Доверяй, но проверяй. Как защититься от мнимых друзей::Журнал СА 11.2009

Доверяй, но проверяй
Как защититься от мнимых друзей

На вопросы «СА» отвечают эксперты по информационной безопасности.

Какие риски информационной безопасности вы считаете наиболее опасными для компаний, которые пользуются аутсорсингом?
Как системный администратор или ИT-директор должен правильно строить отношения с аутсорсерами, чтобы обезопасить систему?

НАТАЛЬЯ ЗОСИМОВСКАЯ, специалист отдела маркетинга компании «Информзащита»

Ищите лучших

Наиболее опасным я считаю риск утечки информации, а также нарушение целостности и доступности корпоративной сети. Говоря об аутсорсинге ИБ, я предлагаю рассматривать такие сервисы как удаленный мониторинг и управление средствами защиты клиента сторонней компанией, а также сервисы по сопровождению.

Что же традиционно представляют собой услуги по удаленному мониторингу и управлению? С подконтрольных средств безопасности клиента собираются все данные, необходимые для анализа, и передаются по выделенному защищенному каналу компании-аутсорсеру. Там они обрабатываются, анализируются, а на выходе клиент получает оповещения, касающиеся критичных событий в его сети. Такие оперативные оповещения являются руководством к действиям по устранению возникших проблем. Если клиент готов доверить компании-аутсорсеру не только мониторинг, но и элементы управления, то в этом случае можно говорить об услугах, касающихся управления IDS/IPS, а также устройствами межсетевого экранирования. Помимо функций мониторинга, сюда добавляются такие элементы управления, как изменение политик, а также проактивные обновления подконтрольных средств защиты и их мониторинг на предмет работы в штатном режиме.

Однако при всей видимой простоте и логичности этих услуг существует ряд обоснованных угроз и опасений клиентов. Это, прежде всего, риск утечки информации ограниченного доступа, касающейся самого проекта, а также получаемой ходе осуществления работ. Как с ним бороться?

Во-первых, естественно, необходимо закрепить юридическую ответственность путем подписания соглашения о конфиденциальности и SLA. В соглашении о конфиденциальности отражаются обязательства сторон по неразглашению и обеспечению режима защиты конфиденциальной информации. Service Level Agreement – это соглашение об уровне сервиса.

Во-вторых, нужно контролировать действия сотрудников аутсорсера. Зачастую одним из параметров сервиса по мониторингу и управлению средствами защиты является предоставление доступа клиенту на специализированный веб-портал. На нем фиксируются не только все события и выявленные инциденты ИБ, но и все действия аутсорсера. Если он совершает какие-то действия в отношении средств защиты клиента, то должен делать это только после подтверждения клиентом запланированных действий и в рамках оказываемого сервиса (это должно быть четко прописано в SLA).

В-третьих, не стоит забывать про разграничение прав доступа и своевременное удаление аккаунта аутсорсера (если такой заводился в сети).

В-четвертых, для безопасной передачи данных необходимо использовать технологию VPN, позволяющую передавать информацию в зашифрованном виде.

Помимо этого клиент может попросить исполнителя представить информацию об используемых технологиях физической безопасности центра, в котором будут храниться и обрабатываться данные, полученные с его средств защиты. Также желательно прояснить вопрос о средствах и методах обеспечения информационной безопасности.

Аутсорсинг – это проект, в котором не последнее место занимает доверие между исполнителем и заказчиком. Поэтому, выбирая аутсорсера, лучше ориентироваться на компании, которые уже хорошо себя зарекомендовали на рынке и имеют опыт осуществления аналогичных проектов.

НИКОЛАЙ ЗЕНИН, руководитель направления защиты коммерческих тайн LETA IT-company

Попробуйте DLP

Сегодня под ИТ-аутсорсингом часто понимают не только собственно передачу ИТ-сервисов на обслуживание сторонней компанией, но иногда и другие разновидности оказания услуг. Среди них:

выполнение законченных проектов внедрения ИТ-систем по договору на оказание консультационных услуг;
выполнение работ внешней организацией в рамках поставки ИТ-продуктов или предоставления других услуг (без договора на собственно выполняемые услуги);
временная (по договору) аренда рабочей силы (ИТ-специалистов) сторонней организации с целью выполнения внутренних ИТ-проектов;
заказная разработка программного обеспечения;
абонентское обслуживание внешней организацией информационных систем, например, корпоративного веб-сайта, расположенных внутри предприятия;
внешнее размещение ИТ-систем, например, создание и обслуживание системы управления персоналом, на стороне провайдера услуг (модель Software on-Demand, или Software as a service).

Естественно, у каждой из моделей – свои риски. Я подробнее остановлюсь на внешнем размещении ИТ-систем, например, создании и обслуживании системы управления персоналом, на стороне провайдера услуг (модель Software on-Demand, или Software as a service). Эта модель предоставления сервисов сейчас развивается наиболее интенсивно.

Опасения, которые испытывают заказчики, можно разбить на две группы.

К первой группе бизнес-рисков относятся:

Нерентабельность услуги (недостаточный возврат инвестиций).
Банкротство компании-провайдера.
Шантаж заказчика компанией-провайдером за счет конфиденциального характера обрабатываемых данных (гипотетически в результате нарушения отношений между компаниями).
Опасения, связанные с новизной формы оказания услуг.
Возможные затруднения в получении лицензии на обработку персональных данных.

Риски 2-4 компании снижают, выбирая надежную компанию-провайдера, имеющую опыт оказания этой же услуги компаниям схожего размера. Между заказчиком и провайдером должно быть подписано адекватное соглашение конфиденциальности.

К технологическим рискам (вторая группа) относятся:

случайная утечка от компании-провайдера услуг;
нарушение целостности информации в связи с выходом из строя оборудования;
недоступность информации в связи с нарушениями канала связи на стороне провайдера или на стороне заказчика.

Все риски этой группы снижают посредством контроля исполнения заключенного между сторонами соглашения об уровне сервиса.

Надо учитывать, что компания-провайдер финансово заинтересована в качественном исполнении услуг. Она серьезно рискует своей репутацией, если не приложит все силы для сохранения конфиденциальности, целостности, доступности информации заказчика. От компаний-провайдеров случаются утечки информации, но по существующей статистике, гораздо большее число утечек происходит все-таки из-за деятельности внешних злоумышленников и собственных сотрудников.

Неправомерно воспользоваться служебной информацией может и внешний подрядчик, и доверенный сотрудник организации.

Специализированную функцию по защите данных от «кражи» можно обеспечить с помощью системы защиты от утечек, контролирующей основные операции с критичной информацией – копирование, изменение (включая подмену символов), а также контроль перемещения за границы подконтрольной вычислительной сети.

Наряду с системой контроля утечек защита может быть реализована с помощью дополнительных технических средств и решений несколькими способами:

Первый способ – создание внутренней защищенной сети. В ней обрабатывается конфиденциальная информация (включая создание нескольких периметров безопасности, компании-аутсорсеру доступ предоставляется только к конкретным из них, не содержащим критичную информацию).

Второй способ – шифрование любых данных, выходящих за пределы вычислительной сети, сертификатами, к которым аутсорсер не получает доступа. При этом доступ к сертификатам строго учитывается, а сами сертификаты регулярно обновляются.

Третий способ – система передачи данных через почтовый сервер ЛВС в зашифрованном виде (это также можно автоматизировать).

Четвертый способ – использование технологий ограничения прав доступа – RMS и т.п., при котором внешнему подрядчику опять же не предоставляется доступ к сертификатам.

Пятый способ – резервное копирование конфиденциальной информации, при котором данные из ЛВС передаются только в зашифрованном виде, а при невозможности – с помощью аппаратного шифрования (без передачи ключей внешнему подрядчику).

Шестой способ – шифрование всех дисков рабочих станций и серверов.

Подходы, которые можно использовать для контроля над аутсорсером см. в таблице.

Подходы, которые можно использовать для контроля над аутсорсером

№ пп	Подход к защите конфиденциальной информации	Примеры реализации
1.	Фильтрация исходящей информации по ключевым словам, регулярным выражениям для идентификации конфиденциальных данных	Системы фильтрации трафика (MIMEsweeper, «Дозор Джет», «Контур безопасности»)
2.	Установка грифов конфиденциальности на защищаемые документы и слежение за жизненным циклом помеченного документа	Системы мандатного доступа к документам и протоколирования обращений (SecretNet, SecrecyKeeper)
3.	Слежение за манипуляциями с конфиденциальными данными и протоколирование действий пользователя на рабочем месте	Системы контроля действий пользователя (StaffCop, «Инфопериметр», ТКБ Мониторинг)
4.	Управление доступом к устройствам ввода-вывода	Системы контроля сменных носителей (DeviceLock, ZLock, Device Control)
5.	Ретроспективный анализ базы отправленной корреспонденции для расследования инцидентов безопасности	Хранилища почтовой и веб-корреспонденции («Дозор Джет», InfoWatch *Storage, Symantec Enterprise Vault)
6.	Исполнение всего комплекса вышеперечисленных подходов и сведение управления политиками и событиями к единой консоли	Системы Data Loss Prevention (Websense DSS, Symantec DLP, InfoWatch Traffic Monitor, McAfee DLP)
7.	Анализ протоколов разнообразных систем безопасности в унифицированном виде и выявление аномальных активностей со стороны сотрудников и внешних злоумышленников	Системы Computer Forensics (netForensics, RSA enVision, Symantec SIM)
8.	Контроль доступа пользователей к компьютерам и информационным системам с дополнительными элементами контроля	Системы двухфакторной аутентификации, системы с использованием биометрических методов опознавания
9.	Разветвленная система управления правами доступа к конфиденциальным документам	Системы класса Enterprise Rights Management (Microsoft RMS) и защищенного документооборота
10.	Шифрование носителей конфиденциальной информации	Системы шифрования хранилищ, дисков, накопителей

Из перечисленных подходов первые пять обеспечивают закрытие единичных сценариев защиты конфиденциальных данных от утечки.

Подход 7 требует длительного кропотливого внедрения и отладки (1-3 года), чтобы начать получать качественные результаты.

Только подход 6 позволяет получать значимый результат (выявление источников утечки информации, предотвращение распространения стратегических планов компании) в первые же недели после внедрения системы Data Loss Prevention (DLP).

Оставшиеся подходы 8-10 дополнят системы DLP за счет снижения рисков утечки в результате кражи/потери ноутбуков или дисков. При этом совместно с DLP-системами используют также подходы 4 для дополнительного контроля над портами компьютеров и 5 для ретроспективного анализа инцидентов.

Приложение

Это важно!

Защищая информационные ресурсы от недоверенного подрядчика, определите уровень и зону его доступа. Возможно, достаточно предоставить доступ к части аппаратного обеспечения (на конфигурирование, не к данным), так как силами организации это более сложно или менее неэффективно.

Определите порядок доступа к важным данным. Объедините всех людей, которые работают с ними от внешней организации, в единый блок.

Выстроив защищенную инфраструктуру, назначьте ответственных за выдачу, отзыв и обновления сертификатов и ключей шифрования от вашей организации и полностью передайте все права на шифрование им.

«Считайте затраты»

– Передавая систему информационной безопасности компании на аутсорсинг, следует учитывать стоимость контракта, риски оттока специалистов в компанию-аутсорсер, и соответственно, количество времени и денег, которые придется потратить на поиск новых сотрудников, а также затраты на ведение договора. Кроме того, нужно принимать во внимание стоимость контроля исполнителя, особенно в случае аутсорсинга информационной безопасности. Существует три основных этапа передачи системы ИБ на аутсорсинг. Это – проектирование комплексной системы информационной безопасности (КСИБ). Совместный процесс проектирования дает обеим сторонам необходимые данные для понимания проблем и задач, связанных с управлением ИБ.

Следующий этап – внедрение КСИБ. Проведение пуско-наладочных работ позволяет узнать все особенности внедренной системы, что дает обеим сторонам детальное понимание принципов работы компонентов КСИБ, а также позволяет эффективно распределить роли участников.

И, наконец, техническое обслуживание КСИБ. Этот этап позволяет заказчику понять, насколько целесообразной и обоснованной будет передача процесса управления ИБ на аутсорсинг. Сюда также необходимо добавить процессы написания проектов, организационно-распорядительной документации, инструкций, регламентов и т.д. Написание политики информационной безопасности компании, как правило, является самостоятельным процессом, в котором, впрочем, есть место и для аутсорсинга ИБ.

Павел Ерошкин,
начальник Управления информационной безопасности компании «Техносерв»