Технический директор Департамента систем управления, ЗАО Компьютел Автоматизированная система аудита информационной безопасности Бяширев Тахир

План презентации Задачи автоматизации аудита ИБ IBM Tivoli Compliance Insight Manager – инструмент автоматизации Пример внедрения системы аудита ИБ Выводы

Задачи автоматизации аудита ИБ

«ИБ – она как радиация. Никто её не видит, но все боятся» Руководитель службы безопасности Законы Мерфи для ИБ: Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи). Если 4 дыры устранены, то всегда найдется пятая. Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное. Любая программа содержит дыры. Обнаружить все дыры невозможно. Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так. Информационная безопасность (некоторые интересные наблюдения)

Рекомендуемый подход к управлению ИБ

Задачи аудита ИБ Оценка соответствия ИС существующим стандартам в области информационной безопасности Оценка текущего уровня защищенности ИС Локализация потенциально уязвимых мест в системе защиты ИС Выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС

Виды аудита ИБ Внешние аудиты включают аудиты второй стороной и аудиты третьей стороной. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации. Аудиты третьей стороной проводятся внешними независимыми организациями. Внутренние аудиты (аудиты первой стороной) проводятся самой организацией и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ. Внутренний аудит проводится на основе данных мониторинга ИБ. Мониторинг ИБ постоянное наблюдение за событиями ИБ, сбор, анализ и обобщение результатов наблюдения.

Проблемы организации внутреннего аудита Собирать Я должен консолидировать и хранить логи для расследований Я не знаю как и какие логи мне собирать Осмысливать У моих сотрудников нет времени, навыков и желания разбирать логи Хотелось бы знать что делают привилегированные пользователи Сообщать Я должен отчитываться перед аудиторами и контролерами Я должен иметь возможность показать, что могу непрерывно контролировать соблюдение политики ИБ

Назначение автоматизированной системы аудита ИБ Оперативное и постоянное наблюдение, сбор, анализ и обработка данных в соответствии с используемыми стандартами ИБ Контроль за реализацией положений нормативных актов по обеспечению ИБ в организации Выявление нештатных (или злоумышленных) действий в ИС организации Выявление потенциальных нарушений ИБ Оповещение и отчетность

IBM Tivoli Compliance Insight Manager (ITCIM)– инструмент для автоматизации аудита ИБ

ITCIM (логическая архитектура) Методы сбора событийХранениеВывод Индикаторная панель Отчеты Извлечение исходных журналов событий Предупреждения Интеграция с другими системами Хранилище журналов Нормализованная база отчетов Источники событий Приложения СУБД Операционные системы Сетевые устройства Средства безопасности Агент Без агента Syslog SNMP Windows API FTP и пр.

ITCIM (физическая архитектура)

Управление журналами Возможности: Сбор и хранение Использование собранных данных в дальнейшем для проведения расследований Отчетность о непрерывности сбора журналов Преимущества: Сокращение расходов на централизацию и автоматизацию сбора Быть готовым к аудиту в любой момент времени

14 Log Continuity Report Отчет по непрерывности сбора Прямое доказательство для аудиторов и контролеров, что собранные логи полны и непрерывны.

ITCIM. Нормализация собранных данных

Нормализация – пример

ITCIM. Обработка на основе правил (политик) Используется два типа правил: Policy Rules (какие действия какими пользователями могут выполняться и на каких системах) Attention Rules (контроль важных событий, требующих особого внимания, например изменение конфигурации сервера) Оповещения: Электронная почта (SMTP) SNMP - trap Custom script

Соблюдение внутренних политик информационной безопасности Нормативные требования и международные стандарты Закон Sarbanes-Oxley ISO (ISO 17799) Health Insurance Portability and Accountability (HIPAA) Basel II Gramm-Leach-Bliley Act (GLBA) Payment Card Industry Data Security Standard (PCI DSS) ITCIM. Анализ и отчетность.

Интерфейс ITCIM (Dashboard) Зарегистрированы нарушения политик ИБ при доступе пользователей Sales к важным финансовым данным

Интерфейс ITCIM (Event List) Пользователь Michael Andersen считывает данные о зарплате

Интерфейс ITCIM (Event Details) Нарушение политики Принадлежность к группе Sales

Интерфейс ITCIM (Explanation of a Policy Exception) К финансовым данным доступ должны иметь только пользователи Finance Management и Finance Staff

23 Расследование показало: Администратор назначил дополнительные полномочия в обход политики доступа

25 Модули отчетности по типовым схемам позволяют быстро предоставить аудиторам необходимые отчеты экономя время и сокращая расходы на аудит

ITCIM. Характерные особенности и преимущества Поддержка более 50 различных типов источников событий Возможность настройки сбора событий с нестандартных источников Удобные инструменты по настройке политик доступа Автоматическое уведомление администраторов о выявленных угрозах информационной безопасности Возможность разработки собственных отчетов Визуализация данных о накопленных событиях в единой web- консоли

Пример внедрения Централизованная Система Аудита ИБ (ЦСАИБ)

Цели создания системы Контроль соблюдения политик ИБ Обеспечить возможность документального подтверждения соблюдения политик ИБ Обеспечить реакцию на возможные инциденты в заданные сроки Наладить аудит действий привилегированных пользователей Сократить издержки на анализ данных событий ИБ

Описание ИТ-инфраструктуры Центральный офис в Москве и 3 удаленных филиала Пропускная способность каналов связи между центральной площадкой и удаленными площадками составляет Kb/s На каждой площадке используются: файловый сервер Windows 2003; контроллер домена MS AD; СУБД Microsoft SQL Server; Сервер Lotus Domino. Суточный прирост объема логов 2ГБ Период хранения данных – 1 год. По истечении периода хранения все данные выгружаются из системы на внешний источник и удаляются из системы ЦСАИБ.

Функции ЦСАИБ Сбор и обработка событий безопасности, происходящих в информационной инфраструктуре Автоматическое обнаружение событий, нарушающих внутреннюю политику информационной безопасности Автоматическое уведомление пользователей ЦСАИБ о возникновении критичных событий Автоматическое распространение отчетов пользователям ЦСАИБ Хранение событий информационной безопасности в соответствии с регламентом

Структурная схема

Результаты проекта (на настоящий момент) Выполнено: Обследование Подготовка ТЗ Разработка технических решений, включая разработку политик аудита безопасности и отчетов Подготовка документации Пусконаладочные работы на 80% Планируется до конца 2008 г. завершить проект.

Compliance Insight Manager Security Operations Manager Решения IBM Tivoli в части ИБ Identity Manager Access Manager Privacy Manager Federated Identity Manager Directory Integrator Directory Server Управление учетными записями Управление доступом с поддержкой Single Sign-On LDAP каталог Синхрониза- ция данных Контроль обращений к персональным данным Управление событиями ИБ Управление доступом к ресурсам, размещенным в нескольких компаниях или защищённых зонах Аудит ИБ Интегральное решение Security Information and Event Management

Выводы Требуется непрерывный мониторинг ИБ на предмет соответствия стандартам и нормативным актам Требуется автоматизация мониторинга ИБ IBM Tivoli Compliance Insight Manager – зрелое решение от проверенного поставщика Опыт компании Компьютел

Бяширев Тахир Технический директор департамента систем управления, ЗАО Компьютел