Система управления безопасностью: простые рецепты


Всегда ли мы делаем то, что думаем?

В последнее время все четче становится заметен некоторый перекос: говоря об информационной безопасности, все в первую очередь имеют в виду защиту от вирусов и хакеров. Но если попросить специалистов по безопасности рассказать о том, что их волнует, то наибольшую озабоченность вызывают действия инсайдеров. Это явно показали и ежегодный отчет ФБР “Computer Crime and Security Survey”, и “Global Information Security Survey 2004” компании Ernst&Young и исследования «Внутренние ИТ-угрозы в России 2004”, проведенное компанией Infowatch.

Так, по данным этих исследований, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает по объему причиненного вреда ущерб от действия вирусов и т.п. «хакерских» атак. И это несмотря на то, что, по данным отчета “Computer Crime and Security Survey” ФБР, количество инцидентов по вине внешних и внутренних нарушителей спокойствия – сравнимо.

И результат этот вполне закономерен. Хоть внешних злоумышленников действительно значительно больше, но:
Во-первых – они меньше мотивированны. Отбросив малое число наемных профессионалов, мы получим огромную массу школьников и студентов, которые просто из любопытства пробуют скачанные утилиты, не преследуя каких либо определенных целей и, порой, даже не зная, что делать с полученной информацией.
Во-вторых – им противостоят мощные и зрелые технологии периметровой защиты, а это значит, что внешнему злоумышленнику нужна большая квалификация, чтобы преодолеть все эти барьеры.

У внутреннего нарушителя, особенно если его действия сознательны, а не являются ошибкой, стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. А возможностей у него – не в пример больше. Он уже является легальным пользователем сети, имеет доступ в т.ч. и к конфиденциальным ресурсам организации, может пользоваться корпоративными приложениями и обрабатываемыми в них данными на законных основаниях.

Но если так, то почему большие усилия тратятся именно на защиту от внешних угроз?
И почему мы так делаем?

На это есть несколько причин.

Строить систему защиты от внешнего врага – гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять перечень необходимых средств защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования, по большому счету, лишь кратковременное отсутствие доступа в Интернет.

Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое, прежде всего, подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде это – политика безопасности).

При этом эти привилегии должны быть достаточны для обеспечения нормальной работы, и в то же время – минимальны с точки зрения доступа и возможности манипулирования информацией.

И зачастую, при решении этой задачи, проблем видится больше чем решений.

Перечислять их можно долго, да и проблемы цепляются друг за друга. Например, это незащищенность ряда приложений, что вынуждает нас использовать дополнительные средства защиты. При этом эти средства нужно не только их приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает – с этим справляются либо штатные специалисты, либо нанятые консалтинговые компании. Трудности возникают потом, в процессе администрирования системы. Ведь управление этими средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в т.ч. и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.

Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. Кроме того, внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути куда-либо проще, чем писать заявку. В результате – в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: «Почему к данному ресурсу имеют доступ данные пользователи и группы пользователей?». Теряется история всех производимых изменений, и уже нельзя определить – правильно или не правильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.

Цена же ошибки за неправильное администрирование в этом случае измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно – создание огромной уязвимости в информационной системе), либо в какой то момент он не может получить необходимый ему доступ, при этом, возможно, срывается выполнение задач организации в целом.

Кстати, среди этих вариантов невозможно выбрать предпочтительный:
Что мы предпринимаем?

Существует два пути решения указанных проблем: внедрение системы централизованного управления и внедрение системы учета настроек и изменений в настройках информационной системы.

Но универсальная консоль управления всеми приложениями не спасает, поскольку не вопрос – на каком основании, как и кто должен принимать решения о том, какие изменения нужны.

Для упорядочения деятельности по администрированию на предприятии рано или поздно вырабатываются регламенты и прочие документы, описывающие правила работы и взаимодействия всех субъектов информационной системы.

Но решить эту проблему только организационными методами не удается. Виной всему – нехватка и недостаточная квалификация администраторов, перегруженность специалистов и, что самое главное – отсутствие механизмов проверки фактического положения дел. Все это приводит к тому, что даже при наличии некоторой формально системы управления, контроль над информационной системой и вопросами безопасности данных в ней все равно теряется.

Кстати, порой простое увеличение штата подразделение IT и информационной безопасности только усугубляют проблемы. В этих структурах появляются подразделения, специализирующиеся на отдельных подсистемах, взаимодействие структур падает еще больше.

Осознавая всю тяжесть решения задачи, а так же отсутствие инструментов для ее решения специалисты по информационной безопасности зачастую тянут и медлят с ее решением.
А нужно что?

По большому счету, для управления любой сложной системой необходимо создать жесткий, но простой регламент обслуживания этой системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом.

В применимости к обеспечению безопасности информационной системы это можно представить так:
1. Иметь в наличии политику безопасности, в которой должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы.
2. Иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам информационной системы.
3. Иметь инструменты контроля правильности настроек Информационной системы.

Решением такой задачи в последнее время занимается несколько крупных корпораций. Свои решения предлагают Oracle и IBM. Отрадно, что в ряду гигантов IT индустрии есть и отечественный разработчик – компания «Информзащита», готовая предложить свою систему Комплексного Управления Безопасностью (КУБ).

Уникальность предлагаемых решений состоит в том, что воедино сливаются не работающие по отдельности технический и организационный подходы к управлению безопасностью.

При внедрении таких систем предполагается, что организация уже имеет сформулированную политику безопасности. Эта политика вместе с информацией об информационной системе в дальнейшем служит фундаментом системы управления.

Для описания информационной системы обычно необходимы следующие данные:
Перечень информационных ресурсов. При этом под ресурсом может пониматься конкретные сервера и папки на них, эксплуатируемые приложения, оборудование и даже сегменты сети.
Кто отвечает за безопасность этих ресурсов. Это могут быть владельцы ресурсов, главы подразделений, использующих эти ресурсы, кураторы со стороны службы безопасности и т.п.
Кто отвечает за администрирование этих ресурсов.
Как ресурсы информационной системы взаимосвязаны между собой. Ведь порой для нормальной работы приложения необходим комплекс настроек: от настроек самого приложения до настроек коммутационного оборудования. Ведь даже если мы выполним все настройки, но забудем прописать разрешающее правило на внутреннем межсетевом экране – решение всей задачи будет сорвано.
Какова организационно штатная структура организации. Какой доступ и к каким ресурсам имеет сотрудник, находящийся на определенной должности

На базе полученной информации система управления выстраивает идеальную модель информационной системы. Этот момент можно считать стартовым в работе системы управления безопасностью.

Отныне все общение по вопросам изменений настроек информационной системы начинает происходить через специализированную систему документооборота, входящую в состав системы управления безопасностью.

Кстати, в отличие от зарубежных аналогов отечественную систему КУБ отличает специальный транслятор, который позволяет преодолевать языковой барьер и предоставляет возможность каждому работать с понятными ему терминами: менеджменту компании – с терминами «сотрудник», «должность» и т.п., IT-специалистам – с терминами типа «учетная запись», «права доступа» и т.п.

Заявка на изменение доступа, составленная в системе управления безопасностью будет проверена на непротиворечивость требованиям политики безопасности, согласованна с владельцами ресурсов и направлена на выполнение администраторам.

Выявлять несоответствие модели информационной системы и ее текущего состояния системе управления безопасностью позволяют агенты-сенсоры. Такие агенты регулярно следят за всеми связанными с безопасностью информационной системы настройками операционных систем, приложений, средств защиты, сетевого оборудования.

Под несоответствием системы следует понимать либо невыполненные администратором необходимых действий по администрированию информационной системы, либо действия, совершенные им в обход принятого и утвержденного в организации порядка. Например, предоставление излишних полномочий какому-либо пользователю или неправомерное ограничение пользователя в правах.

Информация о несоответствиях тут же поступает в службы безопасности и в службу IT. Ведь каждое из них связанно с тем, что кто-то из сотрудников либо приобретает какие либо права на доступ к ресурсам информационной системы, либо теряет их. Это означает, что он может получить лишнюю информацию, либо лишиться доступа к необходимой ему информации. А это, как уже отмечалось, равнозначно недопустимо, поскольку либо таит угрозу безопасности, либо приводит к срыву выполнения бизнес – задач.

Наличие в системе документооборота механизма архивирования заявок на изменения доступа к информационной системе позволит в любой момент времени понимать, кто имеет доступ к ресурсам информационной системы и кто запрашивал предоставление этого доступа.
Выгоды

Использование описанного подхода к управлению информационной безопасностью – это серьезные изменения в привычном ритме работы информационной системы.

Но затраченные усилия с лихвой окупятся. Выгоды от внедрения систем управления безопасности очевидны. И, прежде всего, это повышение защищенности информационной системы за счет того, что отныне все производимые изменения настроек будут контролироваться и производиться в точном соответствии с политикой информационной безопасности организации. Дополнительным бонусом будет сокращение издержек сопутствующий управлению документооборот.

Кроме того, после внедрения подобной системы управления, обеспечение информационной безопасности перестает быть уделом, ответственностью и обязанностью только узких специалистов. В управлении информационной системой начинает действительно активно принимать участие менеджмент организации на уровне формулирования требований к системе. Ведь именно они теперь формируют требования к настройкам через механизмы заявок.

Обновлено: 11.03.2015