Изображение: recraft
Одной из ключевых особенностей построения информационной безопасности в организации является выстраивание процессов обеспечения безопасности. В современном мире изменения происходят постоянно — внедряются новые функции, устраняются уязвимости, оптимизируются процессы. Однако любые изменения несут риски, которые могут отразиться на безопасности, стабильности и производительности всей инфраструктуры организации. Поэтому важно выстроить процессы контроля за изменениями.
Если в организации есть разделение ответственности по отделам, то необходимо также учесть порядок и требования к их взаимодействию.
Одной из самых распространенных проблем является организация взаимодействия отдела по информационной безопасности (далее – ИБ) и отдела информационных технологий (далее – ИТ). Ключевой проблемой является их несогласованность и непонимание друг друга. Отсутствие процессов взаимодействия и согласования приводит к нарушению процессов обеспечению информационной безопасности, а в некоторых случаях и к нарушению законодательства в области защиты информации.
Для правильного выстраивания процессов контроля необходимо определить порядок действий сотрудников при внесении изменений.
Первый этап. Планирование
Необходимо выстроить процессы по планированию изменений и сделать их прозрачными для сотрудников, обеспечить, чтобы каждое изменение было заранее оценено и одобрено ответственными лицами. При согласовании необходимо отразить:
- цели изменений;
- перечень планируемых изменений;
- перечень планируемых задач;
- возможные риски.
В процессы согласования обязательно нужно включать ИБ-отдел, который может подсветить риски при внесении изменений или дополнить требования к изменениям с точки зрения организации безопасности данных
Второй этап. Аудит изменений
Перед непосредственным внедрением изменений их необходимо проверить в выделенной части инфраструктуры, выделенных технических средствах. При проверках необходимо также привлекать отдел ИБ, в части проверки выполнения требований по безопасности.
Процесс проверки должен включать:
- проверку фактических изменений: все ли реализуемые изменения отвечают заявленным требованиям на этапе планирования (в том числе требования по ИБ)?
- проверку работоспособности: как изменения влияют на работу текущих бизнес-процессов, а также на работу систем и приложений?
- в случаях внесения изменений путем установки обновлений необходимо их проверить на наличие уязвимостей
Третий этап. Внесение изменений
Процесс внесения изменений должен быть прозрачным, сотрудники должны быть уведомлены об изменениях, а сам процесс должен быть запланированным и включать в себя конкретные шаги.
В случаях, когда внесение изменений подразумевает распространение обновления, важно, чтобы установка обновлений не замедляла текущие бизнес-процессы организации, поэтому установку лучше запланировать заранее и выделить наиболее удобное для этого время.
После внесения изменений необходимо также осуществить фактическую проверку выполнения заявленных требований, в том числе требований и настроек по безопасности.
Таким образом, контроль изменений в ИТ-инфраструктуре – это необходимый процесс для поддержания устойчивости и безопасности ИТ-инфраструктуры. Определенный заранее порядок действий, а также выстроенные процессы согласования помогают избежать неожиданных последствий, аудит гарантирует качество и прозрачность, а тесное взаимодействие с отделом информационной безопасности минимизирует риски. Такой комплексный подход позволяет организациям уверенно совершенствоваться, обновлять сервисы и приложения, а также сохранять высокий уровень защиты и стабильности.
Автор: Виктория Меньшова, консультант по информационной безопасности, «КИТ».
Оригинал публикации на сайте CISOCLUB: "Контроль изменений в ИТ-инфраструктуре: согласование, аудит и взаимодействие с ИБ при обновлениях".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.