«Философия – мать всех наук». Марк Туллий Цицерон

Немного философии, немного математики

Чем мы должны заниматься Корпоративная система менеджмента информационной безопасности – комплекс взглядов, подходов, организационных мер, технических средств и бизнес-процессов, предназначенных для обеспечения безопасного, с точки зрения целей организации, получения, хранения и обработки информации, циркулирующей как внутри самой организации, так и между организацией и окружающей ее средой.

Немного философии, немного математики Что такое «безопасность»? Безопасность = отсутствие опасностей? Безопасность = состояние защищенности? Безопасность – специфическая совокупность условий целенаправленной деятельности человека или организации, при которых эта деятельность достигает успеха. То есть - совокупность условий, которые человек или организация усвоили, создали и могут контролировать.

Немного философии, немного математики От задач бизнеса к политике информационной безопасности ПОЛИТИКА БЕЗОПАСНОСТИ КОМПАНИИ ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Условия безопасности бизнеса Выбор методов контроля

Немного философии, немного математики Что такое «контроль»? КОНТРОЛЬ – это сбор и обработка информации о «траектории движения» управляемого объекта, сопоставление ее с параметрами, заданными заранее в законах, нормах, инструкциях, планах, программах, выявление отклонений, анализ причин, вызвавших такие отклонения, их оценка и принятие решений о корректирующем воздействии.

Немного философии, немного математики Непрерывный цикл ИБ АНАЛИЗ УГРОЗ ОЦЕНКА РИСКОВ ВЫБОР ЗАЩИТНЫХ МЕР РЕАЛИЗАЦИЯ ПЛАНА ИБ МОНИТОРИНГ ЭФФЕКТИВНОСТИ АУДИТ АКТИВОВ АКТИВЫ имеют «досадное» свойство меняться непрерывно: -наращиваться, -обновляться, -приобретать новые качества -устаревать, -«умирать». Как «взять под контроль» все эти процессы ? С чего начать «перестройку» устоявшихся схем?

Немного философии, немного математики Основные заблуждения Цель ИБ – защита периметра корпоративной сети… Необходимо оперативно внедрять защиту от появляющихся новых угроз… Внедрение новых технологий, таких как NGFW (new generation firewall), IPS (intrusion prevention systems), DLP (data loss prevention) и др… обеспечат корпоративную безопасность. Целью системы корпоративной безопасности является снижение уровня возможных угроз…

Немного философии, немного математики Традиционная архитектура безопасности

Немного философии, немного математики Новая архитектура безопасности

Немного философии, немного математики Новый «цикл безопасности»

«Математика – царица всех наук». Карл Фридрих Гаусс

Немного философии, немного математики Элементы теории защиты информации Компьютерная система – совокупность - объектов, содержащих информацию, и - субъектов – особых объектов, способных выполнять преобразования объектов системы. (пример: объект=файл, субъект=программа или пользователь) Субъект для выполнения преобразования использует информацию, содержащуюся в объектах компьютерной системы, т.е. осуществляет к ним доступ.

Немного философии, немного математики Элементы теории защиты информации Основными видами доступа являются: - доступ на чтение - доступ на запись (при этом возможно уничтожение информации, имевшейся в объекте), - доступ на активизацию, при этом инициируется выполнение преобразования, описанного в объекте.

Немного философии, немного математики Элементы теории защиты информации Основная аксиома защиты информации: Все вопросы безопасности информации описываются доступами субъектов к объектам. Практическое следствие: Чтобы «ВЗЯТЬ ПОД КОНТРОЛЬ» информационную систему, первым делом необходимо отладить управление доступом к данным и другим ресурсам информационной системы.

Немного философии, немного математики Основные методы управления доступом Дискреционное управление доступом (Discretionary access control, DAC. Также: контролируемое, разграничительное) Ролевое управление доступом ( Role Based Access Control, RBAC. Дословно: управление доступом на основе ролей) Мандатное управление доступом (Mandatory access control, MAC. Также: обязательное, принудительное)

Немного философии, немного математики Дискреционное управление доступом От лат. discretio – благоусмотрение, воля победителя. Дискреционное управление доступом управление доступом субъектов к объектам на основе списков управления доступом (ACL) или матрицы доступа. Список управления доступом (ACL) определяет, какой субъект может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом. При централизованном хранении списков контроля доступа можно говорить о матрице доступа – таблице, в которой по осям размещены объекты и субъекты, а в ячейках соответствующие права.

Немного философии, немного математики Пример матрицы доступа Субъект\ОбъектФайл1Файл2Программа1Программа 2 Пользователь 1читатьчитать, писатьзапускать Пользователь 2читать, писать запускать Пользователь 3читать, писать запускать Пользователь 4читать запускать Программа 1читатьписать Программа 2читать

Немного философии, немного математики Дискреционное управление доступом (продолжение) -Дискреционное управление доступом предполагает возможность передачи субъектом прав доступа к объекту - другому субъекту. -Матрица доступа (наличия которой требуют РД ИБ) для больших систем формулируется в сильно укрупненном/упрощенном виде. -Детальная матрица доступа представляет собой сильно разряженную таблицу, неудобную для восприятия и корректировки. -Дискреционная модель: при децентрализованном управлении удобна пользователю, но затрудняет контроль за безопасностью, и наоборот, при полностью централизованном управлении сложна для администрирования и недостаточно гибка.

Немного философии, немного математики Решения для аудита «матрицы доступа» Varonis ® Data Governance Suite : предоставление четкой картины прав доступа к данным отслеживание и документирование всех действий, произведенных с каждым отдельно взятым файлом или электронным письмом определение владельцев данных определение конфиденциальных или важных бизнес-данных, особо выделяя те, права доступа к которым потенциально избыточны. Объекты аудита: файловые сервера Windows и Unix, сетевые хранилища NAS, базы SharePoint и Exchange, службы каталогов AD.

© 2008 Varonis Systems. Proprietary and confidential. Разрешения доступа – дву-направленное отображение От директории От пользователя / группы К пользователям / группам К директориям

© 2008 Varonis Systems. Proprietary and confidential. Аудит событий доступа Поиск, сортировка, группировка

Рекомендации © 2011 Varonis Systems. Proprietary and confidential. Избыточный доступ ? Для пользователя Что будет если ?

Оптимизация разрешений доступа © 2011 Varonis Systems. Proprietary and confidential. Моделирование изменений Проверка последствий

© 2008 Varonis Systems. Proprietary and confidential. Определение владельцев данных Активные пользователи

Немного философии, немного математики Управление доступом на основе ролей Ролевая модель развитие политики дискреционного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Субъект\ОбъектФайл1Файл2Программа1Программа 2 Пользователь 1читать писать читать,запускать Пользователь 2 писать читать, запускать Пользователь 3 писать читать, писать читать, запускать Пользователь 4читать запускать Программа 1читать писать Программа 2читать

Немного философии, немного математики Управление доступом на основе ролей (продолжение) Ролевая модель обладает следующими особенностями: Один пользователь может иметь несколько ролей. Одну роль могут иметь несколько пользователей. Одна роль может иметь несколько разрешений. Одно разрешение может принадлежать нескольким ролям. Ролевая модель – интуитивно понятна пользователям, допускает иерархию, подходит для больших организаций. Достаточно сложна для проектирования и реализации. Непереносима – роли проще создать заново и корректировать, чем перенести из другой модели. Сложна для администрирования (роли одного пользователя должны быть непротиворечивы).

Немного философии, немного математики Реализации ролевого подхода Avanpost IDM - управление учетными записями (IDM) Полная интеграция с кадровой системой и автоматизация процесса управления правами доступа; Предоставление доступа пользователям на основании бизнес-ролей; Реализация полного цикла workflow при создании и управлении учетными данными пользователей; Автоматизация процедуры согласования заявок на предоставление доступа; Автоматическая блокировка прав доступа пользователей при наступлении определенных событий согласно политике информационной безопасности.

DB / LDAP Приложение Сотрудники Все приложения разрозненны. Приложение DB / LDAP User ID ИТ - подразделение. Администраторы Политики доступа к ним не однородны Учетные данные хранятся разрозненно, появляются «мертвые души» Большие затраты на администрирование До внедрения IDM

Задачи, решаемые Avanpost IDM при внедрении Автоматизация заведения нового пользователей и назначения им прав доступа к информационным системам и ресурсам. Обслуживание заявок существующих сотрудников на изменение прав/роли; Автоматическое изменение прав/роли при переводе сотрудника на другую должность Автоматическое блокирование учетной записи сотрудника и отзыв прав в информационных системах при увольнении Синхронизация данных о сотрудниках в различных информационных системах Обнаружение несогласованных прав доступа в информационных системах и лишних учётных записей в информационных системах (аудит прав) Централизованный учёт прав доступа сотрудников в информационных системах для ускорения аудита и расследования инцидентов Пересмотр прав доступа

Приложение Сотрудники Централизованное хранение и управление всеми учетными данными пользователей Приложение Централизованное управление политиками доступа Централизованный аудит, возможность формирования любой отчетности по управлению доступом Существенное снижение затрат на администрирование После внедрения IDM

Схема взаимодействия

Немного философии, немного математики Мандатное управление доступом Мандатное управление доступом разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (мандатов допуска) субъектам на обращение к информации такого уровня конфиденциальности. Мандатное управление доступом сочетает защиту и ограничение прав, применяемых по отношению к компьютерным процессам, данным и системным устройствам и предназначено для предотвращения их нежелательного использования.

Немного философии, немного математики Мандатное управление доступом. Многоуровневая модель. Для объекта определяются уровни (метки) конфиденциальности. Для субъекта определяются уровни (метки) допуска. При обращении субъекта к объекту выполняется: 1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ. 2. Принимается решение о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.

Немного философии, немного математики Мандатное управление доступом Мандатная модель может быть полностью реализована математически. Подходит для реализации четких правил работы с информацией ограниченного доступа. Мандатное управление доступом требуется при отнесении информационной системы к определенному классу защищенности (РД по НСД, 1992).

Немного философии, немного математики Краткий итог На практике, ни одна из трех моделей не применяется отдельно. Наоборот, применяются гибридные модели, состоящие из двух или трех моделей. Реализация в операционных системах: Ролевая модель: Windows (AD), Linux, Unix Дискреционная модель: Windows, Linux, Unix Мандатная модель: Linux (в т.ч. В Astra Linux Special Edition).