Перейти к содержанию
broker

Оценка специалиста по информационной безопасности

Recommended Posts

broker

коллеги, имели ли Вы опыт качественной и количественной оценки деятельности специалистов по защите информации.

Возможно есть методики позволяющие получить считабельный результат, возможно деятельность специалиста по защите информации оценивается по косвенным признакам, тогда где эти признаки искать?

Само собой разумеется оценивать колличество инцидентов в лоб не корректно, так как управление инцидентами это есть работа безопасника.

В общем хотелось бы понять Вашу точку зрения, а ещё лучше увидеть примеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kernel

Мне кажется что должно оцениваться:

- количество обнаруженных событий нарушений ИБ

- скорость реакции на событие ИБ

- должны быть оценены результаты мероприятий противодействия т.е. количество повторных событий по которым уже были проведены мероприятия

- так же должны быть оценены все проекты по уменьшению рисков предприятия

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А.Щеглов
коллеги, имели ли Вы опыт качественной и количественной оценки деятельности специалистов по защите информации.

Возможно есть методики позволяющие получить считабельный результат, возможно деятельность специалиста по защите информации оценивается по косвенным признакам, тогда где эти признаки искать?

Само собой разумеется оценивать колличество инцидентов в лоб не корректно, так как управление инцидентами это есть работа безопасника.

В общем хотелось бы понять Вашу точку зрения, а ещё лучше увидеть примеры.

На мой взгляд, вопрос несколько странный. Как Вы оцените деятельность любого иного специалиста?

Должна быть должностная инструкция, четко регламентирующая его деятельность (она зависит от решаемых сотрудником задач и должна предполагать возможность проверки эффективности решения этих задач, иначе, надо хорошо подумать на подобной инструкцией). Вот ее выполнение сотрудником по соответствующим признакам и следует контролировать. Если это администратор безопасности - множество вопросов по настройке средства защиты, эксплуатации, работы с аудитом событий, участие в установке обновлений, нового ПО, да, и общие вопросы повышения квалификации в предметной области. Все это можно прописать и контролировать.

Выявление же сотрудником инцидентов - это уже вопросы премирования сотрудника. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

как простейший вариант - проведение аудита безопасности, который начинается с оценки нормативно-регламентирующих документов предприятия, анализа программно-аппаратных активов, средств защиты, политик безопасности и т.д. Если сообществу интересно - то могу примерчик такого документика выложить - как приложения к договору по аудиту одной из компаний

а текущее состояние оценивается средствами мониторинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Если сообществу интересно - то могу примерчик такого документика выложить

Был бы очень признателен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Если сообществу интересно - то могу примерчик такого документика выложить - как приложения к договору по аудиту одной из компаний

крайне нужен сей документ - планируем проводить нечто подобное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

да уж, очень хочется почитать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teofrast

Вопрос чуть-чуть по теме:

а где еще можно почитать по информационной безопасности? В частности, внедрение СУИБ по стандартам ИБ.

Пока из всех ресурсов в интернете я нашел полезным только dom.bankir.ru (Технологический департамент) + один форум, где есть ссылки на почти все стандарты. Ну и естественно статьи "по-гугловски".

anti-malware.ru все-таки полезен с точки зрения обсуждения продуктов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax

teofrast внимательное прочтение современного законодательства в области ИБ + изучение рынка конечных продуктов + грамотный специалист с в/о по этой направленности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
внедрение СУИБ по стандартам ИБ.

а зачем Вам СУИБ ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teofrast

ISO, Cobit, SOX - secondary.

Саморазвитие - primary.

На данный момент разбираюсь с 27001. За продуктами слежу по этому форуму и по новостям в инете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
ISO, Cobit, SOX - secondary.

Саморазвитие - primary.

На данный момент разбираюсь с 27001. За продуктами слежу по этому форуму и по новостям в инете.

а есть ли сама по себе ИБ у Вас на предприятии.. или хотите рассматривать вопрос абстрактно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
а есть ли сама по себе ИБ у Вас на предприятии.. или хотите рассматривать вопрос абстрактно?

хотелось бы рассмотреть случай "есть, но не устраивает" :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teofrast

Ну если за ИБ считать наличие антивируса на компах юзверей и некоторых серверах + сетевые правила, которые читают принятые на работу люди. То да - ИБ есть. :)

Насчет уровня этой ИБ, то ИТ отдел обеспечил защиту в меру своих возможностей. Т.е. внешняя безопасность присутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Прошу прощения у сообщества, но пришлось решать вопросы, связанные со сменой работы. Итак, в приложенном файле есть эдакий вот план консалтинга на базе аудита. Готов обсуждать. Инструментальные средства - тоже поделюсь - если будет необходимость.

ПЛАН_КОНСАЛТИНГ.doc

ПЛАН_КОНСАЛТИНГ.doc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
пришлось решать вопросы, связанные со сменой работы.

А подробности можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

как по мне - это выходит за пределы обсуждаемой темы, а равно и ИБ вообще. Я просто задержал обещанный документ и извинился перед сообществом, объяснив причину. разве этого не достаточно?

ИМХО, это не тема для данного форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×