|
|
|
Системы централизованного управления ИБ упрощают задачу сисадминовСовременная информационная инфраструктура крупной организации представляет собой распределенную сеть, объединяющую множество разных платформ. Обеспечение безопасности информационной системы крупной организации как сложной системы представляет собой непростую задачу. Для ее облегчения практически все крупные производители сетевых решений предлагают продукты для централизованного управления как функционированием, так и безопасностью сети. Функциональность центра управления информационной безопасностью разнится в зависимости от понимания «безопасности сети» конкретным производителем сетевых решений. Вместе с тем, в индустрии централизованного управления ИБ существуют общие тенденции и общие направления развития. Как правило, можно выделить следующие направления деятельности полнофункционального центра управления ИБ : управление уязвимостями, процедурами аутентификации, доверительными отношениями в организации, инцидентами в области информационной безопасности, состоянием системы обеспечения информационной безопасности, а так же управление проведением аудита на соответствие состояния инфраструктуры установленной политике безопасности и требованиям нормативных документов. Рассмотрим эти направления подробнее. Управление уязвимостями Под управлениям уязвимостями понимается процесс сведения возможных рисков к минимуму. Среди основных мероприятий, которые относятся к этапу управления уязвимостями, можно выделить, во-первых, оценку состояния безопасности информационной системы в целом и отдельных ее компонентов. Во-вторых, установку необходимых обновлений программного обеспечения, коррекция конфигурации систем. В-третьих, внедрение и конфигурирование средств антивирусной защиты. В-четвертых, внедрение и конфигурирование межсетевых экранов. И в-пятых, внедрение и конфигурирование систем предотвращения вторжений различных типов. Иными словами, задачей этапа управления уязвимостями является формирование защищенной вычислительной инфраструктуры, с которой в дальнейшем смогут работать пользователи. Управление процедурами аутентификации Под управлением процедурами аутентификации понимается установка такого процесса аутентификации, при котором гарантируется надежное установление подлинности объекта сети или пользователя сети. К основным мероприятиям, которые относятся к этому этапу управления уязвимостями, являются создание учетных записей пользователей, а так же обеспечение требуемой процедуры аутентификации с соблюдением всех надлежащих требований (например, при парольной защите — задание правил сложности паролей, обеспечение регулярного обновления паролей и т.п.; введение многофакторной аутентификации и т.п.). Иными словами, задачей этапа управления процедурами аутентификации становится создание пользователей и введение механизмов надежного подтверждения личностей пользователей, которые будут работать в защищенной инфраструктуре, сформированной на этапе управления уязвимостями. Управление доверительными отношениями Под управлением доверительными отношениями понимается формирование такой схемы доступа к ресурсам, при которой пользователи, личность которых надежно установлена в процессе аутентификации, будут получать доступ к ресурсам только в соответствии с заданными политиками и наиболее безопасным способом. К основным мероприятиям, которые можно включить в этап управления доверительными отношениями, относятся: введение политик доступа к ресурсам информационной системы; управление правами доступа пользователей; ведение инфраструктуры PKI; создание каналов безопасного доступа к информационной системе (например, VPN); шифрование данных для доступа к ним только доверенных пользователей; внедрение системы контроля доступа к сети организации; а также конфигурирование элементов защищенной информационной инфраструктуры, например, межсетевых экранов, в соответствии с введенными политиками и правами. Иными словами, на этапе управления доверительными отношениями выполняется формирование политик доступа, настройка прав доступа пользователей и конфигурирование компонентов обеспечения безопасности информационной системы в соответствии с принятыми политиками. Управление инцидентами Под управлением инцидентами понимается возможность централизованного управления обработкой обнаруженных инцидентов в области информационной безопасности. В частности, речь идет о сборе информации от средств обеспечения информационной безопасности, в том числе, средств антивирусной защиты, систем предотвращения вторжений, межсетевых экранов и т.п. Кроме того — о предоставлении оператору максимально полной, наглядной и информативной картины попытки нарушения безопасности; оперативном переконфигурировании информационной системы организации с целью ограничения возможных последствий нарушения безопасности; и, наконец, максимально полной регистрации сведений о попытке нарушения информационной безопасности для последующего анализа причин нарушения информационной безопасности и предупреждения повторения инцидента. Таким образом, на этапе управления инцидентами центр обеспечения ИБ обеспечивает оператора всей необходимой информацией о попытке нарушения информационной безопасности и используется как для регистрации этой информации, так и для устранения последствий инцидента. Управление состоянием системы обеспечения информационной безопасности Под управлением состоянием системы обеспечения информационной безопасности понимается возможность поддержания системы информационной безопасности в адекватном состоянии. В частности, речь идет о выполнении таких процедур, как обновление средств антивирусной защиты и систем предотвращения вторжений; аудите состояния средств обеспечения информационной безопасности: актуальности версий средств антивирусной защиты и систем предотвращения вторжений, проверке конфигурации межсетевых экранов, проверке настройки прав доступа и соответствии прав доступа заданным политикам безопасности и т.п.; о проверке состояния учетных записей пользователей; а также о проверке доступности ресурсов системы. Иными словами, под управлением состоянием системы обеспечения безопасности понимаются действия по поддержке системы обеспечения состояния в актуальном состоянии. Информационная система компании является динамической системой, поэтому регулярное проведение аудита корректности состояния информационной системы является абсолютной необходимостью. Кроме того, масса организаций подпадает под действие множества нормативных актов, например, Basel II или SOX. В этом случае аудит становится законодательным требованием. Потребности заказчиков, внедряющих центр управления информационной безопасностью В настоящее время большинство существующих решений по централизованному управлению безопасностью позволяют пользователям эффективно решать задачи, возникающие на этапе управления инцидентами и частично на этапе управления доверительными отношениями (конфигурирование систем обеспечения безопасности). Как правило, средства антивирусной защиты контролируются из автономного центра управления, никак не связанного со средствами управления системой предотвращения вторжений. В свою очередь центр управления системой предотвращения вторжений зачастую не связан с центром управления межсетевыми экранами и т.п. Такая разрозненность обычно вызвана объективными факторами, например, использованием продуктов различных производителей для решения различных задач. Однако объективные причины ни в коей не мере не облегчают ситуацию, в которой вместо одного средства централизованного управления безопасностью организации потребители вынуждены пользоваться двумя или тремя программными продуктами. Кроме того, при выполнении «подготовительных» действий — например, оценки уязвимостей или управления правами доступа пользователей — администраторы безопасности вынуждены пользоваться средствами контроля защищенности, разработанными сторонними производителями, и механизмами задания прав доступа/формирования политик доступа, предусмотренными в операционной системе. Тем самым, решение для централизованного управления безопасностью в организации, по сути, не является абсолютно законченным или полнофункциональным. Вместе с тем, потребности пользователей в законченном/полнофункциональном решении по управлению информационной безопасностью в масштабах организации с использованием механизма политик безопасности являются достаточно высокими. В идеале организациям нужно одно единственное средство централизованного управления информационное безопасностью в масштабах организации вместо нескольких решений, позволяющих по отдельности решать фрагменты общей задачи. Направления развития На сегодняшний день спектр задач по централизованному управлению ИБ слишком широк для одной организации, потому следует ожидать появления совместных решений различных производителей. При рассмотрении общего списка задач, стоящих перед разработчиками решения по централизованному управлению ИБ, можно выделить ряд задач и организаций, которые могут решить эти задачи наиболее эффективно. Они представлены в таблице ниже. Задачи по централизованному управлению ИБ и соответствующие исполнители
При перечислении задач во внимание принималось отсутствие в широком смысле стандартизованных способов взаимодействия средств защиты информации различных производителей, управления конфигурацией ОС, управления конфигурацией коммуникационных устройств и т.п. Таким образом, для решения задачи централизованного управления безопасностью в целом возникает необходимость сотрудничества аналитиков/разработчиков, специализирующихся на оценке состояния информационных систем, производителей ОС оконечных узлов, производителей коммуникационного оборудования, производителей средств защиты информации общего назначения и производителей криптографических средств защиты информации. Данный вариант представляется крайне трудно реализуемым на практике, особенно с учетом масштаба задачи. В то же время для решения задачи централизованного управления обработкой инцидентов в области безопасности требуется сотрудничество производителей ОС оконечных устройств (в не очень сильной степени), производителей коммуникационного оборудования, производителей различных средств защиты информации и, возможно, независимых разработчиков. Данный вариант представляется вполне реализуемым. Таким образом, с учетом текущей ситуации в индустрии можно выделить следующие тенденции развития центров управления информационной безопасностью. На уровне глобального управления ИБ — единая политика безопасности. Во-первых, можно ожидать появления интегрированных решений по созданию политики контроля и разграничения доступа в рамках единой ОС с контролем состояния оконечных узлов, и, возможно, интеграцией с антивирусными средствами. Во-вторых, можно ожидать появления интегрированных решений по созданию политики контроля и разграничения доступа в рамках коммуникационной инфраструктуры на оборудовании одного производителя с контролем состояния сетевого оборудования. В-третьих, не следует ожидать интеграции двух вышеперечисленных решений в ближайшем будущем На уровне управления инцидентами, во-первых, можно ожидать стандартизации механизмов переконфигурирования сетевого оборудования различных производителей. Во-вторых, можно ожидать появления интегрированных решений по управлению инцидентами в области информационной безопасности для гетерогенной коммуникационной среды (построенной на оборудовании разных производителей). В-третьих, программное обеспечения для управления инцидентами будет становиться более интеллектуальным и активно предлагать оператору решения по устранению инцидента. В заключение, необходимо отметить, что задача по созданию полнофункционального решения для централизованного управления ИБ всей информационной системой представляется слишком масштабной для решения одной компанией. Скорее всего, в ближайшее время управление обеспечением ИБ по-прежнему будет делиться на управление созданием безопасной конфигурации оконечных узлов с использованием механизмов ОС и управление созданием безопасной конфигурации коммуникационной системы с использованием механизмов управления коммуникационным оборудованием. При этом работающие решения для централизованного управления инцидентами в области ИБ уже существуют, их развитие будет связано со стандартизацией способов взаимодействия с различными компонентами информационной инфраструктуры и появлением все более интеллектуальных алгоритмов обработки инцидентов в области ИБ. Василий Томилин |