«Философия – мать всех наук». Марк Туллий Цицерон Кем мы приходимся бизнесу, в котором работаем администрирование 21% защита информации 32% ИТ 26% ИБ 21% Немного философии, немного математики Чем мы должны заниматься Корпоративная система менеджмента информационной.
Download ReportTranscript «Философия – мать всех наук». Марк Туллий Цицерон Кем мы приходимся бизнесу, в котором работаем администрирование 21% защита информации 32% ИТ 26% ИБ 21% Немного философии, немного математики Чем мы должны заниматься Корпоративная система менеджмента информационной.
«Философия – мать всех наук». Марк Туллий Цицерон Кем мы приходимся бизнесу, в котором работаем администрирование 21% защита информации 32% ИТ 26% ИБ 21% Немного философии, немного математики Чем мы должны заниматься Корпоративная система менеджмента информационной безопасности – комплекс взглядов, подходов, организационных мер, технических средств и бизнес-процессов, предназначенных для обеспечения безопасного, с точки зрения целей организации, получения, хранения и обработки информации, циркулирующей как внутри самой организации, так и между организацией и окружающей ее средой. Немного философии, немного математики Что такое «безопасность»? Безопасность = отсутствие опасностей? Безопасность = состояние защищенности? Безопасность – специфическая совокупность условий целенаправленной деятельности человека или организации, при которых эта деятельность достигает успеха. То есть - совокупность условий, которые человек или организация усвоили, создали и могут контролировать. Немного философии, немного математики От задач бизнеса к политике информационной безопасности Условия безопасности бизнеса Выбор методов контроля ПОЛИТИКА БЕЗОПАСНОСТИ КОМПАНИИ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Немного философии, немного математики Что такое «контроль»? КОНТРОЛЬ – это сбор и обработка информации о «траектории движения» управляемого объекта, сопоставление ее с параметрами, заданными заранее в законах, нормах, инструкциях, планах, программах, выявление отклонений, анализ причин, вызвавших такие отклонения, их оценка и принятие решений о корректирующем воздействии. Немного философии, немного математики Непрерывный цикл ИБ АКТИВЫ имеют «досадное» свойство меняться АУДИТ АНАЛИЗ непрерывно: АКТИВОВ УГРОЗ - наращиваться, - обновляться, - приобретать новые качества - устаревать, МОНИТОРИНГ ОЦЕНКА ЭФФЕКТИВНОСТИ РИСКОВ - «умирать». Как «взять под контроль» все эти процессы ? ВЫБОР С чего начать РЕАЛИЗАЦИЯ «перестройку»ЗАЩИТНЫХ устоявшихся схем? ПЛАНА ИБ МЕР Немного философии, немного математики Основные заблуждения • Цель ИБ – защита периметра корпоративной сети… • Необходимо оперативно внедрять защиту от появляющихся новых угроз… • Внедрение новых технологий, таких как NGFW (new generation firewall), IPS (intrusion prevention systems), DLP (data loss prevention) и др… обеспечат корпоративную безопасность. • Целью системы корпоративной безопасности является снижение уровня возможных угроз… Немного философии, немного математики Традиционная архитектура безопасности Немного философии, немного математики Новая архитектура безопасности Немного философии, немного математики Новый «цикл безопасности» Немного философии, немного математики «Математика – царица всех наук». Карл Фридрих Гаусс Элементы теории защиты информации Компьютерная система – совокупность - объектов, содержащих информацию, и - субъектов – особых объектов, способных выполнять преобразования объектов системы. (пример: объект=файл, субъект=программа или пользователь) Субъект для выполнения преобразования использует информацию, содержащуюся в объектах компьютерной системы, т.е. осуществляет к ним доступ. Немного философии, немного математики Элементы теории защиты информации Основными видами доступа являются: - доступ на чтение - доступ на запись (при этом возможно уничтожение информации, имевшейся в объекте), - доступ на активизацию, при этом инициируется выполнение преобразования, описанного в объекте. Немного философии, немного математики Элементы теории защиты информации Основная аксиома защиты информации: Все вопросы безопасности информации описываются доступами субъектов к объектам. Практическое следствие: Чтобы «ВЗЯТЬ ПОД КОНТРОЛЬ» информационную систему, первым делом необходимо отладить управление доступом к данным и другим ресурсам информационной системы. Немного философии, немного математики Основные методы управления доступом Дискреционное управление доступом (Discretionary access control, DAC. Также: контролируемое, разграничительное) Ролевое управление доступом ( Role Based Access Control, RBAC. Дословно: управление доступом на основе ролей) Мандатное управление доступом (Mandatory access control, MAC. Также: обязательное, принудительное) Немного философии, немного математики Дискреционное управление доступом От лат. discretio – благоусмотрение, воля победителя. Дискреционное управление доступом — управление доступом субъектов к объектам на основе списков управления доступом (ACL) или матрицы доступа. Список управления доступом (ACL) определяет, какой субъект может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. При централизованном хранении списков контроля доступа можно говорить о матрице доступа – таблице, в которой по осям размещены объекты и субъекты, а в ячейках — соответствующие права. Немного философии, немного математики Пример матрицы доступа Субъект\Объект Файл1 Файл2 Программа1 Пользователь 1 читать читать, писать запускать Пользователь 2 читать, писать Пользователь 3 читать, писать читать, писать Пользователь 4 читать читать Программа 1 читать писать Программа 2 читать запускать Программа 2 запускать запускать запускать Немного философии, немного математики запускать Дискреционное управление доступом (продолжение) - Дискреционное управление доступом предполагает возможность передачи субъектом прав доступа к объекту - другому субъекту. - Матрица доступа (наличия которой требуют РД ИБ) для больших систем формулируется в сильно укрупненном/упрощенном виде. - Детальная матрица доступа представляет собой сильно разряженную таблицу, неудобную для восприятия и корректировки. - Дискреционная модель: при децентрализованном управлении удобна пользователю, но затрудняет контроль за безопасностью, и наоборот, при полностью централизованном управлении сложна для администрирования и недостаточно гибка. Немного философии, немного математики Решения для аудита «матрицы доступа» Varonis® Data Governance Suite : • предоставление четкой картины прав доступа к данным • отслеживание и документирование всех действий, произведенных с каждым отдельно взятым файлом или электронным письмом • определение владельцев данных • определение конфиденциальных или важных бизнес-данных, особо выделяя те, права доступа к которым потенциально избыточны. Объекты аудита: файловые сервера Windows и Unix, сетевые хранилища NAS, базы SharePoint и Exchange, службы каталогов AD. Немного философии, немного математики Разрешения доступа – дву-направленное отображение От пользователя / группы К пользователям / группам К директориям От директории © 2008 Varonis Systems. Proprietary and confidential. Аудит событий доступа Поиск, сортировка, группировка © 2008 Varonis Systems. Proprietary and confidential. Рекомендации Для пользователя Что будет если ? Избыточный доступ ? © 2011 Varonis Systems. Proprietary and confidential. Оптимизация разрешений доступа Проверка последствий © 2011 Varonis Systems. Proprietary and confidential. Моделирование изменений Определение владельцев данных Активные пользователи © 2008 Varonis Systems. Proprietary and confidential. Управление доступом на основе ролей Ролевая модель — развитие политики дискреционного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Субъект\Объект Файл1 Файл2 Пользователь 1 читать читать, Пользователь 2 читать, Пользователь 3 читать, читать, Пользователь 4 читать читать Программа 1 читать Программа 2 читать Программа1 Программа 2 писать запускать писать запускать писать запускать писать запускать запускать писать Немного философии, немного математики запускать Управление доступом на основе ролей (продолжение) Ролевая модель обладает следующими особенностями: • • • • Один пользователь может иметь несколько ролей. Одну роль могут иметь несколько пользователей. Одна роль может иметь несколько разрешений. Одно разрешение может принадлежать нескольким ролям. Ролевая модель – интуитивно понятна пользователям, допускает иерархию, подходит для больших организаций. Достаточно сложна для проектирования и реализации. Непереносима – роли проще создать заново и корректировать, чем перенести из другой модели. Сложна для администрирования (роли одного пользователя должны быть непротиворечивы). Немного философии, немного математики Реализации ролевого подхода Avanpost IDM - управление учетными записями (IDM) Полная интеграция с кадровой системой и автоматизация процесса управления правами доступа; Предоставление доступа пользователям на основании бизнес-ролей; Реализация полного цикла workflow при создании и управлении учетными данными пользователей; Автоматизация процедуры согласования заявок на предоставление доступа; Автоматическая блокировка прав доступа пользователей при наступлении определенных событий согласно политике информационной безопасности. Немного философии, немного математики До внедрения IDM Сотрудники Приложение Приложение Приложение Приложение Все приложения разрозненны. Политики доступа к ним не однородны DB / LDAP User ID DB / LDAP User ID DB / LDAP User ID DB / LDAP Учетные данные хранятся разрозненно, появляются «мертвые души» User ID Большие затраты на администрирование ИТ - подразделение. Администраторы Задачи, решаемые Avanpost IDM при внедрении Автоматизация заведения нового пользователей и назначения им прав доступа к информационным системам и ресурсам. Обслуживание заявок существующих сотрудников на изменение прав/роли; Автоматическое изменение прав/роли при переводе сотрудника на другую должность Автоматическое блокирование учетной записи сотрудника и отзыв прав в информационных системах при увольнении Синхронизация данных о сотрудниках в различных информационных системах Обнаружение несогласованных прав доступа в информационных системах и лишних учётных записей в информационных системах (аудит прав) Централизованный учёт прав доступа сотрудников в информационных системах для ускорения аудита и расследования инцидентов Пересмотр прав доступа После внедрения IDM Сотрудники Приложение Приложение Приложение Приложение Централизованное хранение и управление всеми учетными данными пользователей Централизованное управление политиками доступа Централизованный аудит, возможность формирования любой отчетности по управлению доступом IDM Существенное снижение затрат на администрирование Схема взаимодействия Мандатное управление доступом Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (мандатов допуска) субъектам на обращение к информации такого уровня конфиденциальности. Мандатное управление доступом сочетает защиту и ограничение прав, применяемых по отношению к компьютерным процессам, данным и системным устройствам и предназначено для предотвращения их нежелательного использования. Немного философии, немного математики Мандатное управление доступом. Многоуровневая модель. Для объекта определяются уровни (метки) конфиденциальности. Для субъекта определяются уровни (метки) допуска. При обращении субъекта к объекту выполняется: 1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ. 2. Принимается решение о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации. Немного философии, немного математики Мандатное управление доступом Мандатная модель может быть полностью реализована математически. Подходит для реализации четких правил работы с информацией ограниченного доступа. Мандатное управление доступом требуется при отнесении информационной системы к определенному классу защищенности (РД по НСД, 1992). Немного философии, немного математики Краткий итог На практике, ни одна из трех моделей не применяется отдельно. Наоборот, применяются гибридные модели, состоящие из двух или трех моделей. Реализация в операционных системах: Ролевая модель: Windows (AD), Linux, Unix Дискреционная модель: Windows, Linux, Unix Мандатная модель: Linux (в т.ч. В Astra Linux Special Edition). Немного философии, немного математики