Еще недавно основным побудительным мотивом для аудита было внедрение ИТ-средств или проведение организационных мероприятий, способных повлиять на уровень информационной безопасности. За последние полтора года картина несколько изменилась.
Еще недавно основным побудительным мотивом для аудита было внедрение ИТ-средств или проведение организационных мероприятий, способных повлиять на уровень информационной безопасности. За последние полтора года картина несколько изменилась.
Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как себя проявит завтра при возникновении угрозы безопасности.
Попытаемся определить несколько путей эволюции информационных систем. Первый — простое масштабирование. Например, количество рабочих мест увеличивается, в то время как архитектура и набор используемых сервисов системы не меняются. С точки зрения информационной безопасности система остается неизменной до тех пор, пока изначально заложенные механизмы защиты информации надежны. В частности, парольная защита, идеальная на небольшой системе, оказывается совершенно неэффективной, если число пользователей достигает тысячи. Как правило, сумма учетных записей для доступа пользователей к различным подсистемам растет при этом нелинейно. Администрирование становится крайне затруднительно, поскольку администратор системы, по сути, теряет контроль над использованием учетных записей и идентификацией пользователей. Очень важно вовремя распознать момент, когда информационная безопасность растущей системы окажется сниженной.
Обеспечить защиту системы в условиях простого масштабирования возможно. Так, в конце 90-х годов в сетевую архитектуру «МежПромБанка» были заложены принципы, позволяющие сегментировать корпоративную сеть по важности информации и разграничению прав доступа. В результате, по словам Алексея Забродина, директора департамента информационно-технического обеспечения «МежПромБанка», разумно выбранная топология сети и сегодня дает возможность справляться с задачей масштабирования систем без существенных проблем.
Второй путь эволюции — оптимизация системы. В этом случае и число пользователей, и набор сервисов системы остаются прежними. Поскольку в системе произошли внутренние изменения, вполне возможно, что уровень ее защищенности тоже станет другим. Необходимо исследовать, насколько сохраняют свою работоспособность в оптимизированной среде механизмы, работавшие в первоначальной системе, и проверить, в какой мере изменения в системе способствуют возникновению дополнительных уязвимостей.
Третий путь связан с появлением в системе новых сервисов. С каждым из них может быть связан свой набор уязвимостей. Необходимо оценить, насколько эти уязвимости «закрыты» имеющимися механизмами безопасности.
От теории к практике
«Введение новых сервисов — очень тяжелая проблема. Руководство, которое ставит ИТ-службе новую бизнес-задачу, не всегда понимает, что потребуется не просто инсталляция какой-то системы, но и ее стыковка с другими решениями в соответствии с принципами развития и стандартами ИТ, принятыми на предприятии, — считает Забродин. — Примеров тому много, в частности, документооборот. Мы разделили корпоративный документооборот на общий и специальные, которые доступны далеко не всем и реализованы в виде отдельных полностью сегментированных систем».
Руководство организации должно целиком полагаться на ИТ-специалистов. Но доверие руководства нужно заслужить, а для этого необходимо обеспечить максимальную прозрачность информационной системы. По словам Забродина, в «МежПромБанке» никогда не скрывают от руководства информацию о каких-либо инцидентах. В их числе одна из внешних атак, направленная на отказ в обслуживании, в результате которой на почтовые серверы банка вместо 8-10 тыс. писем в день неожиданно из разных частей света посыпалось в сто раз больше.
Справедливости ради надо сказать, что подобная форма поведения ИТ-службы составляет скорее исключение, чем правило. И напротив, есть множество примеров, когда служба информационной безопасности существует как бы сама в себе. «Руководители служб информационной безопасности нередко любят поиграть в секретность. Хотя под эти службы закладываются колоссальные бюджеты, которые полностью не вырабатываются. Деятельность таких служб часто непрозрачна, а негативные последствия — очевидны», — полагает Алексей Забродин.
Когда эволюция системы развивается по первому из указанных путей, заказчик обычно сам обращается к стороннему аудиту информационной безопасности. Инициатива исходит со стороны системного администратора или иных эксплуатирующих структур. В этом случае характерны жалобы на проблемы с администрированием системы и желание использовать для таких целей более совершенные механизмы.
Вопрос о необходимости внешнего аудита после оптимизации системы напрямую зависит от того, насколько изменения затронули ключевые компоненты информационной безопасности. С точки зрения специалиста по безопасности, любая оптимизация системы — достаточное основание для анализа ее защищенности. С позиции ИТ-специалиста, замена одних маршрутизаторов на другие или введение в эксплуатацию новых каналов связи, строго говоря, не является побудительным мотивом к аудиту безопасности системы. Окончательное решение во многом будет зависеть от распределения ответственности между ИТ-службой и подразделением службы безопасности.
И, наконец, появление в системе новых сервисов требует поставить вопрос о влиянии изменений на уровень защиты информации параллельно с внедрением сервисов.
Нередки ситуации, когда существенными оказываются сразу несколько побудительных мотивов. Например, в ноябре 2004 года в связи с переездом головного офиса компании «МегаФон» перед службой информационной безопасности поставили вопрос о модернизации ИТ-инфраструктуры. Предполагалось, что в новом здании стиль и способы общения сотрудников «МегаФона» с коллегами, гостями и партнерами существенно изменятся. Соответствующим образом выстраивалась и ИТ-инфраструктура.
Возможность приема гостей и включение их в информационные потоки компании обязывало принять дополнительные меры по защите внутренних корпоративных информационных ресурсов. Был проведен аудит подсистемы безопасности, который показал, что простой логический перенос топологии локальной сети из одного офиса в другой скрывает потенциальную угрозу проникновения злоумышленников во внутреннюю сеть. Для предотвращения инцидентов была разработана концепция перехода на новый уровень организации внутренней сетевой инфраструктуры.
«Итогом проведенных работ явился простой и естественный для конечных пользователей переезд из старого здания в новое, — вспоминает Петр Прокофьев, специалист отдела информационно-вычислительных систем и сетей компании ?МегаФон?. — В пятницу сотрудники выключили свои рабочие станции в старой сети, а в понедельник включили в новой. Прежняя функциональность полностью сохранилась, вместе с тем удалось избежать ущерба безопасности для защищаемых ресурсов».
Разумеется, за этой «простотой» скрывался целый комплекс заранее осуществленных работ. На очередном этапе эволюции системы (сети офиса и ее компонентов) потребовались аудит информационной безопасности и проведение ряда мероприятий, направленных на модернизацию подсистемы. Сторонними аудиторами выступили квалифицированные партнеры, что, по мнению Петра Прокофьева, позволило минимизировать затраты и в кратчайшие сроки реализовать систему.
От эпизодичности к постоянству
Приведенные примеры развития информационных систем свидетельствуют о том, что обращения к вопросам аудита информационной безопасности возникают, как правило, лишь по мере необходимости. Между тем, при современной динамике развития информационных систем все более актуальной становится задача постоянного аудита.
Первыми могут прочувствовать эту потребность компании, основная бизнес-деятельность которых во многом зависит от качества ИТ-поддержки. Прежде всего, к этой группе относятся телекоммуникационные компании. Специфика их бизнеса требует, чтобы постоянно появлялись новые услуги и внедрялись решения, способные их реализовать. Постоянный аудит актуален и для производственных компаний, демонстрирующих высокую динамику развития: они активно применяют электронные технологии для успешного ведения бизнеса, электронных торгов, работы с контрагентами на зарубежных рынках, где вопросам безопасности уделяется существенно больше внимания. Зависимость от ИТ велика в финансовых компаниях, но изменения в их системах, как правило, происходят реже, к тому же они тщательно продумываются и планируются, поэтому потребность в постоянном аудите информационной безопасности там не столь остра.
Строго говоря, мониторинг безопасности информационных систем могут выполнять и сами сотрудники компаний при помощи средств инструментального аудита. Подобных решений на рынке представлено немало, среди них CiscoWorks Security, Symantec Incident Manager, соответствующие решения от компании BMC и прочие.
По мнению директора центра информационной безопасности компании «Инфосистемы Джет» Ильи Трифаленкова, инструментальный аудит — лишь одна из составных частей обследования, возможно, не самая обременительная по трудозатратам и стоимости. Весьма существенной является задача аудита архитектуры системы.
Особенности «нового» аудита
Поскольку аудиту подвергают уже работающие системы, ИТ-руководству компании в определенной степени приходится нести ответственность за те решения, которые были реализованы ранее. Действовать следует в рамках обеспечения изменений в области информационной безопасности, которые сопутствуют преобразованиям, происходящим в системе. Желательно, чтобы решение принималось с учетом результатов предварительного обследования и учитывалось при проектировании модификаций в системе.
Эта задача требует участия опытного специалиста, который мог бы проанализировать логику работы системы, чтобы выяснить, насколько логика самой системы позволяет «обходить» средства безопасности.
Подготовка и проведение аудита информационной безопасности требуют принять во внимание как потенциальные угрозы, так и риски, иными словами нужно учитывать не только вероятность негативных акций, но и возможный ущерб. Одна из ключевых задач аудита — определить риски, актуальные сегодня, и назвать те, которые появились недавно и в рассмотрение ранее не брались.
К сожалению, даже самые современные методики не дают возможности количественно определить ущерб, нанесенный при реализации угрозы. Не менее сложно дать и качественную оценку, применяя такие простые, на первый взгляд, показатели ущерба, как «маленький», «большой», «очень большой», «критичный». Для точной оценки ущерба необходимо привлечь не только штатных и внешних специалистов в области ИТ и информационной безопасности, но прежде всего сотрудников профильных бизнес-подразделений.
Таким образом, реальный эффект сможет дать сложный вариант аудита, который достигается в процессе тесного взаимодействия самых разных специалистов как внутри компании, так и привлеченных со стороны.
Скрытый конфликт служб
Очевидно, что помимо взаимодействия внешних и штатных специалистов необходим плотный союз представителей ИТ-подразделения и сотрудников информационной безопасности. Но иногда в отношениях между этими службами наблюдаются конфликты.
По мнению Трифаленкова, такие противоречия возникают, как правило, в двух случаях. Во-первых, когда области их ответственности нечетко разделены. В этом случае причиной разногласия оказывается некая сфера полномочий, на которую претендуют обе службы или, напротив, ни одна из них. Во-вторых, когда накопились исторические предпосылки для конфликта. Например, если полномочия и ответственность за определенную область несколько раз передавалась из одной службы в другую, в результате чего граница интересов постепенно размылась.
Стоит признать, что внешний консультант обладает рядом преимуществ в решении подобных вопросов. С одной стороны, он не ангажирован в отношении какой-либо из противоборствующих служб, а с другой — может разговаривать со специалистом по безопасности на его профессиональном языке, а с ИТ-специалистом использовать лексикон информационных технологий. Именно поэтому у него есть серьезные основания выступить посредником между заинтересованными сторонами.
Ближайшие перспективы
В условиях растущих темпов бизнеса становятся все более необходимыми проведение высокоуровневого аудита информационных систем, методов и средств безопасности, построение моделей оценки рисков.
Следует ожидать постепенного слияния аудита с процессом сопровождения системы и переход к аудиту на постоянной основе.
Высокоуровневый аудит становится командным видом ?спорта? , в основе которого - гармоничные конструктивные взаимоотношения между всеми заинтересованными сторонами.