Як забезпечити глобальний ІТ-контроль?, Криптографія, Security & Hack, статті

Проблематика інформаційної безпеки підприємства залишається актуальною в будь-яких економічних умовах. Чим складніше загальна ситуація на ринку, тим більшу важливість набувають питання збереження інформації, чітке функціонування всіх ІТ-систем, що забезпечують стабільну роботу бізнесу і, як наслідок, зберігають лояльність клієнтів. Концепція глобального ІТ-контролю і різні підходи до розвитку систем ІБ обговорювалися в рамках круглого столу “Глобальна ІТ-контроль”, організованого CNews Conferences та компанією “Verysell Проекти”.


У будь-якого бізнесу існують больові точки, в яких протікають процеси, негативно впливають як на безпеку компанії, так і прямо і опосередковано на її прибутковість. Внутрішні ризики повинні бути формалізовані, поставлені під контроль і задокументовані, зовнішні ж ризики теж можна звести до мінімуму, використовуючи глобальний підхід до ІТ-контролю. Загальна концепція передбачає перебудову ІТ-служб, перетворення їх в сервісний підрозділ, що допомагає бізнесу контролювати процеси, що призводять до тих чи інших негативних змін. Існуюча в компанії інфраструктура повинна бути перебудована таким чином, щоб будь-які події безпеки перебували під постійним чи глобальним контролем.


Під глобальним ІТ-контролем сьогодні розуміють забезпечення повного контролю над людьми, процесами і системами. Яким чином укласти концепцію в рамки нашої економічної дійсності і які інструменти дозволяють добитися повного контролю над інфраструктурними процесами, обговорили учасники круглого столу CNews “Глобальний ІТ-контроль”.


Глобалізація контролю


Директор департаменту розвитку технологій компанії “Verysell Проекти” Рум’яна Свистунова зазначає, що складові контролю – це визначення мети, яка повинна бути досягнута у визначений відрізок часу, і порівняння результатів з очікуваннями. За її словами, ІТ-ресурси тільки тоді відповідають бізнес-цілям, коли вони відповідають бізнес-вимогам до інформації. Вимоги полягати в якості одержуваних даних, в їх безпеці.


Керівник практики комплексних проектів Євген Блохін та його заступник Денис Пустоваров показали, що зменшити негативні фактори, що впливають на безпеку, за допомогою ІТ-служб цілком реально. За словами Пустоварова, 80% яких неприємностей відбуваються з вини людей, і лише в 20% випадків в збоях винна техніка. Єдиний спосіб мінімізації впливу людського фактора – сувора формалізація спілкування фахівця з системою.


Головним критерієм успішної формалізації є чітке розуміння того, що ІТ-служби існують для бізнесу, а не навпаки. Бізнес формує вимоги, чітко прописуючи сервіси та їх якість. На цій основі визначаються параметри взаємодії бізнесу та ІТ, що дозволяють розробити концепції та політики для чіткого розуміння, які саме ІТ-інструменти необхідні для забезпечення сервісів. Таким чином стандартизація, визначення метрик, методів і методик вимірювання показників досягнення мети є необхідними параметрами для зниження впливу людського фактора.


Так, Євген Блохін навів приклад із власної практики. В одному з Цупова при проведенні коригування орбіти вийшла з ладу спеціальна система. Збій трапився з вини одного з адміністраторів, який видалив необхідну обліковий запис. Після визначення “больових точок” були запропоновані варіанти поліпшення контролю, що дозволило надалі уникнути подібних інцидентів.


За словами Дениса Пустоварова, на жаль, дуже часто розуміння необхідності спільної роботи ІТ і бізнесу виникає на етапі, коли ІТ-служби вже існують. В цьому випадку виникає необхідність вирішення відразу двох завдань: управління в рамках розробки документації та перетворення системи в регламентовану. Для виконання цих завдань необхідний як адміністративний, так і інструментальний контроль.


Технічний фахівець компанії “Verysell Проекти” Дмитро Качурин зазначив, що загрозам в організації піддається вся існуюча інфраструктура. У всіх підсистемах відбувається безліч різних подій безпеки. Однак при спробі структурувати і систематизувати цю інформацію з’являється безліч проблем. По-перше, часто її просто недостатньо. За словами Дмитра Качуріна, дуже складно знати які саме події, що впливають на безпеку, відбуваються в мережі прямо зараз. По-друге, дані журналів безпеки не завжди бувають повними, точними і захищеними від різних спотворень. По-третє, проведення політик і процедур безпеки не повинно знижувати продуктивність мережі і впливати на роботу користувачів.


Для вирішення проблем ІБ Качурин пропонує використовувати централізований збір даних з усіх журналів безпеки, включаючи інформацію про активність недобросовісних користувачів. Важливою є можливість підтримки гетерогенного оточення, тобто збір журналів з різних джерел: ОС, баз даних, брендмауерів, антивірусів, серверів і додатків. Отримані дані повинні зберігатися в стислому форматі для скорочення витрат на їх зберігання. Звіти повинні поширюватися в форматах, необхідних користувачам. Рішення з моніторингу повинні мати можливість передачі сповіщень про події безпеки.


Інструменти глобального контролю

Про існуючих рішеннях для забезпечення глобального ІТ-контролю розповів глава представництва компанії CA в Росії Васил Барзаков і менеджер з розвитку бізнесу СА Віктор Дружинін. За словами Васила Барзакова, сьогодні поняття ІТ-сервісу та бізнес-сервісу зливаються, отже потрібна нова єдина сервісна модель, що забезпечує цілісний підхід до управління ІТ з точки зору бізнесу. Саме ІТ-контроль зараз – один з найголовніших чинників, що допомагають бізнесу бути більш конкурентоспроможним. У третій версії бібліотеки ITIL вже є опис підходу, що дозволяє побудувати систему, зв’язує ІТ та бізнес. На думку Барзакова, в умовах повсюдної інформатизації для створення єдиної сервісної моделі необхідний модульний підхід до управління ІТ-середовищем.



Васил Барзаков зазначив, що навіть якщо не торкатися нинішньої фінансової кризи, за минулий рік зростання активів російських банків знизився з 23% у першому півріччі 2007 до 15% в 2008. На його думку, поступово банки приходять до думки про мінімізацію необхідності відвідування клієнтами офісів. В цьому випадку в першу чергу потрібно забезпечити безпеку банківського рахунку. Фінансовим огранизация пора задуматися про побудові нової гнучкої архітектури для додавання нових сервісів та продуктів. Зараз максимальний попит з боку банківського сектора припадає на ПО для управління мережами, рівнем доступу, інцидентами і проблемами. Останнім часом відзначається зростання інтересу до рішень для управління проектами та портфелями проектів.


За словами Віктора Дружиніна, використання ІТ-систем, що розширюють функціональність, веде до підвищення небезпеки для бізнесу. Чим ширше функціональність, тим більше дірок в системі. Чим більше користувачів, тим вище ризики неадекватної поведінки, тісна інтеграція ІТ та бізнесу також підвищує ризики, а посилення централізації управління веде до збільшення наслідків від порушень в управлінні. А чим більший об’єм і цінність інформації в ІТ-інфраструктурі, тим вище ризики втрат, в тому числі і через дії інсайдерів. На думку Віктора Дружиніна існує два крайні варіанти функціонування такої системи: повна функціональність і ніякої безпеки або повна безпека, але ніякої функуціональності. Зрозуміло, для забезпечення контролю і збереження функціональності системи необхідний деякий компромісний варіант.


По-перше, необхідно визначити, що є в мережі підприємства: візуалізувати структуру, створити можливість автоматичного виявлення несправностей і діагностики причин їх виникнення. В ідеалі система повинна володіти можливостями штучного інтелекту і не вимагати висококваліфіціорованного персоналу. За словами Віктора Дружиніна, наявність такого роду системи дозволить організаціям знизити так званий “ІТ-шантаж” з боку цінних співробітників, які розуміють, що без них система працювати просто не буде і постійно вимагають підвищення зарплат. “Люди стали одним з критичних умов. ІТ-служби залежать від людей, ІІ-системи дозволяють зменшити тиск персоналу “, – уклав Віктор Дружинін.


По-друге, в системі повинні існувати гарантії того, що ресурси використовуються за призначенням тільки авторизованими користувачами і в строго певний час. Тут важливий контроль застарілих облікових записів. За словами Дружиніна, нерідкі випадки, коли звільнені працівники, як і раніше мають доступ до системи. Такого роду “мертві душі” – одна з серйозних вразливостей будь-якої системи. Особливо це небезпечно для фінансових організацій.


Наступний важливий момент в забезпеченні компромісу між безпекою та функціональністю системи – грамотне застосування політик безпеки. Коли більша частина ресурсів зосереджена в одних руках, небезпека злочинних дій з боку адміністратора зростає в рази. Зрозуміло, необхідний і тотальний контроль, під яким мається на увазі моніторинг та інтеграція результатів аудиту. І остання складова – необхідність розуміння ступеня відповідності ІТ-проектів бізнесу. Дотримання цих правил, на думку Віктора Дружиніна, дозволить забезпечити польний ІТ-контроль без шкоди для функціональності.


Про концепцію операційної ефективності та інформаційної безпеки Quest Software присутніх розповів провідний архітектор компанії Костянтин Шурунов. На його думку, ПО для ІТ повинно забезпечувати управління додатками, покращувати і оптимізувати продуктивність баз даних, вести контроль над інфраструктурою, а також автоматизувати і контролювати віртуальні середовища. Управління додатками увазі детектування виникає проблеми, її діагностику, рішення та створення звіту.


Для оптимізації роботи баз даних необхідне поліпшення програм, що працюють поверх баз даних. За словами Костянтина Шурунова, кожні чотири секунди в світі один користувач здійснює міграцію за допомогою продуктів Quest Software. “ІТ-контроль – підстава, без якого все, що вище, не має сенсу”, – уклав Костянтин.


Про людський фактор ризику для бізнесу говорив і заступник генерального директора компанії Aladdin Олексій Сабанов. Він зазначив, що бізнес зазнає погроз з трьох сторін: вплив роблять люди, держава і інтернет.


За його словами, не можна розглядати людський фактор без відриву від його оточення. Звичайно, людина, найслабша ланка будь-якої системи. За даними компанії, 60% збитку бізнес отримує через халатність співробітників, 45% втрат підприємці несуть через зловмисників, 5% ризиків припадають на дії інсайдерів. Для зниження всіх цих ризиків необхідні механізми персоніфікації дій користувача. Але навіть впровадженням персоніфікованого доступу знизити відсоток втрат через “недбалість” все одно досить складно. Необхідна двофакторна аутентифікація користувачів і шифрування даних на дисках і змінних носіїв. В такому випадку при втраті фізичного носія можна не боятися втрати важливої ​​для бізнесу інформації.


Держава – теж немаловажний фактор ризику для бізнесу. За даними аналітичного агентства Control Risks Group, в 49% держав бізнес відчуває перешкоди і агресію з боку влади, а 40% держав не гарантують підприємцям безпеку їхнього бізнесу. За словами ж Олексія Сабанова, в очах зарубіжних компаній Росія є країною з високими політичними ризиками.


Говорячи про інтернет, він зазначив, що ми до цих пір не готові до його використання, як в плані розуміння загроз і проблем, так і в технологічному аспекті. Зараз, на його думку, ситуація з мережевими погрозами близька до критичної. За даними Positive Tecnologies, 93% сайтів в зоні ру мають уразливості середнього ступеня ризику, а 63% сайтів мають критичні уразливості.


На думку компанії Aladdin, зі зміною моделі загроз повинна змінитися і парадигма захисту, тобто необхідно переходити від захисту об’єктів до захисту взаємодії. Необхідно вирішувати проблему очищення інтернет-трафіку на рівні корпоративного шлюзу або провайдера, а також моніторити і аналізувати ефективність використовуваних засобів захисту. Стовідсоткове інспектування трафіку на шлюзі або у провайдера має забезпечувати блокування шкідливого і небажаного контенту, вирізування агресивного і підозрілого контенту, блокування прихованих каналів витоку, таких як месенджери та інші застосування, а також блокування спаму на шлюзі.


Для перевірки ефективності використовуваних засобів ІБ необхідний інструментальний аудит, а для виявлення порушень політик ІБ повинен проводитися моніторинг діяльності користувачів.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*