Защита от утечки данных:
Как правильно организовать доступ к информации
В настоящий момент практически каждая компания обрабатывает конфиденциальную информацию, будь то персональные данные сотрудников или коммерческая тайна. И если сегодня за утечку персональных данных оператору ПДн грозит относительно небольшой фиксированный штраф от 60 тыс. до 100 тыс. руб., то в ближайшем будущем в соответствии с перечнем поручений по итогам заседания "Совета по развитию гражданского общества и правам человека" его размер будет зависеть от оборота бизнеса. Утечка коммерческой тайны страшна для компании не столько штрафами, сколько возможными потерями конкурентных преимуществ, которые могут привести к потере прибыли и рынка в целом.
Фундаментальным условием обеспечения безопасности данных является правильная организация доступа к информации. Существует несколько подходов к реализации этого процесса. Один из самых востребованных среди операторов ПДн, не погруженных в сферу ИБ, — выполнение требований, установленных федеральными законами, постановлениями правительства, приказами ФСТЭК и ФСБ. В этом случае при плановых проверках регулятора компания защищает себя от штрафов за невыполнение требований регуляторов, но не всегда — от актуальных угроз ИБ.
Реализация всех возможных требований безопасности тоже нецелесообразна, так как иногда затраты на защиту данных могут превысить величину возможного ущерба от утечки или повреждения этой информации. По нашим наблюдениям, наиболее эффективный подход — это выбор мер защиты на основе анализа информационной инфраструктуры компании и обрабатываемых в ней данных, а также требований законодательства в области ИБ. Зачастую из-за нехватки квалифицированных специалистов компании для реализации данного подхода приглашают на помощь внешнюю консалтинговую компанию.
Рассмотрим типичный пример такого проекта. В STEP LOGIC обратилась компания-оператор персональных данных, работающая в финансовой сфере. Офисы заказчика территориально распределены, а хранение информации осуществляется в ЦОД. Локально-вычислительная сеть разбита на офисный сегмент с рабочими местами сотрудников, серверный сегмент, сегмент маршрутизации трафика и демилитаризованную зону. Также в офисах был установлен СКУД для организации пропускного режима.
Из-за участившихся кибератак на российские объекты критической инфраструктуры заказчик задумался над повышением уровня защищенности компании, в частности информационных систем. Чтобы выявить потенциальные угрозы, наши специалисты провели аудит, включающий тестирование на проникновение и анализ выполнения требований безопасности приказов ФСТЭК и международных стандартов ISO 27001, NIST SP 800-53, SANS и CIS. В рамках данного аудита были выявлены угрозы безопасности информации, проанализированы и оценены связанные с ними риски ИБ и подготовлен план мероприятий, который включал себя рекомендации по снижению их уровня до приемлемого.
В процессе внешнего тестирования было установлено, что большая часть уязвимостей связаны с мерами, относящимися к управлению доступом. Например, для предоставления доступа к одному из сервисов использовался небезопасный сетевой протокол, позволяющий перехват аутентификационных данных. В качестве рекомендаций заказчику было предложено отключить данный сервис, а при необходимости удаленного управления использовать SSH с доступом по ключу.
Еще одна типичная уязвимость при организации доступа была выявлена на web-ресурсе заказчика. Сайт возвращал разные ответы при вводе валидных и не валидных логинов без отправки полной пары логин-пароль, то есть на нем можно было проверять существующие имена учетных записей. Эта уязвимость была закрыта отключением предварительной проверки логина.
В рамках внешнего тестирования мы также провели атаку перебора паролей (brute force), и она оказалась успешной из-за низких требований к сложности пароля и отключения ограничения на количество неуспешных попыток авторизации для учетных записей.
За счет ранее обнаруженной уязвимости, позволяющей получить логины пользователей, и слабой парольной политики злоумышленник мог скомпрометировать учетную запись и получить доступ к системе заказчика с конфиденциальной информацией.
Если бы внешний аудит не был проведен вовремя, эти уязвимости, возникшие вследствие ошибок при организации доступа к информации, могли привести к утечке данных, потере репутации на рынке и доверия клиентов к компании.
На первый взгляд, меры защиты информации по управлению доступом являются одними из самых простых и понятных, однако справиться с их разработкой и реализацией самостоятельно смогут только специалисты, имеющие знания как в области ИТ, так и в ИБ.
STEP LOGIC уже более 15 лет оказывает комплексные услуги по обеспечению информационной безопасности ИТ-инфраструктуры: от формирования требований к защите информации до внедрения систем, их сопровождения на этапе эксплуатации, а также дальнейшего развития и модернизации в соответствии с потребностями заказчиков. В рамках услуги по организации управления доступом наши специалисты придерживаются определенного алгоритма, который позволяет выстроить этот процесс максимально быстро и эффективно.
Алгоритм реализации процесса управления доступом в компании
1. Инициализация процесса управления доступом
На первом этапе необходимо определить, кто будет принимать решения о предоставлении доступа к информационному ресурсу компании. Зачастую эту роль выполняет сотрудник из ИТ-отдела. Однако это не совсем корректно, так как он не может знать содержание обрабатываемой информации на всех информационных ресурсах, а это необходимо, чтобы доступ к конфиденциальным данным получали только уполномоченные сотрудники.
Например, при предоставлении полного доступа разработчикам, работающим на аутсорсинге, к внутреннему корпоративному порталу они также, скорее всего, смогут получить персональные данные сотрудников компании (как минимум, их контакты). Поэтому принимать такие решения должны владельцы информационных активов. Кроме этого, в их обязанности необходимо включить классификацию и определение обрабатываемого класса критичности конфиденциальной информации. В то же время мы настоятельно рекомендуем, чтобы сам перечень классов критичности конфиденциальной информации составляли именно ИБ-специалисты.
Затем формируются базовые роли и матрица доступа, осуществляется выбор и реализация модели управления доступом. Изначально каждой роли (в том числе и администратору) следует выдавать минимально-необходимые права доступа, руководствуясь принципом need-to-know (пользователи получают доступ только к тем данным, которые необходимы для выполнения функциональных обязанностей). Такой подход уменьшает вероятность утечки информации, если злоумышленник скомпрометирует учетную запись в системе.
На последнем этапе сотрудники из ИТ-отдела осуществляют выдачу прав доступа в соответствии с матрицей и полученными заявками от владельцев информационных активов. В заявках, как минимум, должна указываться следующая информация:
- ФИО сотрудника и его подразделение, которому предоставляется доступ;
- наименование информационного ресурса куда предоставляется доступа;
- цель предоставления доступа;
- период предоставления доступа.
В обязанности сотрудников из ИТ-отдела также должен входить контроль создания новых ролей и внесение изменений в матрицу доступа, которые рекомендуется согласовывать с ИБ-подразделением.
2. Реализация мер защиты информации по управлению доступом.
В зависимости от сферы деятельности и характера обрабатываемых данных к реализации мер защиты информации могут выдвигаться разные требования. Для операторов персональных данных актуальны меры защиты информации, описанные в Приказе ФСТЭК России от 18.02.2013 № 21, значимых объектов критической информационной инфраструктуры — Приказе ФСТЭК России от 25.12.2017 № 239, финансовых организаций — в ГОСТ Р 57580.1-2017. При этом каждый из этих документов подразумевает разный набор требований, в первую очередь зависящий от описанных в них уровней и классов. Так, для оператора ПДн он зависит от условий обработки персональных данных, а для критической информационной инфраструктуры — от категории значимости объекта. Описанные меры защиты информации для одного раздела в разных нормативных документах могут быть схожи по своим принципам, но каждую актуальную меру все равно необходимо реализовывать в соответствии с требованиями законодательства.
Если финансовые и технические возможности компании позволяют, мы рекомендуем включать следующие меры безопасности при организации доступа:
- Реализация повторной аутентификации пользователей (при смене ролей, при привилегированных командах, через время и т. п.).
- Реализация авторизации устройств.
- Многофакторная аутентификация.
- Исключение суперпользователей и технических учетных записей.
- Применение стандарта IEEE 802.1X.
- Применение технологии единого входа (SSО)
- Применение модели безопасности Zero Trust.
- Контроль доступа на уровне сетевых портов.
- Контроль завершения сеанса.
- Контроль доступа к устройствам / подключению устройств.
- Контроль правил доступа.
- Ограничение прямого совместного использования диска с доступом на чтение/запись.
- Ограничение подключения к другим сетям во время удаленного подключения к корпоративной сети.
- Удаленное администрирование по защищенным каналам с использованием отдельных интерфейсов в отдельной подсети компании.
Для определения актуальных угроз также имеет смысл провести внутренний (силами сотрудников ИБ и ИТ-отделов) или внешний (с привлечением сторонней компании) аудит.
3. Проведение внутренних аудитов
Независимо от сформированного перечня мер защиты информации желательно проводить полные внутренние аудиты процесса предоставления доступа не реже чем раз в три года при условии, что требования законодательства и состав технической инфраструктуры в этот период не меняются.
В рамках проверки владельцы информационных активов пересматривают права доступа пользователей, а сотрудники отдела ИБ проверяют полноту реализации мер защиты информации.
Как правило, после внутреннего аудита в части управления доступом формируется отчет, отражающий состояние уровня защищенности компании, включающий следующие сведения:
- общую информацию о процессе управления доступом;
- недостатки процесса;
- рекомендации по совершенствованию процесса;
- перечень документов, регламентирующих данный процесс.
В общей информации приводится описание процесса организации доступа: с помощью чего осуществляется управление учетными записями, как они создаются, корректируются и уничтожаются, кто и за что является ответственным, как реализована парольная политика и осуществляется аутентификация пользователей.
В недостатках процесса управления доступом указываются возможные риски информационной безопасности и их влияние на компанию и бизнес. Пример недостатков процесса управления доступом приведен в таблице ниже.
Недостатки процесса управления учетными записями
Описание недостатка процесса | Возможные угрозы для компании | Оказываемое негативное влияние на компанию |
В процессе применяются технологические учетные записи. Не осуществляется инвентаризация учетных записей на постоянной основе. | В сочетании с отсутствием централизованного сбора, хранения и анализа событий, внутренний нарушитель может выполнять бесконтрольные несанкционированные действия в инфраструктуре Компании. В сочетании с отсутствием аутентификации устройств внутренний нарушитель может осуществить подключение личного устройства и осуществлять неконтролируемую передачу данных за пределы контролируемой зоны Компании. | Общее снижение уровня защищенности Компании. Снижение конкурентоспособности, штрафные санкции при обнаружении фактов утечки информации о клиентах. |
Для учетных записей администраторов, не настроена двухфакторная аутентификация при подключении внутри корпоративной сети. | В сочетании со слабой парольной политикой и отсутствием централизованного сбора, хранения и анализа событий, а также отсутствием аутентификации устройств внутренний нарушитель может осуществить подключение личного устройства и перехват аутентификационных данных администраторов и выполнить бесконтрольные несанкционированные действия в инфраструктуре Компании. | Снижение качества процесса управления доступом. Снижение конкурентоспособности, штрафные санкции при обнаружении фактов утечки информации о клиентах. Финансовые потери при простоях/ деградации бизнес-процессов. |
В рекомендациях по совершенствованию процесса обозначается перечень необходимых действий для устранения недостатков с указанием приоритета выполнения.
Итогом проведения внутреннего аудита является план работ по совершенствованию процесса управления доступом, который учитывает все выявленные недостатки процесса.
Обычно после внедрения процесса управления доступом компании забывают о том, что нужно периодически его актуализировать. Как правило, это происходит из-за нехватки персонала или недостаточного внимания к вопросам безопасности. Однако пренебрежение к данному процессу также, как и недостаток знаний, может привести к ряду негативных последствий, таких как потеря ценной информации, нарушение конфиденциальности и утечки данных. В большинстве случаев, чтобы оперативно и четко определить права доступа, выбрать наиболее актуальные меры защиты информации и подходящие технические решения, целесообразно будет использовать услуги ИБ-интеграторов, хотя бы в качестве консультантов.
Автор: Анатолий Широков, старший аналитик направления консалтинга и аудита информационной безопасности STEP LOGIC.