Доверяй, но проверяй. Как защититься от мнимых друзей::Журнал СА 11.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6404
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7109
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4389
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3880
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3895
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3231
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3526
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7358
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10721
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14092
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9191
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5444
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4681
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3209
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3448
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3089
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Доверяй, но проверяй. Как защититься от мнимых друзей

Архив номеров / 2009 / Выпуск №11 (84) / Доверяй, но проверяй. Как защититься от мнимых друзей

Рубрика: Острый угол /  Острый угол

Доверяй, но проверяй
Как защититься от мнимых друзей

На вопросы «СА» отвечают эксперты по информационной безопасности.

  • Какие риски информационной безопасности вы считаете наиболее опасными для компаний, которые пользуются аутсорсингом?
  • Как системный администратор или ИT-директор должен правильно строить отношения с аутсорсерами, чтобы обезопасить систему?

 НАТАЛЬЯ ЗОСИМОВСКАЯ, специалист отдела маркетинга компании «Информзащита»

Ищите лучших

Наиболее опасным я считаю риск утечки информации, а также нарушение целостности и доступности корпоративной сети. Говоря об аутсорсинге ИБ, я предлагаю рассматривать такие сервисы как удаленный мониторинг и управление средствами защиты клиента сторонней компанией, а также сервисы по сопровождению.

Что же традиционно представляют собой услуги по удаленному мониторингу и управлению? С подконтрольных средств безопасности клиента собираются все данные, необходимые для анализа, и передаются по выделенному защищенному каналу компании-аутсорсеру. Там они обрабатываются, анализируются, а на выходе клиент получает оповещения, касающиеся критичных событий в его сети. Такие оперативные оповещения являются руководством к действиям по устранению возникших проблем. Если клиент готов доверить компании-аутсорсеру не только мониторинг, но и элементы управления, то в этом случае можно говорить об услугах, касающихся управления IDS/IPS, а также устройствами межсетевого экранирования. Помимо функций мониторинга, сюда добавляются такие элементы управления, как изменение политик, а также проактивные обновления подконтрольных средств защиты и их мониторинг на предмет работы в штатном режиме.

Однако при всей видимой простоте и логичности этих услуг существует ряд обоснованных угроз и опасений клиентов. Это, прежде всего, риск утечки информации ограниченного доступа, касающейся самого проекта, а также получаемой ходе осуществления работ. Как с ним бороться?

Во-первых, естественно, необходимо закрепить юридическую ответственность путем подписания соглашения о конфиденциальности и SLA. В соглашении о конфиденциальности отражаются обязательства сторон по неразглашению и обеспечению режима защиты конфиденциальной информации. Service Level Agreement – это соглашение об уровне сервиса.

Во-вторых, нужно контролировать действия сотрудников аутсорсера. Зачастую одним из параметров сервиса по мониторингу и управлению средствами защиты является предоставление доступа клиенту на специализированный веб-портал. На нем фиксируются не только все события и выявленные инциденты ИБ, но и все действия аутсорсера. Если он совершает какие-то действия в отношении средств защиты клиента, то должен делать это только после подтверждения клиентом запланированных действий и в рамках оказываемого сервиса (это должно быть четко прописано в SLA).

В-третьих, не стоит забывать про разграничение прав доступа и своевременное удаление аккаунта аутсорсера (если такой заводился в сети).

В-четвертых, для безопасной передачи данных необходимо использовать технологию VPN, позволяющую передавать информацию в зашифрованном виде.

Помимо этого клиент может попросить исполнителя представить информацию об используемых технологиях физической безопасности центра, в котором будут храниться и обрабатываться данные, полученные с его средств защиты. Также желательно прояснить вопрос о средствах и методах обеспечения информационной безопасности.

Аутсорсинг – это проект, в котором не последнее место занимает доверие между исполнителем и заказчиком. Поэтому, выбирая аутсорсера, лучше ориентироваться на компании, которые уже хорошо себя зарекомендовали на рынке и имеют опыт осуществления аналогичных проектов.

 НИКОЛАЙ ЗЕНИН, руководитель направления защиты коммерческих тайн LETA IT-company

Попробуйте DLP

Сегодня под ИТ-аутсорсингом часто понимают не только собственно передачу ИТ-сервисов на обслуживание сторонней компанией, но иногда и другие разновидности оказания услуг. Среди них:

  • выполнение законченных проектов внедрения ИТ-систем по договору на оказание консультационных услуг;
  • выполнение работ внешней организацией в рамках поставки ИТ-продуктов или предоставления других услуг (без договора на собственно выполняемые услуги);
  • временная (по договору) аренда рабочей силы (ИТ-специалистов) сторонней организации с целью выполнения внутренних ИТ-проектов;
  • заказная разработка программного обеспечения;
  • абонентское обслуживание внешней организацией информационных систем, например, корпоративного веб-сайта, расположенных внутри предприятия;
  • внешнее размещение ИТ-систем, например, создание и обслуживание системы управления персоналом, на стороне провайдера услуг (модель Software on-Demand, или Software as a service).

Естественно, у каждой из моделей – свои риски. Я подробнее остановлюсь на внешнем размещении ИТ-систем, например, создании и обслуживании системы управления персоналом, на стороне провайдера услуг (модель Software on-Demand, или Software as a service). Эта модель предоставления сервисов сейчас развивается наиболее интенсивно.

Опасения, которые испытывают заказчики, можно разбить на две группы.

К первой группе бизнес-рисков относятся:

  1. Нерентабельность услуги (недостаточный возврат инвестиций).
  2. Банкротство компании-провайдера.
  3. Шантаж заказчика компанией-провайдером за счет конфиденциального характера обрабатываемых данных (гипотетически в результате нарушения отношений между компаниями).
  4. Опасения, связанные с новизной формы оказания услуг.
  5. Возможные затруднения в получении лицензии на обработку персональных данных.

Риски 2-4 компании снижают, выбирая надежную компанию-провайдера, имеющую опыт оказания этой же услуги компаниям схожего размера. Между заказчиком и провайдером должно быть подписано адекватное соглашение конфиденциальности.

К технологическим рискам (вторая группа) относятся:

  • случайная утечка от компании-провайдера услуг;
  • нарушение целостности информации в связи с выходом из строя оборудования;
  • недоступность информации в связи с нарушениями канала связи на стороне провайдера или на стороне заказчика.

Все риски этой группы снижают посредством контроля исполнения заключенного между сторонами соглашения об уровне сервиса.

Надо учитывать, что компания-провайдер финансово заинтересована в качественном исполнении услуг. Она серьезно рискует своей репутацией, если не приложит все силы для сохранения конфиденциальности, целостности, доступности информации заказчика. От компаний-провайдеров случаются утечки информации, но по существующей статистике, гораздо большее число утечек происходит все-таки из-за деятельности внешних злоумышленников и собственных сотрудников.

Неправомерно воспользоваться служебной информацией может и внешний подрядчик, и доверенный сотрудник организации.

Специализированную функцию по защите данных от «кражи» можно обеспечить с помощью системы защиты от утечек, контролирующей основные операции с критичной информацией – копирование, изменение (включая подмену символов), а также контроль перемещения за границы подконтрольной вычислительной сети.

Наряду с системой контроля утечек защита может быть реализована с помощью дополнительных технических средств и решений несколькими способами:

Первый способ – создание внутренней защищенной сети. В ней обрабатывается конфиденциальная информация (включая создание нескольких периметров безопасности, компании-аутсорсеру доступ предоставляется только к конкретным из них, не содержащим критичную информацию).

Второй способ – шифрование любых данных, выходящих за пределы вычислительной сети, сертификатами, к которым аутсорсер не получает доступа. При этом доступ к сертификатам строго учитывается, а сами сертификаты регулярно обновляются.

Третий способ – система передачи данных через почтовый сервер ЛВС в зашифрованном виде (это также можно автоматизировать).

Четвертый способ – использование технологий ограничения прав доступа – RMS и т.п., при котором внешнему подрядчику опять же не предоставляется доступ к сертификатам.

Пятый способ – резервное копирование конфиденциальной информации, при котором данные из ЛВС передаются только в зашифрованном виде, а при невозможности – с помощью аппаратного шифрования (без передачи ключей внешнему подрядчику).

Шестой способ – шифрование всех дисков рабочих станций и серверов.

Подходы, которые можно использовать для контроля над аутсорсером см. в таблице.

Подходы, которые можно использовать для контроля над аутсорсером

№ пп

Подход к защите конфиденциальной информации

Примеры реализации

1.

Фильтрация исходящей информации по ключевым словам, регулярным выражениям для идентификации конфиденциальных данных

Системы фильтрации трафика (MIMEsweeper, «Дозор Джет», «Контур безопасности»)

2.

Установка грифов конфиденциальности на защищаемые документы и слежение за жизненным циклом помеченного документа

Системы мандатного доступа к документам и протоколирования обращений (SecretNet, SecrecyKeeper)

3.

Слежение за манипуляциями с конфиденциальными данными и протоколирование действий пользователя на рабочем месте

Системы контроля действий пользователя (StaffCop, «Инфопериметр», ТКБ Мониторинг)

4.

Управление доступом к устройствам ввода-вывода

Системы контроля сменных носителей (DeviceLock, ZLock, Device Control)

5.

Ретроспективный анализ базы отправленной корреспонденции для расследования инцидентов безопасности

Хранилища почтовой и веб-корреспонденции («Дозор Джет», InfoWatch *Storage, Symantec Enterprise Vault)

6.

Исполнение всего комплекса вышеперечисленных подходов и сведение управления политиками и событиями к единой консоли

Системы Data Loss Prevention (Websense DSS, Symantec DLP, InfoWatch Traffic Monitor, McAfee DLP)

7.

Анализ протоколов разнообразных систем безопасности в унифицированном виде и выявление аномальных активностей со стороны сотрудников и внешних злоумышленников

Системы Computer Forensics (netForensics, RSA enVision, Symantec SIM)

8.

Контроль доступа пользователей к компьютерам и информационным системам с дополнительными элементами контроля

Системы двухфакторной аутентификации, системы с использованием биометрических методов опознавания

9.

Разветвленная система управления правами доступа к конфиденциальным документам

Системы класса Enterprise Rights Management (Microsoft RMS) и защищенного документооборота

10.

Шифрование носителей конфиденциальной информации

Системы шифрования хранилищ, дисков, накопителей

Из перечисленных подходов первые пять обеспечивают закрытие единичных сценариев защиты конфиденциальных данных от утечки.

Подход 7 требует длительного кропотливого внедрения и отладки (1-3 года), чтобы начать получать качественные результаты.

Только подход 6 позволяет получать значимый результат (выявление источников утечки информации, предотвращение распространения стратегических планов компании) в первые же недели после внедрения системы Data Loss Prevention (DLP).

Оставшиеся подходы 8-10 дополнят системы DLP за счет снижения рисков утечки в результате кражи/потери ноутбуков или дисков. При этом совместно с DLP-системами используют также подходы 4 для дополнительного контроля над портами компьютеров и 5 для ретроспективного анализа инцидентов.

Приложение

Это важно!

Защищая информационные ресурсы от недоверенного подрядчика, определите уровень и зону его доступа. Возможно, достаточно предоставить доступ к части аппаратного обеспечения (на конфигурирование, не к данным), так как силами организации это более сложно или менее неэффективно.

Определите порядок доступа к важным данным. Объедините всех людей, которые работают с ними от внешней организации, в единый блок.

Выстроив защищенную инфраструктуру, назначьте ответственных за выдачу, отзыв и обновления сертификатов и ключей шифрования от вашей организации и полностью передайте все права на шифрование им.

«Считайте затраты»

– Передавая систему информационной безопасности компании на аутсорсинг, следует учитывать стоимость контракта, риски оттока специалистов в компанию-аутсорсер, и соответственно, количество времени и денег, которые придется потратить на поиск новых сотрудников, а также затраты на ведение договора. Кроме того, нужно принимать во внимание стоимость контроля исполнителя, особенно в случае аутсорсинга информационной безопасности. Существует три основных этапа передачи системы ИБ на аутсорсинг. Это – проектирование комплексной системы информационной безопасности (КСИБ). Совместный процесс проектирования дает обеим сторонам необходимые данные для понимания проблем и задач, связанных с управлением ИБ.

Следующий этап – внедрение КСИБ. Проведение пуско-наладочных работ позволяет узнать все особенности внедренной системы, что дает обеим сторонам детальное понимание принципов работы компонентов КСИБ, а также позволяет эффективно распределить роли участников.

И, наконец, техническое обслуживание КСИБ. Этот этап позволяет заказчику понять, насколько целесообразной и обоснованной будет передача процесса управления ИБ на аутсорсинг. Сюда также необходимо добавить процессы написания проектов, организационно-распорядительной документации, инструкций, регламентов и т.д. Написание политики информационной безопасности компании, как правило, является самостоятельным процессом, в котором, впрочем, есть место и для аутсорсинга ИБ.

Павел Ерошкин,
начальник Управления информационной безопасности компании «Техносерв»


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru