Принципы неуязвимости. Чем руководствуются компании США::Приложение к журналу СА №5(2011)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6272
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6977
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4264
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3029
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3828
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3846
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6335
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3188
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3478
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7297
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10664
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12383
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14027
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9147
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7100
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5406
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4636
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3441
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3174
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3415
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3039
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Принципы неуязвимости. Чем руководствуются компании США

Архив номеров / 2011 / Выпуск №2 (5) / Принципы неуязвимости. Чем руководствуются компании США

Рубрика: Безопасность /  Зарубежный опыт

Константин Кондаков КОНСТАНТИН КОНДАКОВ, директор по ИТ в поисковом гиганте Looksmart в Сан-Франциско. Занимается автоматизацией и гетерогенными сетями. Женат, двое детей. Хобби – альтернативное кино и видеосъемка

Принципы неуязвимости
Чем руководствуются компании США

В этой статье попробую обзорно остановиться на вопросах информационной безопасности, с которыми приходилось сталкиваться во время работы в различных американских фирмах

Сразу оговоримся, что речь пойдет о «типовых» фирмах, которые составляют «костяк» так называемой Кремниевой долины и имеют штат не более 500 человек. В более крупных организациях, в информационных структурах военных ведомств, оборонных предприятий, а также в ИТ-отделах спецслужб этот вопрос решается, по-видимому, совершенно другими способами.

Общее определение безопасности

Если достаточно широко определить понятие «безопасность» по отношению к информационным технологиям, то можно сказать, что безопасность систем, занимающихся обработкой данных, – это степень защищенности и способности противостоять внешним угрозам.

Иными словами, бизнес должен функционировать с минимально возможными потерями при атаке на него. В связи с этим принято говорить о двух тезисах.

Первый – это оценка текущего положения дел, чтобы привести информационную безопасность в надлежащее состояние.

Второй – это постоянный поиск возможных уязвимостей системы, отслеживание обнаруженных «дыр» в защите и поддержание как активных, так и пассивных элементов защиты в боевом состоянии.

Часто приходится сталкиваться с ситуацией, когда после начального устранения всех брешей в безопасности фирма считает, что незачем что-то еще делать, ведь «мы же заплатили за то, чтобы нас привели в норму?!». Такое заявление в корне неправильное.

Информационная безопасность – это процесс, который постоянно находится, как, впрочем, и все, что имеет отношение к технологиям, в динамике.

С одной стороны, в уже имеющемся и казавшемся надежным инструментарии, как выясняется, обнаруживаются уязвимости. А с другой стороны, новые операционные системы и программные продукты неизбежно сопровождаются системными ошибками и «дырками» в безопасности – с этим системному администратору постоянно приходится иметь дело.

Безопасность на кадровом уровне

На страницах «Системного администратора» [1] мы уже вели разговор о кадровой составляющей в процессе обеспечения безопасности.

Когда я устраивался в первый раз на достаточно серьезную позицию в американскую фирму, то ожидал многоуровневого тестирования, хитрых вопросников, всяких «детекторов лжи» и прочих средств, которые нам известны по фильмам. Но меня, откровенно говоря, несколько удивило обстоятельство, что при приеме на ответственные должности системных администраторов, директоров ИТ в США ничего из этого не используется – весь процесс отбора персонала и приема на работу достаточно прозаичен, а в какой-то степени даже основан на доверии, особенно если дело касается совсем крохотной фирмы. Но чем больше и солиднее компания, тем тщательнее она подходит к проверке кандидатов. Хотя в большинстве случаев достаточно простые запросы могут дать очень неплохие результаты. Почему? Тут есть несколько обстоятельств, на которые надо обратить внимание.

Первое обстоятельство

В процессе заполнения заявления на работу соискатель позиции в обязательном порядке указывает так называемый номер социального страхования (Social securiuty number, SSN), значащий в США гораздо больше, чем российский индивидуальный налоговый номер (ИНН), который, кстати, был введен исходя примерно из тех же соображений налогового учета.

Но если в России можно вполне сносно жить и получать зарплату, минуя институт ИНН, то в США это сделать практически невозможно. Находятся экстремалы-одиночки, живущие в отдаленных областях Аляски или в индейских резервациях на натуральном хозяйстве. А законопослушное население в подавляющем большинстве случаев номер социального страхования прямо или косвенно использует практически каждый день.

Абсолютно все финансовые проводки – любые банковские счета, любые кредитные карты, ипотека – получение и использование водительских прав, поступление на учебу и работу и т.п. – везде используется номер социального страхования, который, подобно первичному ключу в базе данных, сопровождает человека с момента рождения до самой смерти. Эта информация постоянно собирается , накапливается, кем-то анализируется и сортируется.

Частный случай – «кредитная история», учет и анализ которой ведут три независимые организации – TransUnion, Experian, Equifax («кредитые бюро»), к их услугам прибегает подавляющее большинство банков и финансовых организаций.

ФБР и иные спецслужбы имеют доступ к более полной информации. Но существует достаточно много организаций, которые за символическую плату (от 10 до 100 долларов) проверяют кредитный рейтинг и сопутствующие ему сведения физического или юридического лица.

Дополнительно можно запросить наличие тех или иных записей в судебных или гражданских книгах и некоторую другую любопытную информацию. В США существует много законов об ее открытости. Первая поправка к Конституции США («о свободе слова») – дело святое.

Понятно, что в эпоху Google можно получить за полчаса немало информации о любом человеке или фирме, поэтому, усилив этот поиск знанием номера социального страхования и прошуршав по публичным онлайн-архивам, можно найти намного больше всякой полезной всячины, а на основе этих сведений делать выводы. Например, сейчас многие пользуются услугами профессиональной сети LinkedIn [4], чтобы посмотреть, кем и где работал человек, есть ли у него рекомендации с предыдущих мест работы, а если есть, то носят ли они формальный характер или написаны искренне.

Для среднестатистической фирмы с количеством сотрудников от 30 до 200 человек не составляет труда заплатить номинальный тариф за «расширенный поиск» – обычно это стоит от 10 до 100 долларов, более глубинный поиск делают реже – и документально удостовериться в порядочности человека или организации. Мне лично довелось участвовать в нескольких подобных запросах, которые привели к отказу в получении работы на фирме, где я в то время трудился.

Однажды нам нужно было сдать в субаренду излишек офисной площади, который очень бы пригодился молодым фирмам. Мы получили несколько заявлений – имя, фамилия, номер социального страхования, текущий счет в банке. Практически в любом банке США есть автосекретарь, который делает доступной информацию о счете и последних финансовых транзакциях, если ввести номер счета и… номер социального страхования. Металлический голос холодно ответил, что на текущем счету остаток в 75 долларов, а за последний месяц было проведено всего две транзакции – по 20 долларов каждая. Понятно, что такому субарендатору мы офисную площадь не сдали. Видно, что дела там шли не самым лучшим образом, а у нас не было ни времени, ни желания участвовать в судебных тяжбах по его выселению за неуплату аренды. Риск этой неуплаты был слишком большим.

Второе обстоятельство

Обычно в процессе правильно построенного интервью можно выявить много интересного, как по технической глубине и широте знаний, так и по обстоятельствам приема и увольнения кандидата на его предыдущих позициях. Например, всегда должны насторожить сроки работы на предыдущих местах один – три месяца или свыше пяти-шести лет. Ну, если с первым все понятно, то второе обстоятельство требует пояснения.

В Америке считается, что человек на одной должности не должен работать больше двух – четырех лет. В одной фирме можно трудиться и намного дольше, но должны быть видны динамика, карьерный рост и расширение полномочий. Пример: интерн, системный администратор, старший системный администратор, директор ИТ, вице-президент ИТ. А что можно сказать о человеке, который, скажем, в адвокатской конторе работал директором ИТ 12 лет?!. Не секрет, что достаточно сложно учиться новым технологиям, а также каким-то бизнес-направлениям при таком раскладе.

Глядя на строчку «фирма LookSmart 2000 – 2010, директор по тестированию», рекрутер подумает про себя: «Дело свое он, видимо, знает. Но за 10 лет на одном месте появилось чувство ленивого комфорта на работе, не уверен, что способен быстро обучиться совершенно новым технологиям на новом месте работы».

Хотя везде могут быть абсолютно нормальные причины (например, семейные обстоятельства или внеплановые внезапные сокращения штатов), из-за которых периоды занятости могут выглядеть подозрительно. Кстати, чтобы выявить из рутинного перечня предыдущих мест работы всякие пикантные подробности, вовсе не обязательно задавать всякие хитроумные вопросы, устраивать перекрестный допрос или ставить «ловушки». Достаточно просто внимательно прочитать резюме и обратить внимание на информацию «между строчек». Например, читаем: «Ввел на фирме систему автоматизации puppet». Сразу много интересного. Что значит «ввел»? А что было до этого? А какая была оппозиция этой инициативе? Или читаем в резюме: «основал фирму». Что значит «основал»? Где теперь эта фирма? Что конкретно случилось? Чья была идея? Кто чем занимался?

Достаточно опытный ИТ-менеджер в ранге директора или вице-президента способен, получив ответы на эти вопросы, создать точный психологический портрет кандидата, понять степень его психологической устойчивости, а также потенциальных угроз для безопасности фирмы и информационных систем. К сожалению, мне неизвестны какие-то спецкурсы или тренинги для менеджеров, кому по роду службы нужно решать подобные вопросы. Хотя опытный менеджер и так знает, что 35-летняя женщина с тремя маленькими детьми будет отсутствовать на работе значительно дольше, чем 25-летний неженатый мужчина, поэтому в случае ЧП, когда требуется авральная работа всех сотрудников, она будет слабым звеном. Разумеется, официально об этом никто и никогда не скажет. С вопросами дискриминации по полу, возрасту, семейному положению, вероисповеданию и т.п. тут дело обстоит строго.

Система информационной политики – внутренние и внешние враги

Каждой уважающей себя фирме, которая имеет элементарное представление об информационной безопасности, директор ИТ под руководством СТО или вице-президента составляет базовый документ «Базис информационной безопасности компании». Часто к разработке и контролю этого документа подключают и руководителей отделов безопасности или (и) директора по качеству, которые проверяют на соответствие информационной безопасности компании общепринятым нормам.

В «Базисе информационной безопасности компании» формально регламентируется следующее:

  • Ключевые информационные системы (серверы, сетевое оборудование и т.п.) и ответственные за них лица.
  • Степень важности той или иной информационной системы – иными словами, каков урон будет нанесен бизнесу, если какая-то система будет неработоспособной.
  • Последовательность действий для восстановления той или иной системы.
  • Информационный периметр – здесь регламентируется, каким образом и для кого допускается вход в систему снаружи, через VPN/bastion host или иным способом, степень защищенности паролей и частота их смены, кем и как контролируется доступ к ключевым системам.

Часто отдельно составляется документ, который детально описывает, как восстановить работоспособность системы в случае ЧП (например, серьезный пожар в центре хранения данных или крупномасштабное заражение серверов).

В особо важных случаях все шаги, описанные в этом плане, используются для построения «вспомогательных систем» где-то в другом месте, они, подобно резервным электрогенераторам, запускаются в аварийной ситуации.

ИТ-аудит с точки зрения безопасности и особые требования, предъявляемые к публичным фирмам

Недостаточно просто составить список требований и провести начальную работу по защите информационного периметра. Все это надо постоянно держать в нормальном состоянии, контролировать и проверять на работоспособность. Этими вопросами занимается так называемый ИТ-аудит, который отнимает у руководителей ИТ-подразделений, особенно в фирмах, выпускающих акции, немало времени и сил. И вот почему.

После того как в начале 2000-х годов в США прокатилась волна шумных финансовых скандалов и банкротств, связанных с неправильным ведением бухгалтерии в фирмах, которые считались длительное время столпами солидности и надежности (Enron, Worldcom, Tyco), власти утвердили так называемый Sarbanes-Oxley (сокращенно SOX – 2002 [2]). Это акт, который в целях защиты прав акционеров обязывает раскрывать финансовую информацию всем без исключения фирмам и организациям, которые выпускают акции.

Лопнувший Enron навел столько страху и серьезно задел финансовые интересы огромного числа акционеров, что к подготовке SOX подошли более чем обстоятельно.Значительная часть этого документа посвящена деталям раскрытия финансовой прозрачности и должна рассматриваться скорее не на страницах «Системного администратора», а в специализированном финансовом издании, но там есть и довольно обширная часть, которая касается регулирования деятельности ИТ с точки зрения защиты от различных информационных угроз.

В двух словах: используются те же принципы контроля, прозрачности и распределения полномочий, чтобы шустрый ИТ-специалист не «подправил» и не выложил на всеобщее обозрение файлы финансовой отчетности по «звонку», по незнанию, или, что гораздо хуже, по своей инициативе – это с одной стороны. Ну и общие вопросы информационной безопасности – с другой.

Что это значит в реальности? В фирму являются по специальному приглашению аудиторы. Это обязательная часть проверки, которая должна проводиться не реже, чем раз в год, а по некоторым позициям требуется ежеквартальная отчетность. Эти аудиторы имеют специальную ИТ-подготовку и опыт работы по выявлению нарушений безопасности в ИТ, подтасовки фактов, неправильного хранения информации и предотвращению утечек данных.

Руководитель ИТ-подразделения фирмы общается с аудиторами, которые изучают имеющуюся документацию и ИТ-инфраструктуру – после детального разбора имеющейся информационной структуры и тщательного анализа «Базиса информационной безопасности» фирмы аудиторы должны вынести заключение, что «да, ИТ структура достаточно надежна и отвечает строгим требованиям по разделению прав доступа и безопасности. Инвесторы могут спать спокойно». Заключение аудиторов доступно всем акционерам фирмы и, как правило, вывешивается на специальный раздел веб-сайта. Если же обнаруживаются какие-то нарушения или аудиторов пытаются запутать, чтобы они не могли разобраться в сути дела, то это первый тревожный звонок для правления фирмы и для общего собрания акционеров. Как известно, «ничто не сохнет так долго, как подмоченная репутация», поэтому все фирмы прикладывают максимальные усилия, чтобы получить позитивный результат при аудите, считая это одним из самых высоких бизнес-приоритетов. Ведь в случае чего аудиторское заключение дополняется негативными выводами, которые имеют свойство очень быстро распространяться среди вкладчиков, инвесторов, руководства фирмы и конкурентов. Обычно такие новости ведут к самым печальным последствиям.

ИТ-безопасность при работе с кредитными картами

Отдельно регламентируются и проверяются на список требований по безопасности правила работы с кредитными-дебитными карточками («пластик»). В конце 1990-х годов многие фирмы стали спешно предлагать обслуживание пластиковых карточек через Интернет, особенно не заботясь, как и где хранится информация об этих карточках, и кто имеет к ним доступ. После массовых «сливов в Интернет» десятков миллионов номеров кредитных карточек ничего не подозревающих обывателей, процессинговые центры Visa, Mastercard, American Express забили тревогу.

Ошарашенным покупателям было показано, что все их номера кредитных карточек с полными почтовыми адресами, пин-кодами и прочей пикантной информацией хранились в открытых MS Excel-файлах и были доступны абсолютно всем сотрудникам фирмы, которая принимала и обслуживала платежи.

Ну и дела! Тут же были составлены жесточайшие правила по хранению и обработке номеров карточек, а также полный список требований PCI (Payment Card Infrastructure [3]), предъявляемых к любой фирме, которая просит разрешения у Visa/Mastercard/American Express на обработку их кредитных карт. Обнаруженные нарушения в протоколе хранения и обработке номеров карточек караются не только немедленным отзывом процессинговой лицензии (что уже очень плохо для нерадивой фирмы), но и очень серьезными штрафами.

Какие конкретно вопросы интересуют ИТ-аудиторов, и что ИТ-директор должен им предоставить?

  • Кто имеет доступ, к каким ресурсам хранения информации? Есть ли пользователи, которые имеют доступ к слишком многим ресурсам? Кто они? Особое внимание уделяется тому, как и где, хранится информация о персонале, «ноу-хау» фирмы и ее интеллектуальной собственности.
  • Где и как хранится финансовая информация, насколько и как она защищена?
  • Как конкретно происходит обновление информации на веб-серверах – есть ли механизм утверждения обновлений? Если да, то кто и как имеет доступ на размещение информации в Интернете?
  • Кто и как размещает новые программы и серверы? Те же вопросы: кто контролирует доступ, и как этот контроль проверяется?
  • Как осуществляется процедура конфигурационных изменений? Является ли это лично прерогативой системного администратора, или есть какая-то группа?
  • Если данные хранятся за пределами компании, то где конкретно? Насколько они защищены от стихийных бедствий, злоумышленников и любых иных путей утечки информации, и есть ли какая-то официальная сертификация у центров хранения данных?
  • Как происходит процедура обновления системы и внесения более свежих версий?
  • Общая процедура и структура информационной безопасности компании.
  • Процедура регистрации новых пользователей, изменения прав доступа, удаления.
  • Кто и почему имеет привилегированный доступ? Где, кем и как дается авторизация на привилегированный доступ?
  • Как ведется финансовый учет – какие программы, кем сертифицированы?
  • Какая существует активная защита от вирусов, спама, вредоносных программ?
  • Где, кем и как контролируется физический доступ к местам хранения данных – серверы, рабочие станции?
  • Какие существуют журналы ошибок и нарушений безопасности? Кто и когда их проверяет?
  • Какова процедура резервного копирования – что, как часто и куда копируется? Кто и как проверяет работу средств резервного копирования?
  • Процедуры удаленного доступа – кто имеет доступ, и как он контролируется? Как проверяется доступ для уволенных сотрудников?
  • Какие существуют внутренние системы ведения проектов, отслеживания «багов» – типа Pivotal Tracker, MS Project, Bugzilla, Access 360?
  • Кто и как отвечает за ЧП? Какова процедура эскалации ЧП и оповещения менеджмента?
  • Какая существует процедура просмотра необычной активности пользователей или системы?
  • Кто занимается контрактами, как авторизуются новые закупки?

Даже беглого взгляда на эти вопросы достаточно, чтобы понять, что преследуются цели анализа организации на информационную уязвимость – от внешних и внутренних «врагов», а также на зрелость с точки зрения ИТ-инфраструктуры. Повторяю, что это относится только к организациям, которые являются «публичными» – выпускают акции, торгуют ими на бирже и зазывают инвесторов. Хотя любая фирма только выиграет от хорошей политики информационной безопасности.

По официальным же законам частные фирмы не обязаны никому показывать свою финансовую отчетность и раскрывать тонкости организации ИТ-структур, за исключением PCI-отчетности. А вот если вы хотите, чтобы кто-то вложил в вашу фирму и не пару долларов, а побольше, то будьте любезны и докажите, что у вас не «кот в мешке», а серьезное дело.

  1. Кондаков К. Защищаемся от врагов. Опыт Banks.com. //«Cистемный администратор», № 10, 2010 г. – С. 90-92.
  2. Sarbanes-Oxley act – http://www.soxlaw.com.
  3. PCI Security Standards – https://www.pcisecuritystandards.org.
  4. LinkedIn – http://www.linkedin.com.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru