ИНСТРУМЕНТЫ
Инновационная разработка российской компании помогает управлять безопасностью
Известный российский интегратор систем безопасности компания "Информзащита" (www.infosec.ru) выпустила специализированное решение КУБ, предназначенное для комплексного управления безопасностью в крупных сетях. Оно построено на основе разработанной ею совершенно новой технологии управления механизмами обеспечения информационной безопасности (ИБ). Этого события журналисты и профессиональное сообщество ожидали довольно долго; за те три года, что продолжалась работа, компания не давала угаснуть интересу, допуская контролируемые утечки информации. В основе решения лежит модель внутренних бизнес-процессов предприятия и их формализованная проекция на плоскость информационной безопасности. Четкая формализация процессов управления корпоративной ИТ-инфраструктурой дает возможность контроля за их выполнением.
Генеральный директор "Инфорзащиты" Владимир Гайкович:
"Мы внедряем не программу, а технологию"
Сам по себе новый продукт ни от чего не защищает, однако в ряде случаев он разруливает ситуации, которыми не управляет ни одна система безопасности. КУБ тесно интегрирован со всей ИС предприятия, прежде всего с подсистемой учета кадров, что позволяет отслеживать некоторые процессы, ранее не допускавшие автоматизации (например, удаление пользовательских учетных записей и экаунтов при увольнении сотрудника, управление точками входа в систему).
Начальник отдела продвижения решений Михаил Савельев:
"Архитектура КУБа не требует установки ПО на рабочие места"
Применение КУБа позволяет добиться согласованной работы подразделений, занимающихся обеспечением ИБ, и дает возможность контроля за их работой. Продукт регламентирует взаимодействие между ИТ-службами, службой безопасности и функциональными подразделениями компании без погружения последних в специфику ИТ-инфраструктуры. Это становится возможным за счет трансляции потребностей функциональных подразделений, сформулированных в обыденных понятиях, в специфические инструкции для ИТ-специалистов.
КУБ можно считать единственным в своем роде продуктом. Большая часть времени, в течение которого велась разработка, ушла на проектирование системы.
Мотивы
Занимаясь аудитом безопасности, "Информзащита" накопила немалый опыт исправления чужих ошибок. Даже нетривиальные процессы, повторяясь, становятся рутинными. А рутина требует автоматизации.
Проблемы, для решения которых разрабатывался КУБ, заключаются в следующем. Растущая сложность ИС на развивающемся предприятии рано или поздно приводит к потере контроля за реальным состоянием ИБ. Разные структурные подразделения независимо друг от друга занимаются обеспечением информационной безопасности, работоспособности ИС и бизнес-приложений. Несмотря на то что отдел автоматизации и служба информационной безопасности призваны решать одну задачу - обеспечивать стабильную работу ИТ-инфраструктуры компании, - цели у них разные. Иногда непросто разделить полномочия и меру ответственности между ними. Все это отражается на безопасности ИС.
Отсутствует регламент внесения изменений в ИС и в настройки механизмов обеспечения безопасности. Вопрос о доступе определенных пользователей или их групп к конкретному ресурсу решается произвольно. Теряется история внесенных изменений. В итоге невозможно получить реальную картину ИБ и определить, правильно или неправильно сконфигурированы механизмы защиты. (Ответ на этот с виду простой вопрос требует специального аудита.) Накапливаются ошибки в настройках механизмов защиты, в конфигурации оборудования, межсетевых экранов, баз данных и приложений. Штатные механизмы защиты ОС, СУБД, серверов приложений перестают работать согласованно. При таком положении дел от средств защиты нельзя требовать гарантий безопасности ИС.
Кроме того, бюрократические процедуры, связанные с процессами управления ИС и безопасностью в ней, становятся необоснованно дорогими.
В контексте подобных проблем и создавался программный комплекс.
КУБ в действии
На основе сведений об организационно-штатной структуре компании, о ресурсах и сервисах ИС, о политике безопасности КУБ строит модель "как должно быть" и выявляет несоответствия между идеальной моделью и реальным состоянием дел.
В процессе обеспечения информационной безопасности КУБ регламентирует и формализует взаимоотношения подразделений, формулируя задания в привычных для них терминах, и позволяет руководству контролировать исполнение политики безопасности без погружения в процессы администрирования. Регламентирование функций устраняет причину возникновения конфликтов между ответственными за ИБ подразделениями компании. Служба информационной безопасности получает собственный инструмент контроля конфигурации подсистемы ИБ, что снимает необходимость в использовании администратором безопасности компонентов СУБД, ОС, Web-серверов и т. д. ИТ-подразделения получают обоснованные и утвержденные инструкции по настройкам безопасности и снижают свое вмешательство в управление ИС.
Для организации в целом КУБ дает сокращение издержек на сопутствующий документооборот, квалификацию персонала (исполнитель может получать инструкцию любой степени детализации) и ускоряет принятие решений. В результате автоматизации освобождаются кадровые ресурсы и время.
Руководители подразделений получают в свои руки инструмент, позволяющий оперировать бизнес-терминами и предоставляющий сотрудникам доступ к информационным ресурсам.
Внутри КУБа
Архитектура КУБа включает сервер безопасности, подсистему документооборота и агентов.
В сервере безопасности сосредоточены все знания о структуре и топологии ИС предприятия, ее ресурсах и пользователях, о полномочиях и обязанностях подразделений компании.
Сервер безопасности получает задания на изменения параметров ИС, сверяет их с действующими правилами и раздает необходимые поручения по внедрению изменений. При несанкционированных изменениях в ИС сервер безопасности оповещает полномочных лиц о случившемся, прогнозирует возможный ущерб.
Через подсистему документооборота КУБ переводит требования функциональных подразделений с человеческого языка на язык ИТ-специалистов.
Агенты КУБа следят за изменениями в ИС. При невыполнении администратором положенных инструкций или обнаружении изменений, совершенных в обход принятого в организации порядка, агент уведомляет об этом сервер безопасности.
Внедрение
Коллектив ведущих специалистов "Информзащиты" занимался КУБом три года, обсуждались нюансы, типичные и совершенно нетипичные ситуации, продумывались алгоритмы реакции на самые разные события. Однако новинка пока испытывается на подопытных кроликах - на самой компании-разработчике и приближенных клиентах, с которыми у "Информзащиты" сложились доверительные отношения.
"Информзащита" при разработке решения стремилась сделать процессы управления сетевой безопасностью прозрачными, автоматизировать сопутствующий документооборот и процедуры контроля над реальной ситуацией в больших сетях.
КУБ поставляется вместе с необходимыми для функционирования системы аппаратными компонентами. Подсистема документооборота автономна и может быть развернута параллельно с действующими системами. Компоненты КУБа аппаратно независимы.
Внедрение системы не требует вмешательства в работу станций-клиентов, а затрагивает только ключевые узлы ИС. Компоненты КУБа устанавливаются на критичные серверы сети: файловые серверы, серверы баз данных, Web-серверы и т. д. Агенты системы смогут также контролировать специализированные средства защиты информации: межсетевые экраны, средства создания VPN, средства обнаружения атак и пр.
После внедрения вводится регламент процедуры предоставления сотруднику доступа к корпоративным ресурсам, документируются все изменения в ИС, можно восстановить историю предоставления прав доступа сотрудникам к ресурсам. Появляется возможность в любой момент времени получить отчет, отражающий текущее состояние информационной безопасности.
Создатели системы отмечают, что решаемые системой КУБ задачи совпадают с требованиями документов Common Criteria 15408 и ISO-17799 к информационным системам, на основе которых разрабатываются новые руководящие документы Гостехкомиссии России к защите информации в автоматизированных системах. "Информзащита" планирует сертифицировать КУБ на соответствие новым требованиям к программным продуктам подобного класса.
Новинка будет показана специалистам на декабрьской выставке ВКСС-2004.