Как процесс управления IT-активами связан с кибербезопасностью

Что такое процесс управления IT-активами

Управление IT-активами — это непрерывный процесс обнаружения, отслеживания и управления программными и аппаратными IT-активами на протяжении всего их жизненного цикла: от планирования закупки до вывода из эксплуатации.

Выстроенный процесс управления IT-активами глубоко интегрирован во многие процессы любой организации.

Управлять IT-активами необходимо, чтобы:

оптимизировать расходы на эксплуатацию IT-инфраструктуры и своевременно планировать ее модернизацию;
проводить учет и инвентаризацию всех компонентов IT-инфраструктуры;
выявлять слабые места в работе IT-инфраструктуры и сервисов;
повышать прозрачность IT-инфраструктуры благодаря сведениям о том, где, кем и какие активы применяются;
обеспечивать безопасное использование IT-активов.

Универсального подхода к управлению IT-активами, который подходил бы для всех организаций без исключения, не существует, поскольку каждая организация имеет свои уникальные процессы, потребности и технологии.

Существует множество международных стандартов, включающих в себя лучшие практики и рекомендации по организации управления IT-активами. В качестве наиболее популярных можно выделить ITIL, IAITAM (IBPL), COBIT 5. Каждый из стандартов имеет свои особенности, и команде IT-специалистов предстоит непростая задача по выбору наиболее подходящего. Важно помнить, что данные рекомендации не являются обязательными, и каждая организация может и должна адаптировать их под свои уникальные потребности.

Процесс управления IT-активами играет важную роль в кибербезопасности. С учетом растущего количества кибератак и утечек данных команде кибербезопасности просто необходимо иметь детальное представление о границах и свойствах объекта защиты, ведь невозможно защищать то, чего ты не знаешь.

В этой статье мы расскажем о подходе к управлению IT-активами в интересах кибербезопасности.

Что является IT-активом

Для того чтобы избежать разночтений, стоит договориться, что же является IT-активом. Каждая методология или стандарт толкует определение IT-актива по-разному. Кроме того, определение IT-актива может различаться в зависимости от того, как организация использует это определение. Например, для одной организации IT-активом может считаться любое оборудование или ПО, а для другой — только то, что является ключевым для бизнес-процессов.

Определение IT-актива можно сформулировать следующим образом: IT-актив — это программное обеспечение и (или) оборудование, которое используется для обработки, хранения и передачи информации и обеспечивает измеримую ценность для основной деятельности организации.

Чтобы лучше понять, что является IT-активом, мы сформировали ряд критериев, которые, по нашему мнению, характеризуют IT-активы и которые представляют интерес для команд ИТ и ИБ.

IT-актив:

имеет ценность и непосредственно влияет на деятельность организации — IT-активы играют ключевую роль в работоспособности ряда бизнес-процессов;
является конфигурационной единицей или их совокупностью — понимание взаимосвязи между IT-активами важно для обеспечения кибербезопасности IT-сервисов;
готовится или уже введен в эксплуатацию — для кибербезопасности не представляют интерес IT-активы, не введенные в эксплуатацию.

Как управление IT-активами связано с кибербезопасностью

Развитие технологий неизбежно влечет увеличение количества киберугроз, а значит, необходимо своевременно принимать соответствующие меры для защиты активов. Однако перед тем, как ответить на вопрос «Как защищать?», нужно ответить на вопрос «Что защищать?». В этом и заключается основная задача процесса управления IT-активами в интересах кибербезопасности — определить границы объекта защиты.

Для того чтобы определить границы защищаемого объекта, команда ИБ должна обладать информацией об IT-инфраструктуре организации, а значит, основной запрос со стороны службы кибербезопасности — получение полных, актуальных и достоверных сведений об IT-активах. Кроме того, чтобы своевременно реагировать на кибератаки, необходимо постоянно улучшать качество мониторинга, а значит, сведения об IT-активах должны поступать непрерывно. Соответственно, службам IT и ИБ необходимо выработать единый подход, основанный на том, что устойчивой работы IT-инфраструктуры организации не добиться в отрыве от кибербезопасности.

Например, команда ИТ передает команде ИБ сведения о сетевом оборудовании (коммутаторах, маршрутизаторах, межсетевых экранах), что позволяет выявить IT-активы, которые могут быть потенциальными точками проникновения, и дает возможность своевременно поставить эти IT-активы на мониторинг.

Сведения о рабочих станциях сотрудников позволяют команде кибербезопасности точно знать их местоположение, как они настроены, какое программное обеспечение на них установлено и какие уязвимости необходимо устранять в этом ПО.

Кроме того, управление IT-активами поможет команде ИБ определить, какие активы должны защищаться в первую очередь и какие меры защиты должны быть приняты в зависимости от степени их важности. Такой подход позволит службе ИБ оптимизировать ресурсы и сосредоточиться на наиболее значимых IT-активах:

целевых системахцелевых системахцелевых системах;
ключевых системахключевых системахключевых системах;
точках проникновения в IT-инфраструктуруточках проникновения в IT-инфраструктуруточках проникновения в IT-инфраструктуру.

Поиск источника правды об IT-активах

Как показывает практика, даже внедрение решений класса configuration management database не гарантирует высокого уровня зрелости процесса управления IT-активами. Сканирование IT-инфраструктуры сторонними инструментами может выявить достаточно большое количество расхождений в базе IT-активов: появляются IT-активы, которые отсутствуют в базе, или же существуют IT-активы, о которых внесено недостаточно информации, — это говорит о том, что процесс управления IT-активами не выстроен должным образом.

Как же найти тот самый источник правды, который бы удовлетворял требованиям кибербезопасности?

Прежде чем внедрять новые решения, стоит сформировать набор критериев к базе активов и посмотреть в сторону инструментов управления IT-инфраструктурой, которые уже внедрены в организации. На первый взгляд, они могут иметь иное назначение, однако могут выполнять функцию источника сведений об IT-активах.

Примерами могут быть:

NetBox — решение для управления сетями и инфраструктурой (только в том случае, если любая активность будет регистрироваться в NetBox);
Ansible — инструмент управления конфигурацией; мониторинг файлов inventory позволяет контролировать появление новых IT-активов, а также собирать информацию об уже развернутых IT-активах;
Zabbix — система мониторинга компьютерной сети, серверов и сетевого оборудования (при условии, что на всех IT-активах будет развернут агент, посылающий всю необходимую информацию на сервер).

Все инструменты вместе или каждый в отдельности могут стать потенциальным источником необходимых сведений об IT-активах, которые можно обогащать необходимой информацией (например, сведениями о принадлежности к целевым (ключевым) системам, сведениями о владельце (администраторе) IT-актива).

Как интегрировать процесс управления IT-активами в кибербезопасность

Шаг 1

Определите, в каком состоянии сейчас находится процесс управления IT-активами в организации. Для этого команде ИБ совместно с командой ИТ необходимо максимально честно и аргументированно ответить на следующие вопросы:

№	Вопрос	Ответ
1	У вас есть единая база (инструмент), в которой содержится информация об IT-активах организации?	☐ Да ☐ Нет
2	Вы можете подтвердить, что все IT-активы внесены в базу?	☐ Да ☐ Нет
3	Вы можете подтвердить актуальность имеющихся в базе сведений об IT-активах?	☐ Да ☐ Нет
4	Вы можете гарантировать достоверность всех сведений об IT-активах в базе?	☐ Да ☐ Нет
5	Помните ли вы, когда в последний раз проводилась инвентаризация IT-активов? Непрерывная инвентаризация IT-активов позволяет организации поддерживать актуальность базы IT-активов, иметь полную картину, обнаруживать ранее неизвестные (неучтенные) IT-активы.	☐ Да ☐ Нет
6	Знаете ли вы владельца каждого IT-актива, ответственного за его эксплуатацию? Назначение владельца IT-актива является важной частью управления IT-активами, поскольку владелец отвечает за решения, связанные с этим активом, и за его использование. Владелец знает назначение IT-актива, каким образом он обслуживается и обновляется и какие риски могут быть связаны с его использованием.	☐ Да ☐ Нет
6.1 *	* Применимо, если вы ответили «Да» в вопросе № 6 Вы пересматривали информацию о владельцах IT-активов меньше года назад? Владелец IT-активов может измениться, а значит, важно отслеживать изменения в ходе управления IT-активами.	☐ Да ☐ Нет
7	Знаете ли вы администратора каждого IT-актива, ответственного за его обслуживание? Назначение администратора IT-актива позволяет определить ответственного за техническую поддержку, обновление и настройку IT-актива.	☐ Да ☐ Нет
8	Вы можете подтвердить отсутствие дублирования IT-активов в базе? Дублирование IT-активов в базе является распространенной проблемой, свидетельствующей о том, что внесение сведений в базу активов не нормализовано.	☐ Да ☐ Нет
9	Все ли ваши IT-активы классифицированы, например, по принадлежности к целевым и ключевым информационным системам? Необходимо классифицировать IT-активы по принадлежности к целевым и ключевым ИС, что позволит сфокусироваться на защите наиболее важных IT-активов.	☐ Да ☐ Нет
9.1 **	** Применимо, если вы ответили «Да» в вопросе № 9 Вы пересматривали классификацию (приоритизацию) IT-активов меньше года назад? IT-активов является необходимой процедурой, поскольку есть вероятность, что у ряда IT-активов в период эксплуатации снизилась значимость, а у других IT-активов повысилась.	☐ Да ☐ Нет
10	У вас выделена роль «владельца процесса управления IT-активами» в организации? Сам по себе процесс работать не будет, нужно назначить ответственного (владельца). Также стоит учитывать, что управление IT-активами предполагает профессиональное владение предметной областью, — не каждый сотрудник сможет занять эту роль.	☐ Да ☐ Нет

Если большая часть ответов «да», можно говорить о достаточно высоком уровне зрелости процесса управления IT-активами в организации. Темы вопросов, на которые ответили «нет», могут рассматриваться в качестве приоритетных областей, которые нужно проработать совместными усилиями команд ИБ и ИТ.

Важно понимать, что цели обеих команд в области управления IT-активами совпадают: нужен отлаженный процесс, который работает как часы. Значит, на основании ответов на вопросы выше можно сформулировать набор требований к процессу и план по их реализации с указанием сроков и ответственных лиц. При этом не стоит забывать, что наличие невыполненных требований на текущий момент не является стоп-фактором для интеграции процесса управления IT-активами в кибербезопасность. По мере их исполнения качество данных и результаты будут постоянно улучшаться как для процесса в целом, так и для его интеграции в кибербезопасность.

Шаг 2

Синхронизируйте цели, задачи и требования к процессу между командами кибербезопасности и ИТ. Они должны быть максимально прозрачными и понятными для всех участников. Одним из вариантов закрепления достигнутых договоренностей является документ — соглашение (например, OLA), в котором будут зафиксированы:

источник хранения актуальных данных об IT-активах на стороне команды ИТ;
набор передаваемых данных об IT-активах;
требования к актуальности и достоверности;
расписание передачи и актуализации данных об IT-активах;
способы взаимодействия и сроки реагирования в случае выявления проблем и расхождений;
роли и ответственные лица.

Кроме того, хорошей практикой является документирование процесса в виде детального описания, карточек, диаграмм, workflow и т. д., что позволит снизить порог вхождения новых участников процесса и обеспечит понимание между всеми заинтересованными лицами.

Шаг 3

Определите технические аспекты. Учитывая размеры инфраструктуры современных организаций, становится очевидным, что если эксперты службы ИБ будут вручную обрабатывать сведения об IT-активах, полученные в виде Excel-таблиц, то оперативно получать достоверные данные и использовать их в связанных процессах не получится.

Пример: использование в процессе управления уязвимостями

Не получили (не обработали) своевременно сведения о новом IT-активе → не выполнили сканирование на уязвимости → IT-актив содержал критически опасную уязвимость, которую злоумышленники использовали для атаки на целевую систему.

Пример: использование в процессе мониторинга событий

Не получили (не обработали) своевременно сведения о новом IT-активе → при сработке средств защиты аналитики не смогли сразу разобраться, что это за актив → потратили дополнительное время на сбор необходимого контекста и несвоевременно отреагировали на атаку → злоумышленник выполнил перемещение внутри периметра и добрался до целевых систем.

В сложившихся условиях задачи по поиску источника информации об IT-активах и созданию инструментов для технической интеграции играют ключевую роль. Создание подобных инструментов всегда имеет индивидуальный характер в зависимости от систем и особенностей инфраструктуры и, как правило, выполняется итерационно — от прототипа в виде набора скриптов до продуктивных решений. Важно помнить, что при каждой итерации данные инструменты начинают вносить все более весомый вклад в качество и эффективность функционирования процесса. Поэтому подобные активности следует запускать как можно раньше.

Шаг 4

Держите ситуацию в фокусе и постоянно отслеживайте изменения. После того как процесс управления IT-активами был интегрирован в кибербезопасность, эффективность данной интеграции необходимо отслеживать на регулярной основе и постоянно улучшать. В инфраструктуре происходит множество изменений: меняются процессы, состав и совокупность систем, роли и участники и т. д. Все эти изменения нужно своевременно отслеживать и реагировать на них. Для этого:

отслеживайте изменения на уровне стратегии и миссии организации;
интегрируйтесь в процесс управления изменениями ИТ и организации в целом;
регулярно пересматривайте документы и параметры процесса;
проработайте удобную систему метрик и показателей для оценки «здоровья» процесса;
непрерывно работайте над автоматизацией контролей («все, что может проверить человек, должен проверять робот»).

Заключение

В заключение сформируем критерии успешно выстроенного процесса управления IT-активами:

имеется база IT-активов;
база IT-активов содержит полные, актуальные и достоверные сведения о всех IT-активах организации;
назначен владелец процесса управления IT-активами;
роли, функции и зоны ответственности распределены между участниками процесса IT-активами;
все участники процесса осведомлены о своих обязанностях;
осуществляется сбор метрик и показателей процесса;
проводится оценка эффективности процесса управления IT-активами на основе собранных метрик и показателей.