Домен "Эксплуатация и сопровождение": процессы, отвечающие за безопасность, затраты ИТ и обучение пользователей

Вернемся к нашему примеру с сайтом e-commerce. Безопасность сайта зависит от безопасности его компонентов: приложений, операционной системы, аппаратного обеспечения сервера, базы данных, сети.

Если говорить о программном обеспечении, основой информационной безопасности смело можно назвать контроль доступа. Только авторизованные люди могут получить доступ к информации (о заказах, пользователях, изменениях товаров и т.п.). Появляется понятие "identity management". На русский можно перевести по-разному – "управление идентификацией" или "управление идентификационными сущностями", что более отражает действительность. В общем, будем использовать оригинал – identity management. Для данного примера он будет заключаться в следующем:

• создать учетную запись для каждого пользователя. Менеджер продаж, являющийся владельцем системы, будет создавать пользовательские учетные записи. Если появится новый сотрудник отдела продаж, он создаст для него соответствующую учетную запись. Сотрудники других отделов (например, бухгалтерии) для получения доступа будут создавать запрос, запрос будут утверждать их руководители, и только потом он будет поступать менеджеру продаж, который создаст учетную запись.
• давать необходимые права каждой учетной записи. Например, для учетных записей сотрудников отдела продаж это просмотр заказов, смена их статусов и т.п. При этом важно не дать лишние права (принип минимальных привилегий). Каждая учетная запись должна иметь только те права, которые необходимы ей для выполнения работы.
• для подтверждения наличия прав необходима аутентификация. Обычно это логин и пароль. Естественно, можно использовать другие методы – eToken, USB, smart card и т.п.
• деятельность всех сущностей должна отображаться в журнале (логироваться). Необходимо пересматривать журнал на предмет подозрительных действий. Например, почему пользователь несколько раз вводил неправильный пароль? Почему пользователь хотел войти на сайт в нерабочее время? Почему новые учетные записи были созданы без уведомления менеджера продаж? и т.п.

Для поддержки корректного логирования необходимо следующее:

• разным пользователям не позволено использовать одну учетную запись. В противном случае Вы не сможете сказать, кто в действительности сделал то или иное действие.
• журнал (лог) должен быть открыт только на запись. Даже если сервер атакует хакер, он не сможет удалить из журнала информацию о своих действиях.
• если у пользователя меняется должность или должностные обязанности, отдел кадров должен извещать об этом владельцев систем.

Они блокируют текущие учетные записи и ожидают запросы на регистрацию новых учетных записей или изменение старых.

• если пользователь увольняется, отдел кадров сообщает об этом владельцам систем, которые в свою очередь удаляют учетную запись.
• регулярный обзор списка пользователей и их прав с целью проверки

Это минимальные процедуры для приложений. Аналогичным образом выглядит обеспечение безопасности других компонентов. Главное – каждый компонент должен иметь владельца, который контролирует к нему доступ и отвечает за аудит. Identity management отвечает за то, что те, у кого есть бизнес-необходимость, будут иметь соответствующие права и учетные записи. Тем не менее всегда есть вероятность злоумышленных действий от тех, кто не имеет учетных записей. Например:

• приложение может иметь уязвимость, которая позволит хакеру создать специальный HTTP-запрос для получения доступа как веб-сервер, читать базу данных или записывать в нее, модифицировать страницу, которая отображается пользователям (межсайтовый скриптинг) и т.п.
• операционная система может иметь уязвимость, которая позволяет вирусам инфицировать компьютер путем посылки пакетов определенного типа;
• администратор операционной системы может запустить вирус, который будет выглядеть как что-то полезное, на стороннем сайте и т.п.

Для борьбы с подобными проблемами необходимо:

• своевременно и быстро устанавливать все обновления;
• следить за целостностью отдельных компонентов (например, с помощью "Соболя");
• установить антивирусные программы;
• ограничить сетевой доступ к компонентам системы. Например, если никто не должен получать доступ к операционной системе по сети, можно ограничить доступ конфигурацией межсетевого экрана.
• и т.п.

Даже если Вы приняли описанные превентивные меры, информационная безопасность все равно уязвима. Допустим, вирус обнаружен, но он успел разрушить критичные системные файлы, или хакер получил доступ к информации о кредитных картах клиентов? В рамках обеспечения информационной безопасности важно предусмотреть реакцию на возникновение инцидентов. Например:

• оценить инцидент – действительно ли это нарушение информационной безопасности или нормальное действие, принятое за злоумышленное?
• оценить тяжесть инцидента – украдена информация о кредитных картах клиентов или операционная система заражена обыкновенным вирусом?
• информировать заранее определенные заинтересованные стороны.
• отключить и изолировать компонент.
• расследовать инцидент, чтобы установить первопричину.
• восстановить услугу и устранить первопричину инцидента или найти какое-то обходное решение
• сообщить о результате заинтересованным сторонам.

Теперь у вас есть меры для защиты данных при обычных операциях. Но что, если есть необходимость в передаче данных кому-то? Например, передать информацию о доставке в электронном виде транспортной компании? Вам нужно позаботиться о сохранении целостности и конфиденциальности информации при передаче (например, с помощью SSL) и доказать, что она действительно от Вас (цифровая подпись).

Одним из надежных методов защиты является PKI, то есть использование открытого и закрытого ключей. Преимущество в том, что открытый ключ можно сделать публичным и привязать к различным системам, для входа в которые пользователи будут использовать закрытые ключи. Основная сложность – сохранение конфиденциальности закрытых ключей. Отсюда появляется необходимость в процессе, отвечающим за их защиту, генерацию, распространение открытых ключей и отзыв при компрометации.

После того, как Политика обеспечения информационной безопасности и другие процедуры созданы и используются, необходимо организовать тестирование безопасности, например:

• проверять сервера на известные уязвимости (действительно ли делаются обновления?);
• пробовать сканировать трафик с целью получения конфиденциальной информации (действительно ли защищена конфиденциальная информация?);
• проверить приложения сайта e-commerce на предмет уязвимостей;
• аудиты третьих сторон.

Перед непосредственной реализацией Политики необходимо ее утверждение высшими лицами организации. ИТ-риски должны быть учтены бизнесом и ими необходимо управлять в рамках системы управления корпоративными рисками.

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

• законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
• административный – комплекс мер, предпринимаемых локально руководством организации;
• процедурный уровень – меры безопасности, реализуемые людьми;
• программно-технический уровень – непосредственно средства защиты информации.

К сожалению, на практике достаточно часто бизнес считает, что вопросами информационной безопасности должна заниматься только ИТ-служба. Еще хуже, когда бизнес не понимает, зачем вообще нужно уделять внимание информационной безопасности. Создание эффективной системы защиты информации влечет за собой большие затраты, которые должны быть понятны руководству, так как именно оно принимает решение о финансировании. При этом важно соблюдать баланс - обеспечение информационной безопасности не должно стоить больше самой защищаемой информации.

DS 6. Определение и распределение затрат

В больших организациях затраты на ИТ достигают десятков, а то и сотен миллионов рублей. Естественной становится необходимость в рыночной и объективной системе определения и распределения этих затрат. Данный процесс включает в себя создание и применение системы учета, распределения и отчетности по затратам на ИТ для пользователей услуг. Эффективный процесс "Определение и распределение затрат" позволяет бизнесу принимать более компетентные решения по использованию средств и ИТ-услуг.

Рис. 11.2. Процесс "Определение и распределение затрат"

Определение и распределение затрат.

удовлетворяет следующим бизнес требованиям к ИТ

обеспечение прозрачности, понимание ИТ-затрат и совершенствование эффективности затрат посредством должного информирования об использовании ИТ-услуг.

сосредоточено на

полном и аккуратном учете затрат на ИТ, справедливом распределении, согласованным с бизнес пользователями и системе оперативной отчетности по использованию ИТ и распределению затрат.

достигается с помощью

• Приведения в соответствие затрат на оплату услуг с качеством и количеством предлагаемых услуг.
• Создания и согласования полной модели затрат.
• Финансирования затрат в соответствии с принятой согласованной политикой.

результаты оцениваются с помощью следующих показателей

• Доля счетов за ИТ услуги, принятых/оплаченных бизнес-менеджерами.
• Доля расхождений между бюджетами, прогнозами и реальными затратами.
• Доля от общих затрат на ИТ, распределяемая согласно принятым моделям затрат.