Евгений ГнединНаложение целевых систем на бизнес-процессы организации
Ядро методологииЕвгений ГнединЕвгений ГнединЕвгений ГнединПри выполнении рабочих задач сотрудникам организации необходим доступ к различным информационным системам, в том числе целевым, с соответствующими их роли привилегиями. Целевые системы зачастую используются для решения одновременно нескольких задач в нескольких бизнес-процессах, но это не только создает дополнительные сложности администраторам, ответственным за управление доступом, но и повышает площадь атаки. К примеру, система «1C:Предприятие» может использоваться одновременно для ведения кадрового администрирования, формирования заявок на оплату контрагентам, оформления заявок на командировки и многих других задач. Для реализации всех этих бизнес-функций требуется доступ множества сотрудников к системе. В идеологии результативной кибербезопасности все компьютеры сотрудников, с которых они подключаются к целевой системе, могут считаться ключевыми системами, а значит требуют усиленной настройки безопасности, мониторинга и поддержания безопасной конфигурации на высоком уровне. Чтобы сократить площадь атаки и затраты на обеспечение защиты кроме таких инструментов, как харденинг и мониторинг событий кибербезопасности, можно прибегать к изменению бизнес-процессов и разделению целевых систем по отдельным бизнес-процессам.
К работе по наложению целевых систем на бизнес-процессы рекомендуется привлекать:
Исходными данными для наложения целевых систем на бизнес-процессы являются:
На этапе создания IT-инфраструктур наложение целевых систем на бизнес-процессы осуществляется на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктур, в том числе при их модернизации, наложение целевых систем на бизнес-процессы осуществляется для реальных архитектуры и условий функционирования.
Если в организации существуют формализованные описания бизнес-процессов с указанием используемых информационных систем, то наложение целевых систем на бизнес-процессы заключается в анализе таких описаний и составлении перечня, в котором каждой целевой системе ставится в соответствие набор бизнес-процессов, в которых она задействована. Если формализованных описаний бизнес-процессов нет или они не позволяют составить такой перечень, то наложение целевых систем на бизнес-процессы осуществляется в три этапа:
Такая информация может быть получена из журналов подключений в IT-подразделении. Регулярность подключений и дата последнего входа в систему играют важную роль, потому что на первом этапе необходимо выбрать фокус-группу пользователей, которые смогут дать релевантную информацию о бизнес-процессах. Поэтому те пользователи, которые подключались к целевым системам изредка или делали это давно (к примеру, более полугода назад), могут не приниматься во внимание.
Целевым является тот бизнес-процесс, в котором может быть реализовано недопустимое событие в целевой системе. К примеру, если недопустимым событием является кража денежных средств со счета организации, то целевым бизнес-процессом может быть процесс проведения платежей контрагентам.
В ходе таких интервью важно задать следующие вопросы:
По итогам интервью должен быть составлен перечень бизнес-процессов для каждой целевой системы. Необходимо избегать дублирования процессов в перечне.
Результат наложения целевых систем на бизнес-процессы может быть оформлен как в табличном, так и в схематическом виде.
Табличный вид помогает структурировать информацию, обеспечивает возможность быстрой актуализации перечня, масштабирование. Ниже приведено табличное представление результатов наложения целевых систем на бизнес-процессы для недопустимого события «Кража денег со счета компании в размере 10-15% от чистой прибыли».
Схематичный вид добавляет наглядности, что позволяет руководителям оперативнее принимать решение о том, какие бизнес-процессы требуют пересмотра с точки зрения снижения площади атаки на целевые системы и какие из целевых систем задействованы в избыточном количестве процессов. На схеме могут дополнительно быть отражены и ключевые системы, соответствующая информация может быть получена из перечня ключевых систем и описаний бизнес-процессов.
Пример схемы с результатами наложения целевых систем на бизнес-процессы приведен в конце статьи в разделе «Схематичное представление результатов наложения целевых систем на бизнес-процессы». В этом примере бизнес-процессы показаны как цветные области, для каждого выбран свой цвет. Целевые системы обозначены красными прямоугольниками, а ключевые — оранжевыми. Взаимосвязи между ключевыми и целевыми системами обозначены стрелками и подписаны. На такой схеме видны все пересечения бизнес-процессов. Например, наглядно показано, что система «1С:Предприятие» задействована избыточно.
Корректно составленный результат наложения целевых систем на бизнес-процессы должен соответствовать следующим критериям:
После завершения работы результат рекомендуется продемонстрировать сотрудникам, вошедшим в фокус-группу на этапе проведения интервью, и согласовать его.
Результат наложения целевых систем на бизнес-процессы поможет обнаружить ситуации, когда одна целевая система задействована одновременно во множестве бизнес-процессов. Это означает, что значительное количество пользователей имеет к ней доступ для выполнения рабочих задач. Скомпрометировав рабочую станцию любого такого пользователя, нарушитель получит возможность развивать атаку на целевую систему с привилегиями этого пользователя и повысит свои возможности для реализации недопустимого события. Для эффективной защиты целевой системы рабочие станции всех таких пользователей необходимо считать ключевыми системами, а значит обеспечить для них усиленный харденинг, мониторинг и контроль изменений для поддержания высокого уровня защищенности. Подобный подход к реализации мер защиты потребует значительных ресурсов, особенно в случае, когда к целевой системе имеют доступ все сотрудники организации, а значит необходим пересмотр бизнес-процессов.
На схеме, приведенной ниже, к системе «1С:Предприятие» могут иметь доступ практически все сотрудники организации, так как она используется для оформления заявок на командировки. При этом эта же система применяется и в целевом бизнес-процессе проведения платежей контрагентам. Следовательно, пересечение бизнес-процессов для этой системы существенно увеличивает площадь атаки для нарушителя, такие процессы требуют пересмотра.
Результат наложения целевых систем на бизнес-процессы является источником информации для руководителя. Он позволяет сделать выводы о необходимости пересмотра бизнес-процессов, в которых задействованы целевые системы. Бизнес-процессы необходимо изменить таким образом, чтобы сократить площадь атаки. Это может быть достигнуто как за счет исключения целевой системы из нецелевых бизнес-процессов, так и за счет изменения самого бизнес-процесса.
Рисунок 1. Результат наложения целевых систем на бизнес-процессы