Перейти к содержанию
TopTop

Численность отдела иб

Recommended Posts

TopTop

Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

Отредактировал TopTop

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
Разве это не зависит от важности обрабатываемой инфы и враждебности окружения? У кого то может в 1 отделе 1 дедушка чай пить, а у кого то периметр с собаками охраняют

да вот. начальник старший и запросил инфу, видимо хотя бы для примера что бы численность отстоять. я то понимаю что важность влияет, мой непосредственный начальник это понимает. а дальше всё, ступор

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
Типа по нормативу не положено - на ту дверь замок ставить не будем а то количество замков превысим?

боюсь что к этому и идет. сейчас клетки посокращаем, а потом упремся в ситуацию, что те кто остались банально зашиваются (что временами и сейчас есть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Привет всем, помощи прошу. Начальство поставило задачу - найти "примеры" компаний и их отделов ИБ (примерное хотя бы количественное соотношение 1 сотрудника ИБ на 10/100/1000 человек). У нас сейчас внедрена ДЛП, её обслуживанием занимается4 человека (начальник, и 3 сотрудника - ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям) соотношение получается больше чем 1 сотрудник на 100 мест.

На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop
На самом деле при грамотном подходе может быть менее одного ИБ-шника на 1000 человек. В данном случае я сразу вижу нестыковку в "ставят, настраивают, реагируют на звонки пользователей, бегают по пользователям:

1. Развертывание средств защиты должно быть максимально автоматическим, под контролем ИТ-департамента. Задача ИБ-шника только в том, чтобы осуществлять надзор за этим процессом, не более того - установка таких средств не его задача

2. Пользователи не должны звонить в ИБ ! (как раз наоборот - ИБ звонит начальнику с указанием брать за ухо подчиненного Пупкина и "с вещами на выход" :) ). Должен быть организован некий сервисдеск, механизм заявок и процедура их согласования. В таком случае ИБ освобождается от рутинных задач

3. Зачем ИБ бегать по пользователям - загадка. Большинство проверок и инспекций можно проводить дистанционно, а настройка ПК - это задача ИТ

Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

По-хорошему было неправильно им даже предлагать обслуживать DLP. Значительная часть утечек происходит по вине привилегированных пользователей, тех самых "айтишников". Если вы доверяете им средство контроля, то смысл теряется. В идеале никто вообще не должен знать, что в компании стоит DLP или как она настроена, подключена и т.п. Известны случаи, когда DLP даже через бухгалтерию проводится как нечто совсем другое.

Поэтому обслуживать системы должны сами ИБ. Повысить эффективность можно. Но надо понимать чем загружены люди. Если они руками в режиме реального времени мониторят и отрабатывают все инциденты (DLP установлена в разрыв) - это одно. Если снимается копия трафика и затем анализируется - это другое. Но в обоих случаях настройка правил фильтрации (базы контентной фильтрации, цифровых отпечаткой и порогов для них, специальных правил обработки) поможет значительно сократить кол-во инцидентов, где будет требоваться внимание офицера безопасности. Постарайтесь определить критерии, по которым генерируются ошибочные или малозначимые инциденты, а затем по ним донастроить систему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
По-хорошему было неправильно им даже предлагать обслуживать DLP.

Это не совсем так - обслуживание то разное бывает :)

Имхо:

1. ИТ должны организовать установку DLP на все защищаемые ПК. Это рутина, требует времени и сил, работу эту при желании можно автоматизировать ... но риска утечки оно не создает. Как раз наоборот, появляется "крайний" в лице ИТ, допустившего выдачу юзеру ПК после его переустановки без установки необходимого ПО.

2. ИТ должны подготовить сервера системы DLP. Именно подготовить - закупить, протестировать, установить операционную систему

3. ИТ должны следить за исправностью DLP на защищаемых ПК. Как любая программа, DLP просто обязана глючить. Как следствие, они должны или получать ограниченный доступ к систме (позволяющий видеть исправность агентов), или получать автоматический отчет системы о том, на каких ПК следует проверить работоспособность системы DLP. В случае глюка именно ИТ должны убедиться, работает система или нет - и сообщить в ИБ о результатах, что скажем пользователь Пилюлькин снес агента DLP на таком-то ПК. Затем совместное расследование, проводимое ИБ с участием ИТ (и заодно разборка, откуда у Пилюлькина права админа на ПК, или как именно он умудрился это сделать).

4. Сервисдеск и работа с юзерами - это опять-же ИТ-шная часть. Они могут и должны переадресовать заявку на ИБ при условии, что видят, что формально их часть нет

5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Наши "айтишники" отказались от поддержки и сопровождения DLP системы, мол ИБ были инициатором внедрения, вам и флаг в руки. и мы остались в ситуации - деньги вложены, а сопровождать кроме нас некому. весь саппорт повис на нас. вот так бывает

А уволить 1-2 ИТ-шников для профилактики не пробовали ? :) Описанная ситуация конечно бывает, и видел я такое много раз, увы это не редкость ... Хотя стоит подумать в том плане, что зачем DLP, если безопасность столь бессильна, что не может с собственными ИТ-шниками совладать ?! (и я могу предположить, и наверное угадаю, что не у всех ИТ-шников ПК под контролем, стоит и работает DLP ?).

В идеале это делается так:

- пишется положение о коммерческой тайне, создаются необходимые политики и регламенты. Отдельный пункт в них - что на всех ПК должна стоят DLP, а за вмешательство в ее работу - пожизненный эцих с гвоздями

- приказ директора по конторе о внедрении DLP. Там четко с указанием ответственных прописывается, кто и за что отвечает (и именно там прописывается, отдельными пунктами, что ИТ отвечает за установку и развертывание, ИБ отвечает за администрирование системы во исполнение требований политик и регламентов. Обычно еще пишется пункт, что ИБ должны доводить руководству сведения о значимых нарушениях и проводить служебные расследования. Контроль обычно оставляется за директором, или возлагается на начальника ОБ. В приказе прописываются сроки - обычно развертывание и настройка за месяц, сопровождение и анализ - постоянно. В такой ситуации вариант "наши "айтишники" отказались от поддержки" просто не рассматривается

Конечно, если просто попробовать нагрузить ИТ установкой DLP - они естественно будут отбиваться, им же это лишняя работа, лишние заявки, лишний SLA.

По повод аргументации численности ИБ, опять же из практики - лучше всего аргументировать не количеством ПК, а важностью информации на них, риском утечки и последствиями для фирмы (ведь может оказаться, что скажем компьютеров 50 - но на них сверхважные данные и штат ИБ будет скажем 10 человек ... или компьютеров тысячи, но важного ничего нет). А еще лучше - аргументировать на примере отловленных "несунов" информации, которых с помощью DLP поймали от отправили в Сибирь или наносящих ущерб фирме инцидентах, которые были до внедрения DLP и пропали после (логика: "сократите штат - и эти инциденты снова появятся").

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
5. Управление системой (разработка политик и правил, протоколы, анализ событий, инцидентов и т.п.) - всецело в руках ИБ. Тут на 100% согласен, что передавать управление такой системой в руки ИТ нельзя. Но именно управление и администрирование... причем если грамотно все настроить, то через 1-2 месяца после внедрения система не должна требовать особого внимания

Подразумевал именно это под самостоятельным обслуживанием. Первые 4 пункта можно доверить ИТ, но если нет особого режима секретности и если нужно DLP на уровне конечных точек. В минимальном варианте шлюзового DLP от ИТ потребует подключить на SPAN-порт коммутатора нужный патч-корд. Дальше уже не их дело :)

Вообще поставшик чаще всего настраивает сервер сам или поставляет решение целиком, все тестируется и привозит клиенту. Если проблемы есть, то их решает саппорт вендора и/или интегратора. Так что можно обойтись без ИТ или с минимальным их привлечением. Да, это схема "серого ИТ" (недавно услышал такой термин), но такова реальность ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TopTop

Ну айтишники "умыли" руки на этапе "мы поставим на ПК а дальше сами". Дальше все мы, настройка DLP, реагирование на сбои и тд. У нас очень четко выделена группа пользователей, чьи машины "закрыты" DLP. Поскольку инфа на "крутящаяся" этих машинах весьма критична.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В категории установленные программы необходимо добавить распределение по типу программ. ( актуальных для темы лечения ) Браузеры Антивирусы VPN - Сервисы Порой у некоторых пользователей установлено буквально по 200 программ и сидеть  искать установлен ли браузер или антивирус - или VPN, удалён ли он или от него остались в системе хвосты...  
    • demkd
      ничего нового ---------------------------------------------------------
       4.99.5
      ---------------------------------------------------------
       o Добавлен новый режим запуска для работы с неактивной системой без необходимости загрузки с флешки или диска.
         Начиная с Windows 8 доступна интеграция uVS в меню дополнительных параметров загрузки для
         запуска uVS из штатной среды восстановления Windows (WinRE) для работы с _неактивной_ системой.

         Интеграция осуществляется нажатием кнопки "Интегрировать uVS в меню дополнительных параметров загрузки".
         Загрузиться в меню можно с помощью кнопки "Перезагрузить систему в меню дополнительных параметров загрузки",
         после появления меню выберите:
         Поиск и устранение неисправностей/Диагностика/Troubleshoot(зависит от версии и региона Windows) --> uVS

         В отличии от dclone, uVS уже не получится разместить в образе WinRE, просто не хватит места на диске,
         поэтому запуск uVS происходит из каталога запуска процесса интеграции, т.е. при обновлении версии uVS
         не нужно повторно выполнять интеграцию, достаточно обновить uVS в каталоге из которого была произведена интеграция.
         В пути до uVS допустимо использовать кириллицу, даже если WinRE не имеет поддержки русского языка.
         При запуске из меню дополнительно производится инициализация сети в WinRE, т.е. будет доступна сеть
         для проверки файлов на VT, проверки сертификатов или для предоставления доступа удаленному пользователю к "рабочему столу".

       o Разовый доступ к рабочему столу доступен в WinRE/WinPЕ если в нем была инициализирована сеть,
         если образ сделан в uVS или загрузка была через интегрированный пункт в меню то сеть инициализируется при старте системы
         автоматически, однако поддержки uPNP в WinRE по умолчанию нет, поэтому для подключения к "рабочему столу" WinPE
         следует использовать обратное подключение к клиенту с белым адресом. (если подключение будет через интернет).
         (!) В WinRE/PE доступен только один режим захвата экрана - GDI, передача экрана нормально работает в WinRE/PE на базе
         (!) Win8/Win8.1/Win11, в Win11 и WinPE на его базе необходим включенный режим BLT, в противном случае консольные окна не отображаются.
         (!) Как минимум часть версий WinPE на базе Win10 дефектные (все x86), при работе с ним не отображаются консольные окна и есть проблемы
         (!) с отрисовкой окон и без удаленного доступа.
         (!) Аналогичная проблема наблюдается в WinRE для устаревших билдов Win10, для новых билдов Win10 проблемы нет.
         (!) В некоторых случаях окно uVS может оказаться за меню загрузки, в этом случае используйте Alt+Tab для переключения окон.

       o Добавлены новые модули:
         o файл rein/rein.x64 отвечает за запуск uVS из меню.
         o файл usvc.x64 отвечает за запуск uVS под LocalSystem.
         o встроенный ресурс getcpb отвечает за получение файлов из пользовательского буфера обмена при запуске под LocalSystem.

       o В окно лога подключения к удаленному рабочему столу добавлены кнопки для быстрого доступа к настройкам системы,
         запуску uVS и файлового менеджера.

       o Добавлена поддержка создания загрузочных образов дисков на базе WinPE+ADK v10.1.26100.2454 (декабрь 2024).
         (!) для создания 32-х битного WinPE или WinPE с поддержкой старого железа этот ADK не годится.
         (!) для создания 32-х битных образов используйте ADK для Windows 10 2004. (см. подробнее в FAQ.txt)

       o Улучшена функция создания загрузочных дисков.
         ISO стал мультизагрузочным с поддержкой UEFI, ISO теперь создается в UDF формате,
         т.е. загрузка с диска будет работать и на старом компьютере без UEFI и на новом с UEFI.
         Образ диска теперь занимает немного меньше места за счет дополнительно оптимизации содержимого UDF ISO.
         Добавлена проверка на разметку флешки, допустимая разметка MBR, GPT не поддерживается.
         (!) Загрузочная флешка всегда форматируется в FAT32, вся информация на флешке будет удалена,
         (!) флешки теперь мультизагрузочные.

       o Если недоступен режим захвата экрана DDA то серверная часть теперь автоматически устанавливает режим захвата GDI.

       o Теперь пока открыто окно удаленного рабочего стола удаленная система не будет засыпать.

       o Теперь окно лога передачи файла можно свернуть вместе с основным окном.

       o При ручном вводе одноразового кода доступа к удаленному рабочему столу тире теперь расставляются автоматически.

       o Исполняемый файл при выборе режима разового доступа к рабочему столу теперь
         всегда имеет фиксированное имя "uvsrdp".
         Т.е. теперь можно из одного каталога последовательно запустить удаленный рабочий стол и затем uVS в обычном режиме.

       o Оптимизирована вспомогательная функция копирования незащищенных файлов, теперь она работает немного быстрее
         системной функции CopyFile если копирование файла происходит на другой диск и значительно быстрее если
         при этом исходный файл хотя бы частично попал в файловый кэш.

       o Уменьшены требования к доступной памяти при запуске в системе без файла подкачки.
         Уменьшено максимально возможное число файлов в списке для x86 систем до 100000.

       o uVS теперь совместим со штатной средой восстановления Windows 8.

       o Перехват клавиатуры выделен в отдельный поток, что снизило инпут лаг нажатий клавиш и устранило проблему
         задержки ввода с клавиатуры на клиентской машине при передаче файлов по узкому каналу (менее 10Mbit).

       o Исправлена ошибка из-за которой не восстанавливался размер окна удаленного рабочего стола при повторном нажатии Alt+V.

       o Исправлена ошибка из-за которой был доступен просмотр экрана удаленного компьютера в режиме "только передача файлов"
         если был выбран режим захвата экрана GDI или DDA1.

       o Исправлена ошибка из-за которой в окне удаленного доступа при выборе настройки из списка передавались нажатия и движения мыши
         в удаленную систему.

       o Исправлена ошибка из-за которой назначение основного дисплея влияло на номер дисплея в DDA режиме, что приводило
         к неправильному расчету координат мыши на виртуальном дисплее удаленной системы.

       o Исправлена ошибка из-за которой не сохранялся каталог дополнительных файлов при создании загрузочной флешки.

       o Передаваемый по сети файл теперь блокируется не полностью на время передачи, а остается доступным для чтения.

       o Исправлена ошибка из-за которой не передавались на удаленный компьютер файлы с длинным путем (ошибка "путь не найден").

       o Исправлена ошибка из-за которой в редких случаях не восстанавливались права доступа и владелец ключей реестра после их модификации.

       
    • PR55.RP55
      Добавить в меню команды: Блокировать запуск файла по: [MinimumStackCommitInBytes] Снять блокировку [MinimumStackCommitInBytes] установленную uVS - [1077777777] Полностью снять блокировку [MinimumStackCommitInBytes] -  [?ХХХХХХХХ?] ---------- Пример: Блокировать запуск файла по: [MinimumStackCommitInBytes] IFEO\mediaget.exe: [MinimumStackCommitInBytes] 1077777777 IFEO\PowwerTool.exe: [MinimumStackCommitInBytes] 1077777777 -------- Команда: Проверить реестр и доступные копии реестра ( с возможностью указать копию ) на IFEO -  [MinimumStackCommitInBytes] Команда: Проверить реестр и доступные копии реестра ( а тут можно подумать, на что ещё можно проверить копию )
    • PR55.RP55
      В том году была статья : по поводу MinimumStackCommitInBytes https://www.trendmicro.com/en_in/research/23/e/attack-on-security-titans-earth-longzhi-returns-with-new-tricks.html Похоже и у нас начали активно это применять. https://forum.kasperskyclub.ru/topic/465310-slovil-majner-kogda-skachival-obhod-blokirovki-diskorda/ https://www.cyberforum.ru/viruses/thread3189071.html?ysclid=m4x30zzs6v421256067  
    • demkd
      И не должен работать, такое удалять разрешено только вручную.
×