13.10.2023

ITS Inventory - продукт, який допомагає легко проходити зовнішній аудит.
Сучасні банки та корпорації неможливі без обширної ІТ-інфраструктури. Аналогічно неможливо уявити функціонування ІТ-інфраструктури без постійного контролю. Адже відсутність належного контролю над ІТ-інфраструктурою може призвести до появи в ній уразливостей, несподіваних збоїв і відкрити двері для різних зловмисних дій, що в кінцевому підсумку може стати причиною кризового стану. Така ситуація може призвести до порушення бізнес-процесів, зупинки виробництва або навіть до фінансових втрат.
ІТ-інфраструктура повинна перебувати під регулярним контролем, і найкращим способом забезпечити цей контроль є проведення аудиту.
Аудит сприяє підвищенню загального рівня інформаційної безпеки, забезпечує впевненість у надійності ІТ-інфраструктури, а також дозволяє оцінити ефективність заходів з інформаційної безпеки й отримати докладний звіт із рекомендаціями щодо подальшого вдосконалення. Аудит може бути як внутрішнім, так і зовнішнім. У цій статті ми зосередимося на зовнішньому аудиті. Це складніший процес, ніж внутрішній аудит, і, отже, потребує особливої уваги.
Банки та великі компанії мають проходити зовнішні аудити на відповідність різним вимогам кібербезпеки. Найбільш поширені аудити проводяться на відповідність вимогам PCI DSS, SOС1, SOС2, ISO 27001, розпоряджень НБУ. Багато компаній та банків змушені проходити до 10 зовнішніх аудитів протягом одного року.
Для успішного проходження зовнішньої аудиторської перевірки необхідно відповідати певним вимогам. Досить часто виконання таких вимог супроводжується виникненням цілого ряду складних проблем. ІТ-інфраструктура, подібно до живого організму, постійно змінюється. Як можна контролювати цю різноманітність змін? Це дійсно одна з ключових проблем, з якою стикаються ІТ-відділи банків та великих компаній.Усі вимоги, які ставляться до банків і великих компаній (так званий Сompliance), можна розділити на кілька категорій:
● Процесні - передбачають, що в компанії ведеться певна діяльність (процес).● Документарні - потрібна наявність документів, політик, інструкцій, методик.● Організаційні - торкаються питань компетенції, персоналу, наявності ресурсів.● Технічні - вимагають впровадження певної технології, конфігурації або програмного забезпечення.
Перші три пункти майже неможливо автоматизувати, оскільки в будь-якому випадку аудитору потрібно продемонструвати, як працюють люди, надавати необхідну документацію та відповіді на багато запитань.Четвертий пункт - технологічний, його можна виконувати та контролювати за допомогою спеціально розроблених програмних продуктів. Про один такий програмний продукт ми розкажемо трохи пізніше.
Чим масштабніша ІТ-інфраструктура, тим складніше її перевіряти. Складність перевірки технічних вимог аудитора полягає в тому, що кількість компонентів такої ІТ-інфраструктури вираховується тисячами або десятками тисяч.
Під час підготовки до аудиту команда ІТ спільно з командою ІБ вручну або за допомогою існуючої системи моніторингу перевіряють кожний сервер, кожне робоче місце, кожний елемент мережевої інфраструктури. Це перевірка на відповідність поточних налаштувань налаштуванням, які вимагає той чи інший стандарт. Подібна робота може займати кілька місяців.
Коли приходить зовнішній аудитор, завжди виникають неприємні сюрпризи - він обов'язково знайде щось в ІТ-інфраструктурі і вимагатиме доробок. Наприклад, стався збій на сервері або відбулися зміни в ІТ-інфраструктурі, яка постійно змінюється, як ми вже раніше згадували.
Щоб не опинитися в безкінечних доробках і перевірках ІТ-інфраструктури, необхідно мати такий програмний продукт, який постійно буде слідкувати за інфраструктурою й сповіщати, якщо який-небудь компонент не відповідає вимогам.
Такий програмний продукт повинен виявляти відхилення та сигналізувати про них. При цьому він повинен це робити в стислі терміни або, краще сказати, в режимі реального часу.
На ринку існують комплекси інвентаризації, обліку та контролю ІТ-інфраструктури, які обіцяють повну видимість усіх її елементів, збір всієї інформації про кожен елемент та можливість перевірки виконання ними вимог. Такі комплекси є досить дорогими, складними в реалізації та вимагають окремої команди для їх обслуговування. Проте вони навіть у цьому випадку не гарантують відсутності помилок, застарілих даних і пропуску частини інфраструктури (неповного покриття).
Наші спеціалісти часто стають свідками проблем, з якими зіштовхуються клієнти. Тому ми взяли на себе завдання - створити доступний, зручний програмний продукт, який буде стежити за всією ІТ-інфраструктурою і сповіщати користувача про всі зміни та перетворення. При цьому збір інформації повинен бути швидким, умовно кажучи, лише за кілька кліків. Важливо, щоб для використання цього продукту не було потреби наймати окрему команду, розгортання чи впровадження продукту відбувалося швидко, а інтерфейс був зручний у використанні.
Через певний час завдання було виконано - створено програмний продукт ITS Inventory.
Як програмний продукт ITS Inventory допомагає відповідати вимогам зовнішніх аудиторів?
Основна мета ITS Inventory - збирати всю доступну в мережі інформацію про ІТ-інфраструктуру та надавати її спеціалістам зі сфери інформаційної безпеки та адміністраторам ІТ.
ITS Inventory постійно оновлює інформацію з частотою від 2 до 60 хвилин. Отже, користувач отримує свіжі та максимально повні дані про всі компоненти ІТ-інфраструктури.
В ITS Inventory існує функціональність для завантаження бібліотеки зовнішніх стандартів адміністраторами. При цьому автоматично проводиться перевірка елементів інфраструктури на відповідність вимогам зовнішніх аудиторів, виявляючи як відповідні, так і невідповідні компоненти. У графічному інтерфейсі ITS Inventory надається зведений звіт про ступінь відповідності, що дозволяє швидко виявити проблеми і їх виправити.
Бібліотека зовнішніх стандартів ITS Inventory включає в себе всі найпопулярніші вимоги та стандарти PCI DSS, ISO 27001, НБУ 95, NIST CSF. Крім того, компанії можуть додавати власні стандарти та вимоги до цієї бібліотеки.
Унаслідок цього ITS Inventory стає незамінним інструментом для аналітиків SОС (центрів операційної безпеки), внутрішніх аудиторів, IT-менеджерів та комплаєнс-офіцерів.
Використання програмного продукту ITS Inventory надає керівництву компанії впевненість в тому, що IT-інфраструктура відповідає вимогам зовнішніх аудиторів.
Про програмний продукт ITS Inventory можна довго та вичерпно розповідати, але краще оцінити його функціональність на практиці!
Ми запрошуємо вас взяти участь у тестуванні ITS Inventory, де ви зможете переконатися, наскільки легко забезпечувати підтримку ІТ-інфраструктури відповідно до вимог зовнішніх аудиторів.
ITS Inventory - це успішне та легке проходження зовнішніх аудитів!