Принципы информационной безопасности

Руслан Рахметов, Security Vision

При решении задач информационной безопасности возникают резонные вопросы: как реализуются принципы информационной безопасности на практике? как организовать защиту информации от несанкционированного доступа? что должно быть прописано в политике ИБ компании в соответствии с лучшими практиками и рекомендациями?

Итак, в соответствии с данными ранее определениями, защита информации - это обеспечение целостности, конфиденциальности, доступности информации. Таким образом, задачи информационной безопасности в широком смысле - это обеспечение её целостности, конфиденциальности и доступности, что реализуется с помощью мер и средств защиты информации (организационных, технических, физических). Для того, чтобы применяемые меры защиты (также называются контрмерами или контролями) были структурированы, логически взаимосвязаны и приводили не к формальному закрытию требований, а к реальному повышению киберзащищенности компании, следует выстраивать процессы информационной безопасности в рамках целостной системы управления ИБ (сокр. СУИБ) для минимизации киберрисков в целях удовлетворения потребностей бизнеса (владельцев, стейкхолдеров защищаемой компании). Защитные меры применяются к сотрудникам, процессам, технологиям, данным компании.

Пример: защитная мера в виде программа повышения осведомленности работников компании в вопросах кибербезопасности (так называемые awareness-тренинги) применяется к сотрудникам в целях противодействия кибератакам, реализуемым с помощью методов социальной инженерии (фишинг, телефонное мошенничество, шантаж, попытки получить конфиденциальную информацию при личной встрече с сотрудниками и т.д.). Еще один пример: контрмера в виде процесса проверки контрагентов компании (поставщиков, подрядчиков, аутсорсеров и т.д.) применяется к процессам информационного взаимодействия между компанией и её контрагентами, например, к обмену данными, настройке удаленных подключений, обмену электронной корреспонденцией и т.д.

По целям применяемых контрмер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные, компенсирующие, дополняющие меры. Далее приведем примеры. Предупредительные меры - это оповещение пользователей и потенциальных нарушителей о контроле за их действиями для предупреждения инцидентов ИБ: например, это может быть сообщение на сайте о том, что все действия пользователей с информационным ресурсом записываются и могут быть проанализированы в дальнейшем. Директивные меры - это явным образом указанные правила работы и поведения пользователей: например, это могут быть указатели в офисном здании для того, чтобы добропорядочные посетители могли быстро найти искомый офис, а бесцельно блуждающие по здания могли бы считаться потенциальными нарушителями. Превентивные меры - это мероприятия, направленные на предотвращение инцидентов ИБ, недопущение нарушения политик ИБ или установленных правил, например, настройка СЗИ и защищенная настройка ОС, ПО для предотвращения нарушений ИБ. Сдерживающие меры - это способы задержать нарушителя, который прошел через предыдущие уровни защиты, например, если воры попали в офисный центр, то ценные документы должны лежать в сейфе, вскрытие которого задержит взломщиков до прибытия наряда полиции; в информационной системе такие меры могут быть реализованы с помощью ресурсов-приманок (honeypot или honeynet). Корректирующие меры - это оперативное исправление контролей, которые не сработали для недопущения атаки, включая устранение несоответствий контролей политикам ИБ. Восстановительные меры - это возвращение инфраструктуры после кибератаки в известное защищенное, «хорошее» состояние, с внесением необходимых корректирующих изменением для недопущения повторения инцидента в дальнейшем. Расследовательные меры - это способ установить первопричину инцидента и выявить нарушителя, узнать вектор атаки и проэксплуатированные уязвимости, выполнить компьютерные криминалистические исследования (форензик-исследования). Компенсирующие меры - это дополнительные контроли, которые обеспечивают выполнение обязательных мер защиты альтернативным способом, который является более целесообразным и экономически эффективным: например, для предотвращения утечек данных можно установить дорогостоящее DLP-решение, а можно запретить использование съемных накопителей, облачных хранилищ, ограничить возможность отправки электронной почты за пределы компании и предпринять иные меры для ограничения числа потенциальных каналов утечки информации. Дополняющие меры обеспечивают эффективность работы уже настроенных мер защиты и дополняют их: например, некоторые антивирусы позволяют пользователям с административными полномочиями на ПК отключить защиту, поэтому важно ограничить полномочия пользователей и контролировать выдачу прав локального администратора сотрудникам.

Если нарушители смогли успешно преодолеть выстроенные защитные меры и достичь своих целей, то говорят, что произошла кибератака. Иными словами, кибератака - это, как мы уже писали ранее, целенаправленное вредоносное воздействие на актив для нарушения его работы и/или для реализации киберугрозы (т.е. нарушение целостности, конфиденциальности, доступности информации). Также часто используется термин взлом, который означает несанкционированный доступ к информации, т.е. зафиксированный факт обработки информации (чтение, изменение, удаление и т.д.) с нарушением установленных прав доступа: например, когда с содержимым зарплатной ведомости компании ознакомился сотрудник подрядной организации или когда ценные файлы удалили хакеры в результате кибератаки.

Следует отметить, что в зарубежной литературе и новостях часто используется термин data breach, который некоторые некорректно понимают, как утечка данных, но фактически data breach - это нарушение безопасности данных, т.е. несанкционированный доступ к информации. Под data breach понимается не только кража данных хакерами, но и, например, несанкционированное удаление информации в результате заражения вирусом-вайпером или даже случайное размещение работником конфиденциальной информации на общедоступном ресурсе.

Политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. По уровню иерархии и детализации политика ИБ стоит во главе всех внутренних нормативных документов, применяющихся в компании для защиты информации; ниже по иерархии идут стандарты, регламенты, процедуры, инструкции - они содержат уже более детализированные правила обеспечения ИБ в компании. Таким образом, политика ИБ в компании строится на высокоуровневых принципах ИБ; далее приведем примеры важнейшие из таких принципов.

Принципы ИБ означают определенные правила, которые показали свою эффективность при практическом применении для защиты информации:

1) Принцип наименьших полномочий - это правило предоставления пользователям и сущностям в информационной системе привилегий, минимально необходимых для выполнения ими своих должностных обязанностей и достижения целей работы. Например, пользователю из отдела бухгалтерии не нужно давать права администратора домена, а программа для резервного копирования должна работать из-под учетной записи, которая имеет доступ только на чтение сохраняемых файлов.

2) Принцип предоставления привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток. Данный принцип реализуется с помощью технологий Just-In-Time Access (JIT, «доступ только на время») и Just-Enough Access (JEA, "доступ не больше, чем нужно"), которые позволяют предоставить учетной записи расширенные полномочия только на определенное время и в минимально необходимом объеме. Например, инженер получает привилегии на выполнение с административными правами только определенного скрипта и только на время отработки данного скрипта.

3) Еще один набор принципов ИБ - это предоставление доступа к информации только при наличии обоснования на использование данных (англ. need to use), ознакомление с информацией (англ. need to know), подключение к информационной системе (англ. need to connect), а также при наличии согласования на выполнение действий от непосредственного руководителя пользователя, запрашивающего доступ.

4) Принцип сегментирования и контроля доступа к данным с использованием подхода Zero Trust, который означает, что для всех устройств, приложений и пользователей создаются гранулированные правила сетевого доступа, которые действуют как для подключений к инфраструктуре извне, так и для внутренних сетевых соединений. Данные правила позволяют вести непрерывный контроль наличия полномочий у субъектов, а также вести мониторинг состояния безопасности субъекта при каждой попытке доступа.

5) Еще один принцип ИБ при работе с данными - это шифрование информации при хранении и передаче данных, а также использование криптосистем с гомоморфным шифрованием, которые позволяют выполнять операции с зашифрованными данными без их расшифрования.

6) Еще один важный принцип обеспечения кибербезопасности - это принцип разделения полномочий, который означает, что для выполнения критичной операции требуются как минимум два работника. Это делается для того, чтобы исключить ошибку одного сотрудника, а также затруднить выполнение вредоносных действий одним нелояльным или завербованным сотрудником, которому предоставлены широкие полномочия. Пример, знакомый многим по кинематографу: для открытия банковского сейфа требуются два разных ключа и их одновременный поворот двумя разными сотрудниками. Для того, чтобы обойти такое требование, этим сотрудникам потребуется вступить в сговор, что грозит им большей уголовной ответственностью.

7) Принцип актуализации полномочий означает, что при смене должностных обязанностей сотрудника, например, при переходе в другой отдел, нужно отключить ему старые права доступа к информационным ресурсам его старого отдела, и выдать права на доступ к ресурсам нового отдела. Другой пример: когда сотрудник завершает работу над одним проектом и переходит в другую проектную команду, права его учетной записи на доступ к файлам по старому проекту должны быть отозваны. Это позволит избежать ситуации, когда один давно работающий в компании сотрудник постепенно получает избыточные полномочия.

8) Принцип "Assumed Breach" (буквально переводится как «Думайте так, как будто вас уже взломали») означает планирование деятельности по ИБ в компании с учетом того, что один или несколько элементов инфраструктуры скомпрометированы злоумышленниками. Важно не исключать вероятность того, что кибератака на компанию уже произошла, но её признаки пока не стали явными, поэтому хакеры незримо присутствуют в сети. Для того, чтобы выстраивать кибербезопасность с учетом этого принципа, следует использовать методы проактивного выявления угроз (Threat Hunting) и описанный выше подход Zero Trust.

9) Выстраивание киберзащиты в соответствии с принципом эшелонированной защиты (англ. Defense in depth) означает формирование многоуровневой защиты, когда для доступа к ценному активу атакующему нужно сначала преодолеть несколько уровней защиты. Например, для доступа к файловому серверу извне атакующим нужно сначала взломать сервер в DMZ (демилитаризованная зона), затем перейти в корпоративную сеть, затем повысить привилегии для подключения к серверному сегменту, а уже затем - атаковать файловое хранилище. В этом отношении облачные корпоративные системы, хоть и являются удобными для доступа из любой точки мира и с любого устройства, но все же лишены части контролей (например, необходимости предварительной установки VPN-соединения), поэтому так важно использовать продвинутые системы аутентификации и контроля учетных записей в облаке - например, мультифакторную аутентификацию, условный доступ (англ. Conditional Access), проверку устройств на соответствие настройкам безопасности (англ. Posturing) и географическому региону присутствия компании.

10) Непрерывное улучшение и процессный PDCA-подход к обеспечению киберзащиты - это, вероятно, наиболее важный принцип ИБ, который означает, что процессы ИБ следует выстраивать в соответствии с циклом Деминга для управления процессами: Планирование - Выполнение - Оценка - Корректировка (англ. Plan - Do - Check - Act, сокращенно PDCA-цикл). Непрерывная оценка адекватности выстроенной СУИБ текущим актуальным киберугрозам и постоянное улучшение киберзащиты поможет соразмерно предупреждать и отвечать на кибератаки даже со стороны самых продвинутых атакующих.