Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Андрей Петухов: Чем четче сформулирована цель, тем адекватнее решение

Андрей ПетуховОб актуальных проблемах и тенденциях на рынке ИБ рассказывает CNews Андрей Петухов, руководитель департамента систем информационной безопасности компании «АйТи».

CNews: Практически все мировые стандарты и государственные акты, посвященные информационной безопасности, оперируют понятием «управление безопасностью». Как, по-вашему, это дань моде или реалии жизни?

Андрей Петухов: Любое управление осмысленно только в привязке к определенной цели. В системном смысле  управление предполагает либо удержание управляемого объекта в некотором целевом состоянии, либо его целенаправленное изменение. Поэтому развитие в сфере управления безопасностью свидетельствует об осознании целей этой деятельности. Сейчас никто не начинает серьезную работу в области безопасности без того, чтобы зафиксировать свои цели в виде концепции, стратегии или другого программного документа. Бурное развитие стандартизации в области ИБ также подтверждает горячее желание формулировать цели, чтобы потом, управляя безопасностью, достигать  их или удерживать позиции.

Развитие технологий управления в области ИБ идеологически подпитывается пониманием того, что защита информации — это не однократное действие, а протяженный непрерывный процесс, требующий такого же непрерывного управления.

Операционное управление ИБ — это отслеживание потока событий безопасности и принятие решений по реагированию на эти события: назначение/отмена полномочий, изменение настроек ПО, обновление сигнатур/эвристик и т.п. Этот уровень управления реализуется на базе широко известных систем мониторинга, которые предлагают многие ведущие производители — Cisco, IBM, HP и другие. Интересные решения есть у компаний «Информзащита» и «Инфосистемы Джет».

Уровень технологического управления связан с развитием информационных ресурсов и технологий. Например, в корпоративной системе появились более критичные данные, или авторизация участников стала осуществляться с помощью многофакторной аутентификации. Решения по управлению ИБ реализуются изменением политик, инсталляцией новых средств защиты и дополнительным обучением персонала. Контроль и управление на этом уровне поддерживают некоторые компоненты HP Open View, экспертные системы RiskWatch, «Авангард» и «Риск-менеджер»,  а также портал управления ИБ «АйТи Базис».

И, наконец, стратегическое управление исходит из заданного соотношения целей бизнеса компании и угроз безопасности, что выражается в развитии концептуального слоя решений: концепция безопасности, модель угроз/нарушителей, стратегия развития безопасности и т.д. Это высокоинтеллектуальная деятельность. К сожалению, существующие методические решения обеспечивают лишь общую поддержку, а из инструментальных средств только отдельные компоненты «АйТи Базис» поддерживают некоторые элементы этого процесса.

Разумеется, в жизни все вышеперечисленные уровни связаны. И только гармонично выстроенная «вертикаль» управления минимизирует конфликтность уровней. Операционная деятельность подчиняется регламентам, политики отвечают задачам безопасности, а концепция безопасности «вытекает» из бизнес-целей организации.

CNews: На ваш взгляд, что такое «современный безопасный бизнес»? За счет чего можно его обеспечить, как реализуется взаимодействие с информационными технологиями?

Андрей Петухов: Существуют, по крайней мере, три основных подхода к обеспечению ИБ. Это, во-первых, «реактивный» подход, когда решение по безопасности формируется как реакция на инцидент. К счастью, такой первобытный способ «зализывания ран» уже не актуален. Сегодня доминирует второй подход — это глубокая диагностика и системная профилактика, когда сервисы ИБ продумываются в комплексе, сопоставляются со стандартами и поддерживаются управлением. Но уже есть признаки наступления следующего этапа развития — «здорового образа жизни», если продолжать аналогию с медициной. Архитектура и инфраструктура информационных технологий строятся с учетом знания возможных угроз, а решения и требования ИБ учитываются при создании функциональных систем, таких как единая служба каталога, интеграционная шина, портальные решения. Уже известны прецеденты, когда методология создания крупной информационной системы была сформулирована как «обвеска» функциональными подсистемами «ядра безопасности». Это и есть технологические предпосылки современного безопасного бизнеса.

CNews: Считается, что, когда вопросы безопасности выводятся на уровень целей самого бизнеса, возможно достичь максимального эффекта в вопросах построения комплексных систем ИБ. Согласны ли вы с этим постулатом?

Андрей Петухов: Сам предмет ИБ постоянно развивается — в первую очередь, это касается типологии объектов защиты и наборов критериев, по которым судят о степени защищенности. Если еще совсем недавно ИБ воспринималась как достижение конфиденциальности передаваемых данных, то сегодня это множество критериев, которые относятся к данным в различных состояниях и процедурам их обработки. Сегодня критерии ИБ гораздо сильнее связаны с технологической частью бизнеса, например, при решении задач обеспечения непрерывности бизнеса и анализа информационных рисков.

Что касается эффективности комплексных систем ИБ, то общая закономерность —  «чем четче сформулирована цель, тем адекватнее решение» — справедлива и здесь. Ведь ИБ существует не только для того, чтобы кормить соответствующих специалистов, а, прежде всего, чтобы способствовать достижению целей бизнеса. Поэтому когда  специалистам по ИБ ясны цели, то и решение они могут выбрать адекватное, а значит, эффективное.

CNews: Аналитики говорят, что многие продукты ИТ небезопасны сами по себе. Как, на ваш взгляд, должна идти эволюция ИТ в области собственной безопасности?

Андрей Петухов: Угрозы, привносимые самими ИТ-продуктами — это результат лавинообразного роста сложности этих продуктов, а так же некоторого отставания технологий разработки и тестирования. Снижение таких угроз возможно за счет широкого информирования о них и благодаря развитию решений с открытым кодом. Возможно, появятся другие направления, которые сегодня известны в теории, например адаптивные схемы или управление избыточностью.

Уже сейчас есть подходы и некоторые частные решения, построенные исходя из предположения о существовании неизвестных угроз. «АйТи», например, имеет решение по инструментальному анализу защищенности процессинговых центров, сертифицированное платежными системами Master Card и Visa. Ценность этого решения именно в возможности воспринимать и обнаруживать новые угрозы и уязвимости, в том числе связанные и с появлением в составе инфраструктуры объекта новых программных и аппаратных средств.

CNews: Из опыта вашей компании, приживается ли в России риск-менеджмент в области ИБ? Какие трудности в связи с этим возникают?

Андрей Петухов: Развитие риск-менеджмента в России уже прошло этап завышенных ожиданий, и его воспринимают вполне адекватно. Это действительно эффективный инструмент, используемый в самых разных условиях и позволяющий принимать относительно обоснованные решения при управлении ИБ. Возможно, скоро риск-менеджмент станет таким же обыденным делом, как, например, сметные расчеты или оценка трудоемкости, появятся соответствующие справочники и нормативы. Сегодня же это работа экспертов высокой и редкой квалификации, которые должны обладать знаниями предметной области и владеть методиками анализа рисков. Обывателям риск-менеджмент порой кажется неким шаманством. Наш успешный опыт анализа рисков связан с эффективной организацией команд специалистов, имеющих нужную компетенцию. И для меня сейчас основная задача при анализе рисков ИБ для крупных клиентов — это создание таких проектных групп.

CNews: В вашей практике был ли хоть один случай, когда какой-либо компании удавалось правильно рассчитать бюджет построения СУИБ и подготовиться к сертификации по какому-либо соответствующему стандарту безопасности?

Андрей Петухов: Бюджет построения СУИБ для операционного управления формально можно рассчитать как бюджет построения функциональной подсистемы. Многие так и делают. Технологическое управление же имеет неформализованные компоненты, связанные с поддержанием соответствия политик безопасности концептуальным (руководящим) документам. Но и их, пожалуй, можно задать в бюджете как стоимость некого интеллектуального ресурса. Определить бюджет на стратегическое управление ИБ еще сложнее. Компании делают это сами, а наша задача как консультантов — помочь использовать выделенные средства оптимально.

Что касается сертификации корпораций на соответствие стандартам, то пока это в основном международная практика. В России есть только институт аттестации объектов, регулируемый ФСТЭК, и отдельные сертификационные процедуры для некоторых типов продуктов ИБ. Крупнейшими международными центрами сертификации в России на соответствие международным стандартам безопасности являются BSI и TUV. Мы помогаем некоторым крупным российским компаниям подготовиться к сертификации как авторизованный партнер этих центров.

CNews: Как вы считаете, почему до сих пор ни один из методов защиты информации не оказался эффективным в защите от инсайдеров? И в чем наибольшие затруднения в этой борьбе?

Андрей Петухов: Казалось бы, осмысленно предоставленные полномочия, стремление соблюдать принцип минимальной достаточности прав и исправно работающие механизмы разграничения доступа должны защитить от внутренних угроз. Но они оставляют место для нанесения ущерба. Почему? Дело в определенной асимметричности решений при назначении этих самых полномочий. Представьте, на границе между государствами (или между дачными участками, не важно) одна из сторон устанавливает какое-то препятствие — забор или систему охранной сигнализации. Его ведь трудно поставить четко на линии границы, например, рельеф местности не позволяет. Сместить можно только в одну сторону — на свою территорию, ведь ущемление чужой территории недопустимо. Поэтому «в среднем» сопредельная часть территории, отделенная препятствием, всегда будет избыточна благодаря асимметричности решений: на свою сторону можно сдвигать, а на соседскую нельзя.

Такая же асимметричность присутствует и при назначении полномочий. Мы не можем правами доступа точно «оконтурить» необходимую функциональность — и принимаем решение в пользу некоторого, пусть минимального, но добавления прав пользователю. Поскольку сокращение прав по отношению к гипотетически точному «контуру» будет ущемлять функциональность, а это недопустимо. Таким образом, по аналогии с территориями, реально предоставляемые полномочия всегда избыточны по отношению к объективно необходимым.

Эта избыточность доступа и является источником внутренних угроз. От действий в этом пространстве информационная система практически не защищена и, кроме воззваний к лояльности персонала, можно сделать очень немногое. Но чтобы сделать это немногое, надо представлять себе природу факторов, вызывающих несовпадение объективно необходимых и реально предоставляемых полномочий.

Главный фактор — недостаточная детализация, неадекватность и неполнота политики предоставления прав, связанная с незнанием нюансов использования информационных ресурсов. Что делать? Глубоко и тщательно прорабатывать политику, расширять список условий, учитываемых при назначении прав. Действенное средство — периодическая ревизия использования прав: все, что не было востребовано в течение определенного периода, запрещается.

Иногда скрупулезно разработанная политика не может быть полностью претворена в жизнь из-за ограниченности средств реализации. Например, в политике определили предоставление доступа только в рабочее время, а инструменты управления доступом не оперируют категорией «время суток».

Мониторинг поведения сотрудников — потенциальных инсайдеров — обычно не эффективен для выявления внутренних угроз. Потому что чаще всего технологии мониторинга характеризуются теми же аспектами, на основе которых определяются права доступа. В этом случае фиксируются те ситуации, которые были определены как разрешенные, и мы с удовлетворением наблюдаем, как сотрудник действует строго в пределах дозволенного. Единственной пользой от такого мониторинга может быть фиксация неудачных попыток превысить полномочия, да и то, инсайдер наверняка объяснит их случайностью.

Мониторинг может являться могучим средством защиты, если состав аспектов мониторинга шире, чем список факторов, влияющих на права доступа. В этом случае мониторинг как бы добавляет новые измерения в пространство «ограничений—разрешений». Теперь ситуации, раньше неразличимые в своих «плоских» проекциях (и поэтому одинаково квалифицируемые) теперь рельефно разнятся «в объеме», что позволяет дифференцировать их. В большинстве случаев анализ результатов такого мониторинга может быть очень полезен для квалифицированного специалиста по ИБ.

Наконец, есть такой фактор, как сознательное нежелание руководства ограничивать права пользователей. В компаниях, где информационные потребности сотрудников высоки и имеют трудно прогнозируемую динамику, полномочия намеренно даются «с запасом» и правилом становится разрешение «по умолчанию». Мониторинг таких полномочий малоэффективен, он затруднен тем, что «творческий» характер деятельности заложен уже в самой политике. Единственный известный рецепт — исповедовать доктрину «режимщиков»: чем выше ущерб от нарушения безопасности ресурса, тем детальнее должна быть регламентирована работа с ним.

CNews: Как ваша компания расставляет приоритеты при борьбе с внутренними угрозами? Используются ли не ИТ-средства?

Андрей Петухов: «АйТи» имеет богатый опыт работы в области HR-консалтинга. Многое из этого арсенала используется и для защиты от внутренних угроз ИБ. В первую очередь это организационные методы: социально-психологическая идентификация внутреннего нарушителя информационной безопасности. Мы организуем проведение исследований, в рамках которых классифицируются и описываются психологические типы потенциальных нарушителей, определяется часть персонала, которая может принадлежать к этим психологическим типам (группам риска). После этого мы разрабатываем мероприятия по снижению факторов риска внутренних угроз.

Оценка персонала проводится с помощью тестирования, после чего характеристики лояльности персонала используются для формирования политик безопасности. Потенциальные нарушители известны персонально, и не надо их «моделировать» — их можно непосредственно изучать и оценивать. Политики безопасности корректируются для конкретных сотрудников, это делает их персонифицированными. Все это делается на базе специально разработанных методик и регламентированных процедур.

Cnews: Спасибо.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Toolbar | КПК-версия | Подписка на новости  | RSS