Tuesday, April 22, 2014

Куда послать проверяющих?

Так или иначе, по-плохому или по-хорошему, по принуждению или по обоюдному желанию, в обслуживаемых нами предприятиях появляются проверяющие. Они могут называться, аудиторы, ревизоры, консультанты, а могут быть зондер-командой лихих парней с определенными намерениями. Задача службы информационной безопасности с одной стороны – не препятствовать работе этих ребят, ибо бизнес или регулятор желает, с другой стороны – уберечь информационные активы предприятия.
Сценариев поведения несколько:
1. «непущать»
нас не волнуют нужды сотрудников сторонних организаций, мы просто не позволяем им работать в нашей информационной системе. Это уменьшает эффективность их работы, усложняет процедуру передачи данных и может вызвать недовольство со стороны руководства работодателя. Этот сценарий имеет право на жизнь, если мы не желаем, чтобы проверка дала качественный результат.
2. «гори оно все синим пламенем»
Да пусть они творят, что хотят. Мы берем их ноутбуки, настраиваем для работы с нашими информационными ресурсами, выпускаем в Интернет и всячески «содействуем». Разбирать этот сценарий нет смысла, так как это способ работы слабого, безвольного безопасника, не справляющегося со своими обязанностями.
3. «правильный»
Давайте порассуждаем. Не дать данные мы не можем, так как зачастую нам это выгодно, либо есть такое требование. Отдавать все не разумно, так как это может обнажить вещи, которые не предназначены для посторонних глаз. Идеально – контролировать, что передано проверяющим и, если не дай Бог, случится компроетация данных, иметь возможность доказать факт передачи. Пока все правильно.
Рассмотрим основные каналы передачи данных.
  • локальная сеть – достаточно сложно контролировать, что было передано по ЛВС, слишком много протоколов (читай, возможностей);
  • внешние носители – производители DLP хорошо отточили мониторинг этого канала;
  • электронная почта – также достаточно легко мониторится;
  • Интернет – собственно аналог локальной сети в части многообразия протоколов, но, поскольку, как правило, пользователям Интернет доступны всего несколько протоколов (например, HTTP и HTTPS), - на рынке доступны эффективные средства мониторинга и перлюстрации передаваемых через подконтрольный Интернет-шлюз данных.
Фотографирование экрана и ПЭМИНы не рассматриваю, ввиду крайности ситуации.
То есть нам нужно сделать так, чтобы аудитор мог получить данные, которые мы хотим ему отдать, обработать их и, возможно, увезти с собой. В то же время нам необходимо обеспечить контроль над тем, что он унес. Передача данных и контроль возможны на технических средствах, которые мы полностью контролируем, а это обычные ПК, которые раздаются пользователям. Отсюда описание сценария:
Аудиторам выдаются настроенные для работы во внутренней сети персональные компьютеры, с предустановленной DLP, с возможностью записи на внешние носители, без доступа в сеть Интернет и с возможностью отправлять электронную почту только внутри сети. В то же время, для работы с внешними ресурсами (корпоративная почта проверяющих, Интернет), их ноутбуки могут подключаются в чистый или почти чистый (если есть возможность контролировать (но не блокировать!) этот канал интернет, этим надо пользоваться) Интернет минуя внутреннюю сеть.
Для аудиторов оформляются обычные заявки на доступ к информационным ресурсам, которые инициируются курирующим подразделением.
При таком варианте, нам достаточно просто обеспечить работу аудиторов с внутренними ресурсами, даже самыми экзотическими и, в то же время, не дать им возможности унести данные, минуя наши системы мониторинга. Здорово получилось!

На дворе середина второго десятка 21го века. И если у вас до сих пор не внедрены средства мониторинга работы пользователей, если вы не контролируете данные, которые циркулируют хотя бы на периметре вашей сети и вы не знаете, какой сотрудник куда и когда получил доступ, то это навевает грусть.

No comments: