Департамент Внутреннего Аудита в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».
Преимущества данного подхода:
Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности обязательный.
Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.
Наличие цепочки контролей и взаимный мониторинг. ИТ имеет максимальные возможности к информационным системам. За обладателями таких возможностей необходим надлежащий контроль. Фактически эта роль возлагается на департамент Безопасности, по принципу «Вы следите за всеми мы следим за вами». Все действия ИТ отслеживаются и передаются за пределы ИТ департамента. В тоже время, ИТ отслеживает действия департамента Безопасности в рамках «обычных пользователей» систем.
Департамент Безопасности отвечает за информационную безопасность
организации в целом. Непосредственно отвечает за физическую безопасность, системы контроля доступа, видеонаблюдения, оповещения и пожаротушения.
Документирование деятельности ИТ
Устав ИТ департамента;
План стратегического развития или ИТ стратегия;
Высокоуровневая ИТ Архитектура предприятия;
Стратегия Информационной Безопасности;
Различные Планы и сценарии Непрерывности Бизнеса;
Оперативный план ИТ;
Бюджет ИТ (стратегический и оперативный);
Перечень предоставляемых ИТ сервисов;
Классификация ИТ сервисов и активов и матрица доступов;
Должностные инструкции сотрудников;
План непрерывности бизнеса;
Планы резервного копирования и востановления;
Политики и процедуры управления ИТ сервисами (ITSM);
Детальная архитектура и руководство по каждому ИТ сервису;
Формы и акты по оказанию ИТ сервисов и учету ИТ активов;
Проектная документация по ИТ сервисам;
Отчет по состоянию ИТ сервисов;
Маркировка и именование ИТ активов
Маркировка серверов
ABCD-KLM-XYZ12
ABCD: определяет ИТ сервис (например, ADS, DHCP, RDP и т п). Может состоять из трех, четырех символов.
KLM: определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.
XY: определяет роль данного сервера в предоставляемом ИТ сервисе (например, DC, FDC, MS, DA и т п). Может состоять из двух, трех символов.
12: определяет порядковый номер сервера с данной ролью. Может состоять из двух символов.
Примеры: ADDS-PDC-FDC01, ADDS-PDC-DC01, DHCP-PDC-MS01, RDP-PDC-WA01, SPS-PDC-DB01
Маркировка сетевого оборудования
AB-KLM-WXYZ-12-34
AB: определяет тип устройства (например, SW, RT, GW и т п). Может состоять из двух, трех символов.
KLM: определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.
WXYZ: определяет роль устройства (например, CORE, DSTR, ACCS и т п). Может состоять из трех, четырех символов.
1234: определяет порядковый номер устройства с данной ролью или этаж. Может состоять из двух, четырех символов.
Примеры: SW-PDC-CORE-01, SW-PDC-ACCS-01, AP-PDC-ACCS-01-01
Маркировка систем хранения, резервного копирования и архивирования данных
ABCD-KLM-WXYZ12
ABCD: определяет тип устройства (например, STRG, TAPE и т п). Может состоять из трех, четырех символов.
KLM: определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.
WXYZ: определяет роль устройства (например, MAIN, BACKUP, ARCH и т п). Может состоять из трех, четырех символов.
12: определяет порядковый номер устройства. Может состоять из двух символов.
Примеры: ST-PDC-MAIN01, ST-PDC-BACKUP01
Маркировка систем конечных пользователей
AB-KLM-XY123456789
AB: определяет тип устройства (например, WS, LT и т п). Может состоять из двух, трех символов.
KLM: определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.
XY123456789: определяет порядковый или серийный номер устройства.
Примеры: WS-PDC-AV201736454, LT-SDC-00001
Маркировка офисной техники
ABCD-KLM-XY-123456789
ABCD: определяет тип устройства (например, PRNT, COPR и т п). Может состоять из двух, трех символов.
KLM:
определяет расположение или принадлежность компании (PDC, SDC и т п). Может состоять из трех, четырех символов.
XY-123456789: определяет порядковый или серийный номер устройства, этаж расположения или тип.
Примеры: PRNT-PDC-CL-201736454, COPR-SDC-BW-00001, COPR-SDC-1F-00001