Автор: Марина Погодина, руководитель направления аудитов ИТ и информационной безопасности банка непрофильных активов, член Ассоциации «Институт внутренних аудиторов»1
1. Вступление
В наше время, когда информационные технологии (далее – ИТ) играют важнейшую роль в деятельности компаний, безопасность и эффективность ИТ-процессов становятся все более критическими. Целью использования информационных технологий в организации должно быть обеспечение достижения бизнес-целей организации и повышение эффективности работы в целом. Поэтому стратегия ИТ выстраивается на основе бизнес-стратегии, при этом выявляются и поддерживаются потребности компании в информационных ресурсах, системах и сервисах.
Для того чтобы цели ИТ-стратегии соответствовали целям компании, необходимо провести анализ и выявить, какие ИТ-инициативы будут наиболее полезными и эффективными для достижения бизнес-целей. Важно учесть, что ИТ не являются самоцелью, а лишь инструментом для обеспечения конкурентоспособности и успешного функционирования компании.
В больших компаниях, где обрабатывается огромное количество данных и используются различные информационные системы, необходимо разработать и внедрить обязательные контрольные процедуры (далее – общие ИТ-контроли, или ИТ-контроли). Контрольная процедура представляет собой комплекс мероприятий, действий и автоматических операций, которые выполняются на различных уровнях организационной структуры. Цель контрольной процедуры заключается в уменьшении вероятности наступления риска и минимизации возможного ущерба в случае его реализации. Важно отметить, что контрольная процедура может включать в себя различные действия и методы, такие как мониторинг, анализ, проверки подлинности, ограничение доступа и другие операции, которые направлены на обеспечение безопасности и минимизацию риска. Контрольные процедуры могут быть реализованы как вручную (с помощью действий сотрудников), так и автоматически (с помощью специализированной информационной системы).
В данной статье мы рассмотрим, какие контрольные процедуры в области ИТ встречаются в компаниях, какие базовые активности должны быть внедрены, чтобы покрыть присущие процессам риски.
2. Построение ИТ-контролей
Для выстраивания контрольных процедур важно изучить требования и стандарты, применимые к отрасли, в которой работает организация, а также законодательные нормы в области защиты данных. На основе полученной информации необходимо определить ресурсы и возможности ИТ-подразделения, с учетом специфики компании и ее потребностей. Количество ИТ-контролей может быть различным, но необходимый минимум – это то, что полностью закрывает ИТ-риски уровней от среднего и выше, если не вынесено решение о принятии риска и/или нецелесообразности его устранения в силу высоких финансовых затрат или иных причин. Ниже приведена краткая информация об основных ИТ-контролях:
Активы
Учет активов — это процесс отслеживания, документирования и управления имуществом организации, включающий в себя учет и контроль физических и логических активов. Учет активов относится к финансовому аудиту, который позволяет оценить финансовое положение организации, контролировать движение активов, оптимизировать расходы и принимать обоснованные финансовые решения, а также помогает организации получить точное представление о своих ресурсах, их расположении, стоимости, состоянии и использовании. Несмотря на то, что учет — это финансовая составляющая, ИТ-контроль физических и логических активов позволяет эффективно управлять ими, планировать их замену, обновление и улучшение.
Контроль над физическими и логическими активами важен для обеспечения безопасного функционирования организации. В части ИТ физические активы включают в себя различное оборудование и другие материальные ИТ-ценности. К логическим активам относятся программное обеспечение, базы данных, патенты, лицензии, интеллектуальная собственность и другие цифровые ресурсы.
Для обеспечения контроля над физическими активами можно использовать различные меры, такие как видеонаблюдение, системы контроля доступа (СКД), аудиторские проверки и инвентаризация. Контроль над логическими активами будет рассмотрен ниже более подробно (антивирусное программное обеспечение, использование политики доступа, шифрование и прочие инструменты для предотвращения несанкционированного доступа к информации и ее утечки).
Управление доступом
Одним из ключевых ИТ-контролей является процесс управления доступом к информационным ресурсам компании. К элементам данного процесса, подвергаемым контролю, можно отнести:
-
выдачу новых прав доступа сотруднику,
-
изменение или изъятие доступа,
-
периодический пересмотр (ресертификация) прав доступа,
-
установление парольных политик на уровне приложения, операционных систем и баз данных,
-
контроль физического доступа для обеспечения безопасности и ограничения доступа к конкретным объектам или помещениям.
Отдельно стоит обратить внимание на проверку доступов сотрудников подразделений ИТ в соответствии с должностными обязанностями, чтобы исключить избыточный доступ. Также очень важно не допускать наличие привилегий в информационных системах у обычных пользователей (не ИТ-персонал).
Для соответствия процесса управления доступом лучшим практикам необходимо наличие внутреннего нормативного документа «Политика управления доступом», который определит права доступа сотрудников к различным системам и данным, а также процедуры выдачи, изменения и отзыва доступа, в том числе применение аутентификации и шифрования данных. Наивысшим уровнем обеспечения надежности процесса управления доступом является внедрение процедуры Segregation of Duties (SoD), или разделение обязанностей, – это принцип, который применяется для предотвращения возможных конфликтов интересов, превышения полномочий и мошенничества, в некоторых случаях – ошибочных действий на техническом уровне. Он заключается в разделении определенных ролей и ответственностей между несколькими людьми или группами, чтобы не было возможности для одного лица управлять и контролировать все этапы одного или нескольких процессов.
Запросы на обслуживание
Запрос на обслуживание — это официальный запрос пользователя на услугу. Запросы могут быть как штатные – заявка от пользователя на получение доступа к сервису или плановая доработка информационной системы, так и нештатные – инцидент. В свою очередь инциденты могут быть единичными (неповторяющийся случай) и массовыми (сбой системы или сервиса, влияющий на несколько пользователей или на организацию в целом).
Процесс управления инцидентами является компонентом деятельности службы поддержки и обеспечивает качественное решение инцидентов, произошедших в организации или у ее клиентов, позволяющий восстановить работоспособность системы и/или сервиса, минимизировать негативное влияние произошедшего события на бизнес-процессы. Все запросы на обслуживание должны иметь классификацию, приоритезацию и время решения в соответствии с предопределенными критериями, например оценка по шкале «влияние на бизнес». Обычно, используется Service Level Agreement (SLA) – соглашение об уровне сервиса, представляющий собой формальный документ, устанавливающий обязательства и ожидания между поставщиком услуги (подразделение ИТ) и заказчиком (пользователем). SLA регулирует качество и уровень предоставляемых услуг, а также определяет параметры и метрики, на основе которых оценивается и контролируется эффективность выполнения условий соглашения.
Управление изменениями
Процесс управления изменениями является одним из типов запросов на обслуживание, а также критически важным аспектом в любой организации. В современном динамичном бизнес-мире компании должны быть готовы адаптироваться к переменам, оценивать их воздействие на организацию, а также эффективно реализовывать изменения. К элементам данного процесса можно отнести:
-
внедрение новых систем или новых технологий (искусственный интеллект, машинное обучение, блокчейн и интернет вещей – IoT), замена существующих систем на более современные и эффективные,
-
обновление программного обеспечения, помогающее улучшить функциональность, исправить ошибки и обеспечить безопасность системы и процессов в целом,
-
изменение бизнес-процессов путем доработки нового функционала в существующих системах,
-
исправление сбоев и ошибок для решения инцидентов информационных систем и сервисов,
-
улучшение безопасности посредством внедрения изменений, направленных на повышение безопасности,
-
другие процедуры, направленные на изменения в бизнес-процессах компании.
Для управления процессом изменений требуется определенная структура и процедуры, а также обязательное внедрение трех сред: разработки, тестирования и продакшн-среды с контролем на протяжении всего процесса. И в первую очередь компания должна иметь понятную и структурированную методологию разработки, которая определяет все этапы, роли и ответственность за каждый этап процесса изменений. Здесь могут использоваться различные методики, например такие как Agile, Waterfall или DevOps, в зависимости от специфики работы компании.
Этап разработки является ключевым в процессе управления изменениями и осуществляется в среде разработки (совокупность программных и аппаратных средств, которые обеспечивают комфортные и эффективные условия для создания кода, включая инструменты для компиляции и отладки программного кода). На этом этапе осуществляется планирование и разработка самого изменения, которое будет внедрено в организации. В рамках этапа разработки происходит подробное определение изменений (выявление проблем и потребностей, разработка концепции изменений, установление приоритетов, определение временных рамок и распределение обязанностей между участниками процесса, включая определение необходимых ресурсов), цели, объема и ожидаемых результатов. Также проводится оценка возможных рисков и препятствий, связанных с внедрением изменений, и разработка плана действий для их управления.
После разработки следующим шагом является организация процедур тестирования изменений – неотъемлемой части процесса управления изменениями, которая помогает убедиться в правильности функционирования новых опций или системы в целом и осуществляется в среде тестирования (специализированная среда или набор инструментов для структурирования и автоматизации тестирования, создания тестовых сценариев, выполнения тестовых случаев, анализа результатов и отладки ошибок). Тестирование выполняется с использованием специальных средств и инструментов и включает в себя проверку функциональности, безопасности, производительности и других аспектов продукта. Результаты тестирования позволяют выявить и устранить возможные ошибки и проблемы до внедрения изменений в продакшн-среду.
Третий этап – это перенос изменения в продуктив. Он осуществляется в продакшн-среде (окружение, в котором работает и развертывается конечное программное обеспечение, предназначенное для использования реальными пользователями или в реальной бизнес-среде). Продакшн-среда должна быть способна масштабироваться для обработки больших объемов данных и одновременных запросов от пользователей. Для этого могут применяться кластерные или распределенные системы, а также технологии горизонтального масштабирования.
Одновременно с разработкой и тестированием необходим контроль за процессом внедрения изменений: разработчик должен иметь доступ только к среде разработки, тестирование доработки выполняется в отдельной среде независимым сотрудником, а перенос изменения в продакшн-среду должен осуществлять администратор системы – тем самым обеспечивается принцип «разделение обязанностей». Компания должна иметь установленные процедуры и механизмы, которые обеспечат контроль и отслеживание каждого шага, включая составление планов реализации изменений, подготовку пакета изменений к переносу в продакшн-среду – «релиз», контроль версий, автоматизацию переноса релизов. Изменения должны быть согласованы и иметь соответствующую техническую спецификацию (Request for Comments, RFC).
Все три среды (разработка, тестирование и продакшн-среда) взаимосвязаны и взаимодействуют друг с другом, образуя целостную систему управления изменениями, являющуюся фундаментом эффективного управления изменениями. Правильная организация процесса и внедрение соответствующих средств помогут компании стать более гибкой, адаптивной и конкурентоспособной на рынке, а также минимизировать риски и обеспечить стабильную работу систем и сервисов компании.
Постмортем
Очень редкая, но полезная практика в информационных технологиях. Постмортем используется в качестве анализа ошибок, сбоев или проблем постфактум. Постмортемы являются важным инструментом в ИТ-процессах, позволяющим команде изучить причины возникновения сбоев и обсудить сложившуюся ситуацию. Такие процедуры способствуют постоянному совершенствованию процессов, повышению качества работы команды и поиску способов улучшения ИТ-активностей, чтобы предотвратить подобные сбои в будущем.
Во время постмортема ИТ-команда должна анализировать все детали и обстоятельства, связанные с различными аспектами проблемы или сбоя: например, изучение журналов системы, исходного кода, совместимости версий программного обеспечения. Путем анализа происшествия команда может определить конкретные причины возникновения сбоя, связанные с ошибками в конфигурации инфраструктуры, недостаточным контролем качества или неправильными действиями участников процесса, а также идентифицировать области, в которых можно внести улучшения: изменения процедур, обновление кода или исправление проблем в инфраструктуре.
По результатам постмортема ИТ-команда может поделиться полученным опытом и знаниями с другими участниками процесса и предложить рекомендации по предотвращению похожих проблем и улучшению рабочих процессов.
Резервное копирование и восстановление данных
Защита данных является важной составляющей информационной инфраструктуры. Компания должна регулярно создавать резервные копии всех важных данных, проверять их на целостность, установить процедуры тестирования восстановления данных из резервных копий. Также следует разработать план восстановления после сбоя системы или инцидента. Чтобы снизить воздействие на бизнес-процессы компании, восстановление данных должно быть проведено быстро и эффективно с приемлемыми для организации потерями.
Классический процесс резервирования и восстановления данных должен содержать обязательные процедуры:
1. идентификация данных — это определение того, какие данные нужно резервировать (базы данных, файловые системы, конфигурационные файлы и другие важные компоненты системы), а какими данными можно пренебречь как незначимыми для компании;
2. определение расписания резервного копирования, чтобы гарантировать, что данные будут резервироваться с достаточной регулярностью, например идеальным вариантом является ежедневное резервирование или регулярное (определенные дни недели или число месяца);
3. выбор метода резервирования: полное Full Backup (создается полная копия набора данных), инкрементное Incremental Backup (копируются не все файлы источника, а только новые и измененные с момента создания предыдущей копии) или дифференциальное Differential Backup (копируются новые и измененные данные с момента создания предыдущей полной копии);
4. хранение резервных копий в месте отличном от продуктивной системы, с которой сделана копия. Часто для хранения резервированных данных крупные компании используют резервный центр обработки данных (РЦОД) и копирование данных в ленточные библиотеки (устройство для хранения и управления большим количеством магнитных лент, используемых для резервного копирования и архивации больших объемов данных в надежной и компактной форме);
5. тестирование восстановления данных из резервной копии критически важно проверить прежде, чем возникнет реальная ситуация с потерей данных.
Непрерывность деятельности
В дополнении к предыдущему пункту важной частью является подготовка планов восстановления в случае возникновения чрезвычайных ситуаций, влияющих на деятельность организации в целом. Компания должна разработать «План непрерывности деятельности» и процедуры, направленные на минимизацию потерь и быстрое восстановление бизнес-процессов в случае инцидентов, проводить регулярное тестирование плана восстановления, актуализировать и периодически пересматривать план.
Механизмы защиты
Большая компания должна быть готова к защите своей информационной инфраструктуры от различных угроз, таких как вирусы, вредоносное ПО, фишинг и главная «боль» нашего времени – кибератаки. Для обеспечения безопасности системы необходимо установить межсетевые экраны, антивирусное программное обеспечение, средства обнаружения вторжений и системы мониторинга активности сети. Также стоит проводить регулярное обновление приложений, операционных систем и баз данных для устранения потенциальных уязвимостей. В случае отсутствия такой возможности применяются усиленные меры контроля и/или изолированный контур для систем и сервисов организации.
Мониторинг
Введение общих ИТ-контролей также требует постоянного мониторинга систем и сервисов информационной инфраструктуры – проверок доступности ресурсов в реальном времени, анализа журналов событий, оценки сетевого трафика и др. Целью таких мер является выявление отклонений/ аномалий, которые угрожают нормальной деятельности компании, позволяющих реагировать на инциденты немедленно и принимать соответствующие меры по их устранению.
Аудит
Регулярный аудит информационной инфраструктуры, в том числе безопасности, является неотъемлемой частью общих ИТ-контролей, позволяющей оценить эффективность применяемых мер, выявить слабые места и уязвимости как в системах, так и в бизнес-процессах в целом, а также принять корректирующие меры для устранения выявленных рисков и повышения надежности процессов. Аудит должен проводиться независимыми экспертами (внутренними или внешними) и включать в себя оценку эффективности организации процесса и проверку соответствия стандартам, законодательству и внутренним требованиям организации в проверяемом направлении и/или отдельно по каждой контрольной процедуре.
Обучение и осведомленность сотрудников
Никакие контрольные процедуры не смогут быть эффективными, если сотрудники не осведомлены о правилах и политиках, связанных с информационной инфраструктурой. Регулярное проведение обучающих программ и рассылка иллюстрированных информационных писем помогут повысить осведомленность сотрудников о возможных рисках и методах их снижения. Компания должна также установить процедуры обязательного ознакомления с политиками информационной безопасности при приеме на работу и обновлениях требований.
Не стоит забывать о важности создания культуры безопасности внутри компании. Рекомендуется поддерживать открытое обсуждение правил информационной безопасности, поощрять сотрудников за сообщения о любых потенциальных угрозах или нарушениях безопасности и награждать тех, кто активно участвует в обеспечении безопасности информации. Организация должна накапливать понимание и осознанность важности защиты данных среди сотрудников, а также пропагандировать практику безопасного использования ИТ-ресурсов: скажем «нет» приклеенным биркам с паролями на мониторах персональных компьютеров! 🙂
3. Регулярные мероприятия
Для эффективного выполнения общих ИТ-контролей необходимо выстроить регулярные процедуры оценки качества их исполнения. Подразделению внутреннего контроля (или аудита) рекомендуется осуществлять независимое и систематическое исследование контрольных процедур, применяемых в организации, с целью оценки их эффективности и соответствия установленным стандартам и требованиям регулятора. В ходе проведения оценки возможно выявление отклонений от установленных процедур или недостатков в их действии. В таком случае подразделение проверяемого процесса и руководство должны принимать меры для устранения выявленных отклонений и улучшения процесса. В итоге, регулярная оценка и корректировка контрольных процедур способствуют обеспечению эффективной работы организации и снижению рисков возникновения ошибок, мошенничества или других нарушений внутреннего контроля.
Получение сертификации или проведение аудита внешней компанией-экспертом является еще одним из регулярных мероприятий для обеспечения эффективности ИТ-контролей. Внешний независимый аудит позволяет проверить соблюдение компанией стандартов, выявить несоответствия, потенциальные уязвимости и рисковые области, а также способствует повышению уровня доверия со стороны клиентов, партнеров и инвесторов.
Технологии и угрозы постоянно меняются, поэтому важно быть в курсе тренда на рынке ИТ-новинок с потенциальным применением их в организации с учетом тенденций развития внутренней инфраструктуры, предусмотреть процедуры оптимизации общих ИТ-контролей и улучшения контрольных механизмов в соответствии с новыми требованиями.
4. Заключение
Введение общих ИТ-контролей в большой компании требует поддержки и вовлеченности высшего руководства. Топ-менеджмент должен проявлять активное лидерство и поддерживать исполнение контрольных процедур, служить примером для сотрудников, поддерживать обучение и осведомленность по вопросам ИТ и принимать соответствующие решения об инвестициях в области ИТ.
Организация контрольных процедур является сложной и многоуровневой задачей, требующей грамотного планирования. ИТ-контроли являются неотъемлемой частью безопасной и эффективной работы компании, позволяющей минимизировать риски и обеспечить надежность ИТ-процессов. Компании следует принимать эти меры всерьез и постоянно актуализировать свои контрольные процедуры, чтобы быть на шаг впереди потенциальных угроз для обеспечения безопасности своей деятельности.
После внедрения ИТ-инициатив необходимо проводить мониторинг и оценку их эффективности в достижении бизнес-целей. Такие действия позволят принимать дальнейшие решения и корректировать ИТ-стратегию при необходимости. В результате эффективной организации контрольных процедур все участники компании будут уверены в защите своих данных и достижении поставленных целей.
Наличие общих ИТ-контролей позволяет обеспечить высокий уровень целостности, доступности и конфиденциальности данных, надежность ИТ-операций и сохранность критически важной информации для компании.
1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru