В погоне за двумя зайцами

Александр Шахлевич
руководитель направления ИБ
компании NETWELL

Век информационных технологий давно оправдал свое название, плотно интегрировав нашу жизнь с электронным миром. Электронные магазины любой направленности, интернет-приемные социальных служб, казино, интернет-банкинг, электронное правительство – да чего только нет! Понятие "онлайн" становится все более обыденным, и теперь для многих людей уже становится проблемой быть "офлайн". Стремительная экспансия информационных технологий естественным образом повысила и уровень компьютерной грамотности большого слоя населения: теперь роутеры мирно существуют в квартирах граждан, а люди, по долгу службы далекие от ИТ, перестали бояться слова "файрвол". Однако уровень развития киберпреступности и изменчивость информационной среды обгоняют уровень защищенности  даже корпоративных информационных систем. Вследствие агрессивного пресейла вендоров и интеграторов ИБ-службы не всегда обладают объективной информацией для принятия решений о наиболее актуальных проблемах в организации и полагаются на рекомендации экспертов. В итоге компании устанавливают десятки средств защиты информации, но забывают о самом важном – о "мозге" информационной системы, хранящем всю информацию, об обрабатывающих механизмах и способах предоставления информации, а главное – об уязвимости и хрупкости этой части системы.

Безопасность – отдельный бизнес-процесс

Аудит доступа к СУБД, бесконтрольность действий администраторов СУБД и практически полная невозможность гранулированного контроля доступа к файловым хранилищам и раньше часто становились головной болью для многих корпораций, которым есть что охранять, будь то ноу-хау, секреты производства, конструкторская документация или финансовая отчетность. Но сейчас уже практически ни одна крупная компания не обходится без системы программ "1C", систем финансового учета, ЭДО или других ERP/CRM-систем. Все они используют то или иное приложение как платформу, хранят информацию в СУБД или файловых хранилищах и являются средоточием того, что изначально предполагалось защищать, – информации.

Но многие ли компании могут похвастаться тем, что Web-интерфейс их приложений надежно защищен, обеспечено разграничение полномочий на ИТ- и ИБ-администраторов, ПО обновляется с выходом новой версии, ведется постоянный аудит доступа к СУБД и файловым серверам, настроены права пользователей в соответствии с бизнес-необходимостью, организован процесс предоставления прав и процесс увольнения сотрудников и выполнен ряд других важных задач? Многие крупные компании поплатились за свою беззаботность в этом вопросе, и как следствие, мы слышим череду тревожных новостей за 2011 г.: взломы сайтов McAfee, Sun, MySql, инсайдерские действия в Intel и Лаборатории Касперского. И это при том, что уж эти компании хорошо осведомлены об актуальных угрозах. Безопасность перестала быть чисто техническим процессом внедрения средств защиты, а стала отдельным бизнес-процессом организации, требующим всесторонней проработки и конкретной стратегии развития.

Стандарты и рекомендательные документы

Благо на помощь приходят регуляторы, которые не только подумали и придумали систему правил, как должна быть организована система защиты критичной информации, но и заставляют компании следовать этим правилам. В частности, наиболее активными драйверами развития ИБ в России являются ФЗ-152 и стандарт PCI DSS. Если требования стандарта PCI DSS напрямую обязывают организации защищать свои приложения и любые хранилища информации, содержащие данные пластиковых карт, то рекомендации приказа № 58 ФСТЭК работают только при правильно составленной модели угроз. Как бы то ни было, при всей возможной неидеальности существующих законов требования придуманы не на ровном месте, а вызваны насущной необходимостью.

На детальное изучение стандартов и рекомендательных документов по организации систем защиты информации ушли бы все страницы этого журнала, даже не только этого. Поэтому остановим свое внимание на разделах стандартов PCI DSS и СТО БР ИББС и приказа № 58 ФСТЭК, касающихся Web-приложений и информационных хранилищ (см. табл.).

Imperva SecureSphere

Важность защиты приложений и информационных хранилищ (СУБД или файловых серверов) осознает все больше компаний, и это видно по ряду крупных слияний и поглощений на рынке ИТ: Intel приобретает McAfee, HP дополняет портфель продуктами Fortify, Oracle покупает Secerno, а IBM – Guardium.

Среди всего многообразия решений хочется отдельно обратить внимание на линейку продуктов Imperva SecureSphere. Этот производитель не старается охватить весь рынок ИБ, но уже на протяжении 8 лет занимается тем, что у него лучше всего получается: безопасностью Web-приложений, СУБД и файловых хранилищ.

Эти решения легко интегрируются в существующую инфраструктуру, не требуют перезагрузки или внесения изменений на защищаемых ресурсах и обладают богатым функционалом:

• анализ структуры Web-приложений и поведения пользователей в автоматическом режиме;
• поиск    и   классификация информации в СУБД и на файловых серверах;
• оценка уязвимости СУБД;
• интеллектуальные механизмы защиты приложений и СУБД;
• репутационный анализ внешних пользователей;
• аудит доступа к СУБД и файловым серверам;
• контроль    прав    доступа к СУБД и файловым серверам;
• оповещение в режиме реального времени;
• автоматизация поиска мертвых аккаунтов, идентификации завышенных прав, процесса увольнения и перехода сотрудников;
• интеграция со службами каталогов;
• возможность работы как в режиме мониторинга, так и активной блокировки;
• наглядная и полностью кастомизируемая отчетность;
• минимальное влияние на производительность.

Imperva WAF сертифицирован независимым агентством ICSA Labs как надежный межсетевой экран для Web-приложений с возможностью использования для защиты информационной системы по требованиям стандарта PCI DSS 2.0. Кроме того, вся линейка продуктов Imperva SecureSphere сертифицирована ФСТЭК по техническим условиям с возможностью использования при защите ИСПДн до класса К2 включительно.