Портал №1 по управлению цифровыми
и информационными технологиями

Безопасное управление инцидентами

Многие менеджеры процесса управления инцидентами знают, что чтение записей инцидентов порой весьма занятное занятие. И вопросы пользователей и описания решений, оставленные ИТ-специалистами, в некоторых случаях заставляют улыбнуться. Конечно в идеале все должно быть строго, по делу, с четко выверенными формулировками и т.д. Фактически же менеджер бывает не в состоянии проверить все инциденты и их описания и отправить на повторное документирование ИТ-специалистам. Но к сожалению, очень часто записи инцидентов содержат информацию, которая должна быть доступна ограниченному кругу лиц. Вот только несколько примеров такой информации:

  • параметры настройки ИТ-систем и оборудования
  • пароли пользователей и системных учетных записей
  • лицензионные ключи к ПО

Даже сам факт регистрации инцидента в некоторых случаях может быть такой информацией. В одной из компаний, в которой я внедрял процесс управления инцидентами, ИТ поддерживали ПОС (пожароохранные сигнализации). Так вот, инцидент, в котором написано, что не ставится на охрану комната или даже этаж, был виден только специалистам отдельной группы, потому что это потенциальный риск. Таких же примеров, можно вспомнить или придумать еще массу.

Вспомнил и решил написать, потому что при всей очевидности этой идеи, часто сталкиваюсь с тем, что этому вопросу вообще не уделяется внимание. Причем не только в небольших компаниях, где все по-умолчанию друг другу доверяют, но и в крупных, где заведомо больший штат, есть текучка, есть аутстафферы и т.д.

«VAP: Управление поддержкой ИТ-услуг»
Концентрация знаний и опыта без натаскивания на экзамен

Комментариев: 21

  • Pavel Solopov

    А как вы в автоматическом режиме будете определять, что нужно скрывать, а что нет?

    Задачка не из простых.

    Насколько мне известно, в HP SM, такой функции по умолчанию нет. но можно реализовать, если алгоритм будет.

    P.S. Почему-то нет ссылки «Ответить». Это баг или фича?

    • Илья оставил комментарий в Facebook, и этот комментарий автоматом скопировался сюда. Ответить на него никак не получится — Facebook не поддерживает дерево комментариев.

  • Максим

    Раз уже дискуссия инициирована, хочу добавить свои пять копеек:

    Интересно, а OmniTracker это умеет (без длительного дорогостоящего программирования для КАЖДОЙ группы доступа)?

    • В OMNITRACKER довольно развитый механизм предоставления доступа, как к отдельным полям, так и к объектам, который позволяет «без дорогостоящего программирования» мышкой настроить доступ.

      В частности, в OMNITRACKER CleverENGINE реализован механизм Restriction Group, который позволяет ограничивать видимость любых объектов, от инцидентов до конфигурационных единиц.

      • Pavel Solopov

        Ну я так понимаю в контексте вопроса нужно не доступ к полям ограничить, а доступ к конкретной информации. Т.е. если кто-товписал в «Решение» логин с паролем, то логин с паролем скрыть, а всё остальное оставить.

        А разграничить доступ к полям это-то задача из более-менее стандартных.

        • Поэтому я и написал «так и к объектам» 🙂

          Скрывать куски текста в описании решения...

          Мне пока такое не попадалось. Да и критерии не поддаются машинной обработке.

          • Pavel Solopov

            Мне пока такое не попадалось

            Ну как же, вот на этом самом сайте реализован такой механизм, всякие неприличествующие слова скрывает. Открываете решение инцидента, а там сплошные звёздочки... 🙂

            Надо работать над культурой общения специалистов. 🙂

            Да и критерии не поддаются машинной обработке

            Вот и я о чём...

            • «всякие неприличествующие слова скрывает»

              о том и речь, что мощность множества таких слов величина конечная и поэтому их можно просто перечислить. А вот решение о том, что есть секретная информация, а что нет, принимать придется человеку.

              И если для объекта целиком такое решение можно принимать например, на основании привязанной КЕ, ИТ-услуги, предметной области, то выбрать в тексте кусок — задача творческая 🙂

              • Pavel Solopov

                Ну по КЕ, услуге или предметной области можно конечно как-то отчасти данный вопрос закрыть, но на вскидку мне кажется эффективность будет не велика.

                Разве что показывать инциденты группам по их зоне ответственности, но тут встаёт вопрос как это скажется на обмене знаниями и прозрачности происходящего.

                Просто вопросы «как обеспечить безопасность» часто приходят к результату «ничего никуда не писать, никуда ен подключать, да и вообще ничего не внедрять» 🙂

            • Вадим

              типа презентации с комментарием через интернет?

    • Конечно 🙂 Restriction groups это действительно про видимость объектов. Видимость отдельных полей реализована иначе — настройкой разрешений. Например, мы в Cleverics ведём в OMNITRACKER учёт договоров и платежей. При этом далеко не все люди, которые видят клиента или договор или курс видят и связанную с ними финансовую информацию. Длительного программирования это не требует, но настройка, конечно, нужна. И довольно аккуратная, в безопасности мелочей нет.

      • Максим

        Видимо что-то изменилось в этом мире;-) В тех двух случаях, когда было необходимо разграничить права на просмотр инцидентов, потребовались именно что доработки или очень глубокие настройки. Конкретикой не владею, могу судить только по трудозатратам уважаемого контрагента;-)

        • Я ж и говорю: «но настройка, конечно, нужна. И довольно аккуратная, в безопасности мелочей нет.»

        • Кроме того, если я правильно понимаю о чём речь, у Вас не CleverENGINE. Т.е. механизма Restriction group разработчиком в приложение не заложено.

          • Максим

            Я имел ввиду коробочную версию. Это я к тому, что случае с OmniTracker скорее вопрос не в зрелости организации, а в трудоемкости настройки продукта;- (

            • Речь о «невидимости» отдельных полей, да? Сама настройка свойств видимости поля очень проста — минута на поле. Трудозатраты возникают не здесь, а вот где: определить условия видимости для исходного объекта (например, инцидента), проработать условия видимости для связанных объектов (заданий, CI и прочего), разработать структуру групп безопасности, проверить клиентские бизнес-правила на предмет работы с этими полями, развернуть решение на тестовой среде, провести тестирование, перенести в продуктив. Если дополнительно включается разграничение видимости по объектам + похожая цепочка действий для объектов. Это не вопрос зрелости компании и в значительной степени не вопрос продукта. Это свойство самой задачи.

              Аналогично мы решали вопрос у нас внутри. Суммарно это вопрос нескольких дней.

              • Максим

                Безопасность это всегда баланс — стоимость защиты/размер возможного ущерба. Предложенная технология разграничения прав доступа имеет достаточно высокую стоимость, соответственно желание применять ее для минимизации ущерба возникает крайне редко.

                • Pavel Solopov

                  Плюс эффективность защиты величина вероятностная, всегда остаётся риск, что прикрыли не всё или не то, что нужно.

                  Ведь одна открытая уязвимость может обнулить эффект от закрытия 99-ти других.

                  Безопасность дело не простое...

                  • Максим

                    Ну, если следовать это логике, то тогда 100% дохода (не важно организации или личного) надо тратить на обеспечение безопасности;-) Но, почему-то, так не делают.

  • Вячеслав

    Мне кажется, если опустить действительно специфичные случаи как в примере с пожарными сигнализациями или финансовыми данными, то это больше вопрос культуры и зрелости организации и её сотрудников.

    Если всё доносить для людей, формировать модель поведения... ну и заодно подкрепить всё политиками ), то всё может работать. Бардак-то в головах


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM