Контроль изменений в ИТ-инфраструктуре: согласование, аудит и взаимодействие с ИБ при обновлениях

Одной из ключевых особенностей построения информационной безопасности в организации является выстраивание процессов обеспечения безопасности. В современном мире изменения происходят постоянно — внедряются новые функции, устраняются уязвимости, оптимизируются процессы. Однако любые изменения несут риски, которые могут отразиться на безопасности, стабильности и производительности всей инфраструктуры организации. Поэтому важно выстроить процессы контроля за изменениями.

Если в организации есть разделение ответственности по отделам, то необходимо также учесть порядок и требования к их взаимодействию.

Одной из самых распространенных проблем является организация взаимодействия отдела по информационной безопасности (далее – ИБ) и отдела информационных технологий (далее – ИТ). Ключевой проблемой является их несогласованность и непонимание друг друга. Отсутствие процессов взаимодействия и согласования приводит к нарушению процессов обеспечению информационной безопасности, а в некоторых случаях и к нарушению законодательства в области защиты информации.

Для правильного выстраивания процессов контроля необходимо определить порядок действий сотрудников при внесении изменений.

Первый этап. Планирование

Необходимо выстроить процессы по планированию изменений и сделать их прозрачными для сотрудников, обеспечить, чтобы каждое изменение было заранее оценено и одобрено ответственными лицами. При согласовании необходимо отразить:

• цели изменений;
• перечень планируемых изменений;
• перечень планируемых задач;
• возможные риски.

В процессы согласования обязательно нужно включать ИБ-отдел, который может подсветить риски при внесении изменений или дополнить требования к изменениям с точки зрения организации безопасности данных

Второй этап. Аудит изменений

Перед непосредственным внедрением изменений их необходимо проверить в выделенной части инфраструктуры, выделенных технических средствах. При проверках необходимо также привлекать отдел ИБ, в части проверки выполнения требований по безопасности.

Процесс проверки должен включать:

• проверку фактических изменений: все ли реализуемые изменения отвечают заявленным требованиям на этапе планирования (в том числе требования по ИБ)?
• проверку работоспособности: как изменения влияют на работу текущих бизнес-процессов, а также на работу систем и приложений?
• в случаях внесения изменений путем установки обновлений необходимо их проверить на наличие уязвимостей

Третий этап. Внесение изменений

Процесс внесения изменений должен быть прозрачным, сотрудники должны быть уведомлены об изменениях, а сам процесс должен быть запланированным и включать в себя конкретные шаги.

В случаях, когда внесение изменений подразумевает распространение обновления, важно, чтобы установка обновлений не замедляла текущие бизнес-процессы организации, поэтому установку лучше запланировать заранее и выделить наиболее удобное для этого время.

После внесения изменений необходимо также осуществить фактическую проверку выполнения заявленных требований, в том числе требований и настроек по безопасности.

Таким образом, контроль изменений в ИТ-инфраструктуре – это необходимый процесс для поддержания устойчивости и безопасности ИТ-инфраструктуры. Определенный заранее порядок действий, а также выстроенные процессы согласования помогают избежать неожиданных последствий, аудит гарантирует качество и прозрачность, а тесное взаимодействие с отделом информационной безопасности минимизирует риски. Такой комплексный подход позволяет организациям уверенно совершенствоваться, обновлять сервисы и приложения, а также сохранять высокий уровень защиты и стабильности.

Автор: Виктория Меньшова, консультант по информационной безопасности, «КИТ».