ИТ-архитектура. Практическое руководство от А до Я. Первое издание

Уровень достоверности данных – данные внесены из установленных источников или являются предположениями и умозаключениями.

Определение потоков данных

Потоки данных должны быть описаны для каждой категории информации с указанием дополнительных атрибутов.

Идентификация пользователя

Все пользователи ИТ сервисов уникально идентифицированы в системах (учетная запись пользователя домена, почтовой системы, пользователь бизнес приложения и т п). Доступы к ИТ активам должны предоставляться на уровне групп. При проведении расследований инцидентов или нарушения информационной безопасности опираются на учетную запись пользователя. Все действия, связанные со сменой прав доступа или атрибутов учетной записи (пароля и т п) должны фиксироваться. Пользователь несет ответственность за любые действия, связанные с активностью его учетной записи.

Классификация по группам доступа и ролям

Все пользователи ИТ сервисов должны быть сгруппированы по группам и ролям. Доступы к информационным системам и сервисам предоставляется на уровне групп. Доступы сотрудников ИТ департамента также должны быть разграничены по группам, в зависимости от выполняемых действий и привилегий.

Диаграмма Концепция «Defense in Depth»

Процесс предоставления прав доступов и членства в группах

Процесс предоставления прав доступа и членства в группах должен быть соответственно организован и документирован. На мой взгляд в данном процессе должны участвовать заинтересованные представители бизнеса, департаменты ИТ, безопасности и аудита.

Принцип Минимальных Привилегий

При предоставлении права и доступов всем пользователям ИТ систем и сотрудникам ИТ необходимо руководствоваться правилами «минимальных привилегий».

Использование лицензионного программного обеспечения

Использование лицензионных программных продуктов в «рабочей» среде является обязательным требованием для всех без исключения функций и подразделений организации.

Организация процесса Информационной Безопасности

Ключевые компоненты

В процессе управления Информационной Безопасности учитываются следующие ключевые показатели и определения:

•Должны участвовать как минимум Бизнес департаменты компании, департамент Внутренний Аудит, департамент Безопасности, Финансовый департамент, департамент Управления Рисками, департамент Отдел Кадров и ИТ департамент или подразделения исполняющие их функции.

•Организационная структура компании должна должным образом управлять «конфликтом интересов» департаментов

•Бизнес департаменты определяют классификацию информации в соответствии с бизнес процессами

•Департамент Рисков проводит оценку рисков

•Департамент Безопасности предоставляет рекомендации по вопросам Информационной Безопасности

•Департамент Управления Кадрами обеспечить обучение и ознакомление работников с информацией касательно Информационной Безопасности

•Департамент Внутреннего Аудита проводит анализ на соответствие нормам и процедурам, а также необходимый мониторинг

•Департамент Безопасности обеспечивает физическую защиту ИТ активов

•Департамент Безопасности ведет мониторинг активности, связанной с ИБ

•ИТ департамент обеспечивает защиту и управление ИТ активами

•ИТ департамент разрабатывает необходимую документацию

Разделения Обязанностей в рамках организации

Различают различные принципы и подходу к разделению обязанностей между департаментом Безопасности и ИТ, например, департамент Безопасности выполняет непосредственное управление, внедрение и сопровождение сервисов информационной безопасности ИТ инфраструктуры. Для большинства организаций может подойти следующий подход:

Департамент Безопасности – является «владельцем» ИБ. Обеспечивает физическую безопасность ИТ активов, определяет требования к системам безопасности в целом и информационной безопасности, политики ИБ и т п. Выполняет контрольные функции в отношении надлежащего и своевременного исполнения ИТ департаментом требований ИБ. Непосредственно управляет такими системами безопасности, как система контроля доступа (физическая), система видеонаблюдения, системы оповещения о пожаре и проникновении. По отношению к ИТ департаменту в вопросах безопасности является «головой».

ИТ департамент – в рамках информационной безопасности, является «управляющим» информационных систем, комплекса информационной безопасности. Сотрудники ИТ департамента выполняют непосредственное конфигурирование, внедрение и сопровождение компонентов инфраструктуры информационной безопасности. Предоставляют доступ «только для чтения» для сотрудников подразделения ИБ и передачу логов активности компонентов ИТ инфраструктуры. Оказывают техническое содействие департаменту безопасности по внедрению и сопровождению систем безопасности. В зависимости от количества и сложности решений, в составе ИТ департамента может существовать подразделение ИТ Безопасности, отвечающее за сервисы обеспечивающие информационную безопасность. По отношению к департаменту Безопасности является «руками».

Департамент Внутреннего Аудита – в составе комитета, формирует требования по организации взаимодействия департаментов, проводит контроль соответствия деятельности департаментов безопасности и ИТ требованиям руководящих документов. По отношению к департаментам Безопасности и ИТ по вопросам информационной безопасности является «глазами».

Преимущества данного подхода:

•Нет необходимости держать значительный штат в департаменте Безопасности, который по сути дублирует действия ИТ. При внедрении и сопровождении любого ИТ сервиса или информационной системы, вопрос по обеспечению информационной безопасности – обязательный.

•Простота разграничения прав и ответственности. «Безопасность» говорит, «ИТ» выполняет, «Безопасность» контролирует исполнение. Особенности большинства Информационных систем – ролевой доступ и наличие «Административного» доступа с максимальными привилегиями. Наличие двух администраторов в одной системе может приводить к конфликтам интересов, разбирательствам таким как кто-то что-то изменил, в логах не отражается и т п.

•Наличие цепочки контролей и взаимный мониторинг. ИТ имеет максимальные возможности к информационным системам. За обладателями таких возможностей необходим надлежащий контроль. Фактически эта роль возлагается на департамент Безопасности, по принципу «Вы следите за всеми – мы следим за вами». Все действия ИТ отслеживаются и передаются за пределы ИТ департамента. В тоже время, ИТ отслеживает действия департамента Безопасности в рамках «обычных пользователей» систем.

Диаграмма Концепция «CIA»

Модели Информационной Безопасности и защиты данных

Для обеспечение Информационной Безопасности в целом, и ИТ безопасности в частности применяются различные модели защиты конфиденциальности, целостности и доступности. Обычно применяются смешанные модели Информационной Безопасности.

В качестве основных моделей можно выделить следующие:

•Bell La Padula – модель (многоуровневой) защиты конфиденциальности. Построенная на модели «информационных потоков». Модель конечных автоматов, которая реализует аспекты защиты конфиденциальности на основе матрицы «Субъект-объект» с применением трех основных правил:

Simple Security Rule: Субъект НЕ МОЖЕТ ЧИТАТЬ данные на более высоком уровне.

Star Property Rule: Субъект НЕ МОЖЕТ ЗАПИСАТЬ данные на более низком уровне.

Strong Property Rule: Субъект МОЖЕТ ЧИТАТЬ и ЗАПИСАТЬ данные только на своем уровне.

•Biba – модель защиты целостности. Построенная на модели «информационных потоков». Модель использует сетку целостности. Основные принципы модели:

Integrity Axiom: Субъект НЕ МОЖЕТ ЗАПИСЫВАТЬ на верх

Simple Integrity Axiom: Субъект НЕ МОЖЕТ ЧИТАТЬ данные находящиеся на нижнем уровне

Invocation property: Субъект НЕ МОЖЕТ ЗАПРАШИВАТЬ обслуживание (call) у другого субъекта, находящегося на более высоком уровне.

•State Machine Model – модель защиты безопасности, основанной на состояниях (state).