Ограбление

Простите за оффтоп, но по-моему знаково. Можно внедрить СУИБ и соотвествовать PCI DSS, но если HR screening не дорабатывает, это все, в принципе, не важно.

Милиция предпринимает беспрецедентные меры по поиску...

il y a 9 jours

Vladimir Matviychuk, CISA, CISM Вообще-то HR screening - это часть СУИБ

il y a 9 jours



Volodymyr Styran Вообще-то не совсем, потому что может существовать отдельно. Тем более, что СУИБ это система управления, а не СВК.

il y a 9 jours



Vladimir Gninyuk А как мог помочь здесь HR Screening? Подозреваемый проработал в банке 5 лет.

А может это и не он вовсе.

il y a 9 jours



Volodymyr Styran Может я неправильно выразился. Я не утверждаю, что скрининг бы гарантированно помог, или что его в банке не было. Просто пример (предполагая, что это таки инсайдер) отлично иллюстрирует важность HR-процедур.

il y a 9 jours



Vladimir Matviychuk, CISA, CISM Странно слышать от человека, который сам внедрял такой контрль в рамках СУИБ, что это - не часть О_о

il y a 9 jours



Volodymyr Styran Владимир, я тверд во мнении, что СУИБ имеет такое же отношение к контролям, которыми она управляет, как система контроля качества к, собственно, качеству :) Лейба ISO9001 не гарантирует высокое качество продукции, она гарантирует стабильное, ожидаемое качество, ради которого бизнесу не нужно из кожи лезть.

В последнее время я много анализирую эту тему сразных точек зрения. Один из выводов, которые удалось сделать: СУИБ это инструмент управления, то есть скорее governance technique, чем система контролей. Перед СУИБ не стоит задача сделать бизнес безопасным. Перед СУИБ стоит цель сделать безопасность бизнес-эффективной.

Контроли, в свою очередь, могут управляться СУИБ (или нет) и получать в ее лице драйвер для улучшения. Это несоменно симбиоз, но понятия все-таки разные.

З.Ы. Сори за офтоп, конечно.

il y a 9 jours



Vladimir Gninyuk Оффтоп - это про ограбление, а последнесказанное гараздо важнее и интересней. Достойно отдельной дискуссии.

il y a 9 jours



Vladimir Matviychuk, CISA, CISM Согласен, вещь философская. В целом, СУИБ действительно нечто вышеописанное. Я говорил скорее в контексте СУИБ+контроли.

il y a 9 jours



Vladimir Gninyuk В аббревиатуре СУИБ, первая буква означает "Система". Посему анализировать данное понятие нужно как систему.

Если взять одно из определений системы: «система — это конечное множество функциональных элементов и отношений между ними, выделенное из среды в соответствии с определенной целью в рамках определенного временного интервала».

То даже без глубокого анализа видно, что как только мы «упускаем» какой либо элемент данного множества, то система исчезает, разваливается, перестает работать.

Если же этому хочется предать философский оттенок, то можно воспользоваться другим определением системы: «система есть отражение в сознании субъекта (исследователя, наблюдателя) свойств объектов и их отношений в решении задачи исследования, познания».

Но даже здесь, несмотря на внесенную субьективную окраску элементы множества те же: набор сущностей и связей между ними во имя единой цели.

И ИСО9000 и 27000 и все остальные будут работать, но только если мы не будем нарушать их целосность.

il y a 9 jours



Alexander Eroschev 1. Сильно предполагаю, что товарищ уже на дне Днепра.
2. Сильно подозреваю, что фактический организатор группы имеет сообщника внутри банка, либо сам является сотрудником банка.

il y a 8 jours



Aleksey Nazarenkov Дискуссия плавно скатилась к теме HR скрининга и рекламе, хотя, судя по сообщению, далеко не однозначно, что такой контроль мог помочь предотвратить инцидент. Если бы у охранника было выдающееся прошлое или настоящее, то к моменту публикации милиция уже бы это выявила и вероятно приложила бы к остальными подробностям.

Как оффтоп: по-моему очень экстравагантным выглядит заказ болгарки в день инцидента с доставкой из инет магазина прямо на место взлома. Готов даже подумать, что припасенный заранее инструмент по каким-то причинам оказался непригодным. Но получается, что наличие в рамках СУИБ банка контроля использования Интернета могло бы предотвратить хищение многомиллионных ценностей ))

il y a 3 jours



Alexander Eroschev Эдак мы сейчас скатимся к "а если бы у него был (короткоствол) DLP" )))

il y a 3 jours



Vladimir Matviychuk, CISA, CISM Есть хороший инструмент - называется круговая порука. Если залет одного из охранников - увольняют всю смену. Очень стимулирует людей смотреть не только за тем, что охраняют, но и за коллегами.

il y a 2 jours



Vladimir Gninyuk Хорош в теории, так как предполагает неограниченное предложение хорошей замены... Посему используется с ограничениями: для наказания "розгами" ;-)

il y a 2 jours



Vladimir Matviychuk, CISA, CISM Это не теория. Это - реальная практика из моей прошлой жизни, когда я работал в одном из банков с иностранным капиталом (тогда таких было всего 5).

il y a 2 jours



Vladimir Gninyuk Согласен, здесь слово "теория" не удачное, предлагаю заменить на "но не всегда применим"

il y a 2 jours



Oleg Gavryliak актуальный персонаж в тему из нашей раши "не ребята я не в курсе")))))))

il y a 1 jour



Artem Karpinsky Ваше имя // 10.06.2011 10:06:21
"охранник Мухоед украл из банка"... - журналисты все уже знают! И даже фамилию назовут. А вот если окажется, что престепники охранника просто убили, а тело спрятали, чтобы пустить следствие по ложному следу? Надо наказывать. Именно не цензура, а ответственность должна быть. А то "четвертая власть" уже превосходит по моральности три первых вместе взятых

понравился коммент очень... у нас вроде как презумция невиновности, или как.

il y a 1 jour



Alexey Kornilov 2 Vladimir Matviychuk: интересно, по какой статье КЗОТа будут увольнять всех остальных участников смены охраны? Хотя. если банк с иностранным капиталом, то наверняка по законам дикого капитализма/гор/коллективной мести.

il y a 19 heures



Vladimir Matviychuk, CISA, CISM Охрана на аутсорсе. Условия оговаривались с компанией-поставщиком услуги. Как юридически это оформлялось - не знаю.
Это если абстрагироваться от того факта, что по КЗОТу живет очень мало компаний.

il y a 18 heures
Comments