Методология
egnedin.jpgЕвгений Гнедин

Зачем накладывать целевые системы на бизнес-процессы

При выполнении рабочих задач сотрудникам организации необходим доступ к различным информационным системам, в том числе целевым, с соответствующими их роли привилегиями. Целевые системы зачастую используются для решения одновременно нескольких задач в нескольких бизнес-процессах, но это не только создает дополнительные сложности администраторам, ответственным за управление доступом, но и повышает площадь атаки. К примеру, система «1C:Предприятие» может использоваться одновременно для ведения кадрового администрирования, формирования заявок на оплату контрагентам, оформления заявок на командировки и многих других задач. Для реализации всех этих бизнес-функций требуется доступ множества сотрудников к системе. В идеологии результативной кибербезопасности все компьютеры сотрудников, с которых они подключаются к целевой системе, могут считаться ключевыми системами, а значит требуют усиленной настройки безопасности, мониторинга и поддержания безопасной конфигурации на высоком уровне. Чтобы сократить площадь атаки и затраты на обеспечение защиты кроме таких инструментов, как харденинг и мониторинг событий кибербезопасности, можно прибегать к изменению бизнес-процессов и разделению целевых систем по отдельным бизнес-процессам.

Кого привлечь для наложения целевых систем на бизнес-процессы

К работе по наложению целевых систем на бизнес-процессы рекомендуется привлекать:

  • представителей профильных подразделений, использующих целевые системы при выполнении рабочих задач;
  • специалистов подразделения информационных технологий;
  • других специалистов, чьи компетенции могут быть полезны рабочей группе для решения задач в рамках такой методологии.

Как наложить целевые системы на бизнес-процессы

Исходными данными для наложения целевых систем на бизнес-процессы являются:

  • перечень недопустимых событий, в котором указаны целевые системы и соответствующие сценарии реализации недопустимых событий;
  • описания бизнес-процессов организации.

На этапе создания IT-инфраструктур наложение целевых систем на бизнес-процессы осуществляется на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктур, в том числе при их модернизации, наложение целевых систем на бизнес-процессы осуществляется для реальных архитектуры и условий функционирования.

Если в организации существуют формализованные описания бизнес-процессов с указанием используемых информационных систем, то наложение целевых систем на бизнес-процессы заключается в анализе таких описаний и составлении перечня, в котором каждой целевой системе ставится в соответствие набор бизнес-процессов, в которых она задействована. Если формализованных описаний бизнес-процессов нет или они не позволяют составить такой перечень, то наложение целевых систем на бизнес-процессы осуществляется в три этапа:

1. Определение пользователей, которые регулярно подключаются к целевым системам.

Такая информация может быть получена из журналов подключений в IT-подразделении. Регулярность подключений и дата последнего входа в систему играют важную роль, потому что на первом этапе необходимо выбрать фокус-группу пользователей, которые смогут дать релевантную информацию о бизнес-процессах. Поэтому те пользователи, которые подключались к целевым системам изредка или делали это давно (к примеру, более полугода назад), могут не приниматься во внимание.

2. Определение целевого бизнес-процесса.

Целевым является тот бизнес-процесс, в котором может быть реализовано недопустимое событие в целевой системе. К примеру, если недопустимым событием является кража денежных средств со счета организации, то целевым бизнес-процессом может быть процесс проведения платежей контрагентам.

3. Проведение интервью с пользователями целевых систем.

В ходе таких интервью важно задать следующие вопросы:

  • для решения каких задач сотрудник подключается к целевой системе;
  • в каком бизнес-процессе (или нескольких бизнес-процессов) такие задачи выполняются;
  • участвует ли сотрудник в целевом бизнес-процессе;
  • с каких устройств сотрудник подключается к целевой системе в рамках целевого процесса (при положительном ответе на предыдущий вопрос);
  • применяется ли целевая система в других бизнес-процессах.

По итогам интервью должен быть составлен перечень бизнес-процессов для каждой целевой системы. Необходимо избегать дублирования процессов в перечне.

Как оформить результат наложения целевых систем на бизнес-процессы

Результат наложения целевых систем на бизнес-процессы может быть оформлен как в табличном, так и в схематическом виде.

Табличный вид помогает структурировать информацию, обеспечивает возможность быстрой актуализации перечня, масштабирование. Ниже приведено табличное представление результатов наложения целевых систем на бизнес-процессы для недопустимого события «Кража денег со счета компании в размере 10-15% от чистой прибыли».

Целевая системаАдрес целевой системыБизнес-процессы
Система баз данных «1С:Предприятие»Server1 (10.2.10.1) Server2 (10.2.10.2)- Проведение платежей контрагентам (целевой);
- документооборот;
- оформление заявок на командировки;
- кадровое администрирование;
- выплата заработной платы
Директория обменаServer10 (10.6.10.1)- Проведение платежей контрагентам (целевой);
- выплата заработной платы
Система «банк — клиент»Server17 (10.7.10.1) Server18 (10.7.10.2) Server19 (10.7.10.3)- Проведение платежей контрагентам (целевой);
- валютные операции, работа с биржей

Схематичный вид добавляет наглядности, что позволяет руководителям оперативнее принимать решение о том, какие бизнес-процессы требуют пересмотра с точки зрения снижения площади атаки на целевые системы и какие из целевых систем задействованы в избыточном количестве процессов. На схеме могут дополнительно быть отражены и ключевые системы, соответствующая информация может быть получена из перечня ключевых систем и описаний бизнес-процессов.

Пример схемы с результатами наложения целевых систем на бизнес-процессы приведен в конце статьи в разделе «Схематичное представление результатов наложения целевых систем на бизнес-процессы». В этом примере бизнес-процессы показаны как цветные области, для каждого выбран свой цвет. Целевые системы обозначены красными прямоугольниками, а ключевые — оранжевыми. Взаимосвязи между ключевыми и целевыми системами обозначены стрелками и подписаны. На такой схеме видны все пересечения бизнес-процессов. Например, наглядно показано, что система «1С:Предприятие» задействована избыточно.

Как убедиться, что наложение целевых систем на бизнес-процессы проведено правильно

Корректно составленный результат наложения целевых систем на бизнес-процессы должен соответствовать следующим критериям:

  • каждой целевой системе соответствует как минимум один бизнес-процесс;
  • все целевые системы для рассматриваемого недопустимого события входят в целевой бизнес-процесс (или несколько целевых бизнес-процессов).

После завершения работы результат рекомендуется продемонстрировать сотрудникам, вошедшим в фокус-группу на этапе проведения интервью, и согласовать его.

Как использовать результат наложения целевых систем на бизнес-процессы

Результат наложения целевых систем на бизнес-процессы поможет обнаружить ситуации, когда одна целевая система задействована одновременно во множестве бизнес-процессов. Это означает, что значительное количество пользователей имеет к ней доступ для выполнения рабочих задач. Скомпрометировав рабочую станцию любого такого пользователя, нарушитель получит возможность развивать атаку на целевую систему с привилегиями этого пользователя и повысит свои возможности для реализации недопустимого события. Для эффективной защиты целевой системы рабочие станции всех таких пользователей необходимо считать ключевыми системами, а значит обеспечить для них усиленный харденинг, мониторинг и контроль изменений для поддержания высокого уровня защищенности. Подобный подход к реализации мер защиты потребует значительных ресурсов, особенно в случае, когда к целевой системе имеют доступ все сотрудники организации, а значит необходим пересмотр бизнес-процессов.

На схеме, приведенной ниже, к системе «1С:Предприятие» могут иметь доступ практически все сотрудники организации, так как она используется для оформления заявок на командировки. При этом эта же система применяется и в целевом бизнес-процессе проведения платежей контрагентам. Следовательно, пересечение бизнес-процессов для этой системы существенно увеличивает площадь атаки для нарушителя, такие процессы требуют пересмотра.

Результат наложения целевых систем на бизнес-процессы является источником информации для руководителя. Он позволяет сделать выводы о необходимости пересмотра бизнес-процессов, в которых задействованы целевые системы. Бизнес-процессы необходимо изменить таким образом, чтобы сократить площадь атаки. Это может быть достигнуто как за счет исключения целевой системы из нецелевых бизнес-процессов, так и за счет изменения самого бизнес-процесса.

Схематичное представление результатов наложения целевых систем на бизнес-процессы

Рисунок 1. Результат наложения целевых систем на бизнес-процессы