Вы находитесь в разделе Типовых решений систем безопасности

Куб. что в имени тебе моем?

Массовая компьютеризация, внедрение и развитие новейших информационных технологий привели к впечатляющему рывку вперед в сферах образования, бизнеса, промышленного производства и научных исследований.

Для успешного обеспечения потребностей общества в услугах связи и информатизации одной из основных задач является обеспечение безопасности инфокоммуникаций. Проблемы информационной безопасности многогранны и включают в себя все аспекты обеспечения безопасности, как на отдельном рабочем месте в рамках организации, так и функционирования глобальных систем и сетей связи.

Введение

Сегодня, информационная система организации - это активный инструмент ведения бизнеса. Эффективная деятельность современного предприятия не возможна без единой корпоративной информационной системы, объединяющей и автоматизирующей различные бизнес-процессы предприятия. Динамичное развитие бизнеса обуславливает быстрый рост и усложнение корпоративных информационных систем, расширяются их функции и набор предоставляемых сервисов, что вызывает необходимость обеспечения эффективной защиты информации.

Руководство компании предполагает, что информационная система будет работать надежно и сохранит конфиденциальность обрабатываемой информации. Однако очень часто это не соответствует действительности. Это обусловлено, в первую очередь, сложностью самой информационной системы. За безопасность этого сложного организма, обычно, отвечает служба безопасности. Но управление частью встроенных в приложения и операционные системы механизмов защиты лежит и на IT-подразделении.

Несмотря на то, что данные подразделения призваны решать разные задачи, зачастую затруднительно разделить полномочия и меру ответственности между ними. Несогласованность действий службы автоматизации и службы информационной безопасности, потеря контроля над информационной системой, приводит к тому, что начиная с определенного размера, информационная система начинает жить своей жизнью. В сети появляются новые компьютеры, и даже домены; новые неконтролируемые общедоступные ресурсы и новые устройства (принтеры, сканеры, модемы). Сложность контроля информационной системы отрицательно сказывается и на состоянии информационной безопасности компании. Отсутствие процедур регламентирующих внесение изменений в информационную систему приводит к тому, что администратору безопасности практически невозможно воссоздать реальную картину информационной безопасности.

При таком положении дел, наличие специализированных средств защиты информации не гарантирует полной безопасности информационной системы, ведь, злоумышленнику гораздо проще воспользоваться неправильной конфигурацией средства защиты, чем уязвимостями, которые могут потенциально существовать.

Сегодня многие компании предлагают свои решения для решения данных задач. Так продукты IBM и HP отличаются сильной технократичностью. Это приводит к увеличению роли человеческого фактора, который может привести к нарушению системы безопасности.

Рассмотрим альтернативный подход к решению данной проблемы. Сегодня НИП ИНФОРМЗАЩИТА предлагает программный комплекс КУБ. Уникальность его технологии заключается в том, что в нем предлагается полноценный организационный подход к решению проблемы управления безопасностью, поддержанный программными средствами. Использование этой технологии позволит эффективно управлять безопасностью информационной системы и обеспечить надежную защиту нематериальных активов компании. Технология КУБа Система комплексного управления безопасностью КУБ, разработанная НИП Информзащитой позволяет объединить организационные и технические меры по управлению информационными ресурсами предприятия и по их защите в едином программном средстве. Выпустив КУБ, компания Информзащита открыла новый этап в эволюции современных систем управления и защиты информации, поэтому интерес российских специалистов к этой разработке не ослабевает.

В основу технологии КУБ положены следующие основные принципы:

1. распределение ответственности за управление безопасностью;
2. единая среда для информационного взаимодействия;
3. контроль за происходящими изменениями.

Распределение ответственности за управление безопасностью Эффективное управление безопасностью возможно лишь в том случае, если в нем участвуют бизнес - подразделения наравне с IT-подразделением или службой безопасности. При этом, бизнес - подразделения выступают в роли заказчиков изменений, происходящих в системе, а также владельцев ресурсов системы. Они формулируют свои требования по доступу к ресурсам информационной системы, согласуют их между собой, и контролируют их исполнение. Служба безопасности разрабатывает основные правила доступа к ресурсам информационной системы (политику безопасности) и контролирует ее исполнение без вмешательства в настройки информационной системы. Все изменения в настройки информационной системы вносит IT-подразделение с учетом требований, изложенных в политике безопасности. Предлагаемая технология обеспечивает обязательное уведомление ответственных сотрудников IT-подразделения о тех действиях, которые они обязаны сделать, например, по прекращению и разрешению доступа, а также осуществляет контроль исполнения этих действий. Таким образом, разделяется ответственность за принятие решения о предоставлении доступа и контроль за исполнением этого решения (за что должна отвечать и будет отвечать служба безопасности) и ответственность за функционирование и корректность настроек программного обеспечения, в том числе по разграничению доступа (за что должно и будет отвечать IT-подразделение). Такое разграничение ответственности устранит основную причину для возникновения конфликтов между IT-подразделением и службой безопасности.

Единая среда для информационного взаимодействия Для того чтобы стало возможным распределение ответственности за управление безопасностью, необходимо, чтобы все подразделения компании понимали друг друга одинаково. Это непростая задача. Ведь менеджеры, системные администраторы и администраторы безопасности редко говорят на одном и том же языке. Поэтому должен существовать некий язык, позволяющий с одной стороны, формулировать требования по защите активов компании бизнес - подразделениям, а с другой стороны - однозначно определять, что же администратору нужно сделать в информационной системе, чтобы выполнить эти требования. Для этого используется формализованный язык электронных заявок, требования в которых формулируется в терминах, понятных бизнес - менеджеру (“Предоставить доступ/Лишить доступа к информации”). При этом в IT-подразделение поступают вполне конкретные указания о том, какие именно изменения надо внести в настройки информационной системы (“создать учетную запись/удалить учетную запись в программном обеспечении”). Использование такого языка позволит упростить процесс управления и повысит взаимопонимание между подразделениями компании.

Контроль за происходящими изменениями Контроль не является тотальным. Контролируются лишь те настройки, которые имеют отношение к обеспечению безопасности информационной системы. Создавая заявки, бизнес - подразделения проводят грань между законными и незаконными изменениями в информационной системе и определяют ответственных за то или иное решение по доступу к ресурсам информационной системы. Это позволит бизнес - подразделениям компании и менеджменту в целом быть уверенными, что изменения, происходящие в системе, действительно полезны и необходимы компании.

Системы КУБ может быть масштабирована на любое количество прикладных подсистем Вашей организации и будет расти вместе с ростом информационной системы; под контроль может быть поставлено любое приложение, устройство и т.п.; централизованное управление всеми подсистемами безопасности; контроль все изменений в настройках информационной системы и проверка их на соответствие политики безопасности. КУБ легко отличит легальное изменение настроек от злонамеренных или ошибочных.

Выгоды от внедрения системы КУБ:

• необходимые изменения в информационной системе теперь будут производиться согласованно, точно в срок и без ошибок, и бизнес - подразделения получат инструменты контроля над этим;
• политика безопасности теперь не будет просто бумагой. Она будет реально выполняться и за этим будет установлен строгий контроль;
• высвободившиеся в результате автоматизации временные и кадровые ресурсы, которые будут направлены на решение иных важных производственных задач;
• увеличение отдачи от нематериальных активов компании (Return on assets - ROA) на величину до 30% за счет снижения риска хищения информации и нарушения работоспособности информационной системы;
• уменьшение совокупной стоимости владения информационной системой (Total Cost of Ownership –TCO) на величину до 5% за счет экономии затрат на управление информационной безопасностью.

Основные компоненты системы КУБ

Сервер безопасности


Сервер безопасности Системы КУБ занимает центральное место в архитектуре системы (Рис. . Это мозг Системы КУБ. Здесь, в специальной базе данных (БД) сосредоточены все знания об информационной системе заказчика, ее ресурсах и пользователях, о полномочиях и обязанностях всех подразделений компании, о структуре и топологии информационной системы. На эти знания накладываются требования корпоративной политики безопасности. Сервер безопасности получает задания на изменения параметров ИС, сверяет их с действующими правилами и раздает необходимые поручения по претворению этих изменений в жизнь. При несанкционированных изменениях в ИС Сервер безопасности оповещает полномочных лиц о случившемся, прогнозирует возможный ущерб. На сервере системы КУБ выполняется централизованная обработка поступающих команд и сообщений, координируется работа отдельных частей системы, с его помощью обеспечивается обмен и синхронизация данных в системе.

Подсистема документооборота

При помощи этой подсистемы, КУБ общается с участвующими в процессе обеспечения безопасности организации людьми. Именно в этом компоненте скрыт транслятор, переводящий потребности функциональных подразделений, сформулированные в обыденных понятиях, в специфические инструкции для IT-специалистов.

Агенты КУБ - это глаза

Системы КУБ, которые следят за происходящими в информационной системе изменениями. Они контролируют настройки прикладных систем, ОС, специализированных средств информационной безопасности. При невыполнении администратором положенных действий или обнаружении изменений, совершенных администратором или кем-нибудь еще в обход принятого и утвержденного в организации порядка Агент уведомляет об этом Сервер безопасности. Система КУБ архитектурно построена таким образом, что позволяет при необходимости добавлять новые Агенты КУБ для поддержки принципиально новых ресурсов.

Взаимодействие компонентов системы

Основными составными частями сервера безопасности системы КУБ являются:

• Сервер системы вместе с базой данных (БД);
• Подсистема управления, состоящая из системы управления заявками (СУЗ), системы подготовки отчетов (СПО) и программы конфигурирования.

Компоненты системы взаимодействуют (Рис. друг с другом только через сервер системы КУБ и через сервер получают доступ к БД. И только подсистема подготовки отчетов, непосредственно взаимодействует с БД. Пользователи со своих рабочих мест могут получить доступ к подсистеме управления с помощью Web-браузера.

Подсистема управления включает в себя:

1. Систему управления заявками;
2. Систему подготовки отчетов;
3. Программу конфигурирования.


Доступ пользователей к системе управления заявками и системе подготовки отчетов осуществляется через Web-интерфейс с использованием Web-браузера Internet Explorer 6.0 и выше. Пользователь выполняет действия в пошаговом режиме. На каждом шаге приложение предоставляет пользователю Web-форму в виде HTML-страницы, которую пользователь заполняет и возвращает приложению для обработки.

Программа конфигурирования представляет собой типичное Windows-приложение. Она может функционировать отдельно от остальных компонентов подсистемы управления.

1. Система управления заявками Основой функционирования системы КУБ является документооборот специальных электронных документов, призванный упорядочить и учесть (обеспечить надлежащий контроль над происходящими изменениями) действия субъектов ИС по разграничению доступа к ресурсам корпоративной сети и изменению принципов работы ИС в целом и отдельных ее частей. Такие электронные документы называются заявками. Заявка – это электронный документ, в котором субъект ИС формулирует некоторые требования к системе в целом или ее ресурсам. Для создания заявок в системе, используют специальное программное обеспечение – система управления заявками, которая позволяет, отвечая на вопросы и заполняя данными специально разработанные формы, формулировать свои требования. Созданная заявка обрабатывается сервером системы. Доступ пользователей к системе управления заявками осуществляется через Web-интерфейс с использованием Web-браузера. В заявке хранится полная информация о процессе (фазах) ее обработки. Таким образом, заявки являются в системе КУБ организующими документами, в которых фиксируются все решения и изменения, связанные с безопасностью ИС. Заявки создаются уполномоченными должностными лицами с помощью системы управления заявками, доступ к которой осуществляется через WEB-интерфейс. На странице WEB-приложения пользователю предлагается выбрать нужный тип заявки и заполнить соответствующую форму. Когда ввод данных закончен, система управления заявками проверяет правильность введенных данных. Затем данные передаются на сервер системы КУБ и сохраняются в БД. Далее заявка проходит определенные стадии обработки, и в конечном итоге происходит реализация ее требований в ИС. По окончании обработки заявки сохраняются в БД. На каждом этапе прохождения заявки в системе выполняются соответствующие действия и при необходимости рассылаются уведомления должностным лицам, которые задействованы в этом процессе. В создании и сопровождении заявок участвует большой круг лиц (начальники подразделений, согласующие, назначающие и исполняющие лица, наблюдатели), и это требует особого контроля и учета. С точки зрения организации работы, управление с помощью заявок предпочтительнее для пользователей системы, т.к. процедуры выполняются по определенным схемам и на каждом уровне используются соответствующие понятия и термины.

2. Система подготовки отчетов Доступ к системе подготовки отчетов осуществляется через Web-интерфейс подсистемы управления с использованием Web-браузера. Отчеты формируются средством CrystalReportViewer и предоставляются пользователю также через Web-интерфейс в HTML-формате. Пользователю предоставляется возможности фильтрации и сортировки информации. Подсистема реализована таким образом, чтобы номенклатура отчетов могла расширяться по мере наращивания системы.

3. Программа конфигуратор Программа конфигурирования представляет собой Windows-приложение и предоставляет более широкие возможности для управления системой. Во-первых, она способна выполнять тот же набор действий, что выполняется с помощью заявок. Во-вторых, помимо этого, при конфигурировании настраиваются параметры функционирования сервера системы КУБ. Конфигурирование системы призвано минимизировать количество дополнительных действий, выполняемых с помощью заявок. Например, в системе недостаточно точно описаны полномочия сотрудников: номенклатура и свойства ролей, их принадлежность должностям и т.п. Из-за этого при каждой реорганизации доступа сотрудников необходимо будет дополнительно добавлять или изменять роли, включать или исключать их из должностей и пр. Правильное конфигурирование позволит существенно упростить такие процессы. Конфигурирование осуществляется при вводе системы в эксплуатацию или в других случаях, чтобы максимально настроить систему для использования заявок. Основная задача – настроить систему таким образом, чтобы ее модель наиболее точно соответствовала организационно-штатной структуре предприятия и принятой политике информационной безопасности. При конфигурировании системы, также как и при управлении с помощью заявок, вносятся изменения в состав и содержание объектов системы КУБ. Как следствие, эти изменения должны затрагивать и объекты уровня ИС. Таким образом, процесс конфигурирования подобен процессу управления. Здесь также используется механизм заявок, однако основное отличие заключается в том, что заявки формируются неявно после выполнения действий в программе конфигурирования. Предварительно необходимо в программе конфигурирования распределить по группам ресурсы, к которым должен быть разграничен доступ пользователей. Группирование ресурсов необходимо только для их объединения – с тем, чтобы дальнейшая настройка параметров доступа к ресурсам осуществлялась на уровне групп, а не отдельных ресурсов. При группировании ресурсов создаются объекты Группы ресурсов. Ресурсы, включаемые в группу, должны быть одного типа. Группы ресурсов одного типа могут в свою очередь объединяться в группы более высокого уровня иерархии. Группы ресурсов создаются в соответствии с целями использования ресурсов. Конфигурировать систему должно быть разрешено только узкому кругу уполномоченных лиц.

Как показывает опыт тестового внедрения КУБа компанией, определяющим фактором успешного решения задач обеспечения информационной безопасности является тесное взаимодействие сотрудников коммерческих и государственных организаций с НИП Информзащита - интегратором в области безопасности. Именно совместная работа позволяет определить все проблемные участки, создать и обеспечить надежность работы и безопасность системы в целом.





Читайте далее:
Вопросы защиты информации. без комментариев
Заземление в системах промышленной автоматизации ,часть 1,
Заземление в системах промышленной автоматизации. часть 2 ,окончание,
Ip–революция
Системный видеодомофон
Дымовые пожарные извещатели для пыльных зон
Чем хороши приводы ппв
Слухи о скорой кончине элт - мониторов слегка преувеличены?
Как построить детекторный приемник
Ip–революция iii