8 Февраля, 2012

Как обеспечить соответствие нормативам информационной безопасности? Программные средства аудита IT-инфраструктуры от компании NetWrix

NetWrix_ru
Если по древней традиции представить себе здание информационной безопасности современной организации стоящим на трех китах, то этими китами должны быть системы управления рисками, системы управления соответствием и системы управления изменениями - со всеми своими процессами, их организационными и техническими составляющими и разнообразными сложными взаимосвязями между ними. Первые две из перечисленных систем, используя риск-ориентированный подход, нормативную базу и передовой опыт, задают определенный уровень защищенности информационных активов организации, в то время как процессы управления изменениями обеспечивает сохранение и поддержание этого уровня, благодаря чему, система управления информационной безопасностью организации (СУИБ) имеет возможность пребывать в относительно стабильном состоянии.

В современном быстро изменяющемся мире развитие информационных технологий приводит к тому, что изменения становятся серьезным вызовом. Такие явления, как слияния/поглощения, текучка кадров, вывод на рынок новых продуктов и услуг и связанное с этим изменение внутренних процессов угрожают снижением уровня защищенности активов. Одной из основных причин инцидентов информационной безопасности являются изменения, влияющие на IT- инфраструктуру. Этому способствуют такие факторы, как недостаточная готовность или адаптируемость персонала к изменениям, вечная нехватка ресурсов, недостаточная обученность персонала работе с новыми технологиями, слабый анализ воздействия изменений и т. п.

Управление изменениями, помимо организационной составляющей, определяемой соответствующей корпоративной политикой, процедурами, стандартами, компетенциями, ответственностью персонала и прочими составляющими, включают в себя не менее важную технологическую составляющую, связанную с использованием современных программных и аппаратных средств, предназначенных для фиксации и анализа изменений, предотвращения нежелательных изменений и восстановления после таких изменений.


Основные технологические аспекты управления изменениями рассматриваются на примере комплекса программного обеспечения компании NetWrix, предназначенного для аудита изменений. Также мы рассмотрим, каким образом и в какой степени данная продуктовая линейка может использоваться для обеспечения соответствия нормативным требования РФ в области информационной безопасности.

От управления событиями к аудиту изменений
Встроенные в IT-инфраструктуру (сетевое оборудование, ОС, СУБД, приложения) механизмы аудита и протоколирования событий были первоначально предназначены, прежде всего, для диагностирования и устранения неполадок, а не для удовлетворения потребностей аудита безопасности или демонстрации соответствия законодательному или отраслевому регулированию. Возможности таких стандартных средств для целей информационной безопасности сильно ограничены, поэтому все больше компаний применяют средства централизованного управления событиями безопасности и аудита изменений, предоставляющие такие функции, как:


· централизованный аудит, анализ и корреляция событий безопасности
· поиск, фильтрация событий и подготовка отчетов об изменениях
· различные формы уведомлений о событиях безопасности, инцидентах и критичных изменениях IT-инфраструктуры, состава и конфигурации программных и аппаратных средств
· архивирование событий безопасности
· резервное копирование, восстановление данных и конфигурационной информации
· сохранение контрольных точек и откат изменений

Аудит изменений позволяет получить ответы на четыре основных вопроса по каждому изменению:


· Кто сделал изменение?
· Что изменилось?
· Когда сделаны изменения?
· Где сделано изменение?


Специалистам хорошо известна «проблема системного администратора». Не секрет, что системный администратор, обладая порой неограниченным уровнем доступа к информационным системам организации, может явиться источником серьезных нарушений безопасности, той самой “единой точкой отказа”, которая нарушает всю цепочку дорогостоящих систем защиты информации. Проблемой является вседозволенность системного администратора, который зачастую сам решает исходя из личных предпочтений, кому можно предоставить доступ в интернет или к отдельным сайтам в обход корпоративной политики. Руководители компаний знают эту проблему, но ничего не могут поделать, не имея надлежащих инструментов. В связи с этим большое значение приобретает организационный и технический контроль действий системных администраторов. Системы управления изменениями дают такие инструменты в виде различных консолей и в более привычном для руководителей виде – виде регулярных автоматических отчетов, присылаемых на почтовый ящик.

Отслеживание изменений во всех компонентах корпоративной сети, включая Active Directory, настройки параметров групповых политик и пользовательских учетных записей, доступа к файлам и папкам, базам данных, почтовым папкам Exchange Server и т.д. является важнейшим фактором поддержания заданного уровня защищенности IT -инфраструктуры. Без этого организации могут очень быстро потерять контроль над IT-инфраструктурой, рисками информационной безопасности и соответствием применяемым нормативным требованиям.

Место аудита изменений в жизненном цикле систем менеджмента


Важное место аудит изменений занимает в жизненном цикле систем менеджмента IT-сервисов, построенных на базе ISO 20000, и систем менеджмента информационной безопасности, построенных на базе ISO 27001. В рамках используемого данными системами цикла Деминга на стадии “Проверка” (“Check”) среди прочих вопросов требуется осуществлять аудит изменений, влияющих на обеспечение соответствия законодательству и отраслевому регулированию, внутренним политикам и процедурам. Управление изменениями также входит в указанные стандарты и как отдельный процесс. Помимо этого, процесс управления изменениями лежит в основе многих других процессов, таких как управление инцидентами и непрерывностью бизнеса, контроль и восстановление целостности, обнаружение и предотвращение вторжений.

Аудит изменений позволяет не только проводить полноценное расследование инцидентов безопасности, но и повышает ответственность персонала за свои действия, поскольку все зафиксированные изменения, повлекшие нарушение работоспособности или безопасности, содержат в своем атрибуте владельца изменения. Другой важной составляющей аудита изменений является возможность использования многократного контроля вносимых изменений со стороны различных должностных лиц, а также согласование и утверждение изменений руководством организации. Это снижает вероятность экспертных ошибок и уменьшает проявления “человеческого фактора”.

Интегрированный набор программных продуктов NetWrix для аудита изменений и управления безопасностью IT -инфраструктуры

В качестве одного из многочисленных примеров, подчеркивающих важность аудита изменений, можно привести утечку корпоративной переписки крупной компании из почтового ящика одного из сотрудников. При расследовании не удалось установить, кто это сделал и когда. Во-первых, не велся журнал доступа (из-за его большого размера). Во-вторых, регистрация была возможна только по IP-адресу, но из-за динамической модели распределения внутренних IP-адресов утрачивался смысл регистрации и т. д.


Подобного рода проблемы решаются путем применения целого комплекса специализированных средств аудита изменений, подобно тем, которые разрабатывает наша компания NetWrix. Для различных систем и приложений эти продукты позволяют получить вполне конкретные ответы, например:

MS Exchange
· Кто получал доступ к почтовому ящику другого пользователя?

SQL Server
· Кто удалил основную базу данных?

File Server
· Кто изменил права доступа к файлам и папкам?
· Кто получал доступ к конфиденциальным файлам?
· Кто удалил файлы с сервера?

Windows Server
· Кто установил какое программное обеспечение?
· Кто изменил определенные параметры реестра?
· Кто добавил определенную учетную запись в группу локальных администраторов?
· Кто изменил программы автозапуска (AutoRun)?
· Кто изменил настройки общих папок или расшарил определенные директории?


Решения компании NetWrix является интегрированным набором продуктов, которые, кроме указанных выше возможностей, предлагают полный аудит всех изменений IT -инфраструктуры, построенной на базе MS Windows:


· Active Directory (Active Directory Change Reporter )
· Group Policy ( Group Policy Change Reporter )
· Microsoft Exchange ( Exchange Change Reporter )
· файловые сервера и аплайансы ( EMC Celerra Change Reporter и File Server Change Reporter )
· виртуальные машины VMware и System Center Virtual Machine Manager ( VMware Change Reporte r и Change Reporter for System Center Virtual Machine Manager )
· Windows- сервисы ( Server Configuration Change Reporter )
· сетевые устройства ( Network Infrastructure Change Reporter )
· сервера SQL Server ( SQL Server Change Reporter )
· сервера SharePoint ( SharePoint Change Reporter )


Важную роль имеет также архивирование журнальных файлов событий в защищенном месте - это, например, подчеркивается в стандарте ISO 27001 (4.3.3). Эти функции обеспечивают практически все продукты NetWrix.


Большое значение также имеет не только аудит изменений, но и возможность произвести их откат в первоначальное состояние, например тех изменений, которые вызвали сбой или нарушение работоспособности систем. Эти функции обеспечивают следующие продукты NetWrix:


· http://www.netwrix.com/ru/active_directory_object_restore_wizard_freeware.html Active Directory Object Restore Wizard
· Group Policy Backup/Restore


Продуктовая линейка NetWrix не ограничивается перечисленными выше средствами аудита изменений. Она также включает в себя программные средства для управления учетными записями пользователей и паролями. К ним относятся:


· Account Lockout Examiner
· Inactive Users Tracker
· Privileged Account Manager
· Bulk Password Reset

Как показывает проведенный анализ нормативных требований , данная продуктовая линейка обеспечивает выполнение значительного объема требований, предъявляемых к защите персональных данных, банковской и платежной информации, а также прочих видов конфиденциальной информации.

Обеспечение соответствия нормативным требованиям с помощью продуктов NetWrix


Наибольшее значение управление изменениями приобретает в связи с необходимостью обеспечения соответствия законодательству и отраслевому регулированию. В первую очередь за счет появления новых требований со стороны регуляторов и усиления их контроля, а также за счет влияния нарушений нормативных требований на имидж и репутацию компании. Например, отчеты регуляторов о проверках по 152-ФЗ “О персональных данных” носят публичный характер, и если в других случаях компания может скрыть произошедший инцидент с информационной безопасностью, то в данном случае он получает широкое освещение в прессе. Такая огласка негативно влияет и на первых лиц организации, ставя под сомнение их эффективность и квалификацию.


Появление новых требований (например, 224-ФЗ «Об инсайде») в совокупности с другими требованиями регуляторов является причиной для усиления корпоративных систем внутреннего контроля, базирующихся, в том числе, на аудите изменений.


Для выполнения соответствия нормативным требованиям необходимо применять в дополнение к организационным и технические меры, в том числе в части управления изменениями, целостностью, аудитом, идентификацией, паролями и т. п. Для анализа выполнения нормативных требований по информационной безопасности при помощи продуктовой линейки NetWrix были выбраны наиболее актуальные в настоящее время для российских компаний регулятивные документы:
· престижный и добровольный международный стандарт на систему управления информационной безопасностью ISO 27001,
· добровольно-принудительный для российских банков стандарт Банка России СТО БР ИББС,
· не дающий покоя эмитентам и операторам пластиковых карт PCI-DSS
· и обязательный для выполнения всеми операторами персональных данных (читай всеми российскими компаниями) 152-ФЗ «О персональных данных».


Продукты компании NetWrix позволяют компаниям соблюдать требования этих стандартов. Какие программы NetWrix позволяют выполнять отдельные положения требований и как они это осуществляют, Вы можете прочитать на нашем сайте:

Средства аудита изменений и управления IT-инфраструктурой NetWrix вносят свой вклад в закрытие значительной части требований нормативных документов, включая:

· требования по ограничению, контролю и мониторингу доступа к платежной информации,
· идентификации и аутентификации пользователей,
· управлению паролями и учетными записями,
· управлению изменениями,
· расследованию инцидентов,
· контролю соответствия,
· управлению коммуникациями и операциями,
· регистрации и учету событий,
· обнаружению попыток несанкционированного доступа к персональным данным и прочей конфиденциальной информации и многое другое.


Все программы, осуществляющие аудит изменений и управление IT-инфраструктурой компании мы собрали в одно комплексное решение - NetWrix Change Reporter Suite . Если Вам необходимо отслеживать произведенные в Вашей IT-инфраструктуре изменения, то Вы можете бесплатно скачать программу Change Reporter Suite и оценить, насколько усилился контроль над изменениями.

Источник
или введите имя

CAPTCHA