Памятка для современных руководителей ИТ

Эта памятка адресована руководителям ИТ — тем, кто осуществляет руководство: ставит цели, определяет требования и ограничения, получает отчётность и оценивает результаты.

Менеджерам ИТ, то есть тем, кто управляет — обеспечивает достижение целей, соответствие требованиям с учётом ограничений, организует достижение результатов и формирует отчетность — надо знать об управлении ИТ ещё кое-что, хотя и эти  важные факты не должны пройти мимо них.

1. Все современные организации заинтересованы в эффективном управлении информационными технологиями

Роль ИТ в бизнесе меняется. Принято считать, что она растёт, становится более важной, но на самом деле изменения могут быть различными. В целом эволюция этой роли такова:

• ИТ как источник инноваций
• ИТ как источник преимуществ
• ИТ как необходимая часть инфраструктуры

Изменение влияния ИТ на бизнес-процессы характерно для отрасли в целом и происходит в течение последних пятидесяти лет, но, как и в природе, макропроцессы часто повторяются и на микроуровне.

На первом этапе информационные технологии рассматриваются как возможный источник преимуществ — возможный, но неподтвержденный. Передовые компании, ищущие новые факторы на рынке, вкладывают средства в исследования в области ИТ и в некоторых случаях действительно находят возможность конвертировать возможности технологий в бизнес-инновации. Или не находят. На этом этапе работа в области ИТ носит в основном проектный, исследовательский характер, роль технологий в основных бизнес-процессах компании невелика, а перспективы отдачи от сделанных инвестиций более чем туманны. Стратегия компаний не рассматривает информационные технологии как существенный фактор.

Некоторые исследования, сделанные на первом этапе, приводят к формированию новых основанных на ИТ способов реализации бизнес-процессов, подтвердивших свою эффективность. Компании, первыми применившие эти способы, получают благодаря информационным технологиям более или менее значимые конкурентные преимущества за счёт повышения производительности или снижения затрат. Внимательно наблюдающие за ними конкуренты вкладывают средства в разработку или приобретение аналогичных решений. На этом этапе преимущества, связанные с использованием ИТ, становятся измеримы, а сопутствующие риски контролируются лучше, чем на первом, инновационном, этапе. Уровень информатизации становится одним из критериев при оценке потенциала компании. На этом этапе стратегическая роль ИТ максимальна, компании прямо заявляют об использовании информационных технологий как основы своей бизнес-стратегии.

Технологии, успешно применяемые многими, перестают быть источником преимуществ. Постепенно наиболее удачные решения по информатизации и автоматизации бизнес-процессов становятся общепринятыми, стандартизируются и даже входят в состав необходимых условий ведения бизнеса. ИТ становятся необходимой частью инфраструктуры. ИТ-решения все реже разрабатываются собственными силами или по заказу и все чаще покупаются, причем их стоимость неуклонно снижается, появляются бесплатные альтернативы. ИТ становятся неотъемлемой частью бизнес-процессов и перестают рассматриваться как стратегический фактор.

В начале второго десятилетия двадцать первого века в большинстве отраслей информационные технологии рассматриваются как инфраструктурные, в некоторых — как источник стратегических преимуществ, и лишь в немногих продолжают оставаться инновационными. Это означает, что подавляющее большинство организаций тратит на них много денег, не может без них выполнять свои основные функции и, скорее всего, не получает от их использования существенных конкурентных преимуществ. А это в свою очередь означает, что для большинства компаний основными требованиями к «своим» ИТ являются:

• Управление рисками
• Оптимизация затрат
• Очевидная ценность для бизнеса.

Выполнить эти требования возможно только в том случае, когда использование ИТ в компании управляется.

Когда риски, затраты и ценность находятся под контролем. Когда они измеримы. Когда они являются предметом чьей-то персональной ответственности.

Компании, в которых ИТ не управляются, а «просто работают», или относятся к отрасли, где эти технологии ещё остаются опциональными, или проявляют преступную беспечность в отношении одного из своих значимых активов.

2. «ИТ» в организации — это больше, чем информационные технологии

Служба ИТ — важная часть современной организации. И как любая другая функция компании,ИТ-служба — это прежде всего люди, затем — технология работы, и лишь в последнюю очередь — инфраструктура. Для того чтобы управлять информационными технологиями, люди должны быть компетентны и мотивированы, технология должна быть понятной, рациональной и результативной, а инфраструктура должна эффективно поддерживать технологию.

Это правило обычно не вызывает сомнений в отношении других функциональных составляющих компании: бухгалтерия — это, прежде всего, специалисты, лишь затем — методы и правила, и в последнюю очередь — калькулятор и бланки отчетности. ИТ-службы же, видимо, вследствие того, что управляют специфической инфраструктурой, часто сводятся к этой инфраструктуре. В первую очередь — самими ИТ-специалистами и менеджерами. Внимание последних, как правило, сосредоточено на аппаратном и программном обеспечении, системах связи, защиты, хранения…

Управление ИТ не должно сводиться к управлению инфраструктурой ИТ.

Эффективная работа ИТ-службы, а следовательно — эффективное применение информационных технологий в организации, возможна только в том случае, когда деятельность ИТ-менеджеров включает в себя управление персоналом, технологией работы и инфраструктурой.

3. Информация — важнейший актив любой современной организации

Информационные технологии помогают управлять информацией. Информация — важнейший актив любой организации, а в некоторых отраслях — основной актив. Это значит, что информацию следует контролировать, правильно использовать и защищать.

Система управления корпоративной информацией должна обеспечивать адекватный уровень информационной безопасности. Система управления информационной безопасностью должна включать в себя методологию управления рисками.

4. ИТ-служба — сервисная организация

Одновременно с изменением роли информационных технологий в бизнесе менялось представление о том, что является основным результатом их применения.

Пока технологии рассматривались как источник инноваций, они являлись и основным «продуктом» работы ИТ-службы или поставщика. Разработчики предоставляли заказчикам инструменты для оптимизации бизнес-процессов.

По мере интеграции этих инструментов в ежедневную деятельность организации их использование становилось всё более естественным, границы между ИТ-инфраструктурой и базовой инфраструктурой предприятия стирались, технологии становились всё менее заметными. Сейчас использование информационных технологий никем не воспринимается как цель — даже если под «технологиями» понимается по-настоящему красивый продукт вроде масштабной ERP-системы. Заказчиков интересует функциональность, которую они получают, а также доступность, производительность, безопасность, гибкость, удобство, адекватные условиям, в которых эта функциональность реализуется. Неважно, какие ИТ-решения лежат в основе услуг. Важно, насколько эти услуги отвечают требованиям и ожиданиям потребителей.

Основная форма предоставления бизнес-ценности, реализуемая информационными технологиями — это услуги. ИТ-служба должна нести ответственность за предоставление заказчикам качественных услуг на протяжении всего цикла их потребления, а не только в момент подключения.

Для этого ИТ-служба должна управляться как сервисная организация.

5. В ИТ нужна система менеджмента качества

Если ИТ-организация рассматривается как сервисная, качество услуг становится основным мерилом её эффективности. Это качество во многом зависит от характеристик продуктов (программ, компонентов инфраструктуры), но в первую очередь — от того, как организована и выполняется деятельность по предоставлению и поддержке ИТ-услуг. Многие недостатки инфраструктуры могут быть скомпенсированы хорошей работой сервисной организации, и даже лучший в своём классе продукт может быть испорчен неумелыми руками, выполняющими неквалифицированный ремонт в неудобное потребителю время в неприятной ему форме.

Технология работы ИТ-службы имеет значение. В большинстве случаев вложения в организацию деятельности, повышение уровня зрелости ИТ-службы и построение инструментов контроля оправдываются сокращением числа сбоев, повышением уровня услуг, стабильностью результатов и снижением уровня ИТ-рисков.

Управление услугами требует постоянного внимания, систематического выполнения действий по эксплуатации, качественной поддержки в случаях нарушения нормальной работы систем и постоянной оценки, направленной на выявление отклонений от нормы и планирование улучшений.

Чтобы гарантировать качество услуг, нужна система менеджмента качества — система управления и контроля, система процессов.

6. ИТ в компании — это область постоянных изменений

Требования к ИТ-услугам постоянно меняются, к сожалению. Основные причины изменений:

• Недостаточная зрелость бизнес-технологий, отсутствие системного подхода к формированию требований, несовершенство бизнес-процессов;
• Изменяющиеся внешние регулирующие требования и нормы (законодательство и т. п.);
• Новые возможности использования информационных технологий, появляющиеся на рынке;
• Искусственно стимулируемая поставщиками ИТ-решений смена версий и продуктов.

Почти всегда эти изменения затрагивают предоставляемые ИТ-услуги, а значит — действующие бизнес-процессы. Как результаты, так и само проведение изменений всегда являются источниками рисков и почти всегда — источником затрат. Поэтому деятельность по управлению изменениями в ИТ требует управления и контроля.

Для эффективного управления изменениями в системе управления ИТ должна быть принята и применяться методология управления проектами, совместимая с подходом к управлению проектами, принятым во всей компании.

7. Управление ИТ невозможно ограничить рамками одной организации

По мере стандартизации информационных технологий стандартизируются продукты, а затем и услуги. Стандартизация и массовая доступность стимулируют переход на промышленные решения и отказ от собственных разработок. Чем большая доля ИТ-услуг предоставляется компании сторонними поставщиками и чем большая доля ИТ-услуг, предоставляемых собственной ИТ-службой, основана на решениях сторонних поставщиков, тем больше организация зависит от третьих сторон.

До тех пор, пока ИТ-служба несёт ответственность за качество всех ИТ-услуг, независимо от участия третьих сторон в их предоставлении,в рамках системы менеджмента качестваИТ-услуг должна осуществляться деятельность по управлению поставщиками.

Если ИТ-служба перестает выступать в качестве поставщика ИТ-услуг, а ответственность за качество услуг передаётся внешним поставщикам, система управления поставщиками, обеспечивающая уверенность в качестве услуг, должна быть реализована на уровне компании-заказчика.

8. Система управления ИТ требует контроля

Система управления ИТ, обеспечивающая планирование, координацию, оценку и совершенствованиеИТ-услуг, процессов и проектов; контролирующая ИТ-риски и обеспечивающая информационную безопасность; включающая в себя управление людьми, технологией работы и инфраструктурой — эта система должна обеспечивать разумную степень уверенности владельцев, акционеров, высшего менеджмента компании в том, что информационные технологи в компании используются полезно и рационально, а сама система управления эффективна и оправдывает вложенные в неё средства. Для этого в рамках системы управления должна формироваться отчётность для высшего руководства.

Для того чтобы подтвердить и повысить достоверность такой отчётности, руководители компании должны организовать контроль над работой системы управления ИТ.

Данные систем управления и контроля могут быть подтверждены внутренним и/или внешним аудитом управления ИТ. Контроль и аудит должны проводиться по всем аспектам управления ИТ:

• качество услуг
• управление процессами
• управление проектами
• информационная безопасность
• ИТ-риски
• управление поставщиками.

9. В области управления ИТ существуют стандарты и своды знаний

Управление ИТ — достаточно молодая отрасль, но за время её существования всё же были выработаны и успели подтвердить свою эффективность подходы, своды знаний и методологии. Требования к качеству управления ИТ легли в основу стандартов — международных и национальных.

При организации управления ИТ в конкретной компании необходимо учитывать национальную, отраслевую и индивидуальную специфику, но не следует пренебрегать накопленным опытом, к тому же подтвержденным практикой многих организаций.

Следование передовому опыту и ориентация на стандарты могут сделать систему управления ИТ в организации более рациональной, совместимой с практикой других организаций — партнеров, заказчиков и поставщиков,— а также существенно сократить сроки построения самой системы управления и связанные с этим проектом риски.

10. Эффективное управление ИТ невозможно без активного участия бизнеса

Цель системы управления ИТ — обеспечить выполнение требований организации в области использования информационных технологий. Очевидно, что эта цель может быть достигнута только в случае согласования этих требований на всех уровнях.

В частности, необходимо:

• согласовать стратегию организации в области информационных технологий;
• определить требования к качеству ИТ-услуг, а также порядок их согласования, оценки фактического качества услуг и инициации корректив;
• реализовать процедуры взаимодействия конечных пользователей с ИТ-службой по всем вопросам, связанным с предоставлением и потреблением ИТ-услуг.

На всех уровнях необходимы ясные всем сторонам интерфейсы, процедуры и правила взаимодействия.

11. Чем раньше в организации формируется система управления ИТ, тем легче процесс её формирования и полезнее сама система

Ценность информационных технологий повышается по мере их интеграции в бизнес. Бизнес-процесс,спроектированный с учетом применяемых информационных технологий, использует их более полно и с меньшими усилиями, чем бизнес-процесс, в который они были встроены искусственно. Автомобиль, в который электронные системы управления и контроля были встроены на заводе, использует их эффективнее, чем автомобиль, в который они были добавлены владельцем во изменение первоначальной конструкции.

Аналогично, система управления ИТ, являющаяся частью корпоративной системы управления и спроектированная на этапе формирования всей организации, оказывается более эффективной и лучше интегрированной с другими компонентами, чем искусственно добавленная в организацию позже, фрагментарно, вопреки сопротивлению и другими людьми.

Стратегия в области информационных технологий должна формироваться как часть корпоративной стратегии.

Читать далее ...

20 механизмов безопасности для эффективной защиты от кибер-угроз

         Данный слайд я увидел на конференции DLP-2013 и решил разместить у себя. Ссылка на сайт тут  Хороший слайд для  рассмотрения с практической точки зрения.

Моя вольная трактовка (соответственно переведенная на русский народный):

 1. Inventory of Authorized and Unauthorized Devices

Инвентаризация разрешенных и несанкционированно подключенных устройств. Снижение возможности нарушителя по обнаружению и использованию неучтенных и незащищенных систем. Использование систем мониторинга и конфигурирования для поддержания в актуальном состояние списка устройств, подключенных к корпоративной сети, включая сервера, рабочие станции, ноутбуки, мобильные и иные устройства для удаленного доступа.

 2. Inventory of Authorized and Unauthorized Software

Инвентаризация разрешенного и несанкционированно установленного программного обеспечения. Поиск уязвимостей или вредоносного программного обеспечения для снижения вероятности или избежания соответствующих атак. Создание перечня разрешенного ПО для каждого типа систем и внедрение инструментов для отслеживания установленного ПО (включая тип, версию и патчи) и наличия неразрешенного или ненужного ПО.

3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers

Безопасные настройки аппаратного и программного обеспечения для серверов, рабочих станций и ноутбуков. Предотвращение использования нарушителями служб и настроек, позволяющих осуществить доступ к корпоративной сети. Создание «безопасного образа», который используется для всех новых систем, внедряемых в Компании, размещение этого образа в защищенном хранилище, регулярный контроль целостности и обновление его конфигурации, отслеживание образов систем в системе управления конфигурациями.

4. Continuous Vulnerability Assessment and Remediation

Непрерывный анализ уязвимостей и их устранение. Проакивный поиск и устранение уязвимостей программного обеспечения, о которых сообщают исследователи или разработчики. Регулярный автоматический запуск сканнеров уязвимостей, сканирующих все системы, и быстрое закрытие любых уязвимостей в течении 48 часов.

5. Malware Defenses

Защита от вредоносного кода. Блокировка вредоносов, осуществляющих несанкционированный доступ к системным настройкам или файлам, содержащих информацию ограниченного доступа, а также осуществляющих самовоспроизведение. Использование антивирусного и антишпионского ПО для непрерывного мониторинга и защиты рабочих станций, серверов и мобильных устройств. Автоматическое обновление такого ПО.

6. Application Software Security

Безопасность прикладного ПО. Сканирование с целью обнаружения и закрытия уязвимостей в сетевом и ином ПО. Тщательное тестирование прикладного ПО (как разработанного внутри Компании, так и сторонними разработчиками) на уязвимости, включая как ошибки кода, так и наличие вредоносного кода. Фильтрация всего трафика, получаемого веб-приложениями для избежания ошибок из-за ввода некорректных данных (включая фильтрацию по размеру и типам вносимых данных).

 7. Wireless Device Control

Защита и контроль беспроводных устройств. Защита периметра от несанкционированного подключения по беспроводным сетям. Разрешение устройствам подключаться к сети, только если их конфигурация и профиль безопасности соответствуют установленным в Компании, устройство закреплено за своим владельцем и определены бизнес-цели, в рамках которых предоставляется доступ. Гарантия того, что все точки беспроводного доступа настраиваются с использованием корпоративных средств управления. Конфигурирование сканнеров для обнаружения иных точек доступа. 

8. Data Recovery Capability

Организация восстановления данных.Минимизация ущерба от любых атак. Реализация плана по устранению всех следов атак. Автоматическое резервирование всей требуемой информации для полного восстановления каждой системы, включая ОС, приложения и информацию. Резервирование всех систем еженедельно, а более важной информации – чаще. Регулярное тестирование процесса восстановления.

9. Security Skills Assessment and Appropriate Training to Fill Gaps

Оценка навыков по безопасности, проведение необходимых тренингов.Поиск «пробелов в образовании» и их устранение путем "выполнения упражнений" и посещения тренингов  Разработка программы оценки навыков по ИБ, плана обучения по требующимся компетенциям, использование результатов и эффективное распределение ресурсов для повышения опыта в сфере ИБ.

10.  Secure Configurations for Network Devices such as Firewalls, Routers, and Switches

Безопасные настройки сетевых устройств (межсетевых экранов, маршрутизаторов, коммутаторов и т.п.). Препятствие появлению непредусмотренных точек подключения к сетям интернет, других организаций или внутренним сегментам сети Компании. Сравнение настроек активного сетевого оборудования с установленными в Компании стандартами для каждого типа устройств. Гарантия того, что любые изменения стандартных настроек будут зафиксированы и протестированы и любые временные изменения будут отменены, когда потребность в них исчезнет.

 11. Limitation and Control of Network Ports, Protocols, and Services

Ограничение и контроль сетевых портов, протоколов и служб. Разрешение удаленного доступа только легитимным пользователям и сервисам. Применение файерволов на конечных узлах для фильтрации всего трафика, который явно не разрешен. Корректная конфигурация веб-серверов, почтовых серверов, файловых сервисов и сервисов печати, а также DNS-серверов для ограничения удаленного доступа. Запрет автоматической установки программ, в которых нет необходимости. Перемещение серверов за файеровол, если не требуется удаленный доступ к ним из внешней сети.

 12. Controlled Use of Administrative Privileges

Контроль использования административных привилегий. Защита и проверка привилегированных учетных записей на рабочих станциях, ноутбуках и серверах для предотвращения двух основных видов атак: 1 - использования социальной инженерии для того, чтобы пользователь открыл зараженное вложение электронной почты или любой другой файл, или посетил зараженный веб-сайт; и 2 - взлома пароля администратора и, тем самым, получения доступа к целевой машине. Использование стойких паролей, соответствующих принятым стандартам.

13. Boundary Defense

Защита периметра. Контроль трафика, проходящего через границы сети, и фильтрация трафика, схожего с генерируемым в ходе атаки и при поведении скомпрометированных компьютеров. Установка многоуровневой защиты периметра, использующую файерволы, прокси, демилитаризованную зону (DMZ) и другие сетевые инструменты. Фильтрация входящего и исходящего трафика, включая получаемый из сетей бизнес-партнеров.

14. Maintenance, Monitoring, and Analysis of Security Audit Logs

Сопровождение, мониторинг и анализ журналов регистрации событий.Использование детализированных журналов для определения и раскрытия подробностей атак, включая места внедрения вредоносного ПО, и активность на зараженных компьютерах. Генерация установленных форм журналов для каждого устройства и установленного на него ПО, включая дату, время, адреса источника и назначения и другую информацию о каждом пакете и/или транзакции. Хранение журналов на предназначенных для этого серверах, и просмотр еженедельных отчетов для обнаружения и фиксации аномалий.

15. Controlled Access Based on the Need to Know

Контроль доступа на основе принципа минимизации полномочий.Предотвращение доступа злоумышленника к критичной информации. Точное определение и отделение критичной  информации от информации, которая доступна большому числу пользователей внутренней сети. Установка многоуровневой системы классификации, основанной на влияние, которое может оказать любое раскрытие определенной информации, гарантия того, что только санкционированные пользователи имеют доступ к информации ограниченного доступа.

16. Account Monitoring and Control

Мониторинг и контроль учетных записей. Предотвращение возможности выдачи себя за легитимного пользователя. Просмотр всех учетных записей в системе и блокирование тех, которые не связаны с какими-либо бизнес-процессами и определенными владельцами. Немедленное аннулирование прав доступа к системе для временных работников и подрядчиков по завершению работ. Отключение скрытых (стандартных) учетных записей – шифрование и изоляция всех файлов, связанных с такими аккаунтами. Использование стойких паролей, соответствующих принятым стандартам.

17. Data Loss Prevention

Предотвращение утечек данных. Остановка несанкционированной передачи критичной информации, как через сеть, так и при физическом доступе. Тщательное исследование пересылаемой за границы сети информации (как в электронном виде, так и на материальных носителях), с целью минимизации разглашения информации. Мониторинг деятельности персонала, процессов и систем с использованием централизованной системы управления.

18. Incident Response Management

Организация реагирования на инциденты. Защита репутации Компании, столь же тщательно, как и информации. Разработка инструкции реагирования на инциденты, прозрачно описывающей роли и ответственность для быстрого раскрытия атак и, затем, эффективного снижения ущерба, ликвидации источника угрозы и восстановления целостности системы.

19. Secure Network Engineering

Обеспечение безопасности сети (построение). Организация такой архитектуры сети, которая максимально затрудняет подключение к ней нарушителя. Использование проверенного и безопасного процесса построения сети, не позволяющего обойти механизмы ее защиты. Развертывание сетевой архитектуры с использованием как минимум трех уровней: DMZ, промежуточной и частной сети. Возможность быстрого развертывания новых механизмов контроля доступа для быстрого отражения атак.

20. Penetration Tests and Red Team Exercises

Тестирование на проникновение.Использование моделирования атак для подтверждения готовности к ним Компании. Проведение регулярных тестов на проникновения (как изнутри, так и снаружи), которые симулируют атаку, в целях определения уязвимостей и оценки возможных последствий. Периодическое проведение мероприятий экспертной группой – заключающихся в попытках получить доступ к критичным информации и системам – для тестирования возможностей внедренных механизмов защиты и реагирования.

Читать далее ...

Регулярные задачи сотрудника инфомационной безопасности, которые постоянно откладываются или не делаются

Как всем известно, все задачи, которые решают специалисты служб (отделов, департаментов...) информационной безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические, тактические и операционные. Решение стратегических задач ведет нас к отдаленным целям и задает общий вектор развития. Решение тактических задач предполагает получение определенных выгод и преимуществ в среднесрочной перспективе. Ну, а операционные задачи просто надо выполнять...
В данном опусе я напомню про такие задачи ИБ-шника, которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").

Итак, перечень задач и небольшие комментарии далее.

1.  Пересмотр ожиданий заинтересованных лиц.

Задача ИБ - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:

·         руководство/владельцы компании;

·         руководители бизнес-подразделений;

·         руководство и сотрудники подразделений ИТ;

·         сотрудники подразделения ИБ;

·         рядовые сотрудники организации;

·         партнеры и поставщики;

·         ...

От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.

Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).

Что получаем в итоге: 

·         Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).

Периодичность:  1-2 раза в год

2. Пересмотр и анализ области защиты

Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.

Что получаем в итоге: 

·         Комплект рабочих или официальных (утвержденных) документов:

o    Схема орг.-штатной структуры организации;

o    Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);

o    Перечень и краткое описание основных АС;

o    Перечень критичных серверов и рабочих станций;

o    Общая физическая схема расположения подразделений организации;

o    Перечень используемых средств защиты и мониторинга;

o    Перечень системных администраторов (с указанием их зон ответственности);

o    Перечень лиц, допущенных в серверные помещения.

Периодичность: 2-4 раза в год

3. Анализ внешних нормативных документов 

Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.

Что получаем в итоге: 

·         Перечень внешних нормативных документов (рабочий документ)

Периодичность:  1-2 раза в год

4. Постановка целей и определение приоритетов

Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3-4 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?

Что получаем в итоге: 

·         Перечень целей подразделения ИБ (рабочий документ)

Рекомендуемая периодичность: в зависимости от горизонта планирования

5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ

Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.). 

Что получаем в итоге: 

·         Перечень внутренних документов по ИТ и ИБ (рабочий документ)

·         План по доработке/пересмотру внутренних документов  (рабочий/официальный документ)

Периодичность: 1-2 раза в год

6. Проведение внутреннего аудита ИБ

Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).

Что получаем в итоге: 

·         Отчет по результатам внутреннего аудита ИБ +  Краткий отчет руководству (официальный документ)

·         План по приведению в соответствие (официальные документы)

Периодичность: 1 раз в год

7. Сбор и анализ показателей ИБ

Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону).

Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1-й старайтесь уменьшать, 2-е увеличивать).

Что получаем в итоге: 

·         Отчет по результатам анализа показателей  ИБ +  Краткий отчет руководству (официальные документы)

·         План по совершенствованию ИБ  (рабочий/официальный документы)

Периодичность: 1 раз в год

8. Сканирование и анализ уязвимостей ИТ-инфраструктуры

Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.  

Что получаем в итоге: 

·         Отчет по результатам анализа уязвимостей (рабочий/официальный документ)

·         План по устранению уязвимостей  (рабочий/официальный документы)

Рекомендуемая периодичность: 1-2 раза в год

9. Обучение и повышение осведомленности сотрудников организации

В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...

Что получаем в итоге: 

·         Материалы (информация) для ознакомления персонала

·         Журнал учета (при необходимости, официальный документы)

Периодичность: 2-12 раз в год

10. Обучение и повышение осведомленности сотрудников подразделения ИБ

Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ. 

Для этого мы можем:

·         посещать мероприятия по ИБ;

·         посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;

·         учиться на курсах по ИБ и ИТ;

·         смотреть вебинары по ИБ и ИТ;

·         читать книги, статьи по ИБ и ИТ;

·         общаться в профессиональных группах по ИБ и ИТ;

·         готовиться и сдавать экзамены по ИБ и ИТ.

Что получаем в итоге: 

·         Перечень компетенций сотрудников подразделения ИБ (рабочий документ)

·         Перечень профессиональных сертификатов сотрудников подразделения ИБ  (рабочий документ)

·         Библиотека знаний (электроных и бумажных носителей)

·         Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)

Периодичность: 2-4 раза в год

Вроде все!

Читать далее ...

Ошибка подключения по RDP – TermDD Event ID 50

Вот как эту бяку сегодня поборол...

1. Открыть редактор реестра.

2. Найте и выделить раздел реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TermService\Parameters

3. Удалить в этом разделе следующие параметры:

* Certificate

* X509 Certificate

* X509 Certificate ID

4. Закрыть редактор реестра и перезагрузить сервер.

P.$. Не забываем делать резервную копию!

Читать далее ...

Что не стоит виртуализировать

Виртуализация позволяет сэкономить немало денег, консолидировать ИТ-системы, более эффективно использовать ресурсы, а также улучшить возможности администрирования. Но не стоит забывать, что главная задача ИТ-отдела – поддержка бизнес-процессов. Что будете делать, если всё сетевое оборудование выйдет из строя? Тотальная виртуализация без анализа последствий – не самая лучшая идея. Не стоит класть все яйца в одну корзину. Есть вещи, которые не стоит виртуализировать.

ПО, для работы которого требуется физическое оборудование.  Некоторые приложения требуют для своей работы физического оборудования (например, ключ). Часто это делается для защиты от пиратства. С одной стороны, правила лицензирования подобных систем могут не оговаривать условия виртуализации.  С другой стороны, физический ключ может просто не работать с виртуализированными решениями.  Даже если вы сможете их виртуализировать, стоит ли рисковать и ломать над этим голову?

ИТ-системы, для которых нужна высокая производительность.  Приложения и устройства, которые загружают оперативную память, жесткий диск и процессор – плохие кандидаты для виртуализации. К ним относятся системы резервного копирования, обработки транзакций, базы данных и потоковое видео. Все это должно существовать физически. Поскольку виртуальная машина работает на своей хост-системе, это сказывается на производительности. Конечно, данную проблему можно решить с помощью выделенного хостинга для сервера, но тогда не получится запустить несколько образов на выделенном физическом сервере.

ПО с лицензионными ограничениями на виртуализацию.  Прежде чем виртуализировать приложение, прочитайте лицензионное соглашение и договор на обслуживание. Возможно, лицензия не позволяет этого, или вы теряете право на техподдержку. Если это несущественное ПО, оцените риски и виртуализируйте его. Если же это критически важное приложение, лучше этого не делать.

Критически важные приложения без тестирования.  Не переводите жизненно необходимые для бизнеса системы и сервисы на виртуальную платформу без предварительного тестирования, даже если оно требует времени. Клонируйте исходную платформу (с помощью Symantec Ghost или Acronis True Image и др.), а затем провести тестирование, охватывающее все аспекты работы приложения или сервера. Лучше сделать это вечером, чтобы устранить возможные проблемы к началу рабочего дня. Всегда храните оригинал системы (просто отключите его, но не удаляйте), по крайней мере, до тех пор, пока не убедитесь, что ее виртуальный клон работает так, как вы ожидали.

ИТ-системы, от которых зависит физическая среда.  Есть две причины для отказа любой виртуальной машины – она сама и ее хостинг. Системы будут работать, только если исправны оба этих компонента. Если вы виртуализируете систему безопасности, которая открывает двери офиса при предъявлении электронного пропуска, ваши сотрудники могут запросто не попасть к себе в кабинет, если с виртуальной машиной что-то случится. Хорошо, если универсальный ключ всегда у вас. А что делать, если он закрыт внутри офиса?

ИТ-системы, от которых зависит виртуальная среда.  Виртуальная зацикленность (например, использование виртуального контроллера домена, необходимого для входа в виртуальную среду) – это большой риск даже для кластерных сред с избыточностью. Здесь огромное значение имеет стабильное электропитание, но в последнее время слишком часто случаются перебои с подачей электроэнергии. Необходимо составить схему виртуальной среды, включающую хост-системы, виртуальные образы, аутентификацию, сети, хранилища данных и даже электропитание. Поочередно выключая каждый пункт этой схемы, выяснить возможные последствия. А чтобы их избежать, настроить физически избыточную систему (например, другой контроллер домена).

ИТ-системы, требующие повышенной безопасности.  Виртуализация любой системы, содержащей конфиденциальные данные, может представлять угрозу ИТ-безопасности. Вы можете настроить разрешения на виртуальных машинах для ограничения доступа сотрудников, но если у них будет возможность контролировать ваши хост-системы, эти ограничения можно легко обойти. Они смогут скопировать файлы VMware, выключить сервер и т.д. Это не значит, что вы должны с подозрением относиться к ИТ-специалистам, но вам необходима строгая политика ИТ-безопасности.

ИТ-системы, для которых важна синхронизация времени.  VMware может синхронизировать время на виртуальной машине с хост-сервером ESX, да и саму ОС можно настроить на синхронизацию. Но что делать, если время на хост-сервере ESX выставлено неправильно? Эту проблему можно частично решить, используя на всех физических хост-серверах протокол NTP, обеспечивающий стандартизацию часов, но даже в этом случае могут возникать ошибки при сбое настроек или после обновления VMware ESX. Если для ИТ-системы критично правильное время, возможно, лучше ее не виртуализировать.

Компьютеры, которые отлично работают.  Стремясь к инфраструктуре виртуальных ПК (VDI), некоторые компании несколько переусердствуют с виртуализацией. Если у вас парк новых компьютеров (2-3-х летней давности), не тратьте время на виртуализацию и замену их тонкими клиентами. От этого не будет никакой пользы или экономии. Другое дело старые ПК, требующие замены, или ИТ-системы, которым не хватает быстродействия. В общем, если оборудование работает нормально, пусть работает и дальше.

ПО, которое устарело или не работает должным образом.  Часто физические устройства, трансформируют в виртуальную машину, чтобы их можно было восстановить и сохранить. В некоторых ситуациях это полезно, но в других вы неоправданно продляете жизнь устаревшему ПО. Например, у виртуального образа Windows XP, пережившей многочисленные обновления, удаление и установку программ, обязательно будет перегружать процессор и давать большое время отклика. Виртуальную систему нужно создавать с нуля. Лучше всего в этой ситуации создать новый образ ОС с необходимым ПО. То же самое касается унаследованных систем и приложений. Иногда, виртуализация - это единственная возможность продлить жизнь таким системам, но все же стоит внести такие системы в приоритетный список на замену и обновление.

Решающее значение для оптимального соотношения физических и виртуальных машин имеет хорошая документация, квалифицированные специалисты и четкое понимание вашей ИТ-среды. В любом случае вам придется закупать физическое оборудование, знать параметры своих серверов, объемы хранилищ данных, пропускную способность сети и другие детали. Виртуализация – вещь, конечно, хорошая, но если хост-сервер выйдет из строя, последствия могут быть плачевными.

Читать далее ...