Сообщение от Ibrohim Djuraev (Сообщение 21719)

нет, так как для этого и создана внутрикорпоративные правила, которые предусматривают возможные утечки кадров

Сообщение от Aziz Rakhimov (Сообщение 21788)

У нас этим фактически будет заниматься головное предприятие. ТО есть весь консалтинг в этом направлении идет централизованный.

Сообщение от Evgeniy Sklyarevskiy (Сообщение 21807)

Интересно - как внутрикорпоративные правила могут помешать утечке кадров? Какая связь? Очень интересно.

Сообщение от Evgeniy Sklyarevskiy (Сообщение 21807)

Интересно - как внутрикорпоративные правила могут помешать утечке кадров? Какая связь? Очень интересно.

Сообщение от Ibrohim Djuraev (Сообщение 21808)

ЕС, на то и они ВНУТРИкорпоративные правила :) не будем же его раскрывать

Сообщение от Evgeniy Sklyarevskiy (Сообщение 21813)

Только один вопрос - они мешают уволиться и перейти на более высокооплачивемую работу?

Сообщение от Aziz Rakhimov (Сообщение 21704)

:-) Только своими словами пересказать, так как должностная инструкция - документ внутреннего пользования :-)

Итак: Специалист по ИТ безопасности должен готовить (совместно с департаментом безопасности), внедрять и контролировать (совместно с департаментом безопасности) исполнение нормативных документов в области безопасности ИТ-систем (сеть, биллинг, документооборот). Реально есть набор НД головной организации, его нужно адаптировать и внедрить. Имеет полномочия в своей сфере рулить сисадминами, админами Виндовса и админами биллинга, а также следить за выполнением требований всеми пользователями информационных систем. В случае невыполнения кем-то его требований в этой области, вопрос эскалируется в блок безопастности, руководителю сотрудника, допустившего нарушение и мне. Мерилом качества работы служит количество выявленных инцидентов (и тем паче - дыр, выявленных и закрытых ДО инцидента), оперативность реагирования на них и результаты регулярного аудита ИТ-безопасности, который проводится головной организацией с привлечением сторонних организаций в области безопасности. Опять же по результатам аудита нужно составить план и принять меры по выявленным проблемам.

Кроме того, нужно уметь составить стратегию ИТ безопасности на паредприятии (опять на базе существующей в головной организации), и функциональный план работ на год по ее реализации. Плюсы - сильная и лояльная команда в Москве, которая поможет как спланировать, так и работать.

Специалист по информационной безопасности - в департамент по безопасности, цели более смещены в защиту информации неэлектронной. Обмен информацией с партнерами и контрагентами, контроль за утечкой и тд.

Сообщение от Aziz Rakhimov (Сообщение 21704)

:-) Только своими словами пересказать, так как должностная инструкция - документ внутреннего пользования :-)

Итак: Специалист по ИТ безопасности должен готовить (совместно с департаментом безопасности), внедрять и контролировать (совместно с департаментом безопасности) исполнение нормативных документов в области безопасности ИТ-систем (сеть, биллинг, документооборот). Реально есть набор НД головной организации, его нужно адаптировать и внедрить. Имеет полномочия в своей сфере рулить сисадминами, админами Виндовса и админами биллинга, а также следить за выполнением требований всеми пользователями информационных систем. В случае невыполнения кем-то его требований в этой области, вопрос эскалируется в блок безопастности, руководителю сотрудника, допустившего нарушение и мне. Мерилом качества работы служит количество выявленных инцидентов (и тем паче - дыр, выявленных и закрытых ДО инцидента), оперативность реагирования на них и результаты регулярного аудита ИТ-безопасности, который проводится головной организацией с привлечением сторонних организаций в области безопасности. Опять же по результатам аудита нужно составить план и принять меры по выявленным проблемам.

Кроме того, нужно уметь составить стратегию ИТ безопасности на паредприятии (опять на базе существующей в головной организации), и функциональный план работ на год по ее реализации. Плюсы - сильная и лояльная команда в Москве, которая поможет как спланировать, так и работать.

Специалист по информационной безопасности - в департамент по безопасности, цели более смещены в защиту информации неэлектронной. Обмен информацией с партнерами и контрагентами, контроль за утечкой и тд.

Сообщение от Iskander Koneev (Сообщение 22237)

Надеюсь, что тут возникла просто путаница в терминах, так как в противном случае идет недопонимание ряда аспектов управления ИБ.

Стратегия разрабатывается головным учреждением на основе анализа информационных рисков (как учат нас стандарты) и воплощается в мероприятиях, одним из которых является разработка нормативов.
Поскольку, как Вы пишите, нормативы приходят из центра, то региональное отделение (при всем уважении), каким бы крупным оно не было, не может разрабатывать свою стратегию. Максимум – действовать в рамках тех пунктов Программы (выработанной на основе Стратегии), где допускаются местные корректировки.
Таким образом, речь, видимо, следует вести не о Стратегии, а о некоем Плане мероприятий.

Сообщение от Iskander Koneev (Сообщение 22237)

Кроме того, хотелось бы предостеречь от неверно выбранных индикаторов эффективной работы специалиста (KPI).
Те требования, которые описаны здесь, скорее относятся к специалисту управлению уязвимостями и реагированию на инциденты. Но даже для него следует более четко определить критерии. В противном случае его работа сведется к:
1. Регулярным сообщениям о том, что пользователь зашел на anekdot.ru, mail.ru и т.д. – ему же надо наращивать количество инцидентов
2. Регулярным сообщениям о выявлении “дыр” путем прочтения новостных рассылок

Если же начать корректировать KPI после начала работ специалиста, то это может вызвать соответствующие недопонимания…

Скорее всего, на самом деле Вы все это понимаете, я просто хотел предостеречь тех, кто некорректно воспримет список Ваших требований.