|
|
Обзор подготовлен
При поддержке
Рост значимости достоверной и своевременной информации, увеличение числа возможных узлов утечки (компании могут насчитывать десятки тысяч компьютеризированных рабочих мест) - эти и другие факторы существенно повысили актуальность информационной безопасности. Однако далеко не все компании умеют правильно выстраивать у себя эту систему.
Сейчас редко кого удивишь наличием в компании отдела защиты информации или, как минимум, должности офицера по информационной безопасности. Его основные обязанности – разработка и внедрение политики информационной безопасности (ПИБ), а также организация управления, аудита и мониторинга ИБ. Без реализации последних созданная ПИБ теряет гибкость и из удобного инструмента, способного реагировать на любое изменение ситуации внутри и снаружи компании, превращается в обычную дубину, способную служить лишь объектом устрашения для внутреннего персонала. Для того чтобы понять, откуда появляются требования, предъявляемые к мониторингу и управлению, необходимо кратко осветить процесс разработки современной ПИБ.
Создание политики информационной безопасности делится на несколько этапов, первый из которых – этап анализа имеющейся у организации информационной инфраструктуры. Результатом выполнения этой работы является, как правило, детальная техническая схема прохождения и обработки информации внутри организации. Тут учитывается все: каналы передачи данных за пределы организации, внутренние линии связи, задействованные активные сетевые устройства, серверы, на которых хранятся и обрабатываются данные, рабочие места операторов ввода информации (если таковые имеют место). Также необходимо отметить уже существующие в локальной сети технические меры безопасности – наличие внешних VPN-соединений, способы защиты передачи данных внутри сети и т.п. В дальнейшем эта схема будет использоваться офицером информационной безопасности в качестве карты "театра военных действий".
На втором этапе, после проведения анализа информационной инфраструктуры, непосредственно под нее пишется "Политика информационной безопасности" – основной документ, определяющий угрозы ИБ и методы противодействия. В частности, на этом этапе определяется модель нарушителя, от которого осуществляется защита данных. При этом разработка модели должна проводиться совместно со службой экономической безопасности, так как часть угроз информационной системе может быть неизвестна отделу информационной безопасности. Например, возможность угроз со стороны конкурентов, партнеров по бизнесу, сторонних заинтересованных организаций и т.п.
Тут же должны быть описаны организационные и технические меры предотвращения несанкционированного доступа к информации. И здесь уже "все карты в руки" офицеру по ИБ. В данный момент на рынке представлен огромный спектр программных и аппаратно-программных средств обеспечения безопасности – все зависит лишь от постановки задачи и бюджета, выделяемого на защиту. При этом не стоит увлекаться закупкой "навороченных" комплексов. Существует простое и эффективное правило бюджетирования – средства, затраченные на защиту информации, не должны превышать финансовые потери компании в случае ее кражи.
Помимо технических средств, важную роль играют меры организационные. Выставленная политика "сильных" паролей будет сведена "на нет" обычными сотрудниками, записывающими пароли на листах бумаги, которые потом кладутся в ящик стола и передаются соседям по первому требованию. Так же ситуация обстоит и с размещением аппаратного обеспечения – серверов, активного сетевого оборудования. Сервер с базой данных, стоящий под столом у сотрудника, или коммутатор в незапертой стойке в коридоре – первая мишень для злоумышленника. Поэтому важное условие четкого функционирования системы ИБ – соблюдение персоналом правил работы с защищаемой информацией.
На следующем этапе перед отделом ИБ уже ставятся четкие задачи по защите данных. Несмотря кажущуюся незначительность результата (как правило – 30-50 страниц печатного текста), именно от технической грамотности специалиста, занимавшегося разработкой ПИБ, зависит устойчивость к атакам и соответственно благосостояние и стабильность развития компании.
Задача мониторинга – осуществлять текущий контроль состояния той или иной системы, в нашем случае – системы информационной безопасности. Процесс заключается в периодическом или непрерывном снятии основных параметров системы с их проверкой на "критичность" в реальном масштабе времени. Основная задача такого программного или организационного комплекса мер – вовремя сообщить администратору информационной безопасности или же другой автоматизированной системе о возникших проблемах и тем самым обеспечить минимальное время реакции на нештатную ситуацию.
Способ мониторинга рабочей подсистемы информационной безопасности напрямую определяется перечнем аппаратно-программных и организационных средств противодействия и моделью угроз, заложенных в ПИБ. Все варианты организации мониторинга ИБ имеет смысл делить на организационные, технические и аналитические.
Первый (организационный) может заключаться в контроле сотрудниками безопасности списков доступа в помещение, наличия ежедневных отметок о получении/сдаче ключевых документов, выборочных проверок правил хранения защищаемой информации. Основная задача – вовремя обнаружить невыполнение персоналом установленных правил работы с защищаемой информацией. Задача мониторинга технических средств защиты – вовремя обнаружить неработоспособность системы или попытку преодолеть защитные барьеры. Современный мониторинг технических мер защиты информации подразумевает наличие рабочего места администратора безопасности, в котором будет производиться сбор и анализ статистики. Как правило, он осуществляется либо с помощью средств, встроенных в аппаратно-программные комплексы защиты информации, либо с помощью сторонних программ.
В связи с тем, что на практике в компании действуют, как правило, несколько различных систем защиты (либо реализованные на различных участках, либо защищающие информацию различного уровня конфиденциальности), то и мониторинг будет производиться с помощью различных систем. Поэтому идеальным решением задачи по контролю состояния систем защиты будет организация единой точки сбора, хранения и обработки информации от комплексов и средств защиты или хотя бы набора специализированных рабочих мест, отданных администратору или дежурному по информационной безопасности. Технической реализацией должны заниматься либо поставщики средств защиты, либо специализированные компании-интеграторы, работающие в сфере информационной безопасности.
Возможность организации единой точки мониторинга технических средств защиты определяется функциональностью аппаратных и программных комплексов. Например, большинство производителей активного сетевого оборудования поддерживают возможность передачи статистики в реальном времени на syslog-сервер для хранения и последующего анализа. Сегодня уже де-факто стандартной операцией стало встраивание в корпоративные средства защиты от несанкционированного доступа (НСД) модулей уведомления администраторов о нештатных ситуациях. Исключения составляют только off-line комплексы, работающие в режиме электронных замков или занимающиеся только прозрачным шифрованием дисков (ПАК Аккорд-АМДЗ, СЗИ НСД Dallas Lock). В них отсутствует функция on-line уведомления администратора безопасности, поэтому мониторинг может осуществляться только с некоторой периодичностью. К таким СЗИ больше применимо понятие "аудит" – плановые проверки состояния.
Также могут применяться пробные попытки обхода системы защиты администраторами информационной безопасности компании. Лучший способ выявить недостатки существующей системы – представить себя на месте злоумышленника. Если обнаруженный маршрут обхода не сможет быть ликвидирован в ближайшее время, то, как минимум, он должен быть взят на контроль системой технического мониторинга (СТМ).
На данный момент на рынке заказчикам доступен ряд средств технического мониторинга. Среди них – встроенные службы мониторинга линейки Windows Server (Network Monitor, Perfomance Monitor и т.д.), средства анализа, интегрированные с различными реализациями RADIUS-серверов, системы обнаружения вторжения, встроенные в активное сетевое оборудование (Cisco IDS, D-Link Net Defend), системы мониторинга, встроенные в АПК СЗИ НСД (Secret Net, Device Lock), а также – касающееся антивирусной защиты – средства уведомления администраторов о нештатных ситуациях (Symantec AMS, соответствующая служба Kaspersky AV).
Последний по порядку, но не по значимости, тип мониторинга ИБ – аналитический. Его задача – вовремя обнаружить факт утечки информации, прошедший мимо системы защиты. Он может выполняться как с помощью анализа профильных средств массовой информации, так и с помощью информаторов из числа сотрудников конкурирующих организаций. Без реализации аналитического мониторинга появляется вероятность масштабного воровства данных через незамеченную брешь в системе ИБ.
Резюме всего вышесказанного такое: для обеспечения наибольшей эффективности контроль системы защиты должен присутствовать на всех описанных ступенях, то есть должен вестись мониторинг и организационный, и технический, и аналитический. Способы организационного и технического мониторинга определяются офицером информационной безопасности, аналитического – службой защиты совместно со службой экономической безопасности.
Виктор Ивановский