Атрибутивная модель управления доступом
Узнать большеПолитика ИБ — ключевой инструмент управления информационной безопасностью компаний. Она представляет собой совокупность правил работы с информационными системами и ресурсами, чувствительными данными, оборудованием, используемыми организацией программно-аппаратными средствами. Грамотная проработка положений и их четкое соблюдение сотрудниками способствуют снижению уязвимости компании перед угрозами ИБ. Рассказываем, как формируются регламенты, каким образом осуществляется эффективное управление политикой безопасности.
Политика безопасности: что это, какие положения она включает
Это ряд положений, регламентирующих процессы, связанные с информационной безопасностью компаний. Политики разрабатываются на базе законодательных и отраслевых норм, мировых практик в сфере ИБ и включают утвержденные принципы, инструкции, процедуры и правила, касающиеся защиты информационных активов. Основные положения:
- Цели и ключевые принципы политики ИБ.
- Специфика управления политикой безопасности.
- Перечень используемых информационных систем, баз данных, программно-аппаратных решений для обработки и защиты данных.
- Порядок взаимодействия с объектами инфраструктуры: информационными системами и ресурсами, оборудованием, средствами защиты данных.
- Права и обязанности сотрудников, меры ответственности за нарушение регламентов.
- Способы разграничения доступа к объектам информационной инфраструктуры.
- Порядок хранения, обработки, резервирования, уничтожения информационных активов.
- Сценарии действий в случае потенциальных угроз безопасности, инцидентов ИБ.
- Порядок аварийного восстановления работы систем в случае сбоев, кибератак, крупных утечек.
Обязательно, чтобы все эти правила были формализованы — документально оформлены согласно стандартам. Последние диктуют разделение политики на три уровня документации:
- Верхний уровень — документы с перечнем ключевых рисков для информационной безопасности организации, целей политики.
- Средний уровень — документы, содержащие реестр информационных активов, перечень объектов, подлежащих защите. Также здесь присутствуют требования к персоналу компании, меры ответственности за нарушение регламентов.
- Технический уровень — документы, содержащие конкретные меры, которые будут предприниматься для защиты объектов информационной инфраструктуры.
Политики ИБ должны охватывать все бизнес-процессы и соблюдаться всеми сотрудниками и внешними пользователями информационных ресурсов (например, аутсорсерами, партнерами, подрядчиками), включая руководителей и владельцев организации.
Компоненты политики безопасности данных
Регламентирующие документы должны содержать положения, касающиеся:
- Паролей. Должны быть утверждены требования к безопасности учетных данных, периодичности смены паролей, правилам хранения.
- Шифрования данных. В политике обозначают средства реализации безопасных передачи и хранения информации с целью защиты активов от нелегитимного использования третьими лицами.
- Процедур аутентификации для используемых компанией систем и ресурсов. Политика ИБ регламентирует, каким образом осуществляется подтверждение личности пользователя при инициации подключений, например, с помощью многофакторной или двухфакторной идентификации. Также в положениях документа должны быть перечислены факторы, которые будут запрашиваться для подтверждения прав на использование учетной записи (пароли, токены, одноразовые коды, биометрические характеристики).
- Прав доступа к ИС, ресурсам и конфиденциальным данным. В документе должен содержаться перечень действий, которые конкретные сотрудники могут совершать с конкретными объектами в рамках назначенных полномочий. Также политика определяет, кто и по каким принципам назначает/отзывает права доступа.
Процесс разработки политики безопасности
Формирование и документирование регламентов, дальнейшее управление политикой безопасности строятся на результатах оценки актуальных угроз для информационных активов организации. В процессе исследования обязательно учитываются: сфера деятельности организации, характер обрабатываемых данных, особенности инфраструктуры компании.
Перейдем к процессу создания регламентов, который можно условно разделить на пять этапов:
- Анализ актуального ландшафта угроз применимо к компании. Важно оценить потенциальные риски и определить, что и от чего защищать. Каждая компания вправе сама определять, каких субъектов инфраструктуры будут касаться положения политики, если иное не предусмотрено законодательством.
- Определение целей и требований к политикам ИБ. Утвержденные правила должны давать персоналу четкое представление о надлежащем использовании информационных систем, оборудования, средств обеспечения безопасности.
- Разработка правил и положений. Они должны быть сформулированы четко и понятно, в доступной для восприятия форме, без сложных терминов, которые могут быть незнакомы персоналу.
- Утверждение и формализация регламентов. Финальный вариант политики согласовывается с ответственными лицами, после чего оформляется по всем правилам создания корпоративной документации.
- Введение в эксплуатацию. На этом этапе руководство или офицеры службы ИБ знакомят сотрудников компании с регламентами и собирают подписи, подтверждающие, что персонал осведомлен о положениях политики.
Несмотря на существование стандартов ИБ и законодательной базы, на которые следует опираться при создании политик, разработка регламентов в каждой компании происходит по индивидуальному сценарию. Даже если за основу берется готовый документ (например, скачанный из интернета), его нужно обязательно адаптировать под специфику организации. Если этого не сделать, некоторые положения нельзя будет применить на практике, из-за чего политика безопасности станет несостоявшейся. Также подобное вероятно, если регламенты двусмысленно сформулированы или не рассчитаны на долгий срок, что дает сотрудникам возможность идти в обход правил.
Управление жизненным циклом политики безопасности
Жизненный цикл политики безопасности охватывает все этапы ее существования — от разработки до прекращения действия. В нем присутствуют такие мероприятия, как аудит информационной безопасности и оценка эффективности регламентов по его результатам, актуализация положений политики. Подробнее раскроем эти этапы:
- Аудит информационной безопасности с целью оценки эффективности существующих регламентов. Это один из ключевых методов проверки работоспособности политики ИБ, позволяющий выявить слабые стороны и направления, которые нуждаются в актуализации. Обычно такой аудит планово проводят раз в 12-18 месяцев в зависимости от специфики организации. Внеплановые проверки тоже возможны — например, после инцидентов ИБ, внедрения новых технологий и инструментов обеспечения информационной безопасности.
- Корректировка регламентов. Первая версия политики редко отвечает всем требованиям компании, поэтому нуждается в доработке. Актуализация требуется, если организация меняет стратегию информационной безопасности, расширяет поле деятельности, внедряет новые технологии. Также сама политика включает пункт о необходимости ее периодического пересмотра (чаще всего ежегодного).
После корректировки регламентов снова вступают в силу этапы утверждения и оформления документации, внедрение обновленных положений в эксплуатацию, ознакомление сотрудников.
Технологии и инструменты управления политикой безопасности
Управление политикой безопасности складывается из оценки ее эффективности, актуализации положений, контроля соблюдения регламентов и других факторов, позволяющих достигать целей использования политики. Компаниям следует обеспечить комплекс мер, направленных на выявление угроз ИБ, планирование и реализацию мероприятий по защите информации. Этот комплекс включает довольно широкий спектр технологий, методологий, СЗИ, например:
- Механизм GRC (Governance, Risk, and Compliance) для управления рисками и обеспечения соответствия нормативным требованиям.
- Системы SIEM (Security information and event management) для управления событиями информационной безопасности. Они позволяют обнаруживать нарушения политик безопасности, оценивать уровень защищенности используемых компанией ИС, собирать данные для расследования инцидентов и актуализации внутренних регламентов.
- Решения класса DLP (Data Leak Prevention) для предотвращения утечек чувствительных данных и контроля действий сотрудников. С помощью таких систем можно выявлять, кто из персонала компании нарушает регламенты и предупреждать инциденты ИБ.
- Системы IdM (Identity Management) или их версия с расширенной функциональностью — IGA (Identity Governance&Administration). Такие решения выполняют задачи в рамках управления доступом, позволяют прийти к соблюдению регламентов в этой части стратегии ИБ. Наше решение Solar inRights относится к классу IGA, но иногда обозначается двойной аббревиатурой — IdM/IGA. Оно позволяет назначать сотрудникам привилегии в рамках ролевого подхода, оптимизирует работу с учетными записями, помогает в расследовании инцидентов ИБ, связанных с нарушением прав доступа или несанкционированным назначением полномочий.
Чем полезна система Solar inRights в части соблюдения регламентов и процедур, касающихся управления политикой безопасности:
- Позволяет автоматизировать процессы назначения полномочий, исключая ошибки под влиянием человеческого фактора, которые часто бывают при выдаче прав вручную.
- Выявляет несогласованные права доступа и SoD-конфликты — назначение одному сотруднику несовместимых привилегий.
- Облегчает подготовку документации для аудита информационной безопасности. С помощью коннекторов платформа интегрируется с кадровой системой, откуда получает достоверные сведения о сотрудниках, а интеграция с целевыми информационными системами позволяет получать информацию о назначенных правах доступа. Собранные данные об изменениях полномочий Solar inRights оформляет в отчеты и наглядные срезы. Исходная информация также сохраняется в базе данных системы, к которой администраторы и офицеры службы ИБ получают доступ через единый интерфейс управления.