Контакты
Подписка
МЕНЮ
Контакты
Подписка

Разграничение доступа - долой маски!

Разграничение доступа - долой маски!

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Разграничение доступа долой маски!

Михаил Савельев, директор департамента развития региональной сети компании " Информзащита"

КЛАССИКА жанра рекламы, стимулирующей к приобретению какого-либо продукта, предписывает предлагать его следующим образом: показать некоторую проблему, описать исходящий от нее негатив, а затем предложить решение этой проблемы (показать рекламируемый продукт), описать его достоинства, например, громко выкрикнув: "Теперь банановый!.."

Беда только в том, что зачастую указываемые проблемы либо сильно преувеличены, либо весьма отстранены от реальной жизни, либо скрывают более серьезные проблемы, устранение которых не зависит от предлагаемого решения. Так, например, проблема запаха изо рта связана с болезнью зубов, желудка и т.д. Жевательная резинка устраняет следствие, но не причину... И такая ситуация характерна для всех областей человеческой деятельности. Не стала исключением и сфера информационной безопасности.

Примеров, подобных приведенному, тут пруд пруди. Взять хотя бы такую ее область, как обеспечение и разграничение доступа пользователей к ресурсам информационных систем. Именно этот момент является серьезным камнем преткновения практически во всех организациях и информационных системах. Особенно эта область интересна еще и тем, что она находится на стыке двух областей: автоматизации и безопасности. Именно тут мы видим классический вариант маскировки одной проблемы под другую. Где же тут умудряются скрываться проблемы?

Обеспечение доступа: главные задачи

Дело в том, что задача по обеспечению доступа раскладывается на несколько подзадач:

  • обеспечение сетевого доступа;
  • обеспечение безопасности сетевого доступа;
  • предоставление доступа пользователю внутри приложения;
  • разграничение доступа пользователя внутри приложения и обучение пользователя работе с данными;
  • ограничение путей распространения полученных пользователем данных.

Сегодня предлагаются и рекламируются все средства для решения первых двух и последней задачи.

Путей решения же самых главных проблем - предоставление и правильное разграничение доступа - предлагается мало. Но без решения этих задач все остальные усилия похожи на ту самую попытку замаскировать запах и обойтись без лечения зубов. Этот подход имеет право на жизнь, но он способен лишь оттянуть, а не решить основную проблему.

То, что разграничение доступа является основной задачей, легко пояснить на примерах. Сотрудник, запомнив и предъявив свои "пины" и пароли, через VPN с компьютера, оснащенного антивирусами, хосто-выми IDS и персональными межсетевыми экранами и системами контроля USB-портов, зашел в CRM-систему и... Перед тем как ответить на вопрос о том, что будет дальше, просто представим себе, что этот сотрудник обладает на ресурсе неограниченными правами. В ряде вариантов дальнейшего развития событий можно рассмотреть и то, что системам контроля USB-портов даже не придется работать: сотрудник по ошибке взял да и удалил важную информацию из системы.

Описанная ситуация - совсем не редкость в российских компаниях. И, по большому счету, в этом даже никто и не виноват. Просто темпы автоматизации деятельности сейчас высоки, а это означает взрывной рост функционала, связанный с внедрением все новых приложений и сервисов без подробной проработки вопросов их функционирования. Кроме того, обеспечение доступа сотрудника к приложению, то есть обеспечение бизнес-процесса, все-таки чаще всего важнее безопасности.

Это приводит к тому, что вся защита порой держится на банальном незнании сотрудника того, какими безграничными правами он наделен и где именно лежит та или иная информация.

Необходимые действия: в чем загвоздка?

Такие перекосы встречаются не только при обеспечении доступа внутри приложений. В постоянно меняющемся сетевом окружении плывут и полномочия доступа к сетевым ресурсам. Так, при обследовании информационных систем аналитики компании "Информзащита" постоянно сталкиваются с тем, что общедоступный, по мнению администраторов, ресурс оказывается реально доступен только для избранных, а ресурс с информацией о совещаниях Совета директоров находится в общем доступе.

Само решение проблем учета и разграничения доступа существует, и к нему одному независимо приходят все специалисты отделов информационной безопасности всех компаний и организаций, решившие разобраться с этим.

Для решения задачи необходимо:

  1. составить реестр ресурсов информационной системы;
  2. понять, что за информация обрабатывается на них, то есть провести категоризацию;
  3. составить списки допущенных к той или иной информации лиц;
  4. провести аудит соответствия реального и теоретического доступа;
  5. определить регламенты предоставления доступа к ресурсам;
  6. начать жить в соответствии с этими регламентами;
  7. периодически проводить контроль за соблюдением регламентов.

Но специалисты (что, впрочем, происходит почти всегда), идущие по теоретически абсолютно верному пути, сталкиваются с подчас непреодолимыми на первый взгляд жизненными реалиями.

Рассмотрим этапы этого пути. Пункты с первого по четвертый - трудоемки, но выполнимы. Пункт пятый - прост. Шестой пункт сильно зависит исключительно от воли отдела безопасности и руководства организации, а также от того, насколько утомительны и автоматизированы будут процедуры предоставления доступа. Но и этот, и последний - седьмой - пункт практически невыполнимы без специального инструментария.

Причина невыполнимости кроется в том, что практически все регламенты представляют собой некоторый, чаще всего бумажный, документооборот неких формализованных заявок на предоставление доступа. С этими заявками, помимо прочего, связаны три большие проблемы:

  • заявки имеют тенденцию теряться;
  • никто не гарантирует наличия обходных путей, когда администратор настраивает доступ;
  • никто не гарантирует полноту, достаточность и безошибочность изменений в настройках информационной системы, совершаемых администратором при выполнении заявки.

Первую проблему можно попытаться решать путем ведения электронного документооборота. Две оставшиеся может решить специальный инструментарий. В противном случае ответственные за информационную безопасность в организации люди могут быть погребены под необходимостью регулярно проводить трудоемкий аудит соответствия настроек систем принятой схеме доступа.

В качестве такого инструментария может выступать система КУБ производства компании "Информзащита".

Система КУБ: не маскирует, а решает

В системе КУБ оптимально сочетаются технологии Identity Management и Access Control Management, сливаясь в единый набор сервисов по централизованному управлению процедурами предоставления и управления доступом пользователей. В состав этой системы, помимо подсистемы управления электронными заявками пользователей, входит система контроля.

Для создания заявок в системе КУБ применяется специализированный Веб-портал, с помощью которого сотрудники организации, даже не знакомые с особенностями ИТ-ин-фраструктуры компании, смогли бы запросить для себя необходимый доступ.

Первичная или, так сказать, идеальная картина доступа, который должны иметь сотрудники организации к тем или иным ресурсам, хранится на сервере безопасности системы КУБ.

Система контроля за настройками информационной системы состоит из специализированных агентов, которые контролируют настройки прикладных систем, ОС, специализированных средств информационной безопасности.

При этом показания агентов постоянно сверяются сервером безопасности с заложенными в него эталонными значениями и имеющимися в настоящий момент заявками.

Каждое изменение настроек систем, входящих в состав ИС, анализируется на предмет легитимности (было ли это изменение запрошено и согласовано установленным порядком через систему управления заявками). Если изменение произошло вопреки заявкам, то это воспринимается как противоречие, о котором незамедлительно оповещается администратор безопасности.

Такой контроль над системой имеет ряд преимуществ, поскольку позволяет в любой момент времени получить следующие данные:

  • текущие права любого пользователя/групп пользователей и информация о том, на каком основании они были получены;
  • различия между требуемыми и реальными правами пользователей;
  • несоответствия в настройках с указанием, по чьей вине они произошли;
  • перечень лиц, допущенных к конкретному ресурсу/приложению;
  • все прошедшие через систему заявки с историей их согласования;
  • текущие фазы обработки заявок.

По мнению специалистов компании "Информзащита", именно такой подход позволяет в полной мере быть уверенными в том, что доступ пользователей к информации, обрабатываемой в корпоративной информационной системе, будет разграничен правильно. К сожалению, система КУБ не может решить задачу обучения пользователей корректной работе с данными, однако это, как говорится, совсем другая история.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2007

Приобрести этот номер или подписаться

Статьи про теме