Под контролем IT-службы все информационные системы компании, а значит, она обладает большой (не слишком ли большой?) властью. В этой статье разберём подробно, как грамотно выстроить информационную безопасность и работу IT-специалистов, чтобы можно было им доверять и быть уверенными в результатах их работы.
Хорошо выстроенная IT-служба, а также грамотно работающая служба информационной безопасности периодически тревожат менеджеров, отвечающих за непрерывность бизнеса. Судите сами: IT-специалисты имеют доступ ко всем информационным системам, а ещё разбираются в том, что другие в принципе понять не могут.
Естественные вопросы:
• Можно ли доверять IT-специалистам (не «слабое» ли это звено)?
• Есть ли способ защититься от произвола IT-службы?
• Как обезопасить Корпорацию в случае демарша IT-службы?
Те же вопросы — по службе информационной безопасности.
Как в ТЕХНОНИКОЛЬ решается этот вопрос?
1. Разные IT-специалисты имеют разные уровни доступа. Каждый человек имеет свою специализацию, определённый уровень компетенций: системному администратору на заводе не нужен доступ на серверы корпоративного центра.
2. У всех IT-специалистов, обслуживающих рабочие места, есть индивидуальные учётные записи. Можно отследить все действия того или иного администратора.
3. Предусмотрено дублирование функций администраторов и документирование архитектуры систем, инфраструктуры и различного рода конфигураций оборудования. Это помогает обезопасить Корпорацию в случае неожиданного ухода администратора.
4. Перечень администраторов, обладающих исключительными правами, жёстко ограничен, в Корпорации их можно пересчитать по пальцам одной руки. И только они могут вносить значительные изменения в инфраструктуру, глубоко администрировать серверы, сети и системы защиты. Сами они максимально защищены от взломов, используют специализированные ноутбуки, подготовленные совместно с техническими инженерами вендора, а также многоуровневую авторизацию с применением электронных ключей как на сам ноутбук, так и на средства администрирования IT-инфраструктуры.
5. Существует централизованная система управления правами доступа к ресурсам. Довольно сложно удалять права доступа системного администратора из 50 или 300 различных систем при его увольнении. Лучше озаботиться подобной проблемой заранее и включить технологию аннулирования прав доступа централизованно в общую политику безопасности.
6. Мы также рассматриваем и тестируем различные системы контроля действий администраторов, чтобы можно было мониторить работу распределённой IT-инфраструктуры, проводить внутренние расследования, а также контролировать работу различных внешних подрядчиков внутри корпоративной сети ТЕХНОНИКОЛЬ.
Однако есть и совсем закрытая, «секретная» бизнес-информация. Как её защитить — даже от IT-специалистов? Технологии позволяют это сделать: есть множество стандартных средств шифрования и защиты информации в почтовой переписке, средств защиты файлов. Только нужно отдавать себе отчёт в том, что при подобном шифровании уже никакие IT-специалисты не помогут восстановить информацию в случае потери доступа.
Мало правильно организовать работу самой IT-службы, важно также сделать службу информационной безопасности дружественной по отношению к бизнесу и к пользователям.
Информационная безопасность — это целый комплекс мероприятий, который нуждается в постоянном совершенствовании и обеспечивает многоуровневую защиту. Потому что надёжность системы, как известно, определяется надёжностью самого слабого её звена. Ничто не поможет защитить внутренний периметр компании, если пользователь на рабочем месте открывает фишинговые письма и устанавливает сомнительные игры из интернета.
Защита сетей и инфраструктуры строится в ТЕХНОНИКОЛЬ на принципе развитых «гигиенических» требований (парольная политика, обновления систем т. д.). Дополнительно вводится ограничение на запуск программ на рабочих местах и серверах. Запускать можно лишь программы, включённые в так называемый «белый список». Это наиболее надёжная модель, создающая условия пассивной защищённости в компании.
Важно развивать защиту так, чтобы автоматизированная атака не смогла развиться внутри сети Корпорации. Потеря или захват одного компьютера серьёзного урона не нанесёт.
Но всё-таки самым существенным фактором в улучшении понимания и взаимодействия между бизнесом и IT стали неформальные встречи и человеческое общение с коллегами из бизнес-подразделений. Пока нет доверия друг к другу, трудно вводить даже обычные «гигиенические» нормы (которые нередко воспринимаются как ненужные ограничения и помехи в работе). Следующим шагом после внедрения «гигиены» был комплекс работ по обеспечению сохранности и защищённости данных для обеспечения непрерывности работы бизнеса.
Сегодня служба информационной безопасности:
• контролирует соблюдение общих стандартов по безопасности Корпорации;
• проводит аудиты по качеству работы IT-инфраструктуры и защищённости различных модулей общей системы;
• проводит расследования инцидентов;
• организует анализ и отражение внешних атак на Корпорацию;
• занимается упрощением работы пользователей;
• отвечает за внедрение новых технологий в своей сфере.
