вине привилегированных пользователей, тех самых "айтишников". Если вы доверяете им средство контроля, то смысл теряется. В идеале никто вообще не должен знать, что в компании стоит DLP или как она настроена, подключена и т.п. Известны случаи, когда DLP даже через бухгалтерию проводится как нечто совсем другое.

Поэтому обслуживать системы должны сами ИБ. Повысить эффективность можно. Но надо понимать чем загружены люди. Если они руками в режиме реального времени мониторят и отрабатывают все инциденты (DLP установлена в разрыв) - это одно. Если снимается копия трафика и затем анализируется - это другое. Но в обоих случаях настройка правил фильтрации (базы контентной фильтрации, цифровых отпечаткой и порогов для них, специальных правил обработки) поможет значительно сократить кол-во инцидентов, где будет требоваться внимание офицера безопасности. Постарайтесь определить критерии, по которым генерируются ошибочные или малозначимые инциденты, а затем по ним донастроить систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По-хорошему было неправильно им даже предлагать обслуживать DLP.

Это не совсем так - обслуживание то разное бывает :)

Имхо:

1. ИТ должны организовать установку DLP на все защищаемые ПК. Это рутина, требует времени и сил, работу эту при желании можно автоматизировать ... но риска утечки оно не создает. Как раз наоборот, появляется "крайний" в лице ИТ, допустившего выдачу юзеру ПК после его переустановки без установки необходимого ПО.

2. ИТ должны подготовить сервера системы DLP. Именно подготовить - закупить, протестировать, установить операционную систему

3. ИТ должны следить за исправностью DLP на защищаемых ПК. Как любая программа, DLP просто обязана глючить. Как следствие, они должны или получать ограниченный доступ к систме (позволяющий видеть исправность агентов), или получать автоматический отчет системы о том, на каких ПК следует проверить работоспособность системы DLP. В случае глюка именно ИТ должны убедиться, работает система или нет - и сообщить в ИБ о результатах, что скажем пользователь Пилюлькин снес агента DLP на таком-то ПК. Затем совместное расследование, проводимое ИБ с участием ИТ (и заодно разборка, откуда у Пилюлькина права админа на ПК, или как именно он умудрился это сделать).

4. Сервисдеск и работа с юзерами - это опять-же ИТ-шная часть. Они могут и должны переадресовать заявку на ИБ при условии, что видят, что формально их часть нет

5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

А уволить 1-2 ИТ-шников для профилактики не пробовали ? :) Описанная ситуация конечно бывает, и видел я такое много раз, увы это не редкость ... Хотя стоит подумать в том плане, что зачем DLP, если безопасность столь бессильна, что не может с собственными ИТ-шниками совладать ?! (и я могу предположить, и наверное угадаю, что не у всех ИТ-шников ПК под контролем, стоит и работает DLP ?).

В идеале это делается так:

- пишется положение о коммерческой тайне, создаются необходимые политики и регламенты. Отдельный пункт в них - что на всех ПК должна стоят DLP, а за вмешательство в ее работу - пожизненный эцих с гвоздями

- приказ директора по конторе о внедрении DLP. Там четко с указанием ответственных прописывается, кто и за что отвечает (и именно там прописывается, отдельными пунктами, что ИТ отвечает за установку и развертывание, ИБ отвечает за администрирование системы во исполнение требований политик и регламентов. Обычно еще пишется пункт, что ИБ должны доводить руководству сведения о значимых нарушениях и проводить служебные расследования. Контроль обычно оставляется за директором, или возлагается на начальника ОБ. В приказе прописываются сроки - обычно развертывание и настройка за месяц, сопровождение и анализ - постоянно. В такой ситуации вариант "наши "айтишники" отказались от поддержки" просто не рассматривается

Конечно, если просто попробовать нагрузить ИТ установкой DLP - они естественно будут отбиваться, им же это лишняя работа, лишние заявки, лишний SLA.

По повод аргументации численности ИБ, опять же из практики - лучше всего аргументировать не количеством ПК, а важностью информации на них, риском утечки и последствиями для фирмы (ведь может оказаться, что скажем компьютеров 50 - но на них сверхважные данные и штат ИБ будет скажем 10 человек ... или компьютеров тысячи, но важного ничего нет). А еще лучше - аргументировать на примере отловленных "несунов" информации, которых с помощью DLP поймали от отправили в Сибирь или наносящих ущерб фирме инцидентах, которые были до внедрения DLP и пропали после (логика: "сократите штат - и эти инциденты снова появятся").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Подразумевал именно это под самостоятельным обслуживанием. Первые 4 пункта можно доверить ИТ, но если нет особого режима секретности и если нужно DLP на уровне конечных точек. В минимальном варианте шлюзового DLP от ИТ потребует подключить на SPAN-порт коммутатора нужный патч-корд. Дальше уже не их дело :)

Вообще поставшик чаще всего настраивает сервер сам или поставляет решение целиком, все тестируется и привозит клиенту. Если проблемы есть, то их решает саппорт вендора и/или интегратора. Так что можно обойтись без ИТ или с минимальным их привлечением. Да, это схема "серого ИТ" (недавно услышал такой термин), но такова реальность ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну айтишники "умыли" руки на этапе "мы поставим на ПК а дальше сами". Дальше все мы, настройка DLP, реагирование на сбои и тд. У нас очень четко выделена группа пользователей, чьи машины "закрыты" DLP. Поскольку инфа на "крутящаяся" этих машинах весьма критична.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • AM_Bot
      Совет округа Ислингтон, что на севере Лондона, признан виновным в нарушении защиты информации почти 90 тыс. человек. Чиновники не обеспечили безопасность транспортного приложения и теперь должны будут заплатить большой штраф, пишет газета Evening Standard. Читать далее
    • AM_Bot
      Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом. Читать далее
    • AM_Bot
      Сенсорные экраны и другие компоненты, часто заменяемые в смартфонах и планшетах, могут скрыть вредоносные чипы, способные предоставить злоумышленникам полный контроль над устройством. Читать далее
    • kvoter
      Уважаемые посетители и завсегдатаи  уважаемого Форума! Прошу совета вашего.Суть проблемы : В этом году приобрёл бюджетный ноутбук ASUS 541.До этого  времени пользовался обычным, уже старым ПК. Никаких смартфонов-айфонов не имею.Просто где-то лежит старый кнопочный мобильник....Пользуюсь. Роутер(UPVEL- UR309) подсоединил к PON-терминалу в обычной шлакобетонной квартире.(Нас "массово" переводили на оптоволокно). Примерно полгода назад обратил внимание на то,что индикатор Wi-Fi постоянно светится.Этот роутер я покупал в крупнейшей сети нашего города уже как два года тому назад про запас(цена устроила-низкая) и сразу решил,что никаким Wi-Fi пользоваться не буду. Проложил витые пары по квартирке и подключился к обычным сетевым портам на роутере. Но настроить мне ничего так и не удалось.Вызвал Специалиста от Главнейшего провайдера страны,который предоставляет услугу Интернета гражданам. Спец, примерно, около часа настраивал этот несчастный роутер.Отключил и Wi-Fi .Спасибо ему! Никак ничего и не светилось. Но вот уже как полгода, примерно, "зажегся" этот индикатор.Я звонил в техПоддержку UPVEL;своего Провайдера;техПоддерку компании MICROSOFT(у меня на машинках Лицензионная Win10.Да и всего мало-но Лицензия) Самое интересное-вот недавно вытащил из разъёмов Роутера все кабели:"огонёк" Wi-Fi продолжал светиться. И ответ был  мне от одного консультанта:"всё работает-ну и чУдно!И больше не беспокойте нас!" (Сразу скажу-с Некоторыми из СервисЦентров я знаком:ничего из другого, даже нового оборудования(я физ.лицо, ну или "частное", не починили,только за диагностику "содрали три шкуры"... И вызов Настройщика прилично теперь по цене стоит. Может -действительно на этот"глазок" забить? Жизнь ведь продолжается...
    • AM_Bot
      Хакеры из Китая обнаружили метод обхода блокировки iOS, позволяющий получить действующий ПИН-код от смартфона. Описание способа взлома разместил на своём канале популярный видеоблогер EverythingApplePro. Читать далее