|
|
  |
Главная страница / Архитектура отрасли Информационная безопасностьСегодня многие компании уже не сомневаются в том, стоит ли им заниматься защитой собственных информационных систем. Большинство понимает, что обеспечение информационной безопасности является одним из самых важных приоритетов ведения бизнеса. Чаще встает вопрос другого рода: насколько адекватны принятые или планируемые к внедрению меры защиты. Для компании в целом нежелательны как «недобор», так и «перебор». «Недобор» - это когда, несмотря на использование средств защиты, в системе остается множество «дыр», значительно снижающих эффективность защиты. «Перебор» - ситуация, когда принятые меры защиты избыточны, вложенные в информационную безопасность средства не соизмеримы с потерями в случае реализации угрозы или риск реализации угрозы невелик по сравнению с комплексом мер и средств защиты. Итак, любое приобретение продукта или решения по IТ-безопасности должно быть оправданно с точки зрения бизнеса. Но и это еще не все. Нужно не только приобрести систему защиты, необходимо ее правильно внедрить и сопровождать. С процессом внедрения проблем обычно не возникает - с этим справляются либо штатные специалисты, либо нанятые консалтинговые компании. Но жизнь не стоит на месте. Совершенствуется информационная система, изменяется окружающая среда: появляются и исчезают прикладные задачи, решаемые при помощи информационной системы, организация набирает и увольняет сотрудников. И вот, рано или поздно (в зависимости от размеров информационной системы), наступает момент, когда она начинает «жить своей жизнью» - контроль над реальным состоянием информационной безопасности в ней утрачивается и уровень защищенности резко снижается. Разбор полета Почему же так происходит? На то есть несколько причин. Прежде всего - высокие темпы усложнения информационной системы, что приводит к затруднению осмысления происходящего в ней. Много приложений, много средств защиты. Координировать информацию о них один человек не способен физически. Подразделения, отвечающие за отдельные подсистемы, перестают взаимодействовать. Вторая по значимости причина - следствие первой. Речь идет о рассогласовании действий неподчиненных друг другу структурных подразделений, отвечающих за процесс обеспечения информационной безопасности. Обычно это отдел или служба автоматизации, отвечающие за работоспособность ИС, и служба информационной безопасности, отвечающая за обеспечение безопасности ИС. Несмотря на то что данные подразделения призваны решать одну задачу - обеспечивать функционирование IT-инфраструктуры компании для нормальной работы бизнес-подразделений - они имеют различные цели: • служба автоматизации (СА) стремится к тому, чтобы информационная система работала без сбоев, обеспечивая выполнение указаний руководства и деятельность функциональных подразделений. Средства безопасности воспринимаются этой службой как фактор нестабильности в работе отлаженной ех как потенциальных злоумышленников и пытается ограничить в правах на доступ к различным компонентам ИС. Разделить полномочия и меру ответственности между этими подразделениями зачастую весьма сложно, особенно учитывая, что часть штатных механизмов обеспечения информационной безопасности находится в руках СА, а специализированных - СБ. При возникновении каких-либо проблем (недоступность какого-либо ресурса или сервиса ИС) функциональные подразделения обращаются в службу автоматизации, которая нередко винит во всем «безопасников», утверждая, что причиной бедствия являются навязанные ими слишком жесткие ограничения. Служба безопасности, уверенная, что все дело в конфигурации сети, возвращает претензии в службу автоматизации. На этом круг замыкается. Напряженность растет, в процесс вовлекается руководство, которое и «дает по шапке» всем участникам конфликта. Следствие - накал отношений между подразделениями, что отрицательно влияет как на состояние информационной системы, так и на ее безопасность. Третьей причиной является отсутствие процедур, регламентирующих внесение изменений в информационную систему и настройки механизмов безопасности. Это происходит из-за того, что службе автоматизации гораздо проще и быстрее внести изменения в реальные настройки системы, не дожидаясь их согласования со службой безопасности. В результате - в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: «Почему к данному ресурсу имеют доступ данные пользователи и группы пользователей?» Теряется история всех производимых изменений, и уже нельзя определить - правильно или не правильно сконфигурированы, пусть даже самые совершенные, механизмы защиты. Кроме того, существует барьер непонимания между функциональными подразделениями компании и IT-специалистами. Руководство организации, которое, собственно, и выделяет деньги на создание ИС и функциональные подразделения компании, являющиеся потребителями информационной системы, подходят к ней с позиции «это должно работать». Однако нередко для того, чтобы объяснить свои потребности IT-подразделениям, им приходится вникать в тонкости устройства IT-системы организации, что отвлекает их от выполнения прямых обязанностей. При таком положении дел наличие специализированных средств защиты информации не гарантирует полной безопасности информационной системы, ведь злоумышленнику гораздо проще воспользоваться неправильной конфигурацией системы, чем уязвимостями, которые потенциально могут в ней существовать. Кроме того, организация несет необоснованно большие издержки на бюрократические процедуры, связанные с процессами управления информационной системой и безопасностью в ней. Эволюция... Для упорядочения деятельности по администрированию на предприятии рано или поздно вырабатываются регламенты и прочие документы, описывающие правила работы и взаимодействия всех субъектов информационной системы. Для службы авт утвержденная архитектура системы, для службы безопасности они формулируются в виде «политики безопасности». После этого отношения между подразделениями приобретают формальную основу, а взаимосвязь осуществляется при помощи заявок. Однако жизнь, как всегда, вносит свои коррективы. Нехватка и недостаточная квалификация кадров, перегруженность специалистов и отсутствие механизмов проверки фактического положения дел приводят к тому, что контроль над ИС и вопросами безопасности данных в ней неизбежно утрачивается. При необходимости внести в ИС какие-либо изменения, в которых остро нуждаются функциональные подразделения, службе автоматизации гораздо проще откорректировать реальные настройки, не дожидаясь, пока бумажный маховик сделает свой оборот. В результате - рассогласование между настройками и политикой безопасности. Кроме того, как уже упоминалось, нередко текущие задачи решаются по методу латания дыр: главное, заставить работать «вот это и прямо сейчас». Работоспособность и безопасность других систем в такой момент представляются делом второстепенным. Как следствие - постоянные сбои в работе ИС и всего предприятия, потеря информации, утечка важных данных, недостаточная эффективность действий сотрудников и т. д. Да и сама информационная система - организм чрезвычайно сложный. Порой для решения простой, казалось бы, задачи требуются немалые усилия. Например, начальнику отдела маркетинга необходимо получить доступ к серверу бухгалтерии. Но для этого недостаточно просто дать ему соответствующие права на сервере. Нужно еще включить его учетную запись в особую группу в домене, прописать на внутреннем межсетевом экране разрешающее правило и т. д. и т. п. Гарантий, что этот бизнес-процесс пройдет без сбоев, нет. Ситуация усугубляется тем, что по мере накопления заявок просто невозможно отследить их взаимную непротиворечивость и соответствие корпоративным требованиям безопасности. Есть и оборотная сторона этого явления: за ворохом бумаг довольно сложно определить «легитимность» той или иной настройки ИС. С другой стороны, те же проблемы СА и СБ пытаются решить при помощи универсальных средств управления, предоставляющих единую консоль для управления всеми подсистемами ИС. Но в подавляющем большинстве случаев иллюзия, что их спасет единая точка управления, себя не оправдывает: как с десятью консолями не могли справиться десять администраторов, так эти же десять человек не справятся и с одной. Так ли страшен черт? В конечном счете, мы приходим к неутешительному выводу: информационная система может быть атакована и взломана не потому, что в ней есть какие-либо уязвимости, а потому, что в ее настройках и в настройках систем защиты царит полный хаос. К напрасным в данном случае затратам на специализированные системы защиты необходимо отнести и накладные расходы на поддержание их работоспособности силами СА и СБ. Конечно, мы намеренно «сгустили краски». Но описанные проблемы, имеющие, как можно заметить, оуже нависают над крупными информационными системами. Что особенно характерно - величина этих проблем прямо пропорциональна размеру информационной системы. Выход есть Что же делать? Попытаемся решить все проблемы по очереди. Мы говорили о том, что сферы ответственности за обеспечение безопасности в организации размыты - следует четко определить полномочия всех участников процесса. У нас проблемы взаимодействия - необходимо жестко регламентировать механизмы общения между подразделениями, создав, по сути, документооборот по информационной безопасности. Самой сложной проблемой остается организация контроля над тем, что реально происходит в информационной системе, а затем связать все перечисленное воедино. К счастью, в настоящее время на рынке уже существуют технологии, позволяющие решить эту непростую задачу. Простой документооборот? Сам процесс управления изменениями в информационной системе можно смело уподобить документообороту заявок. Однако, благодаря жесткому регламенту, пользователям и руководителям теперь нет необходимости разбираться в особенностях процесса администрирования, принадлежности ресурсов и управления ИС. Перед ними должна быть единая точка приема заявок, в которой они формулируют свои пожелания с ИС, например: «Сотрудник Х должен иметь доступ к ресурсу сети У». Основываясь на информации о том, кому принадлежит этот ресурс, просьба поступает на согласование в СБ и владельцу ресурса. Изменения в информационную систему должны вноситься только при получении подтверждения от всех заинтересованных лиц. Необходимо учитывать и особенности организации ИС: различные списки доступа на коммутаторах и маршрутизаторах, правила фильтрации на встречающихся по пути трафика межсетевых экранах, механизмы аутентификации на самом сервере. Если такой документооборот удастся автоматизировать, то дополнительным преимуществом станет и то, что снимется нагрузка с обеспечивающих подразделений организации, например с секретариата, а весь процесс управления информационной безопасностью в организации начнет работать как отлаженный механизм. Выгоды очевидны Реализация описанного подхода к управлению информационной безопасностью потребует серьезных изменений в привычном ритме работы ИС и, как следствие, создания новой управляющей инфраструктуры. Но игра стоит свеч. Выгоды от внедрения такого подхода очевидны. Руководство компании и функциональных подразделений получит прозрачную систему взаимодействия с ИС, сможет управлять доступом своих сотрудников к ИС без необходимости вникать в особенности ее организации. Все изменения в ИС будут согласованы с СА и СБ. Служба безопасности будет знать и четко представлять ситуацию в любой момент времени, сможет оперативно находить и устранять несоответствия в системе. А общим выигрышем для компании станут высвободившиеся в результате автоматизации временные и кадровые ресурсы, которые будут направлены на рнтон КРЯЧКОВ, директор по продуктам компании Aladdin Software security R.D. Интеграция приложений и систем защиты информации (СЗИ) - одна из наиболее актуальных задач при создании защищенной информационной системы. Cегодня многие организации находятся на этапе «островной безопасности», когда одновременно используются несколько СЗИ и защищены отдельные фрагменты информационной системы. Политика ИБ объединяет в единое целое технические средства, программно-аппаратные средства и организационные меры. Инструкции, распоряжения, регламенты исполняются людьми, поэтому качество их исполнения зависит от «человеческого фактора». Складывается парадоксальная ситуация - мы стараемся максимально устранить влияние человеческого фактора на уровне отдельных подсистем (например, используем смарт-карты вместо паролей), но на более высоком уровне человеческий фактор по-прежнему сохраняет свое влияние. Сегодня необходимы решения для управления всей цепочкой «пользователь - средства аутентификации - СЗИ и приложения - политика ИБ». БЕЗОПАСНОСТЬ В «КУБЕ» Многолетнее участие в процессах построения и обслуживания систем защиты крупных ИС позволило компании разработать концепцию технологии управления безопасностью ИС и воплотить ее в системе, получившей название КУБ - «Комплексное управление безопасностью». Цели внедрения системы: • сделать процессы управления безопасностью в сетях заказчика прозрачными; • автоматизировать систему документооборота, сопутствующую процессам управления; • автоматизировать процедуры наблюдения за тем, что реально происходит в ИС. Все это становится возможным благодаря тесной связи КУБ с бизнес-структурой и рабочими процессами компании. В систему закладываются сведения: • об организационно-штатной структуре компании; • обо всех ресурсах и сервисах информационной системы; • о политике безопасности организации. На базе полученной информации система выстраивает идеальную модель ИС, узнает, кто и в какой степени имеет доступ к тем или иным ресурсам, кто ими владеет и отвечает за администрирование. Сколько вешать в граммах? Но как конкретно стоит поступить? Бросить лозунг о необходимости жесткого разграничения ответственности легко... Призовем на помощь «опыт поколений». Вот результаты опроса, проведенного Secure Enterprise Survey, на тему - кто отвечает за обеспечение информационной безопасности организации. Мы видим, что «удельный вес» сотрудников и руководителей функциональных подразделений постоянно возрастает. И это вполне оправданная тенденция. Право распоряжения информационными ресурсами за руководителями тех бизнес-подразделений, которым они принадлежат или в чьих интересах созданы. Именно руководители подразделений должны принимать решение о разрешении или запрещении доступа сотрудника к ресурсам АС. В свою очередь, это обусловливает необходимость строгого учета всех рессть. Служба автоматизации отвечает за работоспособность автоматизированной системы. Целесообразно не только сохранить за ней это право, но и расширить ее полномочия. Ведь системы защиты - компоненты ИС. Поэтому СА обязаны отвечать и за их настройку. Пусть сотрудники СА и только они будут вносить изменения в конфигурацию подсистемы информационной безопасности. А поскольку настройки системы информационной безопасности не должны противоречить политике информационной безопасности, необходимо сделать так, чтобы все изменения в конфигурации штатных механизмов защиты оборудования и конфигураций средств защиты информации производились только после согласования со службой информационной безопасности и под ее неусыпным контролем. Само по себе это уже не мало! За счет жесткого регламентирования функций между подразделениями устраняется первопричина возникновения конфликтов между ними! Главная страница / Архитектура отрасли |