суббота, 24 декабря 2011 г.

Обновлять или не обновлять серверы

Обновлять или не обновлять серверы
Вопрос обновления серверов  встает перед всеми компаниями и тем острее, чем парк серверов больше.  Персонал ИТ и ИБ часто занимают в нем диаметрально противоположные позиции и это понятно. Бизнес и аудиторы тоже добавляют масла в огонь. Вот распространенные позиции каждой стороны:
 ИТ
-  на это нужно много ресурсов, которых нет
-  это может вызвать сбои или отказы
-  и так всё работает (или основное правило админа - не трожь, пока работает)
ИБ
-  уменьшается количество уязвимостей
-  улучшается сопротивляемость  атакам
-  возрастает надежность
Бизнес
-  бизнес-процессы не должны прерываться
Аудитор
-  всё должно обновляться
Основная идея этого поста в том, что как обновление, так и не обновление серверов могут привести к их сбоям или отказам. В случае обновления это может случиться из-за программных ошибок. В случае не обновления – в результате атак. Поэтому лучше, во-первых, минимизировать и принять данные риски, а во-вторых, выполняя обновления сделать процесс потери любых свойств информационной безопасности контролируемым.
Так как же в этом во всем найти компромисс, который будет устраивать все стороны этого процесса? Мне видится следующий путь. В организации далеко не все серверы являются критичными, а также далеко не все подвержены атакам. Имеет смысл выделить первоочередную группу серверов подлежащих обновлениям и включить в них:
-  все серверы из DMZ
-  все серверы, имеющие интерфейсы или port mapping во вне
-  все серверы, по которым есть жесткие compliance требования
В дальнейшем после приобретения практического опыта данная группа может расширяться. Удельные затраты времени на обновления при расширении группы должны будут непременно снижаться в виду отработанности процесса и ставшими стандартными многие операций, да и админы перестанут бояться самого процесса обновлений.
Также хочу обратить внимание на компенсирующие меры для этого процесса. К таким мерам относятся:
-  работа с минимальными привилегиями
-  постоянно запущенный и обновляемый антивирус
-  контроль доступа как физического, так и на всех уровнях модели OSI
-  логирование событий
Мое IMHO заключается в том, что таким образом должны остаться целыми волки и сытыми овцы. :-)

пятница, 16 декабря 2011 г.

Важность контроля учетных записей

Многие, если не все, стандарты по ИБ говорят о необходимости контролировать пользователькие и технологические учетные записи. Для этого вначале необходимо добиться, чтобы любые изменения учеток происходили только по заявкам. Сами заявки нужно где-то учитывать. Таким образом, если возникает вопрос на основании чего был предоставлен доступ можно будет оперативно поднять всю информацию. Далее необходимо держать включенными только учетки работающих сотрудников, периодически проводя ревизии учеток на их актуальность.

А теперь немного юмора. Так бы я сделал, работая сисадмином в Кремле :-)

суббота, 19 ноября 2011 г.

Производители устройств, создающих доверенную платежную среду

Меня давно интересует тема создания доверенной среды для ДБО. Не так давно все производители выпустили на рынок так называемые, защищенные токены, то есть токены, с которых невозможно извлечь ключ ЭЦП. Это действительно так, однако риски никуда не уходят, они только трансформируются в другие. Существующее зловредное ПО уже умеет удаленно управлять компьютером, подменять реквизиты платежей, а также подписывать платеж, используя защищенный токен. Таким образом, использование защищенного токена лишь позволит оттянуть время.
В этом  году появились сразу несколько устройств с похожим функционалом. Все они предназначены для подтверждения какого-либо действия пользователя при его взаимодействии, в общем случае в значимых для него областях деятельности (финансы, доступ, переписка, гос. услуги и многое другое).
Пока мною замечены 4 реализации:
Agses. Австрийская разработка, на территории России есть ресселер – питерская компания. Название продукта качественно обыгрывает слово Access (доступ). Уже есть несколько качественных промо-сайтов, на которых присутствует много хорошо переведенных как маркетинговых, так и технических материалов и презентаций. Технологически очень интересная задумка с биометрией. Заявленная цена кусается на отметке 6000 р.

Cronto. Английская разработка, в контактах значится Кембридж. Присутствуют как программная, так и программно-аппаратная реализация. Программная реализация, по сути, является приложением (Java?) для любого современного мобильного телефона. Цена программной реализации не заявлена, но, видимо, она должна стремиться к нулю, т.к. очевидно позиционирование устройства для физиков.  Здесь я уже размещал свои мысли по созданию аналогичной среды.

PINPad. Российская разработка. Известный производитель, в багаже которого помимо опыта присутствуют тысячи проданных устройств. Может использоваться как в конфигурации с внешним, так и с внутренним защищенным токеном. Хорошего качества сенсорный экран, поддерживается скролинг. Заявленная цена 3000 р.

SafeTouch. Российская разработка. Удачное с точки зрения эргономики устройство, поддерживающее смарт-карты. Есть мнения, что тренд смещается в сторону карт, но есть и противоположное мнение. Заявленная цена 1600 р. Однако, имеются большие вопросы в части доверия к производителю: новая компания, пока не имеющая реализованных проектов, де-факто иностранное производство.

Для российских ИБ-компаний 2011 год проходит под знаком изобретений, сейчас они в основном занимаются зондированием банковской почвы и рекламированием своих устройств. Надеюсь, что 2012 год будет направлен на поддержку их решений со стороны производителей Клиент-Банков. Как только это случится, можно будет рассуждать о позиционировании устройств этого класса для конкретных групп в различных сегментах рынка.
На сегодня даже два последних устройства не могут в полной мере являться российскими, учитывая следующее определение российского продукта. Российским называется продукт, разработанный и произведенный в России из российских комплектующих на российском оборудовании силами российских специалистов.

воскресенье, 13 ноября 2011 г.

Инновационный выбор оператора связи

Обратил внимание на рекламу в метро телефона с тремя SIM-картами, долго размышлял, какая от него может быть польза и вот что у меня получилось.
Выбор оператора должен осуществляться автоматически по определенным критериям. Для этого предлагается написать специальную программу, которая будет определять наиболее выгодного оператора для осуществления исходящего звонка. Программу удобно разработать на Java. В качестве входных данных для программы должны быть формализованы все используемые тарифные планы со всеми подключенными к ним опциями, например в формате XML. В качестве общих параметров для выбора должны использоваться:
·         Текущее местоположение абонента (роуминг или нет).
·         База данных принадлежности и регистрации номеров по кодам.
·         Количество средств на всех счетах.
·         Время вызова.

Теперь после выбора абонента из записной книги телефона, программа произведет определение наиболее выгодного тарифного плана и предложит осуществить звонок с нужной SIM-карты. Можно либо согласиться, либо выбрать другую SIM-карту.

пятница, 11 ноября 2011 г.

Безопасность Web-SMS

Обратил внимание на то, что зная номер мобильного телефона человека, особенно чиновника или высокого чиновника, можно легко ему отправить SMS запрещенного, например, националистического или террористического характера. В терминах ИБ это будет обязательно рисковое событие с вероятностью реализации отличной от нуля.


МТС эту проблему удачно решила введением одноразового пароля, который приходит на телефон отправителя, так как для отправки SMS нужно обязательно ввести телефон отправителя. Таким образом, должно гарантироваться, что в случае необходимости номер телефона отправителя будет предоставлен правоохранительным органам для проведения расследования.


У других операторов аналогичного безопасного сервиса на текущий момент не обнаружено.

воскресенье, 30 октября 2011 г.

Метрики из 800-55

Для того чтобы «закрутить» процесс, то есть направить процесс на постоянное повышение его эффективности в соответствии с циклом Деминга, для стадии «Check» можно использовать ключевые показатели эффективности процесса (KPI, они же метрики).
Я решил перевести фрагмент NIST 800-55 Revision1 о пользе использования метрик ИБ и собственно сами метрики ИБ.

Польза от использования метрик
Программа измерения показателей ИБ предоставляет ряд организационных и финансовых преимуществ. Главные преимущества заключаются в следующем: усилении подотчетности для повышения производительности процессов ИБ; увеличении эффективности процессов ИБ; демонстрации соответствия требованиям законодательства, правилам и нормативным документам; предоставлении количественных входных данных для принятия решений.
Усиление подотчетности. Измерение показателей ИБ может усилить подотчетность процессов ИБ, путем нахождения того, что внедрено некорректно, не внедрено или работает неэффективно. Сбор данных или анализ процессов может способствовать выявлению персонала, ответственного за внедрение контролей ИБ в специфические компоненты или в специфические информационные системы организации.
Увеличение эффективности ИБ. Программа измерения показателей ИБ позволит организации количественно улучшить показатели ИБ и продемонстрировать количественную динамику приближения к стратегическим целям. Это также позволяет определять эффективность  внедренных ИБ процессов и процедур, основываясь на результатах действий и событий ИБ (данных об инцидентах, потерянном доходе от кибер-атак и т.д.) до контролирования ИБ, и определять необходимые инвестиции в ИБ.
Демонстрация соответствия. Путем внедрения и поддержания программы измерения показателей ИБ, организация может демонстрировать соответствие требованиям законодательства, правилам и нормативным документам. Измерение показателей ИБ помогает ежегодно подтверждать соответствие требованиям FISMA (Federal Information Security Management Act of 2002 - Закон США), путем измерения метрик производительности для прошлого и текущего финансового года. Дополнительно эта информация может использоваться в качестве входных данных для GAO (Government Accountability Office – агентство в Конгрессе США) и IG (Inspector General – офис расследований в США). Это помогает демонстрировать проверяющим компаниям проактивный подход к ИБ и уменьшает время, затрачиваемое на сбор данных, необходимых для направления в GAO и IG, как во время проведения аудита, так и во время подтверждения статуса.
Предоставление количественных данных для принятия решений. Финансовые ограничения и рыночные условия вынуждают правительство и отрасль обходиться уменьшенными бюджетами. В таком положении трудно оправдать большие инвестиции в ИБ-инфраструктуру. Инвестиции в ИБ должны выделяться по результатам всесторонней программы оценки рисков. Использование мер ИБ поддерживает основанные на рисках решения и способствует сбору количественной информации для процесса управления рисками. Это позволяет организациям измерять успехи и неудачи в зависимости от прошлых и настоящих инвестиций в ИБ и предоставляет количественные данные для принятия решений по будущим инвестициям. Используя результаты анализа измерений, менеджеры и владельцы систем могут локализовать проблемы, использовать собранные данные для обоснования требуемых инвестиций и затем целенаправленно направлять инвестиции в нуждающиеся области. Такие целевые инвестиции помогают организациям получить большую отдачу от своих доступных ресурсов.   
Предлагаемые метрики
  1. Процент бюджета на ИБ от общего бюджета ИТ;
  2. Процент уменьшенных до приемлемого уровня уязвимостей высокого уровня критичности от общего числа уязвимостей за определенное время;
  3. Процент удаленных точек доступа, используемых для неавторизованного доступа от их общего числа;
  4. Процент сотрудников ИБ, которые прошли обучение по ИБ от их общего числа;
  5. Средняя частота неразрешенных действий, обнаруженных в результате анализа логов;
  6. Процент новых систем, которые прошли сертификацию в центрах аккредитации до начала их эксплуатации по отношению к общему количеству.
  7. Процент одобренных и примененных изменений по отношению к их количеству до того как оно (железо, софт, документация) стало считаться базовой конфигурацией (версией).
  8. Процент информационных систем, которые были протестированы в соответствии с ежегодным планом непрерывности бизнеса от их общего количества.
  9. Процент пользователей, имеющих общие учетные записи от их общего количества.
  10. Процент зарегистрированных инцидентов по категориям за определенный промежуток времени от их общего количества.
  11. Процент компонентов системы, которые проходили обслуживание в соответствии с графиком от их общего количества.
  12. Процент носителей информации, которые были очищены гарантированным способом от их общего количества.
  13. Процент инцидентов с использованием неразрешенного физического доступа в помещения, где расположены информационные системы, от общего числа инцидентов физического типа.
  14. Процент сотрудников, вначале подписавших правила ИБ и только потом получивших доступ к информационной системе, по отношению к общему числу сотрудников, получивших доступ.
  15. Процент проверенных лиц до предоставления им прав доступа к информации организации к общему числу лиц.
  16. Процент устраненных уязвимостей за определенный интервал времени по отношению к выявленному в результате сканирования общему количеству уязвимостей.
  17. Процент систем или сервисов, контракты на покупку которых, содержат требования ИБ, по отношению к общему количеству таковых.
  18. Процент мобильных компьютеров и устройств, на которых проводятся криптографические операции с использованием модулей шифрования, соответствующие требованиям стандарта FIPS 140-2, от их общего числа.
  19. Процент уязвимостей ОС, на которых сканеры безопасности продолжали сообщать о наличии уязвимостей после применения патчей или же после уменьшения уровня риска иным путем до приемлемого уровня, по отношению к общему количеству уязвимостей, выявленных сканером безопасности.

суббота, 22 октября 2011 г.

Озон и персональные данные

GLОчень был удивлен увидев на сайте Интернет-магазина «Озон» что-то относящееся к теме персональных данных.

Так вот, не поставив нижнюю галочку, не удастся зарегистрироваться и соответственно оформить заказ. Тыкаем на ссылку «Подробнее…» и читаем: 
«При регистрации на Сайте Клиент предоставляет следующую информацию: Фамилия, Имя, адрес электронной почты, пароль для доступа к Сайту.»
Пока нормально, читаем дальше:
«Продавец использует информацию:
для регистрации Клиента на Сайте;
для выполнения своих обязательств перед Клиентом;
для оценки и анализа работы Сайта;
для определения победителя в акциях, проводимых Продавцом.
Продавец вправе направлять Клиенту сообщения рекламно-информационного характера. Если Клиент не желает получать рассылки от Продавца, он должен изменить соответствующие настройки подписки в разделе "Мой OZON" - "Рассылки и Оповещения". Для входа необходимо ввести логин и пароль.
Автоматически соглашаемся на спам и читаем дальше шикарную фразу (я даже выделил ее жирным):
Продавец обязуется не разглашать полученную от Клиента информацию. Не считается нарушением предоставление Продавцом информации агентам и третьим лицам, действующим на основании договора с Продавцом, для исполнения обязательств перед Клиентом.»
Я бы сделал следующий вывод. В интернет-магазинах безопаснее всего регистрироваться на имя Васи Пупкина с адресом vpupkin@домен.ru

Непрерывность с примером

Мало кто из ИТ-сотрудников компаний знают, что такое непрерывность бизнеса, и тем более занимаются конкретными процессами восстановления отдельных сервисов. Для того чтобы понять с какой стороны подойти к внедрению этих процессов, я всегда руководствовался следующими простыми правилами – нужно ответить на следующие вопросы:
·         что случится, если ПК сотрудника отдела «X» выйдет из строя и сколько времени допустимо на восстановление его работоспособности? (и так по всем сотрудникам);
·         что случится, если сервер «X» выйдет из строя и сколько времени допустимо на восстановление его работоспособности? (по всем серверам);
·         что случится, если сетевое оборудование «X» выйдет из строя и сколько времени допустимо на восстановление его работоспособности? (по всему оборудованию).
Конечно, нужно рассматривать только критичные ПК, например те, на которых работают сотрудники бизнес подразделений, с которых ведутся платежи и др. в зависимости от направления компании. Точно такой же подход должен быть с серверами – важными могут быть серверы электронной почты, серверы с данными клиентов, серверы бизнес-приложений. Из сетевого оборудования важными всегда являются  маршрутизаторы и коммутаторы уровня ядра, а также оборудование, через которое происходят подключения с сетями клиентов.
Для этого нужно разработать план восстановления (оборудования, ПО, системы и т.д.) в зависимости от типа неработоспособности, внедрить в организации этот процесс и, что самое важное, регулярно проводить тестирование данного плана, по результатам которого вносить в него корректировки.
Само собой, что процессы резервного копирования на уровне данных и восстановление данных из резервных копий никто не отменял. Более того из этого следует, что в компаниях должен быть резерв типовых компонентов на случай выхода из строя существующего оборудования. Имеет смысл в резерве держать только то, без чего нельзя обойтись: процессоры, память, диски. Все остальное должно быть доступно для оперативной покупки в случае возникновения нештатной ситуации.
Если же компания имеет территориально распределенную структуру, нужно мыслить более масштабно. В этом случае помимо вышеуказанных категорий добавляются следующие:
·         что случится, если не работает отдел «X» и сколько времени допустимо на восстановление работоспособности (и так по всем  отделам);
·         что случится, если не работает филиал «X» и сколько времени допустимо на восстановление работоспособности (и так по всем  филиалам);
·         что случится, если не работает технологический или бизнес процесс «X» и сколько времени допустимо на восстановление работоспособности (и так по всем  процессам).
Тут важно понимать, что эффективнее делать в подобных ситуациях: восстанавливать работоспособность в текущем месте, в другом месте, на существующих или на других ресурсах. В каких-то случаях можно заключить договор о взаимопомощи с дружественной организацией. Такая организация должна
В моей практике было несколько примеров восстановления функционирования критичных сервисов, об одном из которых я хочу рассказать.
Случай произошел, когда я работал системным администратором в средней по размерам консалтинговой компании. Стояла задача миграции инфраструктурных решений на базе Microsoft Active Directory (AD) и Lotus Notes/Domino (Lotus)со старых версий на новые. Руководством было принято решение, что миграцией AD будем заниматься мы сами, а миграцией Lotus Notes займется ИТ-интегратор, у которого есть опыт подобной работы. Риски второй задаче заключались в том, что Lotus использовался в качестве корпоративной информационной системы и в нем присутствует важная информация.
По поводу первой задачи ИТ отдел подготовился следующим образом:
·         купили специальную литературу;
·         меня отправили на курсы Microsoft;
·         создали тестовую среду, повторяющую существующую;
·         сделали необходимые резервные копии;
·         провели пробную миграцию в тестовой среде;
·         провели миграцию в продуктивной среде.
Сама миграция происходила с выходные дни. За исключением каких-то мелочей все прошло гладко. Все пришедшие в понедельник на работу сотрудники также как обычно вошли в сеть и продолжили работу.
По поводу второй задачи руководством ИТ было выбрана следующая тактика:
·         поставили задачу интегратору;
·         интегратор провел мини обследование;
·         интегратор составил мини-план миграции;
·         интегратор провел неудачную миграцию.
Стоит рассказать, что же произошло, и как мы выбирались из этой ситуации. Lotus состоял из сервера приложений и сервера баз данных. С целью минимизации затрат было решено не трогать базу данных, а ограничиться только заменой сервера приложений. Интегратором был установлен и настроен новый сервер приложений, однако когда пришло время подключаться к серверу баз данных, выяснилось, что он функционирует как-то не правильно. При ближайшем рассмотрении выяснилось, что его массив вышел из строя, и с ним нужно было что-то делать. Интегратор заверил нас, что это частое явление, и они это сейчас исправят. После того как они поменяли диски местами, установили новый диск и запустили восстановление массива - все поняли, что данные уже не вернуть. Хорошо, что мы сделали на всякий случай резервную копию данных, но, к сожалению, не по фактическому завершению всеми сотрудниками работы, а в 19:00. Далее сотрудники интегратора заявили, что, во-первых, восстановление сервера в их функции не входит, а во-вторых, работа во внеурочное время им не будет оплачена и удалились.
Нам пришлось с нуля восстанавливать сервер баз данных, устанавливать на него все необходимые приложения и восстанавливать данные из резервной копии. Это все было проделано в субботу.  Замечу, что сотрудники интегратора успешно отдыхали все выходные дни.  Полностью работы были доделаны лишь к концу понедельника. Таким образом, частичный простой для компании или, как еще можно выразиться, ее неэффективная работа, продолжалась в целом 1 рабочий день. Также мы потеряли небольшую часть данных, которые восстанавливались до конца понедельника.
Какие ошибки были допущены, и как их можно было избежать?
·         не сохранились данные за последний час работы пятницы – нужно было сделать резервную копию после окончания работы всех сотрудников;
·         вышел из строя массив сервера базы данных – нужно было проверить и подготовить сервер к работам заранее, возможно следовало бы купить новый сервер.
·         часть дня понедельника было потрачено на завершение работ – нужно было предусмотреть в договоре работу интегратора во внеурочное время.

понедельник, 3 октября 2011 г.

Моя борьба с акадо

Уже несколько лет я воюю с практически неизвестным Интернет-провайдером "акадо". Моя борьба с ними началась через несколько месяцев после подключения. Единственное замечание на них это методичные звонки с навязчивым предложением подключить ту или иную "выгодную" услугу. Все годы я регулярно точно и в срок вношу свои деньги на счет и пользуюсь услугой.      
Анализ сети Интернет показал, что это хамское их поведение абсолютно нормально. Они недавно обзавелись Call-центром в Туле, собственно оттуда и производят их менеджеры методичные звонки. Весь Интернет пестрит советами, как избавиться от столь ненавязчивого сервиса.
Пассивная стадия. Для начала я купил себе АОН, чтобы понять, кто мне ежемесячно звонит. Вот их номер телефона: 657-85-50. Далее мне пришлось сменить номер мобильного телефона, чтобы уменьшить их зону влияния. Этим летом я начал вести журнал входящих звонков с данного номера.
Активная стадия. Я подготовил и уже отправил несколько заявлений в ряд государственных органов с просьбой разобраться с данной компанией. Список инстанций пока следующий: Антимонопольная служба, Роскомнадзор, Прокуратура. То есть работу их юристам я гарантированно обеспечу.
Привожу текст письма и их первую реакцию на него. Вот текст письма:

Удивительно, но очень быстро пришел от них ответ:

Вывод: всем абонентам данного оператора, желающим пользоваться сервисом, а не подходить бесконечно к телефону, я рекомендую последовать моему примеру и сделать рассылку во все инстанции по списку.

среда, 28 сентября 2011 г.

Парадоксы безопасности или палка о трех концах (юмор)


Берем за пример известную дилемму: быстро, качественно, дешево. То, что будет в результате совмещения качеств видно на этом рисунке.

Всем известны основные свойства информации: конфиденциальность, целостность и доступность. Открываем ИСО/МЭК 27000 и читаем определения:

Конфиденциальность - свойство, что информация не сделана доступной или не разглашена неуполномоченным лицам, организациям или процессам;
Целостность - свойство оберегания точности и полноты активов;
Доступность - свойство быть доступным и годным к употреблению по требованию уполномоченного лица.

Теперь аналогичным образом раскладываем свойства информации. И если подумать, вот что получается:
1.       Информация конфиденциальна и целостна, значит она точно никому не доступна;
2.       Информация конфиденциальна и всем доступна, значит она точно уже не целостна;
3.       Информация целостна и всем доступна, значит она точно уже не конфиденциальна.
?.    Это вообще нонсенс. Я не видел еще ни одной технологии и ни одной реализации этой технологии, чтобы и мед и пчелы и медведи были одновременно и целы и сыты и довольны.

среда, 21 сентября 2011 г.

Недостатки интернет банка Уралсиб

Являясь клиентом УралСиб, хочу обратить внимание на небольшие недостатки в подходах к безопасности в Интернет банке при подписании заявлений.
Клиентам предлагается подписывать заявления на выбор двумя путями: либо воспользоваться одноразовым паролем из списка паролей либо сгенерировать одноразовый пароль с помощью специального устройства. Мне видятся недостатки в реализации каждого способа.

Списки одноразовых паролей:
·         Списки печатаются на листах А4. Соответственно эту бумагу можно запросто разорвать, выкинуть, приняв за хлам или даже засунуть в шредер. Хороший путь размещать одноразовые пароли на скретч-картах, размером с банковскую карту.
·     Конверт с паролями продается за 50 рублей. Вместо того, чтобы их выдавать бесплатно, чтобы клиенты лишний раз не приходили в офис, с них берется лишняя копейка.


Генератор одноразовых паролей:
·         Устройство перед генерацией не спрашивает пароль . Получается, что любой злоумышленник может сгенерировать одноразовый пароль, просто нажав на нем кнопку. Справедливости ради отмечу, что устройство привязано к клиенту и в нем присутствует уникальная для каждого клиента информация, участвующая в алгоритме генерации одноразового пароля.
·         Устройство продается за 800 рублей. Это абсолютно завышенная цена, особенно учитывая, что это лишь OTP-токен. Тем более, что Интернет Банк позиционируется для физических лиц.


Также я обратил внимание на позитивную технологию. Это виртуальная клавиатура, по которой не нужно кликать мышью, а достаточно затаить мышь возле нужных клавиш. Как говорится, даже если у вас сломались все клавиши мыши, вы всё равно сможете подтвердить платеж. :-)



воскресенье, 18 сентября 2011 г.

Инновационное уничтожение информации

Сейчас только ленивый не говорит об инновационных технологиях, как они полезны для общества и государства. Я вот тоже не хочу отставать от тенденций современной России, поэтому предлагаю обсудить тему «стопудового» удаления информации.
Обратимся к некоторому продукту. Вот как это сделано в нем. Нужно выбрать файл для удаления, поставить всего лишь две галочки и нажать кнопку «Удалить». Сразу видно, что всё сделано по старинке, очень примитивно и совершенно нет никаких инноваций.

Гарантирует ли это безопасность удаления информации с точки зрения бизнеса? Конечно же, нет! Чтобы радикально исправить ситуацию предлагается следующий инновационный концепт (конечно же, это должны быть «облачные» технологии):

По-прежнему вначале нужно выбрать файл для удаления. Теперь нужно проставить всего 10 галочек в зависимости от уровня вашей квалификации, профессионального понимания и суждения, ну и ряда других качеств и причин. После нажатия кнопки «ДОВЕРИТЬСЯ ПРОГРАММЕ» происходит анализ по всем выбранным критериям. Вот здесь и кроется инновационное НОУ-ХАУ:
·         каждый сотрудник имеет собственный проходной балл (U1-UN);
·         каждый критерий имеет заранее определенный вес (К110).
Далее по формуле в зависимости от выбранных критериев вычисляется уровень доверия (D) и если он превышает проходной балл (U), то удаление файла разрешается.
Наконец-то удаление информации в организации стало таким простым и надежным! :-)




среда, 14 сентября 2011 г.

Самооценка (перевод)

Сделал перевод подраздела любимой книги CISA Review Manual по интересной мне теме. Хоть сейчас не самое удачное время для проведения самооценки в банках с точки зрения легитимности СТО БР, но всё таки. Так как английский язык я пока знаю далеко не в совершенстве, возможная кривизна перевода может иметь место :) 

Управление самооценкой
Управление самооценкой может быть определено как технология менеджмента, которая обеспечивает уверенность руководству, заказчикам, другим заинтересованным сторонам, что система внутреннего контроля для бизнеса работоспособна. Самооценка обеспечивает осведомленность сотрудников о рисках для бизнеса, регулярную переоценку рисков, проактивный подход контролирования их. Эта методология используется для наблюдения за ключевыми бизнес процессами, связанными с ними рисками, и системой внутреннего контроля, разработанной для формального управления этими бизнес рисками, а также совместного документирования процесса.
Практически самооценка это ряд инструментов, предназначенных для постоянной тренировки, начиная с простого анкетирования до практических занятий. Она проводится для получения информации по рассматриваемой области для предоставления менеджменту организации. Основные инструменты проекта по самооценке: технические, финансовые и операционные. Это могут быть встречи с руководством, семинары с сотрудниками, письменные задания, тесты и др. Это нужно для получения информации с разных уровней организации (некоторые организации часто опрашивают клиентов или партнеров).
Самооценка может проводиться разными методами. Для небольших бизнес подразделений она проводится в виде практических семинаров, где менеджеры совместно с сотрудником, проводящим самооценку, вовлекаются в процесс контроля организации.
Для организаций, имеющих несколько территориальных офисов данная техника не применима. В этом случае нужны смешанные технологии. Для лучшего понимания положения дел может использоваться регулярное анкетирование, с последующим анализом эффективности оцениваемых процессов. Этим может заниматься управляющий менеджмент на регулярной основе. Однако такие технологии эффективны, только если анализ и уточнение вопросов проводится на постоянной основе.

Цели самооценки
У самооценки есть несколько целей. Первичная цель самооценки это воздействие на некоторые функции внутреннего аудита, путем перевода ответственности за наблюдаемые контроли в функциональную плоскость. Это не подразумевает ответственность за аудит, а лишь расширяет её. Линейные руководители, ответственны за управление доверенным им окружением. Самооценка также должна обучать менеджмент управлению, наблюдению, концентрации внимания о высоких рисках. Эти программы не только требуют политик для своего выполнения. Взамен они предлагают разные уровни поддержки, начиная с написанных советов и предложений до углубленных семинаров. Далее семинары включаются в программу в качестве дополнительных целей, после которых доверенные сотрудники определяют уже степень самооценки и улучшают её при необходимости.
Когда выполняется самооценка, измерение показателей успешности должно проводиться на каждой стадии (планирование, разработка, наблюдение) и их оценки должны подходить для последующего использования. Один важный фактор - проведение встреч с ответственными за бизнес процессы. Дополнительно, должны отождествляться действия, направленные на повышение вероятности в достижении главных целей организации.
Главное это установить цели и их метрики для каждого процесса, который может наблюдаться при самооценке, это все сведено в CobiT.
CobiT - это структурированный свод процессов управления и система их контролей, предоставляющая инструкции развитых методов и оценок. Это позволяет разработать метод самооценки, идентифицирующий задачи и процессы, действительные для бизнес окружения и определяющие контроли, подходящие для них. Самооценка, проводимая путем анкетирования, может быть разработана для достоверных целей, которые идентифицируют ИТ-процессы. Разные компоненты CobiT, такие как Матрица входов\выходов процессов, RACI-диаграмма, Цели и Метрики могут быть преобразованы в формы анкет для проведения самооценки по каждой требуемой области.

Преимущества самооценки
Некоторые преимущества самооценки:
·         Легкое обнаружение рисков;
·         Более эффективная, по сравнению с внутренним контролем;
·         Создание сплоченной команды, вовлеченной в процесс;
·         Разработка разумных для собственников контролей персонала и процессов, и снижение их сопротивляемости к инициативам для усовершенствования контролей;
·         Увеличение осведомленности персонала организации целям, рискам и внутренним контролям;
·         Улучшение уровня взаимодействия между линейными руководителями и топ менеджментом;
·         Повышение уровня мотивации персонала;
·         Повышение уровня значимости аудита;
·         Снижение стоимости контрольных процедур;
·         Уверенность руководства и заказчиков;
·         Некоторая уверенность топ менеджмента об адекватности системы внутреннего контроля, требованиям различных проверяющих организаций, законов, таких как US Sarbanes-Oxley Act.

Недостатки самооценки
Самооценка потенциально содержит несколько недостатков, среди которых:
·         Это может быть ошибкой, так как функции аудитора замещаются;
·         Это может быть оценено как дополнительная нагрузка (например, лишние отчеты для руководства);
·         Отказ от действий по улучшению может повредить моральным качествам персонала;
·         Недостаток мотивации может ограничить эффективность в обнаружении слабых сторон.

Роль аудитора при проведении самооценки
Когда отдел аудита проводит самооценку, роли аудиторов должны быть достаточно широкими и продуманными. Когда роли разработаны, аудиторы могут профессионально помогать службе внутреннего контроля. Результаты оценки – данные, которые являются собственностью организации, за которые менеджмент организации берет ответственность в процессе улучшения структуры управления, включающей действия по наблюдению за оцениваемой областью.
Для того, чтобы аудит был эффективным и рациональным, аудитор должен понимать оцениваемые бизнес процессы. Он может использовать такие традиционные подходы, как предварительное изучение и только потом выход на место. Также аудитор должен помнить, что он частично помогает менеджменту организации управлять персоналом, проводя самооценку. Например, в течение семинаров, аудитор проводит детализированные процедуры, ведет и обучает процессу аудита с целью получения свидетельств, согласующихся с целями аудита,  используя риск ориентированный подход. Менеджеры, наблюдая за тем как проходит процесс аудита и желая его улучшить, должны предлагать заменять одни технологии на лучшие. В этом случае, аудитор лучше может объяснить риски, которые ассоциируются с подобными изменениями.

Технологии проведения самооценки
Разработка техник получения информации и принятия решений необходимая часть самооценки. Некоторые техники предписывают включать аппаратные и программные средства для поддержки самооценки и использовать электронные системы проведения собраний, а также системы, помогающие принимать решения. Группа принятия решений - важный компонент проводимых семинаров, целью которой является проверка полномочий, присутствующих на них сотрудников. В случае анкетирования определенные принципы применяются для анализа и совершенствования анкет.

Традиционный подход против самооценки
Традиционный подход основывается преимущественно на обязанности анализировать и сообщать службе внутреннего контроля о выявленных аудиторами рисках, причем, делая это нужно стремиться уменьшать область проводимой оценки, контролируемую отделом аудита или внешними консультантами. Этот подход создан и укрепляется позициями традиционных аудиторов и консультантов, но не менеджмента организации и рабочих групп, ответственных за оценку и подготовку отчетов для службы внутреннего контроля.
Самооценка же проводится по-другому:  подчеркивается участие менеджмента, в том числе финансового для наблюдения за важными и критичными бизнес процессами и последующей подготовки отчета для службы внутреннего контроля.
Отличие одного подхода от другого:
Традиционный (исторически сложившийся)
Самооценка
Определение обязанностей / возможностей персонала
Понимание полномочий / подотчетность персонала
Следование политикам и правилам
Постоянное улучшение / обучающие курсы
Ограничение участия персонала
Тренинги для расширения участия персонала
Ограниченное наблюдение руководством
Наблюдение советом директоров
Аудиторы и другие специалисты
Персонал всех уровней, выполняющий все контролируемые функции
Подготовка отчетов
Подготовка отчетов