Что нам стоит дом построить, или о чем не стоит забывать при внедрении новых систем — 2

В первой части мы рассмотрели вопросы планирования и принятия в эксплуатацию новой информационной системы.

Алексей Бабенко, руководитель направления, ЗАО НИП «Информзащита»

Второй этап: внедрение системы.

После успешного завершения тестирования планируемой к внедрению системы следует этап ее внедрения в производственную среду. Данный этап имеет свои нюансы с точки зрения обеспечения безопасности.

Первый – это настройка и применение существующих требований по безопасности ко всем системным компонентам, в рамках которых будет развернута система. Злоумышленник не будет пытаться вломиться через дверь, если открыто окно.

С точки зрения безопасности данных нет принципиальной разницы, произойдет ли компрометация через уязвимости в web-сервере, СУБД или непосредственно через само прикладное программное обеспечение. Стойкость защиты системы будет определяться ее наиболее слабым компонентом.

Второй – настройка функций защиты в самой системе. Новая информационная система может иметь возможность задания парольных политик, типов протоколируемых событий, шифрования каналов передачи данных.

Но все эти функции бесполезны, если некорректно настроены. При внедрении полезно убедится, что параметры системы, при которых она тестировалась, активированы и на «боевой» версии.

Также не следует забывать, что в системе могут остаться следы от результатов тестирования – тестовые учетные записи, данные, временные настройки и другая информация, которую оставили при тестах.

Следует обратить внимание на интеграцию новой системы в существующую ИБ-инфраструктуру. Нет ли конфликта внедряемого ПО с используемыми антивирусными средствами, системами обнаружения вторжений?

Следует также учесть возможность передачи журналов протоколирования прикладного ПО системе мониторинга и анализа событий ИБ. И, соответственно, сформулировать дополнительные правила по выявлению подозрений на возникновение инцидентов ИБ.

Особого внимания заслуживает «переходный период» от этапа внедрения и заполнения ее исходными данными до запуска системы в эксплуатацию. С одной стороны система еще не стала «боевой», и отношение к ее защите не столь строгое.

Kristina — Начинаю Забывать (UnorthodoxX Remix)


Но при этом в систему загружена актуальная информация, критичная для организации. Согласитесь ли вы оставить в помещении ценные вещи, если не уверены, что ключ от двери есть только у вас?

Так и механизмы защиты информационной системы должны быть реализованы и запущены в полной мере до момента загрузки реальных данных.

Часто на практике мы сталкиваемся с тем, что при внедрении новой системы межсетевые взаимодействия не ограничиваются. Мотивация состоит в том, чтобы уменьшить возможные помехи на первоначальной стадии работы.

Однако такой подход несет в себе дополнительные риски несанкционированного доступа к компонентам системы и, как следствие, доступа к обрабатываемой информации. Представьте ситуацию, когда к вам может прийти любой желающий, и вы лишь со временем ограничиваете круг лиц вашими знакомыми, людьми которым доверяете.

Будете ли вы оставлять ценные вещи без присмотра до тех пор, пока не будете уверены в каждом визитере? Аналогичная ситуация возникает с новой системой.

Настройка минимально-достаточного ограничения доступа – необходимый шаг перед тем, как начать работать с критичной информацией.

Уже на этапе внедрения необходимо продумать, формализовать и документировать все процессные вопросы. Это относится к порядку заведения новых пользователей или изменения прав доступа, перечню событий для протоколирования, который нужен для выявления инцидентов ИБ, порядку действий по реагированию на них, перечню информации, подлежащей резервному копированию, планам по аварийному восстановлению работы системы и другим процессам.

К разработке документации рекомендуется привлекать все заинтересованные стороны – бизнес-пользователей, администраторов систем, специалистов службы безопасности. Затраченное время на детальное продумывание и согласование спорных вопросов с лихвой окупится при экономии на корректном выполнении созданных процедур.

По возможности процессы должны учитывать принцип встроенного качества – процесс должен быть организован так, что его некорректное выполнение является невозможным, либо крайне затруднительным. Это позволит не только избежать ошибок со стороны исполнителей, но и сократить расходы на обеспечение контроля.

По окончании внедрения системы рекомендуется провести этап приемки с привлечением третьей стороны. Независимый анализ позволит оценить степень соответствия планируемых мер по защите информации с реально реализованными.

Взгляд со стороны на новую систему позволит выявить возможные недоработки на стадии, когда их исправление не требует остановки выполнения бизнес-задач. Хорошей практикой будет привлечение специалистов для выполнения теста на проникновение с целью моделирования действий внутренних и внешних нарушителей.

Проведение теста позволит с практической стороны оценить стойкость защитных механизмов, глазами злоумышленника взглянуть на степень надежности информационных систем с точки зрения безопасности информации.

Наиболее подходящая Вам статья…

Понравилась статья? Поделиться с друзьями: