|
|
Обзор подготовлен
При поддержке
Управлять ИБ – значит иметь возможность менять настройки системы в зависимости от складывающейся ситуации. Изменение ситуации – это внесение корректировок в модель нарушителя и соответственно в политику информационной безопасности. Управление каждым конкретным средством защиты имеет вторичный приоритет. Внесение изменений в настройки аппаратно-программного СЗИ НСД – задача администратора конкретной системы, но никак не офицера по информационной безопасности. Вся перенастройка СЗИ НСД производится на основании изменения политики информационной безопасности. При этом все действия надо производить предельно точно, грамотно и взвешенно.
Основной инструмент управления системой информационной безопасности – аудит. Аудит подразумевает периодический анализ состояния ИБ, проверку соответствия применяемых мер разработанной ПИБ, а также актуальность и адекватность самой ПИБ.
В чем же заключаются задачи современного аудита информационной безопасности? Во-первых, аудит должен выявлять факты расхождения существующей системы ИБ и «модели», заложенной при разработке ПИБ. Никто не застрахован от ошибок при конфигурации системы защиты или активного сетевого оборудования, или даже опечаток при составлении приказов о допуске к конфиденциальным сведениям. Человеческий фактор присутствует всегда. Как правило, такие огрехи выявляются в процессе проведения централизованной проверки, организуемой либо самой организацией, либо специализированной аудиторской компанией. И, как правило, сторонние специалисты замечают ошибок гораздо больше, чем сотрудники проверяемой компании. Срабатывает тот же человеческий фактор – «примелькалось, вот и не обратили внимание».
В зависимости от применяемых мер противодействия (организационных и технических) различаются и способы аудита. К ним, определяемым ПИБ, также как и в случае мониторинга, добавляется еще один – аналитический. В него должен включаться анализ текущих угроз и проверка соответствия им разработанной ПИБ. В случае несоответствия ПИБ новым угрозам производится коррекция положения об ИБ и внесение изменений в систему защиты.
Организационные меры подразумевают работу с персоналом и разработанными документами. Главный признак грамотной аудиторской проверки – тотальность. Вердикт в данном случае носит абсолютный характер – либо все в порядке, либо нет. Мониторинг не имеет такого веса, он выдает лишь некую относительную оценку – «на этом участке в этот момент времени все в порядке». Отсюда следует и важность тщательной аудиторской проверки системы безопасности.
Из организационных способов аудита можно привести такие примеры как проведение опросов и «зачетов» сотрудников, анкетирование, проверка соблюдения правил парольной защиты с последующей полной сменой паролей, проверка документов, разработанных в области информационной безопасности. Вторичная цель организационного аудита – внушение сотрудникам уважения к реализуемой политике информационной безопасности. Необходимо донести до каждого мысль о том, что от его конкретных знаний и действий зависит информационная безопасность всей компании.
С техническим аудитом все гораздо интереснее и сложнее. В случае комплексной проверки среднего предприятия необходимо провести минимальный набор действий. Прежде всего, нужно проинспектировать систему защиты средствами систем семейства Windows Server – систему протоколирования событий, задействовать модули анализа групповых политик на соответствие образцам/шаблонам, аудит событий, доступа к объектам, аудит Active Directory. Также потребуется провести проверку списков доступа на активном сетевом оборудовании, проанализировать работу АПК СЗИ от НСД и проверить целостность и содержание их журналов и настроек.
В связи с этим вырисовывается портрет аудитора технической защиты информации. Это технический специалист, в достаточной мере разбирающийся в настройках безопасности информационных систем на базе Windows, Unix, Linux, знающий характеристики и способы аудита активного сетевого оборудования, способный проанализировать ИТ-инфраструктуру предприятия и выдать рекомендации по ее оптимизации. Современные реалии говорят о том, что затраты на содержание в штате такого профессионала, исходя из его необходимой квалификации, компании из сегмента СМБ, как правило, не по карману. В этом состоит еще один плюс привлечения к аудиту информационной безопасности стороннего подрядчика. В качестве такового может выступить как крупный интегратор, так и компания – поставщик специализированных решений по защите информации.
Кроме того, аудит является частью жизненного цикла политики информационной безопасности. Без него единожды созданная система защиты будет бессильна противостоять динамической обстановке как в сфере информационных угроз, так и в сфере деловой конкуренции. В общем случае аудит должен замыкать собой этапы развития политики информационной безопасности. Выглядеть это должно следующим образом: вначале разрабатывается ПИБ, далее внедряется решение по защите информации, затем проводится аудит на соответствие текущим угрозам и производится доработка ПИБ/модели нарушителя. После этого вносятся изменения в существующую СЗИ, проводится аудит и доработка ПИБ/модели нарушителя и так далее. Данная концепция де-факто уже стала стандартом в сфере информационной безопасности. Если учесть то, как быстро и кардинально меняется ситуация в области защиты данных и конкурентные обстоятельства, то сложно переоценить роль аудита ИБ компании.
Отсюда мы делаем вывод, что управление информационной безопасностью осуществляется с помощью аудита существующей ПИБ и последующей корректировки либо реализованной системы защиты, либо действующего ПИБ. Аудит представляет собой полную и тотальную проверку как системы защиты информации, так и ее соответствие реальным угрозам. Так как аудитор должен обладать широким кругозором в области информационной безопасности и быть незаинтересованным в результатах проверки, представляется правильным использовать для аудита сторонних подрядчиков.
Как же эта приведенная выше теория применяется на практике? Рассмотрим несколько примеров, наглядно иллюстрирующих организацию управления и мониторинга информационной безопасностью.
В качестве первого примера приведем региональную реселлерскую компанию, штат которой невелик, а значит, не представляется возможным выделить отдельную ставку для специалиста по информационной безопасности. Стоит такой человек дорого, а прибыли не будет приносить вовсе. В виду данного обстоятельства обязанности офицера по ИБ выполняет системный администратор. Системный администратор оказался дотошным специалистом, поэтому разработал и представил руководству документ, приближенный по содержанию к «Политике информационной безопасности». С его точки зрения, самый ценный информационный ресурс компании – база, содержащая информацию о клиентах и сделках. Для ее хранения выбран отдельный сервер, доступ к нему разграничивается с помощью встроенных средств операционной системы Windows, а подключение внешних носителей отключено в BIOS клиентских компьютеров. При этом доступ к сети интернет у пользователей практически неограничен, а, следовательно, вся безопасность компании держится на лояльности сотрудников.
На этом основании системный администратор предлагает ряд методов мониторинга и управления системой информационной безопасности и технические средства для их реализации. В частности он считает, что с помощью встроенных средств Microsoft Windows Server необходимо вести аудит доступа к клиентской базе. Кроме того, по его мнению, есть смысл задействовать средства на корпоративном прокси-сервере для отслеживания и пресечения передачи файлов большого размера за пределы локальной сети компании, обнаруживать факты подсоединения к сети «чужих» компьютеров, а также не допускать подмены корпоративной рабочей станции. Специализированный же модуль антивирусной защиты должен предупреждать администратора об обнаружении вирусов или угроз. К организационным мерам системный администратор чаще всего относит ведение мониторинга лояльности сотрудников и внеплановые проверки режима хранения сотрудниками паролей. В качестве аналитических мер предлагается, по возможности, «держать руку на пульсе» конкурентов и выяснять, нет ли у кого желания и возможности осуществить подкуп или переманить к себе сотрудника компании. Аудит в данном случае будет заключаться только в проверке парольного режима. Сам системный администратор проверять себя не сможет, а вызов специалиста-аудитора обойдется компании слишком дорого – стоимость проверок раз в полгода вдвое превысит возможные финансовые потери при краже базы данных.
Вывод здесь можно сделать такой: отсутствие разветвленной информационной инфраструктуры, сравнительно небольшая прибыль компании и невысокие потери в случае кражи информации приводят к реализации экономичного решения – «сами организуем – сами будем следить». Плюсы подобного решения – невысокие затраты на содержание специалиста и закупку профильного программного и аппаратного обеспечения (как правило, все делается средствами продуктов Microsoft). К его минусам относятся высокий риск кражи данных, а также отсутствие контролирующего органа.
В качестве второго примера приведем торгово-логистическую компанию, дошедшую до того момента, когда ее руководство начало серьезно задумываться об информационной безопасности. Поводом тут стали несколько событий, в ходе которых организация понесла финансовые потери. Внутреннее расследование показало, что причиной послужила утечка информации, организованная конкурентами. Генеральный директор принимает решение об организации отдела защиты информации, приглашает на должность начальника отдела своего хорошего знакомого, недавно ушедшего из «органов», и тот немедленно разворачивает бурную деятельность. Все ставится по-военному четко – должным образом организуется режим доступа в помещения, внедряются соответствующие системы контроля доступа, системному администратору выдается набор аппаратно-программных средств для установки в критических точках обработки и хранения информации. Для мониторинга информационной безопасности вводится должность помощника начальника отдела ИБ (тоже очень хороший знакомый), для которого организуется доступ к подсистеме аудита локальной сети, создается рабочее место мониторинга систем контроля доступа в помещения и систем защиты информации. Аудит начальник отдела замыкает на себя – один раз в полгода проводится проверка выполнения внутренних требований, как рядовыми сотрудниками в части их повседневной работы, так и системным администратором в части настройки локальной сети и активного оборудования.
Проблема заключается лишь в том, что ни пришедший «по знакомству» начальник отдела, ни его протеже по мониторингу ИБ, никто из них толком не разбирается в применяемых на предприятии комплексах. Cisco IDS, Windows Network Access Protection, Symantec Corp. и т.д. – разнообразие технических средств настолько велико, что для того чтобы в них ориентироваться, необходимо затратить пару лет на обучение. Системный администратор, пользуясь этим, выдает для аудиторской проверки «обманки» – либо фальшивые распечатки, либо скорректированные файлы отчетов. При этом руководитель не в состоянии оценить достоверность предоставляемых сведений. Утечка данных продолжается, фирма теряет деньги, средства на защиту потрачены зря.
Скажете фантастика? Нет, вполне реальная ситуация. С одной стороны, было предпринято правильное действие – организована внутренняя структура по контролю информационной безопасности. Но, с другой стороны, благие начинания натолкнулись на кадровый выбор. Не стоит бояться, что человек «внизу» будет в какой-то области знать больше своего начальника – он для этого и нанят. Иногда лучше взять на работу хорошего профессионала, нежели хорошего человека. При этом не стоит скупиться на разработку политики информационной безопасности и минимум – ежегодный аудит. Если человек покупает дорогую машину, то он должен быть готовым к тому, что придется тратить деньги на ее обслуживание. В случае с информационной безопасностью – все то же самое.
Таким образом, если потенциальные финансовые потери от утечки данных велики, то необходимо позаботиться о создании внутреннего подразделения защиты информации. При этом следует ориентироваться на дорогих профессионалов (на них ляжет обязанность по разработке ПИБ и наладке средств мониторинга информационной безопасности) и регулярные внешние аудиторские проверки ИБ – без них у первого лица компании как у руководителя не будет объективной картины работы подразделения безопасности его организации.
Герой следующего примера – иностранная корпорация, создавшая в России дочернее предприятие. Компания-интегратор, работающая в области решений защиты информации, получает от нее заказ на разработку политики информационной безопасности на условиях соблюдения коммерческой тайны. На основании разработанного документа создается отдел защиты информации, состоящий из сектора мониторинга и сектора аудита. Первый принимает на себя обязанности по контролю реализованной интегратором системы защиты информации, второй – проводит плановые и внеплановые проверки отдела системного администрирования и персонала компании. На них также совместно со службой экономической безопасности лежит задача анализа угроз компании. В соответствии с докладами комиссии по анализу угроз вносятся изменения в политику информационной безопасности и систему защиты информации. При этом раз в год из головной компании приезжает группа аудита информационной безопасности и проводит комплексную проверку предприятия, в том числе и отдела защиты информации.
Что в этом случае достигается? Нельзя недооценивать факт «контроля сверху». Внешняя проверка помимо контроля уровня знаний специалистов по защите информации также отслеживает и то, как они исполняют свои обязанности. Соответственно уменьшается риск существования «засланного» конкурентами специалиста по ИБ.
В условиях разветвленной бизнес-инфраструктуры рентабельно территориально и организационно отделять аудит (и соответственно управление) от мониторинга. Неплохим решением будет организация проверок филиалов аудиторскими группами из центра или других филиалов. Документы и люди для них в месте проверки «не примелькались», мотивация проста – накопать побольше, а значит, и результаты таких выездов будут более объективны, чем если бы аудит проводили «свои» проверяющие.
Подобное решение, во-первых, изначально (на этапе создания системы) дорогое, во-вторых, затратное в обслуживании. И здесь, как и в любой бизнес-сфере, главную роль будет играть рентабельность мер. Причем в случае утечки данных следует учитывать не только финансовые потери, но и имиджевые, которые иногда могут быть куда как серьезнее, чем финансовые.
Виктор Ивановский