Внедрение службы управления правами. Как обезопаситься от инсайдеров?

 ГЛЕБ ПАХАРЕНКО, по безопасности ИТ-компании «Инфопульс Украина»

Внедрение службы управления правами
Как обезопаситься от инсайдеров?

Для ИТ-аутсорсинговых компаний высокий уровень безопасности в целом и защиты внутренней информации в частности – основа, без которой предприятие не сможет быть конкурентоспособным на рынке

Именно для того, чтобы гарантировать еще большую надежность бизнеса с точки зрения безопасности, была внедрена «Служба управления правами» (Rights Management Services, RMS).

Как работает RMS?

Принято считать, что под защитой информации подразумевается обеспечение должного уровня сохранности основных ее свойств: конфиденциальности, целостности, доступности. Также иногда выделяют подотчетность. В моделях дискреционного управления доступом права на обработку информации определяет владелец данных. Задачу выбора правильных методов защиты облегчает классификация информации по степеням конфиденциальности, целостности и доступности.

Со временем грифы защиты информации могут меняться, чаще всего в сторону ослабления. Некоторые данные необходимо стирать из системы после определенного срока. К примеру, нежелательно сохранять персональные данные – пароли, номера кредитных карт и др. Одним из средств, обеспечивающих защиту цифровых документов, является разработка Microsoft – Rights Management System (RMS).

С помощью программной платформы «Служба управления правами» (Rights Management Services, RMS) можно разграничивать доступ к информации, назначать и публиковать права и условия использования документов. RMS позволяет защищать различные файлы Microsoft Office (Word, Excel, PowerPoint, Outlook, InfoPath), а также почтовые сообщения от просмотра, пересылки, редактирования, копирования, печати их содержимого.

Даже если информация копируется с помощью портативного USB-носителя, мобильного устройства, передается по сети с помощью FTP или экранного копирования, RMS защищает данные. Кроме этого, если зашифрованное RMS письмо попадет в другое программное окружение (Lotus, Gmail), оно будет защищено от прочтения. То есть, когда c помощью RMS выставляются права, можно не волноваться, что у одного из получателей стоит автопересылка на Gmail или сообщение случайно отправится на внешний адрес.

Служба управления правами позволяет централизованно контролировать и управлять доступом к данным, в том числе применять настроенные политики использования и шаблоны политик (например, шаблон «персональные данные»). Доступна возможность классификации документов по заданным категориям с использованием встроенной в Windows Server 2008 R2 технологии File Classification Infrastructure.

Например, компания может использовать одну из общепринятых классификаций документов:

• Строго конфиденциальная – к этому уровню относится информация, которая требует специальных мер предосторожности для гарантии целостности информации и ее защиты от несанкционированных изменений и удаления. Такая информация требует более высоких гарантий точности и завершенности, может содержать данные о финансовых транзакциях организации и методах управления.
• Конфиденциальная – к этому уровню относится информация, имеющая отношение к бизнесу компании, использование которой строго ограничено рамками организации. Эта информация защищена от разглашения постановлениями и законодательством Украины. Например, информации о состоянии и охране здоровья сотрудников должен присваиваться статус Конфиденциальная.
• Конфиденциальная в пределах компании (внутренняя информация) – к этому уровню относится информация, использование которой строго ограничено рамками компании.
• Открытая – к этому уровню относится любая другая информация, которая не может быть отнесена ни к одному из вышеописанных уровней конфиденциальности.

При классификации информации по содержанию выделяют следующие классы:

• Личная информация – содержит подробности или факты, по которым можно однозначно идентифицировать человека.
• Сугубо личная информация – содержит сугубо личные подробности, которые требуют особой степени защиты. Следующая информация рассматривается как сугубо личная:
  • расовое или этническое происхождение;
  • политические, философские или религиозные убеждения;
  • был ли человек под подозрением, обвинен или осужден за уголовное преступление;
  • состояние здоровья;
  • сексуальные отношения;
  • членство в профсоюзах.
• Интеллектуальная собственность – творения человеческого разума, которые обеспечивают бизнесу его конкурентоспособность.
• Финансовая информация – например, заработная плата, премии, вознаграждения и другие материальные и денежные компенсации и выплаты сотрудникам компании.
• Правовая информация – договоры, протоколы, предварительные и рамочные соглашения, любые односторонние, двусторонние и многосторонние акты, как подписанные, так и проекты.
• Маркетинговая информация – коммерческие предложения, бизнес-предложения, переписка с юридическими и физическими лицами, корпоративные бизнес-планы и планы развития, имена подрядчиков, заказчиков, исполнителей, субподрядчиков, агентов и т.д.
• Технологическая информация – технические задания, описания задач, спецификации, схемы, любая технологическая документация, поддерживаемая компанией в процессе выполнения работ, а также документация, относящаяся к результатам выполняемых работ, программных продуктов и разработок компании, отчеты о деятельности, описание производственного процесса, статистические данные о производственном процессе (в том числе жалобы клиентов, эксплуатационные и другие типы ошибок), переписка с заказчиками и другими подрядчиками.

Владельцам документа гораздо удобнее выбрать из меню профиль защиты документа, чем вручную каждый раз набивать точные права.

Кроме этого, RMS содержит необходимые функции для администрирования и аудита.

Одним из преимуществ RMS является простота в использовании – с его функционалом любой сотрудник может легко защитить информацию.

В качестве примера защиты документов давайте рассмотрим функционал Microsoft Word 2007. Защита документов в остальных приложениях пакета Microsoft Office 2007 аналогична.

Итак, для защиты документа необходимо:

• Нажать на кнопку Office и выбрать элемент Restrict Permissions.
• Затем следует выбрать Restrict Access.
• В открывшемся окне Permissions следует поставить флажок Restrict Permission to this document.
• Далее, нажимая кнопки Read или Change, можно выбрать учетные записи пользователей из AD и установить права доступа к документу.
• После установки необходимых ограничений в верхней части окна появится информационная строка Restricted Access.

Процесс внедрения решения

Платформа RMS была внедрена за два месяца силами двух специалистов. В течение этого периода создано похожее на наше рабочее тестовое окружение, на котором мы проверили систему в действии. После того, как мы убедились, что система работает стабильно, она была внедрена в рабочую среду и передана службе ИТ-поддержки компании. Мы также провели широкую информационную кампанию о внедрении и включили информацию о RMS в корпоративные тренинги по ИТ-безопасности.

Благодаря встроенной поддержке развертывание платформы происходит довольно просто и быстро. Процесс внедрения можно условно разбить на такие этапы:

• подготовка инфраструктуры AD RMS;
• установка и настройка службы AD RMS;
• проверка функциональных возможностей службы AD RMS по завершении ее настройки.

Программная платформа «Служба управления правами» в Windows Server 2008 доступна как встроенная роль AD RMS (Active Directory Rights Management Services). Поддержка RMS интегрирована в некоторые приложения MS Exchange Server 2010. Также RMS-клиент встроен в Windows Vista и Windows 7 и доступен для бесплатной загрузки для других операционных систем Windows, включая распространенную XP.

На стадии дизайна необходимо позаботиться о разделении полномочий в Active Directory и отслеживании событий безопасности, связанных с RMS и ролями AD. Это нужно, чтобы гарантировать защиту конфиденциальности данных от администраторов IТ. Важно, чтобы роли администратора RMS и администратора Exchange были разделены. Тогда ни администратор Exchange, ни администратор RMS не сможет прочитать почту, защищенную RMS.

Также обязательно нужно разработать и протестировать планы восстановления RMS, надежность резервных копий ключей для шифрования документов. Ведь очень не хочется, чтобы в случае сбоя или увольнения сотрудника никто не смог получить доступ к документам, которыми он владел.

Критически важно провести несколько тренингов для пользователей, чтобы в случае получения письма, защищенного RMS, они не боялись сами запустить приложение и установить RMS-сервис. Ведь если человек не понимает, что это за приложение, он скорее всего сразу же обратится к своему системному администратору, которому, в свою очередь, придется потратить на разъяснения свое рабочее время.

Также нужно объяснять пользователям, какие типы информации необходимо защищать RMS. Стоит понимать, что, если на производстве не было культуры защиты документов, с внедрением RMS она не появится. В конце концов решение о том, защищать или не защищать файл, принимает пользователь, и именно он оценивает уровень важности информации. Необходимо отслеживать уровень использования сервиса, так как он является косвенным показателем окупаемости инвестиций, затраченных на приобретение лицензии, внедрение и администрирование платформы RMS в компании. Кроме этого, нужно создать шаблоны для защиты документов, которые содержат свод правил по защите информации, прописанных на уровне компании.

Есть ли альтернативные решения?

Для защиты содержимого можно также использовать систему защиты цифрового контента, Oracle IRM, которую можно считать полноценной альтернативой RMS. Решение от Oracle защищает больше типов файлов и базируется на других принципах. Oracle декларирует, что у него нет сложностей с масштабированием решения.

IBM Lotus защищает данные в письме с помощью криптографии – как результат, никто посторонний не сможет прочитать письмо при перехвате. Такой же функционал S/MIME есть и в Exchange, и в любом почтовом клиенте. RMS же позволяет защитить от несанкционированного копирования содержимого получателем сообщения. Обычное асимметричное, да и симметричное шифрование такой возможности не дает.

Для защиты документов у себя на компьютере пока лучше подходит полное шифрование диска. Для шифрования переписки в Gmail используется GnuPG (аналог PGP), для которого есть плагины к Firefox. Файлы чаще всего шифруют архиватором, и пароль пересылается в СМС или сообщается по телефону, что в принципе приемлемо для большинства домашних пользователей.

Есть ли у RMS слабости?

Решение RMS более удобно, когда относится к небольшим группам пользователей, но при применении в масштабах компании могут возникнуть сложности с установкой прав. Например, получателю А отправлено письмо с неточно выставленными разрешениями, и ему нужно переслать его пользователю Б, который не сможет это письмо прочесть. В такой ситуации необходимо самостоятельно отправить письмо Б или предоставить незащищенную копию первому получателю. Такие операции потребуют времени, дополнительных согласований, что существенно повлияет на процесс решения многих вопросов.

RMS защищает документы MS Office и почтовые сообщения в Exchange на Windows-машинах. Варианты использования RMS через Outlook Web Access на Unix-системах и смартфонах по умолчанию не предусмотрены и не подходят для внедрения в рамках всей компании. Хотя, возможно, энтузиасты и смогут это сделать. Также RMS не позволяет защищать списки с данными в MS SharePoint и не предусматривает шифрование данных других форматов.

К сожалению, защиту RMS от копирования документов, как и защиту любых других подобных средств, способен сломать хакер. Злоумышленник может, например, поднять RMS-клиент на виртуальной машине и сделать запись экрана хостовой машины. Хотя RMS не дает 100% защиты, но значительно усложняет работу неопытному инсайдеру. RMS эффективно спасает от случайных ошибок и небрежностей, таких как отправление документа не тому адресату.

Обязательно нужно прививать пользователям культуру шифрования. Само по себе внедрение RMS ничего не меняет, его нужно сопроводить широкой информационной кампанией: научить пользователей применять RMS, классифицировать документы, создавать четкие правила, по которым нужно защищать документ.

Также обязательно проведение тестов на восстановление. Ведь, если пропадут ключи на RMS-сервере, документы станут бесполезны.

Как проходит лицензирование RMS?

Для использования RMS организации необходимы следующие лицензии:

• Лицензия Windows Server.
• Клиентские лицензии Windows Server (Windows Server CAL), если таковые не были приобретены ранее.
• Клиентские лицензии службы управления правами Microsoft Windows (RMS CAL).
• И, разумеется, нужна лицензия Windows Server 2008 Server, поскольку RMS – это компонент Windows Server. Для каждого обращающегося или использующего серверное ПО требуется клиентская лицензия Windows Server 2008. Кроме того, каждому пользователю, который будет создавать или просматривать защищенное содержимое с помощью служб управления правами, необходима клиентская лицензия RMS «на пользователя». Вместо лицензий RMS «на пользователя» для устройств, применяемых для создания или просмотра защищенного содержимого, заказчики могут приобрести клиентские лицензии «на устройство». Для RMS и Windows Server 2008 доступны оба варианта клиентских лицензий – «на пользователя» и «на устройство».

Организации также могут приобрести лицензию RMS 2008 External Connector (EC), которая позволяет предоставлять неограниченному количеству внешних пользователей возможность доступа к одной лицензированной копии серверного ПО RMS или использовать это ПО без необходимости приобретения клиентской лицензии для каждого внешнего пользователя.

EC выступает как альтернатива клиентским лицензиям в тех случаях, когда, например, организация создает защищенное содержимое или документы и хочет, чтобы заказчики или бизнес-партнеры могли просматривать эти сведения. Для каждой копии серверного ПО RMS, используемой внешними пользователями, необходима отдельная лицензия EC.

Поскольку внешние пользователи также должны иметь лицензию для доступа к Windows Server 2008, лицензия Windows Server EC может применяться как альтернатива клиентским лицензиям Windows Server 2008.

***

RMS-защита документов – это всего лишь один из возможных контролей безопасности. Библиотека ISO 27001 содержит более сотни общих контролей. Поэтому инвестиции в RMS должны быть обоснованы тщательным анализом рисков.

Эффективность контроля и целесообразность его применения должны регулярно пересматриваться с учетом инцидентов и изменений в организации. От современных продвинутых угроз может предохранить только многоуровневая защита, включающая группы административных, логических и физических контролей безопасности.

Комментарии могут оставлять только зарегистрированные пользователи