Резюме специалистов в области ИТ и ИБ

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Ibrohim Djuraev

нет, так как для этого и создана внутрикорпоративные правила, которые предусматривают возможные утечки кадров

Интересно - как внутрикорпоративные правила могут помешать утечке кадров? Какая связь? Очень интересно.

[Ibrohim Djuraev]

Цитата:

Сообщение от Aziz Rakhimov

У нас этим фактически будет заниматься головное предприятие. ТО есть весь консалтинг в этом направлении идет централизованный.

ок. спасибо за информацию

Цитата:

Сообщение от Evgeniy Sklyarevskiy

Интересно - как внутрикорпоративные правила могут помешать утечке кадров? Какая связь? Очень интересно.

ЕС, на то и они ВНУТРИкорпоративные правила не будем же его раскрывать

[Ilya V. Dolgushin]

Цитата:

Сообщение от Evgeniy Sklyarevskiy

Интересно - как внутрикорпоративные правила могут помешать утечке кадров? Какая связь? Очень интересно.

Видимо в трудовом договоре был пункт в котором обозначалось то что человека вербуют на определённый срок.

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Ibrohim Djuraev

ЕС, на то и они ВНУТРИкорпоративные правила не будем же его раскрывать

Только один вопрос - они мешают уволиться и перейти на более высокооплачивемую работу?

[Daniyar Atadjanov]

Цитата:

Сообщение от Evgeniy Sklyarevskiy

Только один вопрос - они мешают уволиться и перейти на более высокооплачивемую работу?

Они с достаточной степенью вероятности позволяют выявить тех, кого "надолго не хватит". Это правила не для тех, кто увольняется (хотя и такие есть в планах), а в первую очередь для отдела кадров и службы безопасности.

Вполне нормальная практика и немного описана в международных стандартах по управлению ИБ.

[Akhmad Kodirov]

Цитата:

Сообщение от Aziz Rakhimov

:-) Только своими словами пересказать, так как должностная инструкция - документ внутреннего пользования :-)

Итак: Специалист по ИТ безопасности должен готовить (совместно с департаментом безопасности), внедрять и контролировать (совместно с департаментом безопасности) исполнение нормативных документов в области безопасности ИТ-систем (сеть, биллинг, документооборот). Реально есть набор НД головной организации, его нужно адаптировать и внедрить. Имеет полномочия в своей сфере рулить сисадминами, админами Виндовса и админами биллинга, а также следить за выполнением требований всеми пользователями информационных систем. В случае невыполнения кем-то его требований в этой области, вопрос эскалируется в блок безопастности, руководителю сотрудника, допустившего нарушение и мне. Мерилом качества работы служит количество выявленных инцидентов (и тем паче - дыр, выявленных и закрытых ДО инцидента), оперативность реагирования на них и результаты регулярного аудита ИТ-безопасности, который проводится головной организацией с привлечением сторонних организаций в области безопасности. Опять же по результатам аудита нужно составить план и принять меры по выявленным проблемам.

Кроме того, нужно уметь составить стратегию ИТ безопасности на паредприятии (опять на базе существующей в головной организации), и функциональный план работ на год по ее реализации. Плюсы - сильная и лояльная команда в Москве, которая поможет как спланировать, так и работать.

Специалист по информационной безопасности - в департамент по безопасности, цели более смещены в защиту информации неэлектронной. Обмен информацией с партнерами и контрагентами, контроль за утечкой и тд.

Assalomu alaykum,
Ushbu ma'lumotlar bilan tanishib chiqdim. Yuqorida keltirilgan ish o`rniga qiziqishim ortdi. Men Qarshi shahridanman. Sizlarga mutaxassislar viloyatlardan kerak emasmi? Bu haqida ma'lumot berilmagan ekan. Lekin MTS ning filiali Qarshi shahrida ham faoliyat kursatadi, balkim Qarshi shahrida ham bush ish o`rni kerakdir. Nima deysiz?

[Iskander Koneev]

Цитата:

Сообщение от Aziz Rakhimov

:-) Только своими словами пересказать, так как должностная инструкция - документ внутреннего пользования :-)

Итак: Специалист по ИТ безопасности должен готовить (совместно с департаментом безопасности), внедрять и контролировать (совместно с департаментом безопасности) исполнение нормативных документов в области безопасности ИТ-систем (сеть, биллинг, документооборот). Реально есть набор НД головной организации, его нужно адаптировать и внедрить. Имеет полномочия в своей сфере рулить сисадминами, админами Виндовса и админами биллинга, а также следить за выполнением требований всеми пользователями информационных систем. В случае невыполнения кем-то его требований в этой области, вопрос эскалируется в блок безопастности, руководителю сотрудника, допустившего нарушение и мне. Мерилом качества работы служит количество выявленных инцидентов (и тем паче - дыр, выявленных и закрытых ДО инцидента), оперативность реагирования на них и результаты регулярного аудита ИТ-безопасности, который проводится головной организацией с привлечением сторонних организаций в области безопасности. Опять же по результатам аудита нужно составить план и принять меры по выявленным проблемам.

Кроме того, нужно уметь составить стратегию ИТ безопасности на паредприятии (опять на базе существующей в головной организации), и функциональный план работ на год по ее реализации. Плюсы - сильная и лояльная команда в Москве, которая поможет как спланировать, так и работать.

Специалист по информационной безопасности - в департамент по безопасности, цели более смещены в защиту информации неэлектронной. Обмен информацией с партнерами и контрагентами, контроль за утечкой и тд.

Надеюсь, что тут возникла просто путаница в терминах, так как в противном случае идет недопонимание ряда аспектов управления ИБ.

Стратегия разрабатывается головным учреждением на основе анализа информационных рисков (как учат нас стандарты) и воплощается в мероприятиях, одним из которых является разработка нормативов.
Поскольку, как Вы пишите, нормативы приходят из центра, то региональное отделение (при всем уважении), каким бы крупным оно не было, не может разрабатывать свою стратегию. Максимум – действовать в рамках тех пунктов Программы (выработанной на основе Стратегии), где допускаются местные корректировки.
Таким образом, речь, видимо, следует вести не о Стратегии, а о некоем Плане мероприятий.

Кроме того, хотелось бы предостеречь от неверно выбранных индикаторов эффективной работы специалиста (KPI).
Те требования, которые описаны здесь, скорее относятся к специалисту управлению уязвимостями и реагированию на инциденты. Но даже для него следует более четко определить критерии. В противном случае его работа сведется к:
1. Регулярным сообщениям о том, что пользователь зашел на anekdot.ru, mail.ru и т.д. – ему же надо наращивать количество инцидентов
2. Регулярным сообщениям о выявлении “дыр” путем прочтения новостных рассылок

Если же начать корректировать KPI после начала работ специалиста, то это может вызвать соответствующие недопонимания…

Скорее всего, на самом деле Вы все это понимаете, я просто хотел предостеречь тех, кто некорректно воспримет список Ваших требований.

[Aziz Rakhimov]

Цитата:

Сообщение от Iskander Koneev

Надеюсь, что тут возникла просто путаница в терминах, так как в противном случае идет недопонимание ряда аспектов управления ИБ.

Стратегия разрабатывается головным учреждением на основе анализа информационных рисков (как учат нас стандарты) и воплощается в мероприятиях, одним из которых является разработка нормативов.
Поскольку, как Вы пишите, нормативы приходят из центра, то региональное отделение (при всем уважении), каким бы крупным оно не было, не может разрабатывать свою стратегию. Максимум – действовать в рамках тех пунктов Программы (выработанной на основе Стратегии), где допускаются местные корректировки.
Таким образом, речь, видимо, следует вести не о Стратегии, а о некоем Плане мероприятий.

Я согласен, но дело в том, что мы являемся формально самостоятельной организацией, и все нормативные документы требуют утверждения у нас. Конечно, это в достаточной степени формальность, но она есть.

Цитата:

Сообщение от Iskander Koneev

Кроме того, хотелось бы предостеречь от неверно выбранных индикаторов эффективной работы специалиста (KPI).
Те требования, которые описаны здесь, скорее относятся к специалисту управлению уязвимостями и реагированию на инциденты. Но даже для него следует более четко определить критерии. В противном случае его работа сведется к:
1. Регулярным сообщениям о том, что пользователь зашел на anekdot.ru, mail.ru и т.д. – ему же надо наращивать количество инцидентов
2. Регулярным сообщениям о выявлении “дыр” путем прочтения новостных рассылок

Если же начать корректировать KPI после начала работ специалиста, то это может вызвать соответствующие недопонимания…

Скорее всего, на самом деле Вы все это понимаете, я просто хотел предостеречь тех, кто некорректно воспримет список Ваших требований.

Спасибо, это действительно интересно - так как в области ИБ мои познания я бы характеризовал как начальные :-)