2 Июля, 2014

Предотвращение утечек стратегически важной информации. ИБ как процесс.

Алексей Павлов
Введение.

Предотвращение утечек информации, несанкционированного доступа является одной из важнейших задач службы информационной безопасности любой организации. Если есть конфиденциальная информация (государственная, коммерческая тайна, персональные данные), то есть проблема ее охраны от хищения, удаления, изменения, просмотра. С ростом компании увеличивается опасность хищения информации, в том числе сотрудниками, возрастают финансовые и репутационные риски, это приводит к ужесточению политик и систем контроля.

На рынке средств информационной безопасности все системы, в том или ином виде, работают на данную проблему.

Межсетевые экраны. Антивирусы. SIEM. DLP.

Система информационной защиты компании включает в себя несколько уровней. Передовую защиту обеспечивают межсетевые экраны, которые препятствуют атакам извне и проникновениям во внутренний системный контур с целью хищения информации. Кроме того, файерволлы отслеживают направления исходящих пакетов, устанавливая запреты на определенные из них.
Второй уровень составляют различные антивирусные решения, которые путем мониторинга и сканирования системных процессов и файлов – входящих, активных, архивных – выявляют те из них, которые направлены на повреждение, зомбирование системы, а также кражу и передачу вовне хранящихся там данных.

Следующий уровень безопасности обеспечивают структуры управления безопасностью информации и событий – SIEM (Security Information and Event Management). Они отслеживают подозрительные активности, как внутри контура, так и извне: регистрируют попытки сканирования портов, подбора паролей и прочее, и предоставляют информацию в виде отчета. SIEM второго поколения позволяют выявить подозрительные активности и отреагировать на них (например заблокировать учетную запись при попытке подбора паролей).

И, наконец, особую задачу решают DLP (Data Loss Prevention / Data Leak Prevention / Data Leakage Protection) – специальные технологии и технические устройства, препятствующие утечкам конфиденциальной информации из системы. В самом упрощенном варианте они предотвращают возможность копирования важной информации на флэш-накопители, отправку этой информации по почте

Управление правами доступа.

По статистике, 65% утечек конфиденциальной информации происходит с участием сотрудников предприятия, то есть изнутри. Наиболее распространенный вариант – внедрение средства предотвращения утечек информации – DLP-системы. Но как и любые другие меры, автоматические технологии DLP не в состоянии полностью исключить проблему утечек информации, так как существуют ложные срабатывания, съемка экрана на мобильный телефон. Необходимы комплексный подход и принятие превентивных мер. Какие же превентивные меры можно предпринять, чтобы снизить риски утечки информации?

Наиболее значимый элемент, влияющий на риски, – права доступа в информационные системы, которые выдаются сотруднику. Они накапливаются годами, человек «обрастает» ими, меняя должности, отделы. Представим, что понадобилось узнать, куда имеет доступ сотрудник, работающий пять лет. Сколько времени уйдет, чтобы вывести отчет по сотруднику? Если речь идет о компании в 300–1000 человек, с файловыми хранилищами и пятью информационными системами (ИС), то минут 10–20. Если речь идет о компании в 1000–5000 человек и 10–20 ИС, плюс те же файлообменники, то и 40 минут, и даже более.



Чтобы в режиме мониторинга отлеживать правомерность использования прав доступа каждым сотрудником компании необходимы инвентаризация, структуризация и регламентация прав доступа и дальнейшее управление ими в соответствии с политиками информационной безопасности, для того чтобы снизить риски хищения конфиденциальной информации. Нужен процесс управления правами доступа.

Формализованный запрос доступа. Согласование. Контроль и ресертификация.

Требуется формализованный подход к запросу доступа в соответствии с политиками ИБ, необходим процесс согласования, в том числе с участием непосредственных руководителей, владельцев ресурсов, сотрудников ИТ и офицеров ИБ. Владельцы знают, какая информация содержится в ресурсе или ИС и кому ее можно выдать, а сотрудники ИБ соотносят заявки с политиками. Так же нужен контроль доступа, чтобы сотрудник всегда имел необходимый и достаточный уровень доступа в соответствии со своими обязанностями.

Одно из наиболее популярных решений – внедрение IDM – единой системы управления правами доступа и ресурсами предприятия, которая включает в себя следующие элементы:
  • Интерфейс самообслуживания для формализованного запроса и согласования прав доступа – пользователи смогут самостоятельно участвовать в запросе привилегий, в том числе создавать запросы на предоставление временного доступа.

  • Модуль автоматизации управления правами доступа – автоматическое исполнение требований заявок на предоставление доступа, выдача должностного доступа, создание ролевой модели и оптимизация матрицы доступа.



    Сотрудник, приходя в компанию на определенную должность, попадает в кадровую систему. Информация из кадровой системы автоматически поступает в IDM-решение, и на основании политик ИБ и настроек IDM сотруднику автоматически выдаются должностные права, необходимые для работы. При увольнении все права изымаются, УЗ блокируются.
  • Система отчетов по всем событиям в информационных системах и сетевых ресурсах предприятия. В рамках отчетов привилегии сотрудников можно рассматривать как со стороны ресурсов и ролей, так и относительно должностей, отделов и единичных сотрудников. Также некоторые IDM включают в себя отчеты о требуемых (на основе согласованных заявок) и текущих (на основе состояния систем) правах доступа.
  • Модуль построения ролевой модель доступа. IDM-решения включают в себя аналитические инструменты по оптимизации ролевой модели. Например, есть мастер анализа ролей, позволяющий выявить общие права сотрудников на одной должности либо в одном подразделении и предложить сформировать на основе этих прав должностной доступ. Так же IDM позволяет оптимизировать ролевую модель путем выявления типового существующего доступа и создания бизнес-ролей.

  • Модуль контроля и расследования инцидентов информационной безопасности. IDM-решения условно подразделяются на два типа управления целевыми системами: агентный и безагентный тип. Каждый из этих типов имеет свои достоинства и недостатки. Безагентный тип – наиболее распространен, управление ЦС осуществляется удаленно, при этом опрос систем на предмет изменений происходит периодически (период реконсиляции). Агентный тип требует установки коннектора непосредственно на ИС и позволяет контролировать систему в режиме онлайн. При этом агентный тип IDM сопоставляет изменения в ИС с требованиями согласованных заявок. Если произошло изменение, не соответствующее требованиям заявок (в обход заявочной системы КУБ), ответственный за ИС сотрудник оповещается о несоответствии.



    Каждое легитимное событие в ИС связано с заявкой в IDM, на основе которой это изменение произошло. Благодаря отчету «история изменения прав доступа» можно не только выяснить на основании какой заявки доступ был получен, но и кто его согласовывал.



  • Возможность построения комплексной схемы с использованием SSO, SIEM, ITSM, СКУД, СЗИ.



    В IDM-решении предусмотрена возможность передавать в SIEM-системы отчеты об изменениях ИС, которые несут опасность (которые произошли в обход заявочной системы), а не весь вал происходящих изменений прав доступа.
    Помимо SIEM может быть интересна интеграция с системой СКУД (система контроля и управления доступом):
    1) при приеме на работу сотрудник автоматически получает доступ к тем помещениям, которые ему должны быть доступны на основании его должности;
    2) при увольнении после окончания последнего рабочего дня доступ сотруднику блокируется, и, даже если он не сдал карту, он не сможет попасть в организацию;
    3) для предотвращения использования чужих паролей можно «привязать» доступ в домен (либо в ИС) к физическому местоположению сотрудников, то есть доступ предоставляется только после прохождения пункта контроля на входе в предприятие, до этого момента учетные записи сотрудников заблокированы (за исключением случаев удаленного доступа).
Заключение

Если подводить итоги, то превентивные меры значительно снижают риск утечки конфиденциальной информации и структурируют процесс предоставления доступа и ролевую модель привилегий в ИС. Внедрение IDM-решения позволит:
  • Контролировать информационные системы на предмет легитимного (на основе согласованных заявок), правильного и своевременного предоставления доступа;
  • Проводить плановую и срочную инвентаризацию существующих прав доступа;
  • Ввести полноценную формализованную систему согласования;
  • Производить периодический пересмотр полномочий сотрудников их непосредственными руководителями или ответственными лицами;
  • Расследовать инциденты информационной безопасности.
Алексей Павлов, presale manager, компания "Трастверс"
или введите имя

CAPTCHA