В АГМУ реализовали систему эффективного управления ПО
Алтайский государственный медицинский университет (АГМУ) входит в 100 ведущих российских вузов всех профилей и является одним из ведущих высших медицинских учебных учреждений Западной Сибири. Более 130 докторов и 350 кандидатов наук, 2 члена-корреспондента РАН готовят квалифицированных врачей не только для первичного звена здравоохранения, но и для специализированных медицинских центров и федеральных центров высокотехнологичной помощи. В университете на 6 факультетах обучается около 5000 студентов, 1000 интернов, около 300 ординаторов и 100 аспирантов. Вуз также ведет обширную послевузовскую подготовку и переподготовку медицинских кадров Алтайского края и близлежащих регионов, ближнего и дальнего зарубежья.
Один из ведущих медицинских университетов Западной Сибири завершил проект по внедрению эффективной системы управления ИТ-активами по известной во всем мире методологии Software Asset Management (SAM). Реализованный проект помог вузу максимально защитить информационную среду университета от возможных кибератак.
Проект выполнен совместно с одним из крупнейших системных интеграторов региона – «Научно-техническим центром Галэкс».
В ходе проекта обследовано более 1000 компьютеров, которые используют в своей работе сотрудники и студенты АГМУ. Выявленный объём установленного программного обеспечения (ПО), а это более 2000 уникальных наименований, показывает какая большая нагрузка возлагается на Управление информатизации вуза. Такое количество наименований ПО значительно затрудняло оценку целесообразности использования того или иного программного продукта, контроль за соблюдением лицензионных соглашений. В ряде случаев это приводило к использованию устаревших версий ПО, уязвимых к кибератакам; избыточному лицензированию и, как следствие, росту затрат; юридическим и репутационным рискам.
Для обеспечения информационной безопасности университета, сокращения финансовых расходов на ИТ-инфраструктуру вуза и минимизации рисков в АГМУ было принято решение создать единую систему учета и управления программным обеспечением по методологии Software Asset Management (SAM).
«Отсутствие отлаженных процессов SAM — причина возникновения многих угроз корпоративной информационной безопасности. Нелицензионный софт на пользовательских ПК или серверах может содержать «закладки», а необновляемое ПО — уязвимости. Поэтому основная цель, которую мы преследовали, реализуя данный проект - оценить текущее состояние ИТ-инфраструктуры Университета с точки зрения информационной безопасности и при необходимости принять меры по устранению возможных угроз. И эта задача нами была решена! Мы получили отчет о потенциальных угрозах ИБ, как следствие использования нелицензионного и необновленного ПО, и смогли своевременно принять все необходимые меры для защиты нашей информационной среды», — отмечает Максим Коломеец, начальник Управления информатизации университета.
За 5 месяцев, которые заняло проведение проекта, была проведена масштабная организационно-техническая работа. Эксперты «НТЦ Галэкс» совместно с ИТ-специалистами АГМУ провели инвентаризацию всего парка ПК и установленного программного обеспечения во всех учебных корпусах вуза. Сведения об установленном ПО собирались с помощью программ «Антивирус Касперского», Nmap и Parmavex Services WinAudit.
Затем был проведён анализ информации об имеющихся программных активах на предмет правомерности и эффективности их использования. Для чего были проведены сверки первичной бухгалтерской документации на ПО Microsoft, дистрибутивов, имеющихся лицензионных соглашений с фактическим количеством и составом используемого ПО Microsoft. Учтено также и назначение используемого ПО. Дополнительная информация по наличию лицензий была запрошена у Microsoft с согласия вуза.
Для определения уровня информационной безопасности вуза и выявления потенциальных угроз проведено тестирование серверного ПО на известные уязвимости, проверена актуальность используемого ПО, проведено сканирование внешнего периметра и определение уровня безопасности публичных web-ресурсов вуза.
Помимо этого, исследовано логическое построение ИТ-инфраструктуры с точки зрения информационной безопасности и осуществлена проверка установленных исправлений безопасности на клиентских компьютерах.
В ходе проекта были найдены ошибки конфигурации серверов внешнего периметра, а также следы взлома одного из сайтов, вследствие использования, устаревшего ПО.
И, наконец, на завершающем шаге экспертами «НТЦ Галэкс» осуществлена разработка индивидуального плана развития системы управления лицензиями и политиками безопасности АГМУ на ближайшую перспективу. Реализация подготовленного плана позволит вузу организовать систему управления ИТ-активами на качественно новом уровне, который будет соответствовать высоким требованиям ведущего медицинского вуза Западной Сибири.
В рамках реализации данного плана уже заключено соглашение между вузом и компанией Microsoft на присоединение к программе DreamSpark Premium шести факультетов. Это позволило получить преподавателям и студентам АГМУ доступ к самым актуальным версиям ПО Microsoft, использовать их в учебном процессе, повысив тем самым качество образования.