26 ноября 2013 г.

Памятка для современных руководителей ИТ

vlsdtv | 17:49 | Прокоментируй первым!
Эта памятка адресована руководителям ИТ — тем, кто осуществляет руководство: ставит цели, определяет требования и ограничения, получает отчётность и оценивает результаты.
Менеджерам ИТ, то есть тем, кто управляет — обеспечивает достижение целей, соответствие требованиям с учётом ограничений, организует достижение результатов и формирует отчетность — надо знать об управлении ИТ ещё кое-что, хотя и эти  важные факты не должны пройти мимо них.

1. Все современные организации заинтересованы в эффективном управлении информационными технологиями
Роль ИТ в бизнесе меняется. Принято считать, что она растёт, становится более важной, но на самом деле изменения могут быть различными. В целом эволюция этой роли такова:
  • ИТ как источник инноваций
  • ИТ как источник преимуществ
  • ИТ как необходимая часть инфраструктуры
Изменение влияния ИТ на бизнес-процессы характерно для отрасли в целом и происходит в течение последних пятидесяти лет, но, как и в природе, макропроцессы часто повторяются и на микроуровне.
На первом этапе информационные технологии рассматриваются как возможный источник преимуществ — возможный, но неподтвержденный. Передовые компании, ищущие новые факторы на рынке, вкладывают средства в исследования в области ИТ и в некоторых случаях действительно находят возможность конвертировать возможности технологий в бизнес-инновации. Или не находят. На этом этапе работа в области ИТ носит в основном проектный, исследовательский характер, роль технологий в основных бизнес-процессах компании невелика, а перспективы отдачи от сделанных инвестиций более чем туманны. Стратегия компаний не рассматривает информационные технологии как существенный фактор.
Некоторые исследования, сделанные на первом этапе, приводят к формированию новых основанных на ИТ способов реализации бизнес-процессов, подтвердивших свою эффективность. Компании, первыми применившие эти способы, получают благодаря информационным технологиям более или менее значимые конкурентные преимущества за счёт повышения производительности или снижения затрат. Внимательно наблюдающие за ними конкуренты вкладывают средства в разработку или приобретение аналогичных решений. На этом этапе преимущества, связанные с использованием ИТ, становятся измеримы, а сопутствующие риски контролируются лучше, чем на первом, инновационном, этапе. Уровень информатизации становится одним из критериев при оценке потенциала компании. На этом этапе стратегическая роль ИТ максимальна, компании прямо заявляют об использовании информационных технологий как основы своей бизнес-стратегии.
Технологии, успешно применяемые многими, перестают быть источником преимуществ. Постепенно наиболее удачные решения по информатизации и автоматизации бизнес-процессов становятся общепринятыми, стандартизируются и даже входят в состав необходимых условий ведения бизнеса. ИТ становятся необходимой частью инфраструктуры. ИТ-решения все реже разрабатываются собственными силами или по заказу и все чаще покупаются, причем их стоимость неуклонно снижается, появляются бесплатные альтернативы. ИТ становятся неотъемлемой частью бизнес-процессов и перестают рассматриваться как стратегический фактор.
В начале второго десятилетия двадцать первого века в большинстве отраслей информационные технологии рассматриваются как инфраструктурные, в некоторых — как источник стратегических преимуществ, и лишь в немногих продолжают оставаться инновационными. Это означает, что подавляющее большинство организаций тратит на них много денег, не может без них выполнять свои основные функции и, скорее всего, не получает от их использования существенных конкурентных преимуществ. А это в свою очередь означает, что для большинства компаний основными требованиями к «своим» ИТ являются:
  • Управление рисками
  • Оптимизация затрат
  • Очевидная ценность для бизнеса.
Выполнить эти требования возможно только в том случае, когда использование ИТ в компании управляется.
Когда риски, затраты и ценность находятся под контролем. Когда они измеримы. Когда они являются предметом чьей-то персональной ответственности.
Компании, в которых ИТ не управляются, а «просто работают», или относятся к отрасли, где эти технологии ещё остаются опциональными, или проявляют преступную беспечность в отношении одного из своих значимых активов.

2. «ИТ» в организации — это больше, чем информационные технологии
Служба ИТ — важная часть современной организации. И как любая другая функция компании,ИТ-служба — это прежде всего люди, затем — технология работы, и лишь в последнюю очередь — инфраструктура. Для того чтобы управлять информационными технологиями, люди должны быть компетентны и мотивированы, технология должна быть понятной, рациональной и результативной, а инфраструктура должна эффективно поддерживать технологию.
Это правило обычно не вызывает сомнений в отношении других функциональных составляющих компании: бухгалтерия — это, прежде всего, специалисты, лишь затем — методы и правила, и в последнюю очередь — калькулятор и бланки отчетности. ИТ-службы же, видимо, вследствие того, что управляют специфической инфраструктурой, часто сводятся к этой инфраструктуре. В первую очередь — самими ИТ-специалистами и менеджерами. Внимание последних, как правило, сосредоточено на аппаратном и программном обеспечении, системах связи, защиты, хранения…
Управление ИТ не должно сводиться к управлению инфраструктурой ИТ.
Эффективная работа ИТ-службы, а следовательно — эффективное применение информационных технологий в организации, возможна только в том случае, когда деятельность ИТ-менеджеров включает в себя управление персоналом, технологией работы и инфраструктурой.

3. Информация — важнейший актив любой современной организации
Информационные технологии помогают управлять информацией. Информация — важнейший актив любой организации, а в некоторых отраслях — основной актив. Это значит, что информацию следует контролировать, правильно использовать и защищать.
Система управления корпоративной информацией должна обеспечивать адекватный уровень информационной безопасности. Система управления информационной безопасностью должна включать в себя методологию управления рисками.
4. ИТ-служба — сервисная организация
Одновременно с изменением роли информационных технологий в бизнесе менялось представление о том, что является основным результатом их применения.
Пока технологии рассматривались как источник инноваций, они являлись и основным «продуктом» работы ИТ-службы или поставщика. Разработчики предоставляли заказчикам инструменты для оптимизации бизнес-процессов.
По мере интеграции этих инструментов в ежедневную деятельность организации их использование становилось всё более естественным, границы между ИТ-инфраструктурой и базовой инфраструктурой предприятия стирались, технологии становились всё менее заметными. Сейчас использование информационных технологий никем не воспринимается как цель — даже если под «технологиями» понимается по-настоящему красивый продукт вроде масштабной ERP-системы. Заказчиков интересует функциональность, которую они получают, а также доступность, производительность, безопасность, гибкость, удобство, адекватные условиям, в которых эта функциональность реализуется. Неважно, какие ИТ-решения лежат в основе услуг. Важно, насколько эти услуги отвечают требованиям и ожиданиям потребителей.
Основная форма предоставления бизнес-ценности, реализуемая информационными технологиями — это услуги. ИТ-служба должна нести ответственность за предоставление заказчикам качественных услуг на протяжении всего цикла их потребления, а не только в момент подключения.
Для этого ИТ-служба должна управляться как сервисная организация.
5. В ИТ нужна система менеджмента качества
Если ИТ-организация рассматривается как сервисная, качество услуг становится основным мерилом её эффективности. Это качество во многом зависит от характеристик продуктов (программ, компонентов инфраструктуры), но в первую очередь — от того, как организована и выполняется деятельность по предоставлению и поддержке ИТ-услуг. Многие недостатки инфраструктуры могут быть скомпенсированы хорошей работой сервисной организации, и даже лучший в своём классе продукт может быть испорчен неумелыми руками, выполняющими неквалифицированный ремонт в неудобное потребителю время в неприятной ему форме.
Технология работы ИТ-службы имеет значение. В большинстве случаев вложения в организацию деятельности, повышение уровня зрелости ИТ-службы и построение инструментов контроля оправдываются сокращением числа сбоев, повышением уровня услуг, стабильностью результатов и снижением уровня ИТ-рисков.
Управление услугами требует постоянного внимания, систематического выполнения действий по эксплуатации, качественной поддержки в случаях нарушения нормальной работы систем и постоянной оценки, направленной на выявление отклонений от нормы и планирование улучшений.
Чтобы гарантировать качество услуг, нужна система менеджмента качества — система управления и контроля, система процессов.
6. ИТ в компании — это область постоянных изменений
Требования к ИТ-услугам постоянно меняются, к сожалению. Основные причины изменений:
  • Недостаточная зрелость бизнес-технологий, отсутствие системного подхода к формированию требований, несовершенство бизнес-процессов;
  • Изменяющиеся внешние регулирующие требования и нормы (законодательство и т. п.);
  • Новые возможности использования информационных технологий, появляющиеся на рынке;
  • Искусственно стимулируемая поставщиками ИТ-решений смена версий и продуктов.
Почти всегда эти изменения затрагивают предоставляемые ИТ-услуги, а значит — действующие бизнес-процессы. Как результаты, так и само проведение изменений всегда являются источниками рисков и почти всегда — источником затрат. Поэтому деятельность по управлению изменениями в ИТ требует управления и контроля.
Для эффективного управления изменениями в системе управления ИТ должна быть принята и применяться методология управления проектами, совместимая с подходом к управлению проектами, принятым во всей компании.
7. Управление ИТ невозможно ограничить рамками одной организации
По мере стандартизации информационных технологий стандартизируются продукты, а затем и услуги. Стандартизация и массовая доступность стимулируют переход на промышленные решения и отказ от собственных разработок. Чем большая доля ИТ-услуг предоставляется компании сторонними поставщиками и чем большая доля ИТ-услуг, предоставляемых собственной ИТ-службой, основана на решениях сторонних поставщиков, тем больше организация зависит от третьих сторон.
До тех пор, пока ИТ-служба несёт ответственность за качество всех ИТ-услуг, независимо от участия третьих сторон в их предоставлении,в рамках системы менеджмента качестваИТ-услуг должна осуществляться деятельность по управлению поставщиками.
Если ИТ-служба перестает выступать в качестве поставщика ИТ-услуг, а ответственность за качество услуг передаётся внешним поставщикам, система управления поставщиками, обеспечивающая уверенность в качестве услуг, должна быть реализована на уровне компании-заказчика.

8. Система управления ИТ требует контроля
Система управления ИТ, обеспечивающая планирование, координацию, оценку и совершенствованиеИТ-услуг, процессов и проектов; контролирующая ИТ-риски и обеспечивающая информационную безопасность; включающая в себя управление людьми, технологией работы и инфраструктурой — эта система должна обеспечивать разумную степень уверенности владельцев, акционеров, высшего менеджмента компании в том, что информационные технологи в компании используются полезно и рационально, а сама система управления эффективна и оправдывает вложенные в неё средства. Для этого в рамках системы управления должна формироваться отчётность для высшего руководства.
Для того чтобы подтвердить и повысить достоверность такой отчётности, руководители компании должны организовать контроль над работой системы управления ИТ.
Данные систем управления и контроля могут быть подтверждены внутренним и/или внешним аудитом управления ИТ. Контроль и аудит должны проводиться по всем аспектам управления ИТ:
  • качество услуг
  • управление процессами
  • управление проектами
  • информационная безопасность
  • ИТ-риски
  • управление поставщиками.
9. В области управления ИТ существуют стандарты и своды знаний
Управление ИТ — достаточно молодая отрасль, но за время её существования всё же были выработаны и успели подтвердить свою эффективность подходы, своды знаний и методологии. Требования к качеству управления ИТ легли в основу стандартов — международных и национальных.
При организации управления ИТ в конкретной компании необходимо учитывать национальную, отраслевую и индивидуальную специфику, но не следует пренебрегать накопленным опытом, к тому же подтвержденным практикой многих организаций.
Следование передовому опыту и ориентация на стандарты могут сделать систему управления ИТ в организации более рациональной, совместимой с практикой других организаций — партнеров, заказчиков и поставщиков,— а также существенно сократить сроки построения самой системы управления и связанные с этим проектом риски.
10. Эффективное управление ИТ невозможно без активного участия бизнеса
Цель системы управления ИТ — обеспечить выполнение требований организации в области использования информационных технологий. Очевидно, что эта цель может быть достигнута только в случае согласования этих требований на всех уровнях.
В частности, необходимо:
  • согласовать стратегию организации в области информационных технологий;
  • определить требования к качеству ИТ-услуг, а также порядок их согласования, оценки фактического качества услуг и инициации корректив;
  • реализовать процедуры взаимодействия конечных пользователей с ИТ-службой по всем вопросам, связанным с предоставлением и потреблением ИТ-услуг.
На всех уровнях необходимы ясные всем сторонам интерфейсы, процедуры и правила взаимодействия.
11. Чем раньше в организации формируется система управления ИТ, тем легче процесс её формирования и полезнее сама система
Ценность информационных технологий повышается по мере их интеграции в бизнес. Бизнес-процесс,спроектированный с учетом применяемых информационных технологий, использует их более полно и с меньшими усилиями, чем бизнес-процесс, в который они были встроены искусственно. Автомобиль, в который электронные системы управления и контроля были встроены на заводе, использует их эффективнее, чем автомобиль, в который они были добавлены владельцем во изменение первоначальной конструкции.
Аналогично, система управления ИТ, являющаяся частью корпоративной системы управления и спроектированная на этапе формирования всей организации, оказывается более эффективной и лучше интегрированной с другими компонентами, чем искусственно добавленная в организацию позже, фрагментарно, вопреки сопротивлению и другими людьми.

Стратегия в области информационных технологий должна формироваться как часть корпоративной стратегии.
Читать далее ...

20 механизмов безопасности для эффективной защиты от кибер-угроз

vlsdtv | 17:24 | | Прокоментируй первым!
         Данный слайд я увидел на конференции DLP-2013 и решил разместить у себя. Ссылка на сайт тут  Хороший слайд для  рассмотрения с практической точки зрения.


Моя вольная трактовка (соответственно переведенная на русский народный):


 1. Inventory of Authorized and Unauthorized Devices

Инвентаризация разрешенных и несанкционированно подключенных устройств. Снижение возможности нарушителя по обнаружению и использованию неучтенных и незащищенных систем. Использование систем мониторинга и конфигурирования для поддержания в актуальном состояние списка устройств, подключенных к корпоративной сети, включая сервера, рабочие станции, ноутбуки, мобильные и иные устройства для удаленного доступа.

 2. Inventory of Authorized and Unauthorized Software

Инвентаризация разрешенного и несанкционированно установленного программного обеспечения. Поиск уязвимостей или вредоносного программного обеспечения для снижения вероятности или избежания соответствующих атак. Создание перечня разрешенного ПО для каждого типа систем и внедрение инструментов для отслеживания установленного ПО (включая тип, версию и патчи) и наличия неразрешенного или ненужного ПО.

3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers

Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков. Предотвращение использования нарушителями служб и настроек, позволяющих осуществить доступ к корпоративной сети. Создание «безопасного образа», который используется для всех новых систем, внедряемых в Компании, размещение этого образа в защищенном хранилище, регулярный контроль целостности и обновление его конфигурации, отслеживание образов систем в системе управления конфигурациями.

4. Continuous Vulnerability Assessment and Remediation

Непрерывный анализ уязвимостей и их устранение. Проакивный поиск и устранение уязвимостей программного обеспечения, о которых сообщают исследователи или разработчики. Регулярный автоматический запуск сканнеров уязвимостей, сканирующих все системы, и быстрое закрытие любых уязвимостей в течении 48 часов.


5. Malware Defenses

Защита от вредоносного кода. Блокировка вредоносов, осуществляющих несанкционированный доступ к системным настройкам или файлам, содержащих информацию ограниченного доступа, а также осуществляющих самовоспроизведение. Использование антивирусного и антишпионского ПО для непрерывного мониторинга и защиты рабочих станций, серверов и мобильных устройств. Автоматическое обновление такого ПО.

6. Application Software Security

Безопасность прикладного ПО. Сканирование с целью обнаружения и закрытия уязвимостей в сетевом и ином ПО. Тщательное тестирование прикладного ПО (как разработанного внутри Компании, так и сторонними разработчиками) на уязвимости, включая как ошибки кода, так и наличие вредоносного кода. Фильтрация всего трафика, получаемого веб-приложениями для избежания ошибок из-за ввода некорректных данных (включая фильтрацию по размеру и типам вносимых данных).

 7. Wireless Device Control

Защита и контроль беспроводных устройств. Защита периметра от несанкционированного подключения по беспроводным сетям. Разрешение устройствам подключаться к сети, только если их конфигурация и профиль безопасности соответствуют установленным в Компании, устройство закреплено за своим владельцем и определены бизнес-цели, в рамках которых предоставляется доступ. Гарантия того, что все точки беспроводного доступа настраиваются с использованием корпоративных средств управления. Конфигурирование сканнеров для обнаружения иных точек доступа. 

8. Data Recovery Capability

Организация восстановления данных.Минимизация ущерба от любых атак. Реализация плана по устранению всех следов атак. Автоматическое резервирование всей требуемой информации для полного восстановления каждой системы, включая ОС, приложения и информацию. Резервирование всех систем еженедельно, а более важной информации – чаще. Регулярное тестирование процесса восстановления.

9. Security Skills Assessment and Appropriate Training to Fill Gaps

Оценка навыков по безопасности, проведение необходимых тренингов.Поиск «пробелов в образовании» и их устранение путем "выполнения упражнений" и посещения тренингов  Разработка программы оценки навыков по ИБ, плана обучения по требующимся компетенциям, использование результатов и эффективное распределение ресурсов для повышения опыта в сфере ИБ.

10.  Secure Configurations for Network Devices such as Firewalls, Routers, and Switches

Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Препятствие появлению непредусмотренных точек подключения к сетям интернет, других организаций или внутренним сегментам сети Компании. Сравнение настроек активного сетевого оборудования с установленными в Компании стандартами для каждого типа устройств. Гарантия того, что любые изменения стандартных настроек будут зафиксированы и протестированы и любые временные изменения будут отменены, когда потребность в них исчезнет.

 11. Limitation and Control of Network Ports, Protocols, and Services

Ограничение и контроль сетевых портов, протоколов и служб. Разрешение удаленного доступа только легитимным пользователям и сервисам. Применение файерволов на конечных узлах для фильтрации всего трафика, который явно не разрешен. Корректная конфигурация веб-серверов, почтовых серверов, файловых сервисов и сервисов печати, а также DNS-серверов для ограничения удаленного доступа. Запрет автоматической установки программ, в которых нет необходимости. Перемещение серверов за файеровол, если не требуется удаленный доступ к ним из внешней сети.

 12. Controlled Use of Administrative Privileges

Контроль использования административных привилегий. Защита и проверка привилегированных учетных записей на рабочих станциях, ноутбуках и серверах для предотвращения двух основных видов атак: 1 - использования социальной инженерии для того, чтобы пользователь открыл зараженное вложение электронной почты или любой другой файл, или посетил зараженный веб-сайт; и 2 - взлома пароля администратора и, тем самым, получения доступа к целевой машине. Использование стойких паролей, соответствующих принятым стандартам.

13. Boundary Defense

Защита периметра. Контроль трафика, проходящего через границы сети, и фильтрация трафика, схожего с генерируемым в ходе атаки и при поведении скомпрометированных компьютеров. Установка многоуровневой защиты периметра, использующую файерволы, прокси, демилитаризованную зону (DMZ) и другие сетевые инструменты. Фильтрация входящего и исходящего трафика, включая получаемый из сетей бизнес-партнеров.

14. Maintenance, Monitoring, and Analysis of Security Audit Logs

Сопровождение, мониторинг и анализ журналов регистрации событий.Использование детализированных журналов для определения и раскрытия подробностей атак, включая места внедрения вредоносного ПО, и активность на зараженных компьютерах. Генерация установленных форм журналов для каждого устройства и установленного на него ПО, включая дату, время, адреса источника и назначения и другую информацию о каждом пакете и/или транзакции. Хранение журналов на предназначенных для этого серверах, и просмотр еженедельных отчетов для обнаружения и фиксации аномалий.

15. Controlled Access Based on the Need to Know

Контроль доступа на основе принципа минимизации полномочий.Предотвращение доступа злоумышленника к критичной информации. Точное определение и отделение критичной  информации от информации, которая доступна большому числу пользователей внутренней сети. Установка многоуровневой системы классификации, основанной на влияние, которое может оказать любое раскрытие определенной информации, гарантия того, что только санкционированные пользователи имеют доступ к информации ограниченного доступа.

16. Account Monitoring and Control

Мониторинг и контроль учетных записей. Предотвращение возможности выдачи себя за легитимного пользователя. Просмотр всех учетных записей в системе и блокирование тех, которые не связаны с какими-либо бизнес-процессами и определенными владельцами. Немедленное аннулирование прав доступа к системе для временных работников и подрядчиков по завершению работ. Отключение скрытых (стандартных) учетных записей – шифрование и изоляция всех файлов, связанных с такими аккаунтами. Использование стойких паролей, соответствующих принятым стандартам.

17. Data Loss Prevention

Предотвращение утечек данных. Остановка несанкционированной передачи критичной информации, как через сеть, так и при физическом доступе. Тщательное исследование пересылаемой за границы сети информации (как в электронном виде, так и на материальных носителях), с целью минимизации разглашения информации. Мониторинг деятельности персонала, процессов и систем с использованием централизованной системы управления.

18. Incident Response Management

Организация реагирования на инциденты. Защита репутации Компании, столь же тщательно, как и информации. Разработка инструкции реагирования на инциденты, прозрачно описывающей роли и ответственность для быстрого раскрытия атак и, затем, эффективного снижения ущерба, ликвидации источника угрозы и восстановления целостности системы.

19. Secure Network Engineering

Обеспечение безопасности сети (построение). Организация такой архитектуры сети, которая максимально затрудняет подключение к ней нарушителя. Использование проверенного и безопасного процесса построения сети, не позволяющего обойти механизмы ее защиты. Развертывание сетевой архитектуры с использованием как минимум трех уровней: DMZ, промежуточной и частной сети. Возможность быстрого развертывания новых механизмов контроля доступа для быстрого отражения атак.

20. Penetration Tests and Red Team Exercises

Тестирование на проникновение.Использование моделирования атак для подтверждения готовности к ним Компании. Проведение регулярных тестов на проникновения (как изнутри, так и снаружи), которые симулируют атаку, в целях определения уязвимостей и оценки возможных последствий. Периодическое проведение мероприятий экспертной группой – заключающихся в попытках получить доступ к критичным информации и системам – для тестирования возможностей внедренных механизмов защиты и реагирования.


Читать далее ...

Search