Как процесс управления ИТ-активами связан с кибербезопасностью

Что такое процесс управления ИТ-активами

Управление ИТ-активами — это непрерывный процесс обнаружения, отслеживания и управления программными и аппаратными ИТ-активами на протяжении всего их жизненного цикла: от планирования закупки до вывода из эксплуатации.

Выстроенный процесс управления ИТ-активами глубоко интегрирован во многие процессы любой организации.

Управлять ИТ-активами необходимо, чтобы:

оптимизировать расходы на эксплуатацию ИТ-инфраструктуры и своевременно планировать ее модернизацию;
проводить учет и инвентаризацию всех компонентов ИТ-инфраструктуры;
выявлять слабые места в работе ИТ-инфраструктуры и сервисов;
повышать прозрачность ИТ-инфраструктуры благодаря сведениям о том, где, кем и какие активы применяются;
обеспечивать безопасное использование ИТ-активов.

Универсального подхода к управлению ИТ-активами, который подходил бы для всех организаций без исключения, не существует, поскольку каждая организация имеет свои уникальные процессы, потребности и технологии.

Существует множество международных стандартов, включающих в себя лучшие практики и рекомендации по организации управления ИТ-активами. В качестве наиболее популярных можно выделить ITIL, IAITAM (IBPL), COBIT 5. Каждый из стандартов имеет свои особенности, и команде ИТ-специалистов предстоит непростая задача по выбору наиболее подходящего. Важно помнить, что данные рекомендации не являются обязательными, и каждая организация может и должна адаптировать их под свои уникальные потребности.

Процесс управления ИТ-активами играет важную роль в кибербезопасности. С учетом растущего количества кибератак и утечек данных команде кибербезопасности просто необходимо иметь детальное представление о границах и свойствах объекта защиты, ведь невозможно защищать то, чего ты не знаешь.

В этой статье мы расскажем о подходе к управлению ИТ-активами в интересах кибербезопасности.

Что является ИТ-активом

Для того чтобы избежать разночтений, стоит договориться, что же является ИТ-активом. Каждая методология или стандарт толкует определение ИТ-актива по-разному. Кроме того, определение ИТ-актива может различаться в зависимости от того, как организация использует это определение. Например, для одной организации ИТ-активом может считаться любое оборудование или ПО, а для другой — только то, что является ключевым для бизнес-процессов.

Определение ИТ-актива можно сформулировать следующим образом: ИТ-актив — это программное обеспечение и (или) оборудование, которое используется для обработки, хранения и передачи информации и обеспечивает измеримую ценность для основной деятельности организации.

Чтобы лучше понять, что является ИТ-активом, мы сформировали ряд критериев, которые, по нашему мнению, характеризуют ИТ-активы и которые представляют интерес для команд ИТ и ИБ.

ИТ-актив:

имеет ценность и непосредственно влияет на деятельность организации — ИТ-активы играют ключевую роль в работоспособности ряда бизнес-процессов;
является конфигурационной единицей или их совокупностью — понимание взаимосвязи между ИТ-активами важно для обеспечения кибербезопасности ИТ-сервисов;
готовится или уже введен в эксплуатацию — для кибербезопасности не представляют интерес ИТ-активы, не введенные в эксплуатацию.

Как управление ИТ-активами связано с кибербезопасностью

Развитие технологий неизбежно влечет увеличение количества киберугроз, а значит, необходимо своевременно принимать соответствующие меры для защиты активов. Однако перед тем, как ответить на вопрос «Как защищать?», нужно ответить на вопрос «Что защищать?». В этом и заключается основная задача процесса управления ИТ-активами в интересах кибербезопасности — определить границы объекта защиты.

Для того чтобы определить границы защищаемого объекта, команда ИБ должна обладать информацией об ИТ-инфраструктуре организации, а значит, основной запрос со стороны службы кибербезопасности — получение полных, актуальных и достоверных сведений об ИТ-активах. Кроме того, чтобы своевременно реагировать на кибератаки, необходимо постоянно улучшать качество мониторинга, а значит, сведения об ИТ-активах должны поступать непрерывно. Соответственно, службам ИТ и ИБ необходимо выработать единый подход, основанный на том, что устойчивой работы ИТ-инфраструктуры организации не добиться в отрыве от кибербезопасности.

Например, команда ИТ передает команде ИБ сведения о сетевом оборудовании (коммутаторах, маршрутизаторах, межсетевых экранах), что позволяет выявить ИТ-активы, которые могут быть потенциальными точками проникновения, и дает возможность своевременно поставить эти ИТ-активы на мониторинг.

Сведения о рабочих станциях сотрудников позволяют команде кибербезопасности точно знать их местоположение, как они настроены, какое программное обеспечение на них установлено и какие уязвимости необходимо устранять в этом ПО.

Кроме того, управление ИТ-активами поможет команде ИБ определить, какие активы должны защищаться в первую очередь и какие меры защиты должны быть приняты в зависимости от степени их важности. Такой подход позволит службе ИБ оптимизировать ресурсы и сосредоточиться на наиболее значимых ИТ-активах:

целевых системахцелевых системахцелевых системах;
ключевых системахключевых системахключевых системах;
точках проникновения в IT-инфраструктуруточках проникновения в IT-инфраструктуруточках проникновения в IT-инфраструктуру.

Поиск источника правды об ИТ-активах

Как показывает практика, даже внедрение решений класса configuration management database не гарантирует высокого уровня зрелости процесса управления ИТ-активами. Сканирование ИТ-инфраструктуры сторонними инструментами может выявить достаточно большое количество расхождений в базе ИТ-активов: появляются ИТ-активы, которые отсутствуют в базе, или же существуют ИТ-активы, о которых внесено недостаточно информации, — это говорит о том, что процесс управления ИТ-активами не выстроен должным образом.

Как же найти тот самый источник правды, который бы удовлетворял требованиям кибербезопасности?

Прежде чем внедрять новые решения, стоит сформировать набор критериев к базе активов и посмотреть в сторону инструментов управления ИТ-инфраструктурой, которые уже внедрены в организации. На первый взгляд, они могут иметь иное назначение, однако могут выполнять функцию источника сведений об ИТ-активах.

Примерами могут быть:

NetBox — решение для управления сетями и инфраструктурой (только в том случае, если любая активность будет регистрироваться в NetBox);
Ansible — инструмент управления конфигурацией; мониторинг файлов inventory позволяет контролировать появление новых ИТ-активов, а также собирать информацию об уже развернутых ИТ-активах;
Zabbix — система мониторинга компьютерной сети, серверов и сетевого оборудования (при условии, что на всех ИТ-активах будет развернут агент, посылающий всю необходимую информацию на сервер).

Все инструменты вместе или каждый в отдельности могут стать потенциальным источником необходимых сведений об ИТ-активах, которые можно обогащать необходимой информацией (например, сведениями о принадлежности к целевым (ключевым) системам, сведениями о владельце (администраторе) ИТ-актива).

Как интегрировать процесс управления ИТ-активами в кибербезопасность

Шаг 1

Определите, в каком состоянии сейчас находится процесс управления ИТ-активами в организации. Для этого команде ИБ совместно с командой ИТ необходимо максимально честно и аргументированно ответить на следующие вопросы:

№	Вопрос	Ответ
1	У вас есть единая база (инструмент), в которой содержится информация об ИТ-активах организации?	☐ Да ☐ Нет
2	Вы можете подтвердить, что все ИТ-активы внесены в базу?	☐ Да ☐ Нет
3	Вы можете подтвердить актуальность имеющихся в базе сведений об ИТ-активах?	☐ Да ☐ Нет
4	Вы можете гарантировать достоверность всех сведений об ИТ-активах в базе?	☐ Да ☐ Нет
5	Помните ли вы, когда в последний раз проводилась инвентаризация ИТ-активов? Непрерывная инвентаризация ИТ-активов позволяет организации поддерживать актуальность базы ИТ-активов, иметь полную картину, обнаруживать ранее неизвестные (неучтенные) ИТ-активы.	☐ Да ☐ Нет
6	Знаете ли вы владельца каждого ИТ-актива, ответственного за его эксплуатацию? Назначение владельца ИТ-актива является важной частью управления ИТ-активами, поскольку владелец отвечает за решения, связанные с этим активом, и за его использование. Владелец знает назначение ИТ-актива, каким образом он обслуживается и обновляется и какие риски могут быть связаны с его использованием.	☐ Да ☐ Нет
6.1 *	* Применимо, если вы ответили «Да» в вопросе № 6 Вы пересматривали информацию о владельцах ИТ-активов меньше года назад? Владелец ИТ-активов может измениться, а значит, важно отслеживать изменения в ходе управления ИТ-активами.	☐ Да ☐ Нет
7	Знаете ли вы администратора каждого ИТ-актива, ответственного за его обслуживание? Назначение администратора ИТ-актива позволяет определить ответственного за техническую поддержку, обновление и настройку ИТ-актива.	☐ Да ☐ Нет
8	Вы можете подтвердить отсутствие дублирования ИТ-активов в базе? Дублирование ИТ-активов в базе является распространенной проблемой, свидетельствующей о том, что внесение сведений в базу активов не нормализовано.	☐ Да ☐ Нет
9	Все ли ваши ИТ-активы классифицированы, например, по принадлежности к целевым и ключевым информационным системам? Необходимо классифицировать ИТ-активы по принадлежности к целевым и ключевым ИС, что позволит сфокусироваться на защите наиболее важных ИТ-активов.	☐ Да ☐ Нет
9.1 **	** Применимо, если вы ответили «Да» в вопросе № 9 Вы пересматривали классификацию (приоритизацию) ИТ-активов меньше года назад? ИТ-активов является необходимой процедурой, поскольку есть вероятность, что у ряда ИТ-активов в период эксплуатации снизилась значимость, а у других ИТ-активов повысилась.	☐ Да ☐ Нет
10	У вас выделена роль «владельца процесса управления ИТ-активами» в организации? Сам по себе процесс работать не будет, нужно назначить ответственного (владельца). Также стоит учитывать, что управление ИТ-активами предполагает профессиональное владение предметной областью, — не каждый сотрудник сможет занять эту роль.	☐ Да ☐ Нет

Если большая часть ответов «да», можно говорить о достаточно высоком уровне зрелости процесса управления ИТ-активами в организации. Темы вопросов, на которые ответили «нет», могут рассматриваться в качестве приоритетных областей, которые нужно проработать совместными усилиями команд ИБ и ИТ.

Важно понимать, что цели обеих команд в области управления ИТ-активами совпадают: нужен отлаженный процесс, который работает как часы. Значит, на основании ответов на вопросы выше можно сформулировать набор требований к процессу и план по их реализации с указанием сроков и ответственных лиц. При этом не стоит забывать, что наличие невыполненных требований на текущий момент не является стоп-фактором для интеграции процесса управления ИТ-активами в кибербезопасность. По мере их исполнения качество данных и результаты будут постоянно улучшаться как для процесса в целом, так и для его интеграции в кибербезопасность.

Шаг 2

Синхронизируйте цели, задачи и требования к процессу между командами кибербезопасности и ИТ. Они должны быть максимально прозрачными и понятными для всех участников. Одним из вариантов закрепления достигнутых договоренностей является документ — соглашение (например, OLA), в котором будут зафиксированы:

источник хранения актуальных данных об ИТ-активах на стороне команды ИТ;
набор передаваемых данных об ИТ-активах;
требования к актуальности и достоверности;
расписание передачи и актуализации данных об ИТ-активах;
способы взаимодействия и сроки реагирования в случае выявления проблем и расхождений;
роли и ответственные лица.

Кроме того, хорошей практикой является документирование процесса в виде детального описания, карточек, диаграмм, workflow и т. д., что позволит снизить порог вхождения новых участников процесса и обеспечит понимание между всеми заинтересованными лицами.

Шаг 3

Определите технические аспекты. Учитывая размеры инфраструктуры современных организаций, становится очевидным, что если эксперты службы ИБ будут вручную обрабатывать сведения об ИТ-активах, полученные в виде Excel-таблиц, то оперативно получать достоверные данные и использовать их в связанных процессах не получится.

Пример: использование в процессе управления уязвимостями

Не получили (не обработали) своевременно сведения о новом ИТ-активе → не выполнили сканирование на уязвимости → ИТ-актив содержал критически опасную уязвимость, которую злоумышленники использовали для атаки на целевую систему.

Пример: использование в процессе мониторинга событий

Не получили (не обработали) своевременно сведения о новом ИТ-активе → при сработке средств защиты аналитики не смогли сразу разобраться, что это за актив → потратили дополнительное время на сбор необходимого контекста и несвоевременно отреагировали на атаку → злоумышленник выполнил перемещение внутри периметра и добрался до целевых систем.

В сложившихся условиях задачи по поиску источника информации об ИТ-активах и созданию инструментов для технической интеграции играют ключевую роль. Создание подобных инструментов всегда имеет индивидуальный характер в зависимости от систем и особенностей инфраструктуры и, как правило, выполняется итерационно — от прототипа в виде набора скриптов до продуктивных решений. Важно помнить, что при каждой итерации данные инструменты начинают вносить все более весомый вклад в качество и эффективность функционирования процесса. Поэтому подобные активности следует запускать как можно раньше.

Шаг 4

Держите ситуацию в фокусе и постоянно отслеживайте изменения. После того как процесс управления ИТ-активами был интегрирован в кибербезопасность, эффективность данной интеграции необходимо отслеживать на регулярной основе и постоянно улучшать. В инфраструктуре происходит множество изменений: меняются процессы, состав и совокупность систем, роли и участники и т. д. Все эти изменения нужно своевременно отслеживать и реагировать на них. Для этого:

отслеживайте изменения на уровне стратегии и миссии организации;
интегрируйтесь в процесс управления изменениями ИТ и организации в целом;
регулярно пересматривайте документы и параметры процесса;
проработайте удобную систему метрик и показателей для оценки «здоровья» процесса;
непрерывно работайте над автоматизацией контролей («все, что может проверить человек, должен проверять робот»).

Заключение

В заключение сформируем критерии успешно выстроенного процесса управления ИТ-активами:

имеется база ИТ-активов;
база ИТ-активов содержит полные, актуальные и достоверные сведения о всех ИТ-активах организации;
назначен владелец процесса управления ИТ-активами;
роли, функции и зоны ответственности распределены между участниками процесса ИТ-активами;
все участники процесса осведомлены о своих обязанностях;
осуществляется сбор метрик и показателей процесса;
проводится оценка эффективности процесса управления ИТ-активами на основе собранных метрик и показателей.