Доступ к данным

Если посмотреть правде в глаза, то в суете повседневной работы и в погоне за ускоряющимися бизнес-процессами мы не всегда задумываемся о безопасном хранении данных и о том, кто и когда может их использовать. На самом деле безопасное хранение и контроль данных в наше неспокойное время должны быть основными компонентами системы защиты любой ИТ-инфраструктуры. Киберугрозы никуда не делись, а атаки стали еще более изощренными. Киберпреступники и мошенники придумывают все новые и новые схемы, чтобы нанести ущерб организации или завладеть ее секретами или финансами.

Владелец данных

Владелец данных в любой организации отвечает за создание и исполнение политик и процедур по использованию и безопасности данных. Он является связующим звеном между ИТ-подразделением, подразделением информационной безопасности (ИБ) и бизнесом компании. Иногда эта единица может быть, как отдельно выделенная должность, но чаше её совмещают с основной деятельностью руководители бизнес-подразделений компании, в которых используются те или иные данные. Владелец данных для осуществления своей деятельности взаимодействует с архитекторами данных, разработчиками (для построения процессов загрузки, выгрузки обработки данных), бизнес-аналитиками и другими сотрудниками. Это взаимодействие требуется прежде всего для обеспечения качества данных и согласованного и безопасного их использования. Данные должны быть точными, актуальными и доступными для сотрудников организации, чтобы они могли использовать их для своей работы в тот момент, когда это требуется и принимать на их основе соответствующие решения.

Поэтому основными задачами владельца данных являются:

• Обеспечение качества данных, которые собираются, обрабатываются и хранятся в подразделении и участие в разработке процессов и процедур это определяющих.

• Разработка методологии по обеспечению правил сбора, хранения и использования данных на основании внутренних политик компании и внешних регуляторных требований

• Разработка инструкций, методик, порядков предоставления доступа к данным для определённых пользователей в определённое время на основании конфиденциальности информации и определённых категорий данных.

Методы и способы хранения, обработки и контроля доступа к данным

Различные процедуры, практики и технологии, применяемые в информационной безопасности, регулируют механизм обработки информации и предоставления персональных прав на использование данных компании и помогают свести к минимуму риски утраты этих данных.

Такие практики обычно включают:

• Управление жизненным циклом данных, которое устанавливает о обеспечивает соблюдение сроков хранения данных.

• Соблюдение безопасности и конфиденциальности данных, а также управление рисками за счёт ограничения использования и регулярного мониторинга и контроля.

• Исполнение политик и процедур компании по предоставлению доступа к данным в то время и в том формате, в котором они необходимы и не более того, для защиты конфиденциальности и целостности данных.

Шифрование данных

Для обеспечения безопасности данных используются механизмы шифрования. Например, провайдеры шифруют данные при передаче их в облачные приложения или хранилища – это предотвращает получение неавторизованными пользователями доступа к этим данным. Как в облачной структуре, так и в стационарной (традиционной), технологии шифрования обеспечивают надежную защиту конфиденциальной информации при ее передаче и хранении, опираясь на стандарты и нормативные акты, которые применяются в России и за рубежном. Например, стандарт PCIDSS регламентирует работу в индустрии платежных карт. Зашифрованные данные будут нечитаемыми, если у пользователя нет к ним ключа шифрования, – в таком виде они бесполезны для злоумышленника, даже если стали его добычей при краже, взломе или утере.

Изолирование данных

Методы физического изолирования данных позволяют исключить возможность получения к ним доступа через компьютеры и сети, что сводит к минимуму любые кибератаки на них. Например, программы-вымогатели физически не могут получить доступ к хранилищу, которое не подключено к сети. Хранение информации на магнитных лентах – это один из способов физического изолирования данных. Если лента лежит на полке, то вряд ли злоумышленнику удастся удаленно получить доступ к конфиденциальной информации, которая размещена на этой ленте. Несмотря на то, что это достаточно старый способ хранения данных, такие хранилища до настоящего времени активно используются в финансовой отрасли для обеспечения хранения исторической информации по миллионам произведенных транзакций. К недостаткам такого хранения можно отнести длительное время восстановления архивных данных с лент для их повторного использования.

Межсетевые экраны

Такой способ ограничения доступа к данным отчасти является изолированием данных, о чем говорилось выше, но все же не полностью, а посредством ограничения входящего и исходящего трафика на основании заранее определенных правил. Это достигается с помощью программно-аппаратных средств, именуемых Firewall’ами, которые осуществляют фильтрацию трафика на уровне сети. В этом случае составляются определенные правила межсетевого взаимодействия, и межсетевой экран не позволяет пройти внутрь сети или вовне тем соединениям, которые выходят за рамки этих правил. Например, экран не разрешает получить доступ с незнакомых IP-адресов или распознает DDoS-атаку (когда злоумышленники посылают множество обращений извне, тем самым пытаясь вывести из строя ресурсы компании) и фильтрует злонамеренный трафик.

Неизменяемое хранилище данных

Неизменяемое хранилище схоже с механизмом шифрования данных в том смысле, что помогает предотвратить подделку данных злоумышленниками. Такой подход подразумевает, что данные нельзя изменить или удалить. Хранение информации на магнитных лентах – это один из примеров неизменяемого хранилища. Но также возможно применение и других средств хранения информации – диски, накопители, облачные хранилища. Они также могут быть отнесены к неизменяемым.

Маскировка данных

При таком способе производится сокрытие всей конфиденциальной информации путем замены данных на смоделированные, которые сохранят формат, но не дадут возможности получить содержание исходных данных. Этот метод часто используют при передаче данных компании сторонним разработчикам – для того, чтобы они могли понимать и использовать все основные форматы данных компании и качественно в приближенном к реальности формате выполнять всю работу. Но при этом они не могут получить конфиденциальную информацию, чтобы, используя, например, данные клиентов или какие-то ее секреты, не нанести вреда организации.

Контроль доступа к данным

Контроль доступа – это метод обеспечения безопасности, с помощью которого можно регулировать процесс предоставления прав на использование ресурсов информационной среды. Это фундаментальная концепция безопасности, которая работает на снижение рисков информационной безопасности. Обязательными компонентами контроля доступа в организации должны быть соответствующая методология, разработанные процедуры, а также технические средства, которые обеспечивают контроль. В наше время уже практически во всех компаниях первые два из трех компонентов присутствуют. Также многие организации идут по пути повышения зрелости процессов ИБ и постепенно внедряют автоматизированные инструменты, позволяющие повысить эффективность и безопасность бизнес-процессов.

Контроль доступа может быть физическим и логическим (техническим). Физический контроль ограничивает доступ к помещениям: зданиям, объектам внутри зданий или к физическим активам. Логический контроль ограничивает подключение к сетям, файлам, данным, хранящимся на информационных ресурсах.

Чтобы защитить информацию и сделать доступ безопасным, используются специализированные системы (IdM/IGA), которые позволяют управлять учетными данными пользователей и обеспечивают предоставление и разграничение прав доступа к информационным ресурсам компании для этих учетных данных. В некоторых случаях такие системы интегрируются с решениями, ограничивающими доступ к зданиям и физическим объектам (СКУД), или со специализированными решениями, которые в режиме реального времени предотвращают попытки несанкционированного доступа, например с PAM-системами, или с другими смежными решениями, – тем самым повышая защиту информационных активов предприятия.

Как работает управление доступом к данным

Системы управления доступом выполняют идентификацию, аутентификацию и авторизацию, т. е. оценивают на легитимность учетные данные, пароли, токены или предоставленную пользователем биометрию, а затем на основании утвержденных в компании политик предоставляют те или иные гранулированные права доступа. Часто для усиления защиты используется сразу несколько факторов аутентификации – так называемая многофакторная аутентификация (MFA): например, когда одним фактором будет знание пароля, а вторым – владение каким-либо дополнительным устройством (токеном, который генерирует одноразовый код, или телефоном, на который приходит одноразовый пароль). Такой подход существенно снижает риски проникновения в сеть злоумышленников, т. к. при утрате одного фактора на защиту встает другой.

В каждой компании могут использоваться разные модели управления доступом. Это зависит от специфики и отрасли компании, а также от уровня безопасности, который необходим каждой конкретной организации.

Типы контроля доступа к данным

Можно выделить несколько классических моделей управления и контроля доступа.

DAC (Discretionary Access Control) – это дискреционный, или избирательный, подход, который основан на множестве взаимодействий субъектов и объектов доступа на основе списков субъектов, которым доступ может быть предоставлен, и списков объектов, к которым доступ может быть предоставлен. Такая система позволяет владельцу ресурса самому определять, какие субъекты (пользователи) могут использовать его ресурс. Например, руководитель отдела создал файл и сам решает, кому из коллег предоставить к нему доступ, а кому нет. Такой подход может быть сложным, когда субъектов и объектов большое количество и при этом нет централизованного управления.

MAC (Mandatory Access Control) – мандатная модель управления и контроля, которая определяет доступ по уровням секретности/конфиденциальности. Каждому объекту присваивается свой уровень секретности от низкого до высокого, например, по следующей шкале: «общий доступ», «ограниченный доступ», «секретно», «совершенно секретно». И субъектам (пользователям) в свою очередь выдаются/присваиваются уровни доступа, исходя из которых они получают допуск к этим объектам. Причем субъект, обладающий высоким уровнем доступа, может получать права и на объекты с более низким уровнем, но не наоборот. Так, руководитель отдела, имеющий мандатное разрешение на доступ к документам (объектам) с уровнем «секретно», может также получить доступ к категории объектов «ограниченного доступа» и «общего доступа», но не может получить доступ к документам уровня «совершенно секретно», т. к. его мандата на это не хватает. Такая модель широко используется в военных организациях или государственных учреждениях.

RBAC (Role-Based Access Control) –ролевая модель управления и контроля доступа, наиболее распространенная в крупных инфраструктурах, где большое количество субъектов и объектов и где можно выделить определенные функциональные роли для пользователей, сгруппировать в них полномочия, которые требуются для выполнения их обязанностей, и предоставлять доступ к конкретным объектам информационной среды не отдельно каждой персоне, а через определенные выделенные роли. Например, можно создать роли для должностей или целых отделов, и тогда процесс управления и контроля доступа будет существенно упрощен. В такой модели необходимо учитывать, что наличие и состав ролей нужно постоянно поддерживать в актуальном состоянии. Управление доступом на основе ролей – один из наиболее популярных форматов распределения доступа, основанный на выполняемых бизнес-функциях, закрепленных за определенным объектом организационно-штатной структуры компании: должностью или подразделением.

ABAC (Attribute-Based Access Control) – модель управления и контроля, основанная на атрибутах субъектов и объектов, или, как еще ее называют, модель, основанная на правилах. В этом случае устанавливаются правила, по которым будет предоставлен доступ к определенным ресурсам. Эти правила могут определять время доступа (часы, дни недели, периоды), или местоположение субъекта доступа (определенный регион), или устройство, с которого осуществляется доступ. Яркий этому пример – доступ операциониста финансовой компании, который обслуживает счета клиентов только определенного региона, работает с конкретного IP-адреса устройства, внесенного в разрешенный реестр, и только с понедельника по пятницу в рабочие часы, определенные компанией.

Внедрение контроля доступа к данным

Контроль доступа обязательно должен быть интегрирован в общую стратегию информационной безопасности компании, т. к. является ключевой задачей. Кражи, утечки, нарушения работы инфраструктуры, связанные с несанкционированным доступом и превышением прав, могут приводить к существенным потерям, остановке бизнеса и даже полному прекращению работы предприятия. Можно, конечно, идти по пути ручного управления и контроля или использовать самописные скрипты для создания учетных записей и предоставления прав. Но гораздо эффективнее задачи по применению политик и процедур по регламентации прав, утвержденных в компании, решают специальные автоматизированные системы управления и контроля доступа. Такие решения агрегируют полную информацию по всем пользователям, которые подключаются к ресурсам компании, и дают инструменты для предоставления, разграничения прав и мониторинга доступа в автоматическом режиме.

Когда новый пользователь получает доступ, автоматизированная система предоставляет ему права с учетом принципа «наименьших привилегий» на основании одной или нескольких моделей управления доступом, о которых говорилось выше. Это может быть, например, доступ на основе ролевой и атрибутивной моделей: RBAC+ABAC. Таким образом, сотрудник получает минимально достаточные права для выполнения должностных обязанностей и обеспечения рабочих процессов, и не более того.

Проблемы контроля доступа к данным

Основная проблема контроля доступа, особенно в крупных компаниях, связана с высокой степенью распределенности ИТ-среды, с ее постоянным развитием и изменением. Информационные активы могут быть рассредоточены как физически, так и логически. Например, в компании может быть несколько филиалов, в каждом из которых используются свои информационные системы и приложения, и нет никакого централизованного контроля и учета работающих в них сотрудников.

Сотрудники компании могут работать со множеством систем, для доступа к которым используются разные правила идентификации и аутентификации, в связи с чем должны запоминать большое количество идентификаторов и паролей. Чтобы упростить себе задачу, со временем они создают все менее сложные пароли и даже используют одинаковые для разных ресурсов, что неизбежно снижает общую безопасность.

Уже ставшая привычной удаленная работа тоже приносит множество сложностей в процессы контроля. Иногда нужно предоставить слишком широкие администраторские права доступа для удаленных сотрудников – к примеру, подрядной организации, которая осуществляет технологическую поддержку системы или базы данных. И здесь нужен повышенный контроль доступа и постоянный мониторинг работы, чтобы избежать любых негативных сценариев при использовании привилегированных прав.

Важно обеспечивать своевременное прекращение доступа, когда сотрудник покинул компанию или больше не нуждается в правах на определенных ресурсах. Если при увольнении доступ вовремя не заблокировали, то это создает брешь в безопасности, потому что планшет или смартфон, на который было установлено программное обеспечение компании, остается подключенным к внутренней инфраструктуре, но уже больше не контролируется, т. к. человек уже не работает в компании. Личное устройство может быть взломано, и злоумышленник получит доступ к конфиденциальной информации компании, чтобы продать учетные данные сотрудников или использовать их в злонамеренных целях.

Еще одной проблемой может быть несанкционированное изменение доступа. Например, администратор может выдать повышенные права себе или своему подельнику для совершения преступных действий: кражи денежных средств, копирования конфиденциальных данных, изменения и нарушения конфигурации сети, – затем подчистит все логи и уберет следы всех своих действий, и нарушение это может оставаться незамеченным. Либо инцидент вскроется, но установить виновных будет невозможно из-за отсутствия данных.

Решения и технологии для обеспечения и контроля доступа к данным

Специализированные программные комплексы и инструменты позволяют решить все эти задачи по предоставлению доступа к данным организации на основании утвержденных политик и постоянно его контролировать.

Существует много типов программного обеспечения и технологий контроля доступа. Часто используют несколько компонентов, объединяя их в общую экосистему и включая в общую стратегию. Программные инструменты могут быть установлены локально на внутренние серверы компании, а также, как Virtual Appliance, в разных виртуальных средах. Они могут быть сосредоточены на внутреннем управлении доступом или использоваться в том числе для внешних подключений.

Такие решения включают следующие инструменты:

• регистрация новых пользователей и выдача прав;

• управление учетными записями и паролями;

• хранение и синхронизация информации о всех пользователях подключенных систем;

• применение утвержденных политик информационной безопасности в части доступа к ресурсам.

Примером таких систем может быть решение Solar inRights, которое обеспечивает полную прозрачность доступа к ресурсам компании, берет на себя функции по исполнению регламентов и процедур компании в вопросах предоставления и изменения прав, а также работает на существенное снижение рисков, связанных с нарушениями доступа.

Для контроля доступа к инфраструктуре пользователей с расширенными правами используется решение SafeInspect, которое повышает уровень информационной безопасности компании. Система идентифицирует людей, процессы и технологии, которым требуется привилегированный доступ, и поддерживает установленные компанией политики.