В последнее время все больше заметен перекос понятий в области защиты данных: говоря об информационной безопасности, многие в первую очередь имеют в виду защиту от вирусов и хакеров. Но если попросить специалистов по безопасности рассказать о том, что их волнует, выяснится, что наибольшую озабоченность вызывают действия "инсайдеров" (сотрудников компании) Это показали и ежегодный отчет ФБР Computer Crime and Security Survey, и Global Information Security Survey 2004 компании Ernst&Young, и исследования "Внутренние IT-угрозы в России 2004", проведенные компанией InfoWatch.
Так, по данным этих исследований, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. И это несмотря на то, что, согласно отчету Computer Crime and Security Survey, количество инцидентов по вине внешних и внутренних нарушителей спокойствия соизмеримо.
Этот результат вполне закономерен. Хотя внешних злоумышленников действительно значительно больше, но, во-первых, они меньше мотивированны. Отбросив малое число наемных профессионалов, мы получим огромную массу школьников и студентов, которые просто из любопытства пробуют скачанные утилиты, не преследуя каких-либо определенных целей и порой даже не зная, что делать с полученной информацией. Во-вторых, им противостоят мощные и зрелые технологии периметровой защиты, то есть внешнему злоумышленнику нужна большая квалификация, чтобы преодолеть все эти барьеры.
У внутреннего нарушителя, особенно если его действия сознательны, а не являются ошибкой, стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. А возможностей - не в пример больше. Он уже является легальным пользователем сети, имеет доступ в том числе и к конфиденциальным ресурсам организации, может пользоваться корпоративными приложениями и обрабатываемыми в них данными на законных основаниях.
Но если это так, почему большие усилия тратятся именно на защиту от внешних угроз? Есть несколько причин.
Строить систему защиты от внешнего врага гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять необходимые средства защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования - по большому счету, лишь кратковременное отсутствие доступа в Интернет.
Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде - это политика безопасности).
Данные привилегии должны быть достаточны для обеспечения нормальной работы и в то же время минимальны с точки зрения доступа и возможности манипулирования информацией.
И зачастую при появлении подобной задачи, проблем видится больше, чем решений.
Перечислять их можно долго, проблемы цепляются друг за друга. Например, незащищенность ряда приложений вынуждает нас использовать дополнительные средства защиты. Однако эти средства нужно не только приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает (справляются либо штатные специалисты, либо нанятые консалтинговые компании), трудности появляются потом, в процессе администрирования системы. Ведь управление средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в том числе и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.
Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. А внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути проще, чем написать заявку. В результате - в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: "Почему к определенному ресурсу имеют доступ эти пользователи и группы пользователей?". Теряется история всех производимых изменений, и уже нельзя определить - правильно или неправильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.
Цена ошибки за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно - созданием огромной уязвимости в информационной системе), либо ограничением необходимого ему в какой то момент доступа (при этом, возможно, срывается выполнение задач организации).
Кстати, среди этих вариантов невозможно выбрать предпочтительный…
Что предпринимаем?
Существуют два пути решения указанных проблем: внедрение системы централизованного управления и внедрение системы учета настроек и изменений в настройках информационной системы.
Но универсальная консоль управления всеми приложениями не спасает, поскольку не дает ответ на вопрос - на каком основании, кто и как должен принимать решения о том, какие изменения нужны.
Для упорядочения деятельности по администрированию на предприятии рано или поздно вырабатываются регламенты и прочие документы, описывающие правила работы и взаимодействия всех субъектов информационной системы.
Но решить эту проблему только организационными методами не удается. Виной всему нехватка и недостаточная квалификация администраторов, перегруженность специалистов и, самое главное - отсутствие механизмов проверки фактического положения дел. Все это приводит к тому, что даже при наличии некоторой формальной системы управления контроль над информационной системой и вопросами безопасности данных в ней все равно теряется.
Кстати, порой простое увеличение штата IT-подразделения и подразделения информационной безопасности только усугубляют проблемы. В этих структурах, в свою очередь, появляются подразделения, специализирующиеся на отдельных подсистемах, взаимодействие структур нарушается еще больше.
Осознавая всю сложность решения задачи, а так же отсутствие инструментов, специалисты по информационной безопасности зачастую медлят с устранением проблемы.
Рецептура
По большому счету, для управления любой сложной системой необходимо создать жесткий, но простой регламент обслуживания системы и обеспечить контроль за тем, чтобы настройки системы изменялись в соответствии с этим регламентом.
Применительно к обеспечению безопасности информационной системы (ИС) это можно представить следующим образом.
- Иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы.
- Иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС.
- Иметь инструменты контроля правильности настроек ИС.
Разработками такого рода в последнее время занимается несколько крупных корпораций. Свои решения предлагают Oracle и IBM. Отрадно, что в ряду гигантов IT-индустрии есть и отечественный разработчик, компания "Информзащита", котороая имеет свою систему комплексного управления безопасностью (КУБ).
Особенность предлагаемых решений в том, что в них соединяются не работающие по отдельности технический и организационный подходы к управлению безопасностью.
При внедрении таких систем предполагается, что организация уже имеет сформулированную политику безопасности. Эта политика вместе с информацией об ИС служит в дальнейшем фундаментом системы управления.
Для описания информационной системы обычно необходимо знать следующее.
- Перечень информационных ресурсов. Под ресурсом могут пониматься конкретные серверы и папки на них, эксплуатируемые приложения, оборудование и даже сегменты сети.
- Ответственный за безопасность этих ресурсов. Это могут быть владельцы ресурсов, главы подразделений, кураторы со стороны службы безопасности и другие.
- Ответственный за администрирование этих ресурсов.
- Как ресурсы информационной системы взаимосвязаны между собой. Порой для нормальной работы приложения необходим комплекс настроек - от настроек самого приложения до коммутационного оборудования. Ведь даже если мы выполним все настройки, но забудем прописать разрешающее правило на внутреннем межсетевом экране, решение всей задачи будет сорвано.
- Штатная структура компании. Какой доступ и к каким ресурсам имеет сотрудник, занимающий на определенную должность.
На базе полученной информации система управления выстраивает идеальную модель ИС. Этот момент можно считать стартовым в работе системы управления безопасностью.
Отныне все общение по вопросам изменений настроек информационной системы начинает происходить через специализированную систему документооборота, входящую в состав системы управления безопасностью.
Кстати, от зарубежных аналогов отечественную систему КУБ отличает специальный транслятор, который позволяет преодолевать языковой барьер и предоставляет возможность каждому работать с понятными ему терминами: менеджменту компании - с терминами "сотрудник", "должность", IT-специалистам - с терминами типа "учетная запись", "права доступа" и т. п.
Заявка на изменение доступа, составленная в системе управления безопасностью, будет проверена на непротиворечивость требованиям политики безопасности, согласована с владельцами ресурсов и направлена на выполнение администраторам.
Выявлять несоответствие модели ИС и ее текущего состояния системе управления безопасностью позволяют агенты-сенсоры. Такие агенты регулярно следят за всеми связанными с безопасностью ИС настройками операционных систем, приложений, средств защиты, сетевого оборудования.
Под несоответствием системы управления безопасностью ИС предприятия следует понимать либо невыполненные администратором необходимых действий по администрированию информационной системы, либо действия, совершенные им в обход принятого и утвержденного в организации порядка. Например, предоставление лишних полномочий какому-либо пользователю или неправомерное ограничение пользователя в правах.
Информация о несоответствиях тут же поступает в службы безопасности и в службу IT. Ведь каждое из них связано с тем, что кто-то из сотрудников либо приобретает права на доступ к ресурсам ИС, либо теряет их. Это означает, что он может получить лишнюю информацию или лишиться доступа к необходимых ему сведений. А это, как уже отмечалось, равнозначно недопустимо, поскольку таит угрозу безопасности или же приводит к срыву выполнения бизнес-задач.
Наличие в системе документооборота механизма архивирования заявок на изменения доступа к информационной системе позволит в любой момент понять, кто имеет доступ к ресурсам информационной системы и кто запрашивал предоставление этого доступа.
Выводы
Использование описанного подхода к управлению информационной безопасностью - это серьезные изменения в привычном ритме работы информационной системы.
Но затраченные усилия с лихвой окупятся. Выгоды от внедрения систем управления безопасностью очевидны. И прежде всего это повышение защищенности ИС, поскольку отныне все производимые изменения настроек будут контролироваться и производиться в точном соответствии с политикой информационной безопасности организации. Дополнительным бонусом будет сокращение издержек на сопутствующий управлению документооборот.
Кроме того, после внедрения подобной системы управления обеспечение информационной безопасности перестает быть уделом, ответственностью и обязанностью только узких специалистов. В управлении информационной системой начинает действительно активно принимать участие менеджмент организации:. ведь именно они теперь формируют требования к настройкам посредством механизма заявок.