Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Пример решения: КУБ для управления доступом

Информационная система организации — это активный инструмент ведения бизнеса. Эффективная деятельность современного предприятия не возможна без единой корпоративной информационной системы, объединяющей и автоматизирующей различные бизнес-процессы предприятия. Динамичное развитие бизнеса обуславливает быстрый рост и усложнение корпоративных информационных систем, расширяются их функции и набор предоставляемых сервисов.

Руководство компании предполагает, что информационная система будет работать надежно и сохранит конфиденциальность обрабатываемой информации.

Очень часто это не соответствует действительности. В чем причина такого положения дел?

Прежде всего, в сложности самой информационной системы. В крупных системах велико количество пользователей, приложений и информационных ресурсов, взаимосвязи между ними сложны и разнообразны. В таких системах, как правило, используются различные средства защиты, как встроенные в операционные системы, так и специализированные, предназначенные, например, для межсетевого экранирования.

За безопасность этого сложного организма, обычно, отвечает служба безопасности. Но управление частью встроенных в приложения и операционные системы механизмов защиты лежит на ИT-подразделении. Эти настройки, зачастую, не контролируются службой безопасности.

А поскольку, обычно, в компании ответственность за срыв сроков в решении бизнес задач выше, чем за нарушение требований корпоративной политики безопасности, нередки ситуации, когда для решения задач ИT-подразделение, на свой страх и риск, идет на снижение уровня безопасности.

«Размытость» ответственности между этими подразделениями, несогласованность или отсутствие регламента внесения изменений в информационную систему и в настройки механизмов безопасности приводят к ослаблению (а то и к потере) контроля над безопасностью информационной системы.

Проблема управления безопасностью растет и усложняется по мере развития информационной системы как снежный ком.

Решить эту проблему только организационными методами не удается. Увеличение численности сотрудников ИT-подразделения и службы безопасности только усугубляет проблему. Специализация сотрудников на управлении отдельными прикладными системами порождает иную проблему — необходимости координации их работы, потому что настройки систем зачастую взаимосвязаны между собой.

Исключительно технические методы решения этой проблемы также неприемлемы. Универсальная консоль управления всеми приложениями не спасает, поскольку не решен главный вопрос — кто и как должен принимать решения о том, какие изменения нужны.

Решение

Компания «Информзащита» предлагает российское решение, сертифицированное ФСТЭК по требованиям безопасности — систему управления безопасностью КУБ.

Уникальность решения заключается в том, что КУБ позволяет реализовать в компании сбалансированный организационно-технический подход к решению проблемы управления безопасностью. Использование КУБа позволит эффективно управлять безопасностью информационной системы и обеспечить надежную защиту нематериальных активов компании.

Необходимые организационные изменения

Эффективное управление безопасностью возможно лишь в том случае, если в нем участвуют бизнес-подразделения наравне с ИТ-подразделением или службой безопасности:

Служба безопасности разрабатывает основные правила доступа к ресурсам информационной системы (политику безопасности) и контролирует ее исполнение без вмешательства в настройки информационной системы.

Все изменения в настройки информационной системы вносит ИT-подразделение с учетом требований, изложенных в политике безопасности.

Такое разграничение ответственности соответствует лучшим мировым практикам, существенно повышает эффективность взаимодействия внутри компании и устраняет основную причину для возникновения конфликтов между ИT-подразделением и службой безопасности.

Внедряемые программно-технические средства

Сервер безопасности

Сервер безопасности системы КУБ занимает центральное место в архитектуре системы.

Это «мозг» системы КУБ. Здесь, в специальной базе данных (БД) сосредоточены все знания об информационной системе компании, ее ресурсах и пользователях, о полномочиях и обязанностях всех подразделений компании, о структуре и топологии информационной системы. На эти знания накладываются требования корпоративной политики безопасности. Сервер безопасности получает задания на изменения параметров доступа, сверяет их с действующими правилами и раздает необходимые поручения по претворению этих изменений в жизнь. При несанкционированных изменениях в системе сервер безопасности оповещает полномочных лиц о случившемся.

Агенты КУБ

Это «глаза» системы КУБ, которые следят за происходящими в информационной системе изменениями. Они контролируют настройки прикладных систем, ОС, специализированных средств информационной безопасности. При невыполнении администратором положенных действий или обнаружении изменений, совершенных администратором или кем-нибудь еще в обход принятого и утвержденного в организации порядка агент уведомляет об этом сервер безопасности.

Существуют следующие типы агентов системы КУБ:

• агенты для общего программного обеспечения (операционных систем, серверов баз данных, web-серверов, почтовых серверов и т.д.);
• специализированные агенты, используемые для нужд системы КУБ (агент PKI, агент синхронизации с кадровыми БД);
• агенты сетевых и коммуникационных устройств (Cisco PIX, Checkpoint, коммуникационное оборудование, офисные АТС и т.п.);
• агенты для прикладного программного обеспечения.

Система КУБ архитектурно построена таким образом, что позволяет при необходимости добавлять новые агенты КУБ для поддержки принципиально новых ресурсов.

Взаимодействие компонентов системы

Ядром системы является сервер безопасности КУБ, реализующий логику, заложенную при проектировании системы. Он взаимодействует с агентами системы, получая от них информацию о текущем состоянии контролируемых настроек.

Агенты устанавливаются только на те ресурсы, доступ к которым регламентируется в соответствии с корпоративной политикой безопасности. На рабочие места пользователей агенты не устанавливаются.

Система управления заявками является основным инструментом для руководителей бизнес-подразделений по созданию запросов на изменения в системе и контролю их исполнения. Доступ к системе управления заявками осуществляется с помощью Web-браузера и не требует установки какого-либо программного обеспечения на рабочие места руководителей.

Модуль интеграции с кадровой системой позволяет поддерживать в актуальном состоянии сведения об оргштатной структуре компании.

Встроенная система документооборота обеспечивает согласование заявок с уполномоченными лицами и их архивное хранение. В системе фиксируется весь жизненный цикл заявки: от создания, до исполнения. Система реализует преобразование бизнес-требования к информационной системе в набор детальнейших инструкций о том, какие изменения и в каких компонентах информационной системы нужно сделать

Подсистема генерации отчетов позволяет наглядно представить информацию о назначении прав доступа различным должностным лицам к защищаемым ресурсам в масштабах всей компании, истории изменений.

Контроль за происходящими изменениями

Контроль не является тотальным. Контролируются лишь те настройки, которые имеют отношение к обеспечению безопасности информационной системы.

Создавая заявки, бизнес-подразделения проводят грань между законными и незаконными изменениями в информационной системе и определяют ответственных за то или иное решение по доступу к ресурсам информационной системы.

Это позволит бизнес-подразделениям компании и менеджменту в целом быть уверенными, что изменения, происходящие в системе, действительно полезны и необходимы компании.

Какие выгоды дает внедрение КУБа?

Четкое разграничение ответственности устранит почву для возникновения конфликтов между ИT и подразделениями безопасности.

Необходимые изменения в информационной системе теперь будут производиться согласованно, точно в срок и без ошибок, и бизнес-подразделения получат инструменты контроля над этим

Политика безопасности теперь не будет просто бумагой. Она будет реально выполняться и за этим будет установлен строгий контроль.

Формализация взаимодействия поможет упростить процесс управления и повысит взаимопонимание подразделений.

Общим выигрышем для компании станут высвободившиеся в результате автоматизации временные и кадровые ресурсы, которые будут направлены на решение иных важных производственных задач.

Достоинства системы КУБ

Система КУБ может быть масштабирована на любое количество прикладных подсистем Вашей компании и будет расти вместе с ростом информационной системы

Под контроль системы КУБ может быть поставлено любое приложение, устройство и т.п.

Система КУБ — это действительно централизованное управление всеми подсистемами безопасности. Система КУБ позволит контролировать все изменения в настройках информационной системы и проверять их на соответствие политике безопасности. КУБ легко отличит легальное изменение настроек от злонамеренных или ошибочных. КУБ позволит в любой момент времени знать, КТО имеет доступ к РЕСУРСАМ информационной системы и ПОЧЕМУ.

Сочетание организационного и технического подходов к управлению изменениями информационной системы

Исключение человеческого фактора из процесса управления информационной безопасностью.

КУБ — это не разовая помощь в наведении порядка. КУБ — это постоянный и неустанный помощник, изо дня в день помогающий эффективно решать задачу обеспечения безопасности Вашей информационной системы.