29 декабря 2013 г.

Навеяло (ошибки молодости)....

vlsdtv | 00:14 | Прокоментируй первым!

             В четверг общался с 20-летним молодым специалистом из техподдержки Ростелекома, который на удивление оказался разговорчивым и пришлось с ним поддерживать беседу не только по работе :). Самоуверенный - как индюк
С высоты своих лет я понимаю, как сильно он отличаются от нашего поколения. К своим 42 годам я совершил множество ошибок, а сейчас я наблюдаю, как они делают свои собственные. Поэтому эти советы для молодежи, что бы они не ошибались как я, да и не только я - каждый ошибался. Ведь в 20 лет всем все по плечу и проблему решить - раз плюнуть. Но если копнуть чуть глубже - то окажется, что это решение оказалось не совсем верным и был другой путь решения. А ошибка наложилась на ошибку и потекла череда неурядиц...

Помните, время не бесконечно.  Редко можно встретить молодого специалиста, который спешил бы поскорее подняться на следующий уровень. В молодости кажется, что впереди еще масса времени, чтобы узнать и получить все, что тебе хочется. Время – это единственное, что у нас есть с самого начала, но его не вернешь. Используйте все имеющиеся возможности, потому что однажды их уже не будет.
Не переоценивайте свои возможности.  Молодое поколение может быть более способным, творческим, знающим и многозадачным. Но неочищенное сырье (неважно, насколько оно ценное) стоит относительно недорого. Оценивают не талант, а результаты. Даже самым одаренным людям приходится методично и мучительно работать для того, чтобы добиться успеха.
По утрам мы более продуктивны.  Думаете, если засиживаться в офисе допоздна, вы успеете сделать больше? Потом вы поймете, что ночью вы делаете «черную» работу, а более сложные задачи, такие как стратегическое планирование, телефонные звонки или встречи должны решаться в течение рабочего дня. Чем раньше вы придете в офис, тем лучше, потому что, как команда, мы более продуктивны в утренние часы.
Социальные сети – это не работа.  Социальные сети просто расширяют возможности маркетинга, помогая поддерживать брендинг и окупаемость инвестиций. Это лишь способ привлечь больше внимания, больше клиентов и больше доходов. Не стоит связывать свою будущую карьеру исключительно с социальными сетями.
Не забывайте про телефон.  Хватит прятаться за компьютером. Бизнес делается по телефону и при личных встречах. Вы должны стремиться поговорить вживую с человеком, являющимся источником возможностей для бизнеса. Если отключили Интернет, это не значит, что надо уходить из офиса домой. Не теряйтесь, садитесь на телефон.
Приходите первым и уходите последним.  Этот совет подходит тем, кто устроился на новую работу и хочет сделать профессиональную карьеру. Вы способны на что-то большее? Так докажите это. Есть только один верный способ, чтобы вырваться вперед – работать больше и лучше, чем ваши коллеги.
Не ждите указаний сверху.  Вы не почувствуете включенность в работу, если не будете брать на себя ответственность. Если ждать указаний начальства, вы никогда не продвинетесь вперед. «Меня никто об этом не просил» – девиз неудачников. Проявляйте инициативу, но не берите на себя слишком много (и уж тем более то, в чем не разбираетесь).
Отвечайте за свои ошибки.  В начале карьеры многие совершают ошибок, поэтому не стоит этого бояться. Никто вас за это не убьет. Перестаньте оправдываться за свои «косяки». Как говорится, на ошибках учатся. Делайте правильные выводы и набирайтесь опыта.
Найдите того, кто будет вас «подпинывать».  Лучший босс – это Мерил Стрип из фильма «Дьявол носит Прада». Именно такой начальник нужен для яркой и стремительной карьеры. Работа с тем, кто требует от вас совершенства и напряжения всех сил, заложит прочный фундамент для вашего дальнейшего профессионального успеха.
Не стоит часто менять работу.  Не так уж вы и хороши, если нигде подолгу не задерживаетесь. Возможно, вам не хватает самодисциплины. Как показывает практика, для того чтобы приобрети какой-либо профессиональный навык, нужно 2-3 года. Освойте что-нибудь новое, прежде чем менять работу. Иначе ваше резюме вряд ли привлечет серьезных работодателей.
Люди важнее привилегий.  Очень соблазнительно выбрать компанию, предлагающую гибкий график, питание, тренажерный зал и прочие льготы. Это, конечно, важно, но еще важнее – кто ваш руководитель и коллеги. Вы сможете получить консультацию у великого лидера и завести полезные деловые связи. Делайте ставку на людей. Это принесет гораздо больше пользы, чем все дополнительные «плюшки».
Сосредоточьтесь на своей цели.  Вы не сможете всегда делать только то, что вам нравится. Распределите свои усилия. Соотнесите вашу сегодняшнюю работу с тем, чего вы хотите добиться завтра. Это должно придать вам дополнительный стимул. Если текущая деятельность никак не способствует вашему карьерному росту, ищите новые возможности.
Не болтайте попусту.  Если у вас возникли противоречия с руководством, корпоративной культурой или вы не понимаете, в чем заключаются ваши обязанности, заявите об этом открыто. Не нужно плакаться в жилетку коллегам или жаловаться на жизнь в анонимных чатах. Если вы сможете донести информацию о необходимых улучшениях, ваша профессиональная судьба сложится самым лучшим образом.
Развивайте свои технические навыки.  Думаете, достаточно написать в резюме «уверенный пользователь ПК» и вас завалят предложениями работы? В любой компании и независимо от предполагаемой должности предпочтение отдается кандидатам, которые знают HTML/CSS, iOS, MySQL, Photoshop, MS Office, WordPress, Adwords и пр. Если вы планируете найти хорошую работу, вам нужны не только личностные качества, но и технические навыки.
Расширяйте свои деловые связи.  Люди, обладающие знаниями в других областях или просто знающие больше вашего, могут способствовать вашему продвижению. При этом важно как количество, так и качество деловых связей. При любом удобном случае знакомьтесь с новыми людьми и поддерживайте с ними контакты. Инвестируйте свое время в развитие этих отношений.
Найдите себе ментора.  Самый надежный способ достичь успеха – попросить совета у тех, кто уже добился того, чего вы хотите. У вас должно быть, как минимум, три разных ментора. Их бесплатные советы и наставления станут для вас поистине бесценным даром.
Выберите себе образец для подражания.  Каждому нужен образец для подражания, чтобы действовать как этот великий человек. Примерьте на себя образ Стива Джобса или Билла Гейтса. Если вы были ими, как бы вы себя повели в данной ситуации, какое бы решение приняли, как бы организовали свой день, каким способом достигли бы своей цели?
Больше книг, меньше Twitter’а.  Молодое поколение потребляет информацию заголовками или по 140 символов, поэтому ваши знания широкие, но не глубокие. Чтение развивает творческий подход, вдумчивость и умение размышлять. Ключ будущего успеха – в прошлом опыте других людей. Хотите сделать карьеру, читайте, как минимум, по одной книге в месяц.
Тратьте меньше, чем зарабатываете.  Слишком высокие материальные потребности мешают повышению вашего дохода. Не обязательно покупать шикарный автомобиль или дорогую квартиру. Хотите зарабатывать больше, тратьте меньше. Неважно, какая у вас зарплата, откладывайте 25% от своих доходов. Эта гарантированная формула позволит вам создать «подушку безопасности», и вы сможете быть более гибким, преследуя свои цели.
Берегите свою репутацию.  Репутация является одним из ваших наиболее ценных активов. Это ключ, который либо открывает, либо закрывает двери профессиональных возможностей. Сегодня, когда вся информация сохраняется и всегда доступна, нужно беречь свою репутацию, как зеницу ока. Однажды утратив доверие, вы можете уже никогда не вернуть его.
Читать далее ...

26 ноября 2013 г.

Памятка для современных руководителей ИТ

vlsdtv | 17:49 | Прокоментируй первым!
Эта памятка адресована руководителям ИТ — тем, кто осуществляет руководство: ставит цели, определяет требования и ограничения, получает отчётность и оценивает результаты.
Менеджерам ИТ, то есть тем, кто управляет — обеспечивает достижение целей, соответствие требованиям с учётом ограничений, организует достижение результатов и формирует отчетность — надо знать об управлении ИТ ещё кое-что, хотя и эти  важные факты не должны пройти мимо них.

1. Все современные организации заинтересованы в эффективном управлении информационными технологиями
Роль ИТ в бизнесе меняется. Принято считать, что она растёт, становится более важной, но на самом деле изменения могут быть различными. В целом эволюция этой роли такова:
  • ИТ как источник инноваций
  • ИТ как источник преимуществ
  • ИТ как необходимая часть инфраструктуры
Изменение влияния ИТ на бизнес-процессы характерно для отрасли в целом и происходит в течение последних пятидесяти лет, но, как и в природе, макропроцессы часто повторяются и на микроуровне.
На первом этапе информационные технологии рассматриваются как возможный источник преимуществ — возможный, но неподтвержденный. Передовые компании, ищущие новые факторы на рынке, вкладывают средства в исследования в области ИТ и в некоторых случаях действительно находят возможность конвертировать возможности технологий в бизнес-инновации. Или не находят. На этом этапе работа в области ИТ носит в основном проектный, исследовательский характер, роль технологий в основных бизнес-процессах компании невелика, а перспективы отдачи от сделанных инвестиций более чем туманны. Стратегия компаний не рассматривает информационные технологии как существенный фактор.
Некоторые исследования, сделанные на первом этапе, приводят к формированию новых основанных на ИТ способов реализации бизнес-процессов, подтвердивших свою эффективность. Компании, первыми применившие эти способы, получают благодаря информационным технологиям более или менее значимые конкурентные преимущества за счёт повышения производительности или снижения затрат. Внимательно наблюдающие за ними конкуренты вкладывают средства в разработку или приобретение аналогичных решений. На этом этапе преимущества, связанные с использованием ИТ, становятся измеримы, а сопутствующие риски контролируются лучше, чем на первом, инновационном, этапе. Уровень информатизации становится одним из критериев при оценке потенциала компании. На этом этапе стратегическая роль ИТ максимальна, компании прямо заявляют об использовании информационных технологий как основы своей бизнес-стратегии.
Технологии, успешно применяемые многими, перестают быть источником преимуществ. Постепенно наиболее удачные решения по информатизации и автоматизации бизнес-процессов становятся общепринятыми, стандартизируются и даже входят в состав необходимых условий ведения бизнеса. ИТ становятся необходимой частью инфраструктуры. ИТ-решения все реже разрабатываются собственными силами или по заказу и все чаще покупаются, причем их стоимость неуклонно снижается, появляются бесплатные альтернативы. ИТ становятся неотъемлемой частью бизнес-процессов и перестают рассматриваться как стратегический фактор.
В начале второго десятилетия двадцать первого века в большинстве отраслей информационные технологии рассматриваются как инфраструктурные, в некоторых — как источник стратегических преимуществ, и лишь в немногих продолжают оставаться инновационными. Это означает, что подавляющее большинство организаций тратит на них много денег, не может без них выполнять свои основные функции и, скорее всего, не получает от их использования существенных конкурентных преимуществ. А это в свою очередь означает, что для большинства компаний основными требованиями к «своим» ИТ являются:
  • Управление рисками
  • Оптимизация затрат
  • Очевидная ценность для бизнеса.
Выполнить эти требования возможно только в том случае, когда использование ИТ в компании управляется.
Когда риски, затраты и ценность находятся под контролем. Когда они измеримы. Когда они являются предметом чьей-то персональной ответственности.
Компании, в которых ИТ не управляются, а «просто работают», или относятся к отрасли, где эти технологии ещё остаются опциональными, или проявляют преступную беспечность в отношении одного из своих значимых активов.

2. «ИТ» в организации — это больше, чем информационные технологии
Служба ИТ — важная часть современной организации. И как любая другая функция компании,ИТ-служба — это прежде всего люди, затем — технология работы, и лишь в последнюю очередь — инфраструктура. Для того чтобы управлять информационными технологиями, люди должны быть компетентны и мотивированы, технология должна быть понятной, рациональной и результативной, а инфраструктура должна эффективно поддерживать технологию.
Это правило обычно не вызывает сомнений в отношении других функциональных составляющих компании: бухгалтерия — это, прежде всего, специалисты, лишь затем — методы и правила, и в последнюю очередь — калькулятор и бланки отчетности. ИТ-службы же, видимо, вследствие того, что управляют специфической инфраструктурой, часто сводятся к этой инфраструктуре. В первую очередь — самими ИТ-специалистами и менеджерами. Внимание последних, как правило, сосредоточено на аппаратном и программном обеспечении, системах связи, защиты, хранения…
Управление ИТ не должно сводиться к управлению инфраструктурой ИТ.
Эффективная работа ИТ-службы, а следовательно — эффективное применение информационных технологий в организации, возможна только в том случае, когда деятельность ИТ-менеджеров включает в себя управление персоналом, технологией работы и инфраструктурой.

3. Информация — важнейший актив любой современной организации
Информационные технологии помогают управлять информацией. Информация — важнейший актив любой организации, а в некоторых отраслях — основной актив. Это значит, что информацию следует контролировать, правильно использовать и защищать.
Система управления корпоративной информацией должна обеспечивать адекватный уровень информационной безопасности. Система управления информационной безопасностью должна включать в себя методологию управления рисками.
4. ИТ-служба — сервисная организация
Одновременно с изменением роли информационных технологий в бизнесе менялось представление о том, что является основным результатом их применения.
Пока технологии рассматривались как источник инноваций, они являлись и основным «продуктом» работы ИТ-службы или поставщика. Разработчики предоставляли заказчикам инструменты для оптимизации бизнес-процессов.
По мере интеграции этих инструментов в ежедневную деятельность организации их использование становилось всё более естественным, границы между ИТ-инфраструктурой и базовой инфраструктурой предприятия стирались, технологии становились всё менее заметными. Сейчас использование информационных технологий никем не воспринимается как цель — даже если под «технологиями» понимается по-настоящему красивый продукт вроде масштабной ERP-системы. Заказчиков интересует функциональность, которую они получают, а также доступность, производительность, безопасность, гибкость, удобство, адекватные условиям, в которых эта функциональность реализуется. Неважно, какие ИТ-решения лежат в основе услуг. Важно, насколько эти услуги отвечают требованиям и ожиданиям потребителей.
Основная форма предоставления бизнес-ценности, реализуемая информационными технологиями — это услуги. ИТ-служба должна нести ответственность за предоставление заказчикам качественных услуг на протяжении всего цикла их потребления, а не только в момент подключения.
Для этого ИТ-служба должна управляться как сервисная организация.
5. В ИТ нужна система менеджмента качества
Если ИТ-организация рассматривается как сервисная, качество услуг становится основным мерилом её эффективности. Это качество во многом зависит от характеристик продуктов (программ, компонентов инфраструктуры), но в первую очередь — от того, как организована и выполняется деятельность по предоставлению и поддержке ИТ-услуг. Многие недостатки инфраструктуры могут быть скомпенсированы хорошей работой сервисной организации, и даже лучший в своём классе продукт может быть испорчен неумелыми руками, выполняющими неквалифицированный ремонт в неудобное потребителю время в неприятной ему форме.
Технология работы ИТ-службы имеет значение. В большинстве случаев вложения в организацию деятельности, повышение уровня зрелости ИТ-службы и построение инструментов контроля оправдываются сокращением числа сбоев, повышением уровня услуг, стабильностью результатов и снижением уровня ИТ-рисков.
Управление услугами требует постоянного внимания, систематического выполнения действий по эксплуатации, качественной поддержки в случаях нарушения нормальной работы систем и постоянной оценки, направленной на выявление отклонений от нормы и планирование улучшений.
Чтобы гарантировать качество услуг, нужна система менеджмента качества — система управления и контроля, система процессов.
6. ИТ в компании — это область постоянных изменений
Требования к ИТ-услугам постоянно меняются, к сожалению. Основные причины изменений:
  • Недостаточная зрелость бизнес-технологий, отсутствие системного подхода к формированию требований, несовершенство бизнес-процессов;
  • Изменяющиеся внешние регулирующие требования и нормы (законодательство и т. п.);
  • Новые возможности использования информационных технологий, появляющиеся на рынке;
  • Искусственно стимулируемая поставщиками ИТ-решений смена версий и продуктов.
Почти всегда эти изменения затрагивают предоставляемые ИТ-услуги, а значит — действующие бизнес-процессы. Как результаты, так и само проведение изменений всегда являются источниками рисков и почти всегда — источником затрат. Поэтому деятельность по управлению изменениями в ИТ требует управления и контроля.
Для эффективного управления изменениями в системе управления ИТ должна быть принята и применяться методология управления проектами, совместимая с подходом к управлению проектами, принятым во всей компании.
7. Управление ИТ невозможно ограничить рамками одной организации
По мере стандартизации информационных технологий стандартизируются продукты, а затем и услуги. Стандартизация и массовая доступность стимулируют переход на промышленные решения и отказ от собственных разработок. Чем большая доля ИТ-услуг предоставляется компании сторонними поставщиками и чем большая доля ИТ-услуг, предоставляемых собственной ИТ-службой, основана на решениях сторонних поставщиков, тем больше организация зависит от третьих сторон.
До тех пор, пока ИТ-служба несёт ответственность за качество всех ИТ-услуг, независимо от участия третьих сторон в их предоставлении,в рамках системы менеджмента качестваИТ-услуг должна осуществляться деятельность по управлению поставщиками.
Если ИТ-служба перестает выступать в качестве поставщика ИТ-услуг, а ответственность за качество услуг передаётся внешним поставщикам, система управления поставщиками, обеспечивающая уверенность в качестве услуг, должна быть реализована на уровне компании-заказчика.

8. Система управления ИТ требует контроля
Система управления ИТ, обеспечивающая планирование, координацию, оценку и совершенствованиеИТ-услуг, процессов и проектов; контролирующая ИТ-риски и обеспечивающая информационную безопасность; включающая в себя управление людьми, технологией работы и инфраструктурой — эта система должна обеспечивать разумную степень уверенности владельцев, акционеров, высшего менеджмента компании в том, что информационные технологи в компании используются полезно и рационально, а сама система управления эффективна и оправдывает вложенные в неё средства. Для этого в рамках системы управления должна формироваться отчётность для высшего руководства.
Для того чтобы подтвердить и повысить достоверность такой отчётности, руководители компании должны организовать контроль над работой системы управления ИТ.
Данные систем управления и контроля могут быть подтверждены внутренним и/или внешним аудитом управления ИТ. Контроль и аудит должны проводиться по всем аспектам управления ИТ:
  • качество услуг
  • управление процессами
  • управление проектами
  • информационная безопасность
  • ИТ-риски
  • управление поставщиками.
9. В области управления ИТ существуют стандарты и своды знаний
Управление ИТ — достаточно молодая отрасль, но за время её существования всё же были выработаны и успели подтвердить свою эффективность подходы, своды знаний и методологии. Требования к качеству управления ИТ легли в основу стандартов — международных и национальных.
При организации управления ИТ в конкретной компании необходимо учитывать национальную, отраслевую и индивидуальную специфику, но не следует пренебрегать накопленным опытом, к тому же подтвержденным практикой многих организаций.
Следование передовому опыту и ориентация на стандарты могут сделать систему управления ИТ в организации более рациональной, совместимой с практикой других организаций — партнеров, заказчиков и поставщиков,— а также существенно сократить сроки построения самой системы управления и связанные с этим проектом риски.
10. Эффективное управление ИТ невозможно без активного участия бизнеса
Цель системы управления ИТ — обеспечить выполнение требований организации в области использования информационных технологий. Очевидно, что эта цель может быть достигнута только в случае согласования этих требований на всех уровнях.
В частности, необходимо:
  • согласовать стратегию организации в области информационных технологий;
  • определить требования к качеству ИТ-услуг, а также порядок их согласования, оценки фактического качества услуг и инициации корректив;
  • реализовать процедуры взаимодействия конечных пользователей с ИТ-службой по всем вопросам, связанным с предоставлением и потреблением ИТ-услуг.
На всех уровнях необходимы ясные всем сторонам интерфейсы, процедуры и правила взаимодействия.
11. Чем раньше в организации формируется система управления ИТ, тем легче процесс её формирования и полезнее сама система
Ценность информационных технологий повышается по мере их интеграции в бизнес. Бизнес-процесс,спроектированный с учетом применяемых информационных технологий, использует их более полно и с меньшими усилиями, чем бизнес-процесс, в который они были встроены искусственно. Автомобиль, в который электронные системы управления и контроля были встроены на заводе, использует их эффективнее, чем автомобиль, в который они были добавлены владельцем во изменение первоначальной конструкции.
Аналогично, система управления ИТ, являющаяся частью корпоративной системы управления и спроектированная на этапе формирования всей организации, оказывается более эффективной и лучше интегрированной с другими компонентами, чем искусственно добавленная в организацию позже, фрагментарно, вопреки сопротивлению и другими людьми.

Стратегия в области информационных технологий должна формироваться как часть корпоративной стратегии.
Читать далее ...

20 механизмов безопасности для эффективной защиты от кибер-угроз

vlsdtv | 17:24 | | Прокоментируй первым!
         Данный слайд я увидел на конференции DLP-2013 и решил разместить у себя. Ссылка на сайт тут  Хороший слайд для  рассмотрения с практической точки зрения.


Моя вольная трактовка (соответственно переведенная на русский народный):


 1. Inventory of Authorized and Unauthorized Devices

Инвентаризация разрешенных и несанкционированно подключенных устройств. Снижение возможности нарушителя по обнаружению и использованию неучтенных и незащищенных систем. Использование систем мониторинга и конфигурирования для поддержания в актуальном состояние списка устройств, подключенных к корпоративной сети, включая сервера, рабочие станции, ноутбуки, мобильные и иные устройства для удаленного доступа.

 2. Inventory of Authorized and Unauthorized Software

Инвентаризация разрешенного и несанкционированно установленного программного обеспечения. Поиск уязвимостей или вредоносного программного обеспечения для снижения вероятности или избежания соответствующих атак. Создание перечня разрешенного ПО для каждого типа систем и внедрение инструментов для отслеживания установленного ПО (включая тип, версию и патчи) и наличия неразрешенного или ненужного ПО.

3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers

Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков. Предотвращение использования нарушителями служб и настроек, позволяющих осуществить доступ к корпоративной сети. Создание «безопасного образа», который используется для всех новых систем, внедряемых в Компании, размещение этого образа в защищенном хранилище, регулярный контроль целостности и обновление его конфигурации, отслеживание образов систем в системе управления конфигурациями.

4. Continuous Vulnerability Assessment and Remediation

Непрерывный анализ уязвимостей и их устранение. Проакивный поиск и устранение уязвимостей программного обеспечения, о которых сообщают исследователи или разработчики. Регулярный автоматический запуск сканнеров уязвимостей, сканирующих все системы, и быстрое закрытие любых уязвимостей в течении 48 часов.


5. Malware Defenses

Защита от вредоносного кода. Блокировка вредоносов, осуществляющих несанкционированный доступ к системным настройкам или файлам, содержащих информацию ограниченного доступа, а также осуществляющих самовоспроизведение. Использование антивирусного и антишпионского ПО для непрерывного мониторинга и защиты рабочих станций, серверов и мобильных устройств. Автоматическое обновление такого ПО.

6. Application Software Security

Безопасность прикладного ПО. Сканирование с целью обнаружения и закрытия уязвимостей в сетевом и ином ПО. Тщательное тестирование прикладного ПО (как разработанного внутри Компании, так и сторонними разработчиками) на уязвимости, включая как ошибки кода, так и наличие вредоносного кода. Фильтрация всего трафика, получаемого веб-приложениями для избежания ошибок из-за ввода некорректных данных (включая фильтрацию по размеру и типам вносимых данных).

 7. Wireless Device Control

Защита и контроль беспроводных устройств. Защита периметра от несанкционированного подключения по беспроводным сетям. Разрешение устройствам подключаться к сети, только если их конфигурация и профиль безопасности соответствуют установленным в Компании, устройство закреплено за своим владельцем и определены бизнес-цели, в рамках которых предоставляется доступ. Гарантия того, что все точки беспроводного доступа настраиваются с использованием корпоративных средств управления. Конфигурирование сканнеров для обнаружения иных точек доступа. 

8. Data Recovery Capability

Организация восстановления данных.Минимизация ущерба от любых атак. Реализация плана по устранению всех следов атак. Автоматическое резервирование всей требуемой информации для полного восстановления каждой системы, включая ОС, приложения и информацию. Резервирование всех систем еженедельно, а более важной информации – чаще. Регулярное тестирование процесса восстановления.

9. Security Skills Assessment and Appropriate Training to Fill Gaps

Оценка навыков по безопасности, проведение необходимых тренингов.Поиск «пробелов в образовании» и их устранение путем "выполнения упражнений" и посещения тренингов  Разработка программы оценки навыков по ИБ, плана обучения по требующимся компетенциям, использование результатов и эффективное распределение ресурсов для повышения опыта в сфере ИБ.

10.  Secure Configurations for Network Devices such as Firewalls, Routers, and Switches

Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Препятствие появлению непредусмотренных точек подключения к сетям интернет, других организаций или внутренним сегментам сети Компании. Сравнение настроек активного сетевого оборудования с установленными в Компании стандартами для каждого типа устройств. Гарантия того, что любые изменения стандартных настроек будут зафиксированы и протестированы и любые временные изменения будут отменены, когда потребность в них исчезнет.

 11. Limitation and Control of Network Ports, Protocols, and Services

Ограничение и контроль сетевых портов, протоколов и служб. Разрешение удаленного доступа только легитимным пользователям и сервисам. Применение файерволов на конечных узлах для фильтрации всего трафика, который явно не разрешен. Корректная конфигурация веб-серверов, почтовых серверов, файловых сервисов и сервисов печати, а также DNS-серверов для ограничения удаленного доступа. Запрет автоматической установки программ, в которых нет необходимости. Перемещение серверов за файеровол, если не требуется удаленный доступ к ним из внешней сети.

 12. Controlled Use of Administrative Privileges

Контроль использования административных привилегий. Защита и проверка привилегированных учетных записей на рабочих станциях, ноутбуках и серверах для предотвращения двух основных видов атак: 1 - использования социальной инженерии для того, чтобы пользователь открыл зараженное вложение электронной почты или любой другой файл, или посетил зараженный веб-сайт; и 2 - взлома пароля администратора и, тем самым, получения доступа к целевой машине. Использование стойких паролей, соответствующих принятым стандартам.

13. Boundary Defense

Защита периметра. Контроль трафика, проходящего через границы сети, и фильтрация трафика, схожего с генерируемым в ходе атаки и при поведении скомпрометированных компьютеров. Установка многоуровневой защиты периметра, использующую файерволы, прокси, демилитаризованную зону (DMZ) и другие сетевые инструменты. Фильтрация входящего и исходящего трафика, включая получаемый из сетей бизнес-партнеров.

14. Maintenance, Monitoring, and Analysis of Security Audit Logs

Сопровождение, мониторинг и анализ журналов регистрации событий.Использование детализированных журналов для определения и раскрытия подробностей атак, включая места внедрения вредоносного ПО, и активность на зараженных компьютерах. Генерация установленных форм журналов для каждого устройства и установленного на него ПО, включая дату, время, адреса источника и назначения и другую информацию о каждом пакете и/или транзакции. Хранение журналов на предназначенных для этого серверах, и просмотр еженедельных отчетов для обнаружения и фиксации аномалий.

15. Controlled Access Based on the Need to Know

Контроль доступа на основе принципа минимизации полномочий.Предотвращение доступа злоумышленника к критичной информации. Точное определение и отделение критичной  информации от информации, которая доступна большому числу пользователей внутренней сети. Установка многоуровневой системы классификации, основанной на влияние, которое может оказать любое раскрытие определенной информации, гарантия того, что только санкционированные пользователи имеют доступ к информации ограниченного доступа.

16. Account Monitoring and Control

Мониторинг и контроль учетных записей. Предотвращение возможности выдачи себя за легитимного пользователя. Просмотр всех учетных записей в системе и блокирование тех, которые не связаны с какими-либо бизнес-процессами и определенными владельцами. Немедленное аннулирование прав доступа к системе для временных работников и подрядчиков по завершению работ. Отключение скрытых (стандартных) учетных записей – шифрование и изоляция всех файлов, связанных с такими аккаунтами. Использование стойких паролей, соответствующих принятым стандартам.

17. Data Loss Prevention

Предотвращение утечек данных. Остановка несанкционированной передачи критичной информации, как через сеть, так и при физическом доступе. Тщательное исследование пересылаемой за границы сети информации (как в электронном виде, так и на материальных носителях), с целью минимизации разглашения информации. Мониторинг деятельности персонала, процессов и систем с использованием централизованной системы управления.

18. Incident Response Management

Организация реагирования на инциденты. Защита репутации Компании, столь же тщательно, как и информации. Разработка инструкции реагирования на инциденты, прозрачно описывающей роли и ответственность для быстрого раскрытия атак и, затем, эффективного снижения ущерба, ликвидации источника угрозы и восстановления целостности системы.

19. Secure Network Engineering

Обеспечение безопасности сети (построение). Организация такой архитектуры сети, которая максимально затрудняет подключение к ней нарушителя. Использование проверенного и безопасного процесса построения сети, не позволяющего обойти механизмы ее защиты. Развертывание сетевой архитектуры с использованием как минимум трех уровней: DMZ, промежуточной и частной сети. Возможность быстрого развертывания новых механизмов контроля доступа для быстрого отражения атак.

20. Penetration Tests and Red Team Exercises

Тестирование на проникновение.Использование моделирования атак для подтверждения готовности к ним Компании. Проведение регулярных тестов на проникновения (как изнутри, так и снаружи), которые симулируют атаку, в целях определения уязвимостей и оценки возможных последствий. Периодическое проведение мероприятий экспертной группой – заключающихся в попытках получить доступ к критичным информации и системам – для тестирования возможностей внедренных механизмов защиты и реагирования.


Читать далее ...

18 октября 2013 г.

Регулярные задачи сотрудника инфомационной безопасности, которые постоянно откладываются или не делаются

vlsdtv | 16:15 | Прокоментируй первым!
Как всем известно, все задачи, которые решают специалисты служб (отделов, департаментов...) информационной безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические, тактические и операционные. Решение стратегических задач ведет нас к отдаленным целям и задает общий вектор развития. Решение тактических задач предполагает получение определенных выгод и преимуществ в среднесрочной перспективе. Ну, а операционные задачи просто надо выполнять...
В данном опусе я напомню про такие задачи ИБ-шника, которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").

Итак, перечень задач и небольшие комментарии далее.

1.  Пересмотр ожиданий заинтересованных лиц.
Задача ИБ - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:
·         руководство/владельцы компании;
·         руководители бизнес-подразделений;
·         руководство и сотрудники подразделений ИТ;
·         сотрудники подразделения ИБ;
·         рядовые сотрудники организации;
·         партнеры и поставщики;
·         ...
От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.
Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).
Что получаем в итоге
·         Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).
Периодичность 1-2 раза в год

2. Пересмотр и анализ области защиты
Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.

Что получаем в итоге
·         Комплект рабочих или официальных (утвержденных) документов:
o    Схема орг.-штатной структуры организации;
o    Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);
o    Перечень и краткое описание основных АС;
o    Перечень критичных серверов и рабочих станций;
o    Общая физическая схема расположения подразделений организации;
o    Перечень используемых средств защиты и мониторинга;
o    Перечень системных администраторов (с указанием их зон ответственности);
o    Перечень лиц, допущенных в серверные помещения.
Периодичность: 2-4 раза в год

3. Анализ внешних нормативных документов 
Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.

Что получаем в итоге
·         Перечень внешних нормативных документов (рабочий документ)
Периодичность 1-2 раза в год

4. Постановка целей и определение приоритетов
Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3-4 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?

Что получаем в итоге
·         Перечень целей подразделения ИБ (рабочий документ)
Рекомендуемая периодичность: в зависимости от горизонта планирования

5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ
Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.). 

Что получаем в итоге
·         Перечень внутренних документов по ИТ и ИБ (рабочий документ)
·         План по доработке/пересмотру внутренних документов  (рабочий/официальный документ)
Периодичность: 1-2 раза в год

6. Проведение внутреннего аудита ИБ
Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).

Что получаем в итоге
·         Отчет по результатам внутреннего аудита ИБ +  Краткий отчет руководству (официальный документ)
·         План по приведению в соответствие (официальные документы)
Периодичность: 1 раз в год

7. Сбор и анализ показателей ИБ
Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону).
Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1-й старайтесь уменьшать, 2-е увеличивать).
Что получаем в итоге
·         Отчет по результатам анализа показателей  ИБ +  Краткий отчет руководству (официальные документы)
·         План по совершенствованию ИБ  (рабочий/официальный документы)
Периодичность: 1 раз в год

8. Сканирование и анализ уязвимостей ИТ-инфраструктуры
Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.  
Что получаем в итоге
·         Отчет по результатам анализа уязвимостей (рабочий/официальный документ)
·         План по устранению уязвимостей  (рабочий/официальный документы)
Рекомендуемая периодичность: 1-2 раза в год

9. Обучение и повышение осведомленности сотрудников организации
В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...
Что получаем в итоге
·         Материалы (информация) для ознакомления персонала
·         Журнал учета (при необходимости, официальный документы)
Периодичность: 2-12 раз в год

10. Обучение и повышение осведомленности сотрудников подразделения ИБ
Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ. 
Для этого мы можем:
·         посещать мероприятия по ИБ;
·         посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;
·         учиться на курсах по ИБ и ИТ;
·         смотреть вебинары по ИБ и ИТ;
·         читать книги, статьи по ИБ и ИТ;
·         общаться в профессиональных группах по ИБ и ИТ;
·         готовиться и сдавать экзамены по ИБ и ИТ.
Что получаем в итоге
·         Перечень компетенций сотрудников подразделения ИБ (рабочий документ)
·         Перечень профессиональных сертификатов сотрудников подразделения ИБ  (рабочий документ)
·         Библиотека знаний (электроных и бумажных носителей)
·         Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)
Периодичность: 2-4 раза в год


Вроде все!
Читать далее ...

Search