Принципы построения и терминология корпоративной системы

Серия семинаров
«ВЗЯТЬ ПОД КОНТРОЛЬ»
Форматы мероприятий для специалистов ИТ и ИБ.
Мероприятие
Характеристика
Многообразие тем
Время на раскрытие темы
Демонстрация продукта
Внутренняя логика и
последовательность
Новый материал
Профессионализм
докладчика
Общение участников
Выдача сертификата
«Широкоформатная»
конференция
Семинар
одного
вендора
Обучающие
курсы
"учебных
центров"
Серия
семинаров
"ВЗЯТЬ ПОД
КОНТРОЛЬ"
+
-
+
+
+
+
+/-
+
+
+
+
+
+/-
+/+
+/+/-
+
+
-
+/-
+
+
+
+
Серия семинаров «ВЗЯТЬ ПОД КОНТРОЛЬ»
Задача серии семинаров:
обсудить и проработать
практический состав
корпоративной системы
обеспечения
информационной
безопасности,
последовательно разобрав
ее основные аспекты и
составные части.
Серия семинаров «ВЗЯТЬ ПОД КОНТРОЛЬ»
Ключевые особенности формата:
- последовательность и преемственность тематики
семинаров,
- обсуждение теоретических и концептуальных
моментов,
- изложение альтернативных подходов,
- полноценная демонстрация практических
решений,
- формирование «клубного» общения.
«Философия – мать всех наук».
Марк Туллий Цицерон
Кем мы приходимся нашему
предприятию
Администриров
Защита
ание
9%
информации
23%
ИТ
23%
Информационна
я безопасность
45%
Немного философии, немного математики
Чем мы должны заниматься
Корпоративная система
менеджмента информационной безопасности –
комплекс взглядов, подходов, организационных мер,
технических средств и бизнес-процессов,
предназначенных для обеспечения
безопасного, с точки зрения целей организации,
получения, хранения и обработки информации,
циркулирующей как внутри самой организации,
так и между организацией и окружающей ее средой.
Немного философии, немного математики
Что такое «безопасность»?
Безопасность = отсутствие опасностей?
Безопасность = состояние защищенности?
Безопасность – специфическая совокупность
условий целенаправленной деятельности человека или
организации, при которых эта деятельность достигает
успеха.
То есть - совокупность условий, которые человек или
организация усвоили, создали и могут контролировать.
Немного философии, немного математики
От задач организации к политике
информационной безопасности
Условия
безопасности
«бизнеса»
Выбор методов
контроля
ПОЛИТИКА
БЕЗОПАСНОСТИ
КОМПАНИИ
ПОЛИТИКА
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Немного философии, немного математики
Непрерывный цикл ИБ
АУДИТ
АКТИВОВ
АНАЛИЗ
УГРОЗ
МОНИТОРИНГ
ЭФФЕКТИВНОСТИ
РЕАЛИЗАЦИЯ
ПЛАНА ИБ
ОЦЕНКА
РИСКОВ
ВЫБОР
ЗАЩИТНЫХ
МЕР
Немного философии, немного математики
Непрерывный цикл ИБ
АКТИВЫ имеют «досадное» свойство меняться
АУДИТ
АНАЛИЗ
непрерывно: АКТИВОВ
УГРОЗ
- наращиваться,
- обновляться,
- приобретать новые качества
- устаревать,
МОНИТОРИНГ
ОЦЕНКА
ЭФФЕКТИВНОСТИ
РИСКОВ
- «умирать».
ВЫБОР
Как «взять подРЕАЛИЗАЦИЯ
контроль» всеЗАЩИТНЫХ
эти
процессы ?
ПЛАНА ИБ
МЕР
Немного философии, немного математики
Основные заблуждения
• Цель ИБ – защита периметра корпоративной
сети…
• Необходимо оперативно внедрять защиту от
появляющихся новых угроз…
• Внедрение новых технологий, таких как NGFW
(new generation firewall), IPS (intrusion prevention
systems), DLP (data loss prevention) и др…
обеспечат корпоративную безопасность.
• Целью системы корпоративной безопасности
является снижение уровня возможных угроз…
Немного философии, немного математики
Традиционная архитектура
безопасности
Немного философии, немного математики
Новая архитектура
безопасности
Немного философии, немного математики
Новый «цикл безопасности»
Немного философии, немного математики
«Математика – царица
всех наук».
Карл Фридрих Гаусс
Элементы теории защиты
информации
Компьютерная система – совокупность
- объектов, содержащих информацию, и
- субъектов – особых объектов, способных выполнять
преобразования объектов системы.
(пример: объект=файл, субъект=программа или пользователь)
Субъект для выполнения преобразования использует
информацию, содержащуюся в объектах компьютерной
системы, т.е. осуществляет к ним доступ.
Немного философии, немного математики
Элементы теории защиты
информации
Основными видами доступа являются:
- доступ на чтение
- доступ на запись (при этом возможно уничтожение
информации, имевшейся в объекте),
- доступ на активизацию, при этом инициируется
выполнение преобразования, описанного в объекте.
Немного философии, немного математики
Элементы теории защиты
информации
Основная аксиома защиты информации:
Все вопросы безопасности информации
описываются доступами субъектов к объектам.
Практическое следствие:
Чтобы «ВЗЯТЬ ПОД КОНТРОЛЬ» информационную систему,
первым делом необходимо отладить управление доступом
к данным и другим ресурсам информационной системы.
Немного философии, немного математики
Основные методы
управления доступом
Дискреционное управление доступом
(Discretionary access control, DAC. Также: контролируемое,
разграничительное)
Ролевое управление доступом
( Role Based Access Control, RBAC. Дословно: управление
доступом на основе ролей)
Мандатное управление доступом
(Mandatory access control, MAC. Также: обязательное,
принудительное)
Немного философии, немного математики
Дискреционное управление
доступом
От лат. discretio – благоусмотрение, воля победителя.
Дискреционное управление доступом — управление доступом субъектов к
объектам на основе списков управления доступом (ACL) или матрицы
доступа.
Список управления доступом (ACL) определяет, какой субъект может получать
доступ к конкретному объекту, и какие именно операции разрешено или
запрещено этому субъекту проводить над объектом.
При централизованном хранении списков контроля доступа можно говорить о
матрице доступа – таблице, в которой по осям размещены объекты и
субъекты, а в ячейках — соответствующие права.
Немного философии, немного математики
Пример матрицы доступа
Субъект\Объект
Файл1
Файл2
Программа1
Пользователь 1
читать
читать, писать
запускать
Пользователь 2
читать, писать
Пользователь 3
читать, писать
читать, писать
Пользователь 4
читать
читать
Программа 1
читать
писать
Программа 2
читать
запускать
Программа 2
запускать
запускать
запускать
Немного философии, немного математики
запускать
Дискреционное управление
доступом (продолжение)
- Дискреционное управление доступом предполагает возможность
передачи субъектом прав доступа к объекту - другому субъекту.
- Матрица доступа (наличия которой требуют РД ИБ) для больших
систем формулируется в сильно укрупненном/упрощенном виде.
- Детальная матрица доступа представляет собой сильно
разряженную таблицу, неудобную для восприятия и корректировки.
- Дискреционная модель:
при децентрализованном управлении удобна пользователю,
но затрудняет контроль за безопасностью, и наоборот,
при полностью централизованном управлении сложна для
администрирования и недостаточно гибка.
Немного философии, немного математики
Решения для аудита
«матрицы доступа»
Varonis® Data Governance Suite :
• предоставление четкой картины прав доступа к данным
• отслеживание и документирование всех действий, произведенных
с каждым отдельно взятым файлом или электронным письмом
• определение владельцев данных
• определение конфиденциальных или важных бизнес-данных,
особо выделяя те, права доступа к которым потенциально
избыточны.
Объекты аудита: файловые сервера Windows и Unix, сетевые хранилища
NAS, базы SharePoint и Exchange, службы каталогов AD.
Немного философии, немного математики
Управление доступом на
основе ролей
Ролевая модель — развитие политики дискреционного управления
доступом, при этом права доступа субъектов системы на объекты
группируются с учетом специфики их применения, образуя роли.
Субъект\Объект
Файл1
Файл2
Пользователь 1
читать
читать,
Пользователь 2
читать,
Пользователь 3
читать,
читать,
Пользователь 4
читать
читать
Программа 1
читать
Программа 2
читать
Программа1
Программа 2
писать
запускать
писать
запускать
писать
запускать
писать
запускать
запускать
писать
Немного философии, немного математики
запускать
Управление доступом на
основе ролей (продолжение)
Ролевая модель обладает следующими особенностями:
•
•
•
•
Один пользователь может иметь несколько ролей.
Одну роль могут иметь несколько пользователей.
Одна роль может иметь несколько разрешений.
Одно разрешение может принадлежать нескольким ролям.
Ролевая модель – интуитивно понятна пользователям, допускает
иерархию, подходит для больших организаций.
Достаточно сложна для проектирования и реализации.
Непереносима – роли проще создать заново и корректировать, чем
перенести из другой модели.
Сложна для администрирования (роли одного пользователя
должны быть непротиворечивы).
Немного философии, немного математики
Реализации ролевого
подхода
Avanpost IDM - управление учетными записями (IDM)
Полная интеграция с кадровой системой и автоматизация процесса
управления правами доступа;
Предоставление доступа пользователям на основании бизнес-ролей;
Реализация полного цикла workflow при создании и управлении учетными
данными пользователей;
Автоматизация процедуры согласования заявок на предоставление доступа;
Автоматическая блокировка прав доступа пользователей при наступлении
определенных событий согласно политике информационной безопасности.
Немного философии, немного математики
Мандатное управление
доступом
Мандатное управление доступом — разграничение доступа
субъектов к объектам, основанное на назначении метки
конфиденциальности для информации, содержащейся в
объектах, и выдаче официальных разрешений (мандатов
допуска) субъектам на обращение к информации такого уровня
конфиденциальности.
Мандатное управление доступом сочетает защиту и ограничение
прав, применяемых по отношению к компьютерным процессам,
данным и системным устройствам и предназначено для
предотвращения их нежелательного использования.
Немного философии, немного математики
Мандатное управление доступом.
Многоуровневая модель.
Для объекта определяются уровни (метки)
конфиденциальности.
Для субъекта определяются уровни (метки) допуска.
При обращении субъекта к объекту выполняется:
1. Формальное сравнение метки субъекта, запросившего
доступ, и метки объекта, к которому запрошен доступ.
2. Принимается решение о предоставлении доступа на
основе некоторых правил, основу которых составляет
противодействие снижению уровня конфиденциальности
защищаемой информации.
Немного философии, немного математики
Мандатное управление доступом.
Многоуровневая модель.
Немного философии, немного математики
Мандатное управление
доступом
Мандатная модель может быть полностью
реализована математически.
Подходит для реализации четких правил работы с
информацией ограниченного доступа.
Мандатное управление доступом требуется при
отнесении информационной системы к
определенному классу защищенности (РД по НСД,
1992).
Немного философии, немного математики
Краткий итог
На практике, ни одна из трех моделей не применяется отдельно.
Наоборот, применяются гибридные модели, состоящие из двух или
трех моделей.
Реализация в операционных системах:
Ролевая модель: Windows (AD), Linux, Unix
Дискреционная модель: Windows, Linux, Unix
Мандатная модель: Linux (в т.ч. В Astra Linux Special Edition).
Немного философии, немного математики