ИТ безопасность как специализация.

ИТ безопасность должна быть отдельно от ИТ

 

Да, существует.

 

St_100,
непонятен поворот вопроса к гос. конторам.

 

Как должность.... есть у нас коммерческая организация "Безопасные информационные технологии" www.binteh.ru в частности там есть люди с подобной должностью.

 

Да лана. Отделы безопасности есть практически в любой конторке с сраной сеткой на 50 компов.

 

St_100,
Ё маё. Отдельно ничего не бывает. Отдельно должна быть служба которая занимается вопросами безопасности как уже писал AlTk. Эта служба должна совместно с бизнес-подразделениями выработать требования к системе безопасности, положение по отделу, иными словами создать концепцию - что и зачем обезопасивать, защищать. Эта служба должна заниматься любыми видами угроз - утечка информации, пожар, наезд органов, эпидемия гриппа, атака инопланетян и т.д.
Далее сама система безопасности проектируется - обычно силами сторонних организаций, но бывает по всякому. В результате проектирования должен быть в том числе разработан документ объясняющий каждой службе ее обязанности (т.е. комплекс проводимых этой службой мероприятий по обеспечению безопасности). Среди этих служб обычно бывает ИТ подразделение.
Предприятия где существуюет целый отдельный отдел только и делающий, что заклеивающий юсби порты и целыми днями пялящийся в аудит лог встречаются крайне редко, независимо от формы собственности.
Мой ответ касался первого пункта - отделы безопасности обычно бывают уже в любой более менее выросшей конторке. Ценность и качество их работы - это уже другой вопрос.

 

если уж начали так развернуто отвечать, то и я дополню.
на промышленных предприятиях и производстве есть очень важное структурное подразделение и называется оно, с вариациями, как-то так: "Служба надежности, технологических нарушений, охраны труда и техники безопасности"
как правило, начальник этой структуры является заместителем главного инженера или технического директора.
руководящие документы этой структуры обязательны к исполнению всеми другими структурными подразделениями, которые заняты и/или соприкасаются с основными и сопутствующими технологическими процессами.
структурное подразделение, отвечающее за безопасность является аналогом этой структуры, но уже применительно не к технологическим процессам, а ко всем процессам организации. руководитель этой структуры является заместителем или напрямую подчиненным руководителю организации.

 

К слову сказать, крупные гос конторы, сами таких отделов не содержат, ибо специалисты такого отдела - дорого стоят.
Такие организации пользуются услугами сторонних организаций, которые имеют лицензию, и сертефицированы на данный вид деятельности (ФСТЕК, "КГБ" и тд).

 

К слову сказать, в действительно крупных гос конторах есть не только отделы безопасности, но и управления безопасности, и целые дирекции. И отделы по безопасности бывают поболее, чем ИТ отделы.

 

Охотно верю, но вот проверкой эфективности их деятельности - занимаються совсем другие структуры.

Мало того - средства защиты информации, и разнообразные системы, не могут быть запущены в эксплуатацию этими специалистами таких предприятий самостоятельно.

добавлено через 20 минут
Извиняюсь за некоректную фразу в посте про "не содержат", содержат наверняка, но всетаки это больше наблюдатели нежели аналогичные люди в ком. организациях.

добавлено через 33 минуты
обьявление на 3 интернет ресурсах по работе - даст вам по паре тройке звонков в неделю от потенциальных работодателей, а так же еще пару от КА.

Мне с пол месяца назад, звонила тетка из КА, в свободной беседе, заявила что "ее не интересует почему.." на этом наш разговор завершился.
"Я...директор.....специалист.... психолог" КА "ХХХХХХ"". Вот это меня насторожило, ну а "не интересует" - окончательно показало безсмысленность разговора.

добавлено через 36 минут
модеры, удалите предпоследнее добавление)).

 

OpenBoy, Егорушка, над тобою ржот уже весь отдел безопасности крупной гос. конторы и одной мелкой, где работает AlTk. Они как раз ко мне пришли пива попить и поговорить о безопасности в IT сфере в 2009 году в связи с наросшей угрозой.
Если что, отписывайся здесь, тебе ответят лучшие умы Волгограда, Москвы, России и сама Маришка, непонятно как забредшая на этот праздник жизни.

 

Бабруйский Диверсант,

Если контора где алтк для тебя мелкая то что же тогда крупная...

Я считаю для небольшой конторы эти задачи так же актуальны. И здесь как раз актуален фриланс или аутсоурсинг.

Ибо чел отвечающий за безопасность должен как можно меньше общаться с коллективом.

 

Говоря проще, специально для тебя, ни один специалист даже с 10 высшими образованиями профильными, не имеет право делать заключения, о безопасности хранения, обработки, передачи информации, содержащей гос-тайну, не имея на это штук 20 лицензий, и соотвествующие знания, о правилах и стандартах принятых в этой области на гос.уровне.

Иначе говоря, наличие отдела который имеет вышеназываное количество лицензий, может сказать нам либо:
- о том что ежедневно, этот отдел сталкиваеться с проектированием, монтажем и вводом в эксплуатацию, систем обработки и хранения информации, систем контроля доступа, оборудования и средств защиты от закладок и прочих средств сбора информации. То есть ежедневно сталкиваеться с необходимостью проводить деятельность подлежащую лицензированию и сертификации.
- о том что руководству этой компании некуда девать деньги, и абсолютно не жаль, что сотрудники имеют вагон свободного времени на работе.
Я лично, по опыту, склонен верить больше во второе.

добавлено через 1 час 21 минуту
БД
'Гений есть терпение мысли, сосредоточенной в одном направлении.' Ньютон.

 

ты по прежнему не читаешь то, что пишут тут умные людти? В частности Mix и AlTk - Есть управления, отделы и прочие подразделения, создающие систему безопасночти, единые правила для всего предприятия, в том числе и для ИТ службы. Есть ИТ служба, реализуящая предприсания службы ИБ, и есть всякого рода аудиторы и прочие проверяльщики этой самой безопасности - это как раз сторонние организации.

ну ты ж типа админ, ты же должен знать отношение других подразделений к админам - "сидят, целый день в интеренете шарятся..." и т.п.

 

Я поправился по поводу отсуствия отдела. Чуть выше.

Пример работы службы безопасности. Например, ты хочешь стать доверенным удостоверяющим центром УЦ ГНИВЦ ФНС РФ.
Думаешь - что же для этого надо?
Идешь на сайт ГНИВЦ, и видишь там доку, с техническими требованиями, требованиями безопасности и тд и тп.

Предположим на текущий момент, есть некоторые правила и документы, описывающие все моменты безопасности в организации.

Ты приходишь к человеку из этой службы безопасности и говоришь:
Петя, вот так и так - надо вот здесь и тут поменять вот это и это, а вот это - будет теперь вот так а не как раньше. И вы вместе вчитываетесь в содержание требований.

В процессе чтения, Петр, спец по например электронной безопасности, и его коллега спец по ..... остальным моментам, чешут репу и понимают, что то, что требуеться в документе, снизит в итоге, по их мнению безопасность которая имееться на текущий момент. (К примеру).

Но - ничего поделать не могут. Ибо - есть некоторые нормы, которые они обязаны выполнять.

Кроме того, для того чтобы определиться с текущим положением вещей, и, например, доложить что требования к звукоизоляции помещения - соотвествуют норме, Петя с Васей должны обратиться в спец контору которая занимаеться оценкой такого рода вещей, и получить у них "сертефицированый", авторитетный (?) ответ, о том что - да, все пучком, или наоборот - нет, обложите шкаф с сервером стеной в полтора кирпича.

В итоге - прикинув "на глазок", мы имеем

- несамостоятельность отдела ИБ, невозможность придумывать самые эффективные ИНДИВИДУАЛЬНЫЕ меры защиты информации;
- отсутсвие полномочий проводить "авторитетную" оценку ИБ.

Безусловно - это не значит что отдела нет - он есть.
Но уж не знаю как например на твой взгляд.. мне кажеться что по сравнению с коммерческими организациями - он более ограничен в свободе выбора, решений и тд.

Об этом собственно я и хотел сказать, между делом, как бы находясь в рамках темы... ответвляясь слегка.
Извиняюсь за категоричность в отрицании наличия самого отдела, этого я сказать не хотел. Ошипся...

 

Мда... Дорогой Егор! Скажите пожалуйста:
1. Вы когда-нибудь работали в [серьезной] федеральной государственной структуре? Или вообще в организации заметно отличающейся от ларька с шаурмой?
2. Вы знакомы с рынком услуг ИБ в регионе?
3. Вы вообще понимаете о чем пишите?

или как в прошлый раз, в теме про аутсорсинг? ответьте пожалуйста. а я Вам может расскажу что-нить по теме...

ps: скажите пожалуйста, вам аббревиатура СТР что-нить говорит? если нет - то какого ....

 

Господа господа господа, дабы топик новый не создавать, давайте я вас тут спрошу!

Вообщем вопрос такой: если есть форма допуска к гос. тайне, её ОДНОЗНАЧНО оплачивают или на усмотрение работодателя?
Раньше было 30% от оклада, а сейчас форма есть, платить - не платят, типа есть специальный чел, который следит за тем, брал ли кто в спец. отделе инфу закрытую, если брал - платят, если не брал - не платят.

По закону можно с гос. тайной так извращаться? Просто обидно пять лет без выезда за бесплатно.

 

Caps - работал. Мало того, занимался подготовкой данных о организации ИБ.
И причем весьма успешно.

 

5 лет и 30% ? чего-то странно.
Вообще говоря нельзя, насколько я понимаю. либо ты имеешь допуск и получаешь деньги, либо не имеешь.

Сисадмин занимающийся подготовкой данных о состоянии ИБ?? Ню-ню. Ларек с шаурмой видимо... Так что насчет СТР?

 

OpenBoy,
Егор, у Не госконтор тоже бывают тайны вапщета! равно как и необходимость в информационно-аналитическом отделе.

 

А что не так с НЕ гос. конторами? С ними как раз все в порядке, в том плане - у них больше возможностей реализовать стойкую систему безопасности.

Как бы о них речь и не шла особо.

 

Ну знает может всё-таки кто-нибудь: если есть ВТОРЯ форма допуска, могут ли платить только ЕСЛИ ПОЛЬЗУЕШСЯ ДОКУМЕНТАМИ?

ИМХО бред же полный. На какой закон сослаться??

 

number48 я не смогу ответить на твой вопрос, никогда не сталкивался с денежными вопросами на этой почве.

Но здесь есть люди из "больших гос контор" - они то уж точно, или знают, или инструкцию имеют.
Надо только усердно молить их, хвалить и предьявить завереное нотарисом письменое признание тобою - их величия.
После они (их высочества) снизойдут к тебе.
Звиняюсь за оффтоп.

 

вторая форма? хренасе. уже стесняюсь и спросить название конторы.

Нечетко как-то. Лучше у Василисы уточнить.
А насчет выезда за кордон - выезжают. Тут зависит от характера сведений к которым имеешь доступ.

 

Caps, не знаю, но мне не платили.