Предотвращение утечек стратегически важной информации. ИБ как процесс.

Алексей Павлов, менеджер поддержки продаж

http://www. sec. ru/

Предотвращение утечек информации, несанкционированного доступа, является одной из важнейших задач службы информационной безопасности любой организации. Если есть конфиденциальная информация (государственная, коммерческая тайна, персональные данные), то существует и проблема ее охраны от хищения, удаления, изменения, просмотра. С ростом компании увеличивается опасность хищения информации, в том числе сотрудниками, возрастают финансовые и репутационные риски, это приводит к учесточению политик и систем контроля.

На рынке средств информационной безопасности все системы, в том или ином виде, работают на данную проблему.



    Межсетевые экраны созданы для предотвращения проникновений во внутренний контур компании, с целью хищения информации. Антивирусы предотвращают возможность попадания вирусов на компьютеры пользователей, которые так же могут похитить или уничтожить ценные данные. SIEM системы отслеживают подозрительные активности, как внутри контура, так и извне. Они регистрируют попытки сканирования портов, подбора паролей и прочее, и предоставляют информацию в виде отчета. SIEM системы второго поколения позволяют выявить подозрительные активности и отреагировать на них (например заблокировать учетную запись при попытке подбора паролей). DLP системы предотвращают возможность копирования важной информации на флэш-накопители, отправку этой информации по почте.

НЕ нашли? Не то? Что вы ищете?

По статистике 65% утечек конфиденциальной информации происходит с участием сотрудников предприятия, то есть изнутри. Наиболее распространенный вариант - внедрение средства предотвращения утечек информации - DLP системы. Как и любые другие меры, внедрение DLP само по себе не решает проблемы утечки информации, так как существуют ложные срабатывания, съемка экрана на мобильный телефон. Необходим комплексный подход и принятие превентивных мер. Какие же превентивные меры можно предпринять, чтобы снизить риски утечки информации?

Наиболее значимый элемент, влияющий на риски - права доступа к информационным системам, которые выдаются сотруднику. Они накапливаются годами, человек обрастает ими, меняя должности, отделы. Представим, что понадобилось узнать, куда имеет доступ сотрудник, работающий пять лет. Сколько времени уйдет, чтобы вывести отчет по сотруднику? Если речь идет о компании в 300-1000 человек с файловыми хранилищами и пятью информационными системами, то минут 10-20. Если речь идет о компании в 1000-5000 человек и 10-20 ИС, плюс те же файлообменники, то и 40 минут и даже более.

Необходима инвентаризация и структуризация прав доступа и дальнейшее управление ими в соответствии с политиками ИБ для того чтобы снизить риски хищения конфиденциальной информации. Нужен процесс управления правами доступа.

Требуется формализованный подход к запросу доступа, в соответствии с политиками ИБ, необходим процесс согласования, в том числе с участием непосредственных руководителей, владельцев ресурсов, сотрудников ИТ и офицеров ИБ. Владельцы знают, какая информация содержится в ресурсе или ИС и кому ее можно выдать, а сотрудники ИБ соотносят заявки с политиками. Также нужен контроль доступа, чтобы сотрудник всегда имел необходимый и достаточный уровень доступа в соответствии со своими обязанностями.

Одно из наиболее популярных решений – внедрение IDM - единой системы управления правами доступа и ресурсами предприятия, которая включает в себя следующие элементы:

    Интерфейс самообслуживания для формализованного запроса и согласования прав доступа - пользователи смогут самостоятельно участвовать в запросе привилегий, в том числе создавать запросы на предоставление временного доступа.



    Модуль автоматизации управления правами доступа - автоматическое исполнение требований заявок на предоставление доступа, выдача должностного доступа, создание ролевой модели и оптимизация матрицы доступа.

Сотрудник, приходя в компанию на определенную должность, попадает в кадровую систему. Информация из кадровой системы автоматически поступает в IDM-решение и на основании политик ИБ и настроек IDM сотруднику автоматически выдаются должностные права, необходимые для работы. При увольнении все права изымаются, УЗ блокируются.

    Систему отчетов по всем событиям в информационных системах и сетевых ресурсах предприятия. В рамках отчетов привилегии сотрудников можно рассматривать как со стороны ресурсов и ролей, так и относительно должностей, отделов и единичных сотрудников. Так же некоторые IDM включают в себя отчеты о требуемых (на основе согласованных заявок) и текущих (на основе состояния систем) правах доступа.

    Модуль построения ролевой модель доступа. IDM-решения включают в себя аналитические инструменты по оптимизации ролевой модели. Например, есть мастер анализа ролей, позволяющий выявить общие права сотрудников на одной должности, либо в одном подразделении и предложить сформировать на основе этих прав должностной доступ. Также IDM позволяет оптимизировать ролевую модель путем выявления типового существующего доступа и создания бизнес-ролей.


    Модуль контроля и расследования инцидентов информационной безопасности. IDM-решения условно подразделяются на два типа управления целевыми системами: агентный и безагентный тип. Каждый из этих типов имеет свои достоинства и недостатки. Безагентный тип – наиболее распространен, управление ЦС осуществляется удаленно, при этом опрос систем на предмет изменений происходит периодически (период реконсиляции). Агентный тип требует установки коннектора непосредственно на ИС и позволяет контролировать систему в режиме онлайн. При этом агентный тип IDM сопоставляет изменения в ИС с требованиями согласованных заявок. Если произошло изменение, не соответствующее требованиям заявок (в обход заявочной системы КУБ), ответственный за ИС сотрудник оповещается о несоответствии.

Каждое легитимное событие в ИС связано с заявкой в IDM, на основе которой это изменение произошло. Благодаря отчету «История изменения прав доступа» можно не только выяснить на основании какой заявки доступ был получен, но и кто его согласовывал.


    Возможность построения комплексной схемы с использованием SSO, SIEM, ITSM, СКУД, СЗИ.

В IDM-решении предусмотрена возможность передавать в SIEM-системы отчеты об изменениях ИС, которые несут опасность (произошедшие в обход заявочной системы), а не весь вал происходящих изменений прав доступа.

Помимо SIEM, может быть интересна интеграция с системой СКУД (система контроля и управления доступом):

При приеме на работу, сотрудник автоматически получает доступ к тем помещениям, которые ему должны быть доступны на основании его должности При увольнении после окончания последнего рабочего дня доступ сотруднику блокируется и, даже если он не сдал карту, он не сможет попасть в организацию Для предотвращения использования чужих паролей, можно «привязать» доступ в домен (либо в ИС) к физическому местоположению сотрудников, то есть доступ предоставляется только после прохождения пункта контроля на входе в предприятие, до этого момента учетные записи сотрудников заблокированы (за исключением случаев удаленного доступа).

Если подводить итоги, то превентивные меры значительно снижают риск утечки конфиденциальной информации и структурируют процесс предоставления доступа и ролевую модель привилегий в ИС. Внедрение IDM-решения позволит:

    Контролировать информационные системы на предмет легитимного (на основе согласованных заявок), правильного и своевременного предоставления доступа; Проводить плановую и срочную инвентаризацию существующих прав доступа; Ввести полноценную, формализованную систему согласования; Производить периодический пересмотр полномочий сотрудников их непосредственными руководителями или ответственными лицами; Расследовать инциденты информационной безопасности.