Русский
Русский
English
Авторизация
Ip-адрес
Восстановление пароля
Регистрация
Статистика
Реклама

Аудит

Кино под защитой. Как мы готовились к аудиту по безопасности медиаконтента

20.10.2020 12:19:01 | Автор: admin
Наверняка каждый читатель Хабра хотя бы раз в жизни мечтал прикоснуться к миру кино, стать его частью. В этом посте я расскажу о том, как консультантам из отдела информационной безопасности удалось сделать это.

Из текста вы узнаете:

  • зачем досматривать до конца титры в конце фильма;
  • сколько аудиторских опросников нужно заполнить, чтобы быть уверенным, что кино под защитой;
  • почему аудит безопасности медиаконтента лучше не проходить в мешковатом худи.

Источник

В сфере консалтинга информационной безопасности типовые работы давно определены. Это защита персональных данных и коммерческой тайны, аттестация государственных информационных систем, защита информации в финансовых организациях, обеспечение безопасности критической информационной инфраструктуры, формирование стратегии развития ИБ и т. д. Тем интереснее было получить задачу нетривиальную для отечественного рынка информационной безопасности.

Первоначально, запрос, поступивший в ЛАНИТ-Интеграцию от одной российской компании, содержал минимум информации и звучал следующим образом: Добрый день! Подскажите пожалуйста, можете ли вы нам помочь: необходимо пройти аудит на соответствие нашей организации требованиям безопасности информации MPAA.

Появилась необходимость всестороннего изучения данного вопроса. В первую очередь нужно было понять, что такое MPAA.


Этот логотип знаком терпеливым и упорным зрителям, то есть тем, кто досматривает до конца не только фильмы, но и титры. Источник

Первая же ссылка в поисковой системе Google Яндекс выдала нам такой ответ: Американская ассоциация кинокомпаний(MPAA,англ.Motion Picture Association of America, первоначально Motion Picture Producers and Distributors of America(MPPDA) американскаянекоммерческая организация, основанная в 1922 году и объединяющая крупнейших кинопроизводителей, призванная отстаивать их бизнес-интересы.

Важность данной ассоциации сложно переоценить, особенно учитывая состав участников. Членами Американской киноассоциации являются семь крупнейших голливудских студий: The Walt Disney Company, Sony Pictures, Paramount Pictures, 20th Century Fox, Universal Studios, Warner Bros, Netflix.

Из этого можно сделать простой вывод, кто является генеральным заказчиком у нашего клиента.


Такой поворот событий вызвал наш неподдельный интерес к тому, какие требования могут выдвигать ключевые игроки мировой киноиндустрии. По мере изучения этого вопроса оказалось, что круг действующих лиц в проекте становится заметно больше.


Кроме Американской ассоциации кинокомпаний, требования формируются профильной Международной ассоциацией защиты контента, а сама проверка реализации требований осуществляется сетью доверенных партнеров (Trusted Partner Network TPN), созданной совместно двумя ассоциациями. Возникает логичный вопрос, почему для обеспечения безопасности медиаконтента были задействованы такие силы.

Кого и чего боятся киностудии


Безусловно, всем нам известны различные файлообменные p2p-сети, на которых, например, можно скачивать или просматривать фильмы в обход требований правообладателей. Но как они там появляются? Зачастую, на таких ресурсах первыми публикуются пиратские видеозаписи из кинотеатров, откуда стартует коммерческая окупаемость фильма. Но еще большую опасность для производителей медиа-контента представляет утечка материала до официального проката. При таком развитии событий компании получают серьезный финансовый и репутационный ущерб, так как непритязательная аудитория в своем большинстве предпочитает не платить за продукт, а получать его бесплатно, пусть даже и в более низком качестве.

Выявив основные причины формирования стандарта MPAA, получаем:


Не каждый день офисным работникам удастся приобщиться к сфере кино, да еще и в рамках выполнения своей работы.

Итак, каков же полный список заинтересованных в обеспечении безопасности медиаконтента компаний? Немного изучив рынок, получаем следующее.


Определились. Теперь к работе. Что из себя представляет стандарт, который так необходим нашим заказчикам? Изучив структуру, стало понятно, что стандарт MPAA структурирован достаточно привычно, все необходимые к реализации меры разбиты на три группы: менеджмент информационной безопасности, меры по физической безопасности и технические меры.

Обзор стандарта

Детально разобрав стандарт, для наибольшего удобства мы создали чек-лист реализации мер безопасности. Так как стандарт англоязычный, и, к сожалению, не все могут свободно читать и переводить довольно-таки непросто написанную техническую литературу, мы его заодно перевели для наших коллег и для заказчика. Посмотреть, что у нас вышло, можно здесь таблички такого размера, мягко говоря, не очень удобно вставлять как иллюстрации в пост (берегите глаза).

Как мы работаем:

  • Делай раз. Обследуем с чем же придется работать.
  • Делай два. Проектируем систему ИБ и разрабатываем физические и организационные мероприятия.
  • Делай три. Закупай, внедряй, тренируй.
  • Делай четыре. Проходи аудит и помогай держать все в актуальном состоянии.

Заказчик прислал нам опросник от аудиторов, который состоял из 36 доменов и более чем 500 вопросов, которые дали бы аудиторам ясность о текущем статусе выполнения требований стандарта. Стало понятно, что подход у аудиторов довольно серьезный. Но в то же время есть, от чего отталкиваться.

Заполняя опросные листы, нам стало понятно, что фактически компания заботилась об информационной безопасности в объеме, недостаточном для выполнения требований стандарта. В первую очередь, необходимо было определить сам контент, который так необходимо обезопасить, а это самое интересное. Проведя информационное обследование с заказчиком, мы выяснили, что медиа-контентом для компании являются результаты отрисовки (по факту кадры из фильма), 3D-модели, а также во время дубляжа появляются скрипты переводов, фразы, реплики, из которых можно составить целый сюжет.

Приступаем к работе


Обследуем бизнес-процессы, получаем схему и описание бизнес-процессов. Обследуем информационные системы, сервисы и инфраструктуру, получаем инфраструктурную схему. Обследуем реализованные меры, получаем понимание степени реализации требований. По результатам формируем рекомендации. Рекомендации есть, поехали их исполнять.

Далее готовим технический проект. Собираем спецификацию и описание системы информационной безопасности в удобной форме. Идем по перечню требований/рекомендаций, напротив каждого требования пишем пояснения.

  1. Организационные меры реализуются не только утверждением в компании политики/приказа/регламента, но и выполнением сотрудниками всех процедур, описанных в этих самых политиках, приказах и регламентах.
  2. Технические меры реализуются как наложенными средствами защиты информации, так и встроенными механизмами безопасности. К счастью, нет требований к сертификации средств защиты ФСТЭК. Понятное дело, что все процессы, связанные с реализацией технических мер, должны быть также описаны в организационно-распорядительной документации.
  3. Физические меры безопасности реализуются как технически (контроль доступа, видеонаблюдение, пожарная безопасность и т. д.), так и организационно (регламент проноса/выноса накопителей, регламент посещения рабочего места, регламент проверки физических систем безопасности и т. д.).

Расскажем о самых необычных требованиях стандарта. В ходе реализации мер защиты стандарта пришлось столкнуться с некоторыми забавными, а иногда и чуть завышенными требованиями, например:

  • предотвратить использование джейлбрейка, рутинга и прочего на рабочих мобильных устройствах (вряд ли кто об этом задумывался ранее в компаниях, работающих с медиаконтентом);
  • использовать псевдонимы (AKA) для клиентов в процессе обработки медиаконтента (очевидно для того, чтобы сотрудники не могли точно знать, что это за заказчик);
  • помечать каждого посетителя идентификационным значком или наклейкой, которая всегда должна быть видна (знаем всех посетителей меньше переживаем за наш контент);
  • приносить еду только в прозрачных контейнерах и пакетах (для того, чтобы не допустить нелегитимный пронос/вынос устройств для сбора информации);
  • реализовать политику дресс-кода таким образом, чтобы исключить мешковатые штаны и толстовки с капюшоном (также для того, чтобы не допустить пронос/вынос конфиденциальной информации).

Срок действия документации


Многие заказчики, к сожалению, считают, что разрабатываемая документация действует только при прохождении аудита, а дальше будь что будет. Самым простым (выгодным, if you know what i mean) решением было взять всё в свои руки и помочь клиенту держать все в актуальном состоянии.


Аудит был похож на экспертизы, которые мы привыкли видеть в России (чаще всего это ISO 27001), но, на всякий случай, по порядку.

Сначала оформляется заявка в TPN на аудит. Далее присылаются опросники, о которых мы говорили ранее. После того, как их заполнили и отправили (само собой предварительно реализовав все требования), TPN определяет аудитора (нам достался Алекс из Лондона). Первое, что он сделал, это запросил перечень разработанной документации на английском (однако стандарт не требует разработку документов на английском языке). Как оказалось, план был такой: специалист по составу и названиям поймет, насколько это соответствует лучшим практикам, а уже при очной ставке расспросит, что в них написано. Так как проверка документов была основана, по сути, на нашем красноречии, Алекс сделал большой упор на техническую сторону вопроса: были проверены все настройки сетевого оборудования, продемонстрирован ход работы каждого бизнес-процесса, проверен харденинг выборочных машин из каждого сегмента сети, была даже проверена история браузеров на ПК, у которых нет доступа в интернет. Также много внимания было уделено вопросу видеонаблюдения, пропускного режима и пр.

На обеде аудитор расслабился и рассказал, что аудитор не основная его профессия, он руководит такой же компанией, работающей с медиа-контентом. Аудит это хобби и некоторый дополнительный доход (конечно же Алекс прошел все требуемые экзамены для получения данного статуса).

В отличие от того же ISO 27001, где наличие сертификата позволяет декларировать соответствие требованиям стандарта (ни в коем случае не полную защищенность), в MPAA/TPN результаты аудита фиксируются на портале TPN, и на нем же будет указано, каким именно образом реализовано то или иное требование, чтобы будущий контрагент мог лично определиться, достаточен ли набор мер для работы с ними или стоит призадуматься.

В целом, это была привычная работа подготовки к аудиту. Но мы получили массу удовольствия, разбираясь в такой, как оказалось, интересной индустрии производство и распространение медиаконтента. Теперь мы уверены, что у заказчика всё под контролем и никто (кроме человека в худи и с непрозрачным контейнером) не сможет увидеть киноновинку раньше времени.

Буду рад ответить на вопросы в комментариях.

Хотите у нас работать?

Подробнее..
Категории: Информационная безопасность , It-стандарты , Блог компании гк ланит , Ланит , Кино , Creative commons , Ланит-интеграция , Аудит , Аудит безопасности , Индустрия кино

Какие проблемы может выявить аудит прав доступа и что с этим делать

21.01.2021 10:23:56 | Автор: admin
Управление доступом один из самых непростых моментов в любой немаленькой компании. Для того чтобы все было по уму, должна быть налажена совместная работа между ИТ-отделами, подразделениями безопасности, кадровиками и руководителями групп и подразделений. И без аудита прав доступа здесь не обойтись. Он может быть как внутренним, так и внешним. Очевидно, что проблемы лучше выявить и устранить на этапе собственной проверки, чем потом получить по голове от регулятора или доиграться до утечки информации либо другого крупного инцидента.

В этой статье я расскажу о том, какие проблемы можно выявить при аудите прав доступа в компании и как можно упростить себе жизнь с помощью современных IdM/IGA-решений (Identity Management/Identity Governance and Administration).



Нарушения есть? А если найду?


Изначально термин аудит применялся в бухгалтерской деятельности и финансовой отчетности. Вообще, история его появления уходит корнями вглубь веков для особых гурманов, мы завернули ее
сюда
Слово аудит произошло от латинского audit слушает этот термин родился от публичного заслушивания отчётов о какой-либо деятельности и его одобрения слушателями. Потребность в таких слушаниях возникла очень давно, еще на заре товарно-денежных отношений.

Когда-то в средние века в Европе одни купцы (которые занимались торговлей и продавали свои товары жителям городов и деревень) просили третью сторону проверить бухгалтерские книги других купцов, чтобы засвидетельствовать их добросовестность и определить, можно ли с ними вступать в торговые отношения.



Суть аудитов не слишком изменилась с тех времён. Как говорит нам современный Вики-словарь: Аудиторская проверка процедура независимой проверки и оценки отчётности, данных учёта и деятельности организации, а также системы, процесса, проекта или продукта.

Со временем термин проник и в другие сферы, в том числе в ИТ в целом и информационную безопасность в частности; есть специально разработанные стандарты для отделов информационных технологий в любой организации. COBIT пакет международных и национальных стандартов и руководств в области управления IT и аудита IT-безопасности. Европейский стандарт GDPR, охватывающий широкий спектр вопросов безопасности и защиты данных. Международный стандарт безопасности данных индустрии платежных карт PCI DSS и т. д. Уровень соответствия таким стандартам можно установить с помощью аудита.

Аудиты, как я уже сказала, могут быть внутренними и внешними. Внутренние проводят сами сотрудники компании, чтобы оценить риски, связанные с соблюдением требований, а также определить, следует ли компания внутренним разработанным стандартам. Внешние аудиты это проверки, которые проводят независимые организации. Отчеты показывают, насколько компания соблюдает государственные, федеральные или отраслевые нормативные акты, правила и стандарты. Заключение внешнего аудитора может содержать рекомендации или предписания, оценку возможных штрафов за несоблюдение требований.

Одна компания может проходить до нескольких десятков аудиторских проверок в год. И бизнес-, и ИТ-, и ИБ-подразделения вынуждены выделять большое количество ресурсов для их прохождения, а потом для устранения выявленных проблем. В идеале необходимо выстроить дальнейшие процессы так, чтобы к следующему аудиту не осталось прежних замечаний.

Зачем нужен аудит прав доступа


Но вернемся наконец от общего к частному. Когда процессы управления доступом организованы эффективно, они, как правило, остаются незаметными для тех, кто в них не участвует. Но, как только что-то идет не так, проблема с управлением доступом может оказаться в центре внимания. Поэтому очень важно проанализировать все составляющие процесса вовремя и сделать выводы, чтобы всегда была возможность улучшить ситуацию.

Аудит и отчетность это не только про обязаловку и контроль ради контроля. Они все-таки имеют ценность с точки зрения безопасности, поскольку направлены на соответствие требованиям и стандартам в любой информационной среде. Аудит позволяет выявить аномалии, контролировать доступ пользователей и выбирать правильные инструменты для обеспечения бесперебойной работы.

В каждой компании есть бизнес-процессы, направленные на создание продукта или услуги, а также политики (поведенческие модели), направленные на достижение результата. Аудит призван выявить отклонения от действующей политики и помочь принять меры, которые предотвратят негативные последствия. Иными словами, цель аудита найти и исправить слабые места, прежде чем кто-то их сможет использовать.

В крупной компании, где множество информационных систем и постоянно меняющаяся среда, проведение аудитов довольно сложная задача. В ручном режиме сделать это практически невозможно, потому что нужно проанализировать огромные объемы информации.

Какие проблемы можно выявить с помощью аудита


Аудит прав доступа вскрывает проблемы как очевидные, так и не очень. Помимо истории с комплаенсом и регуляторами, в тех или иных условиях обнаруженные слабые места могут угрожать информационной безопасности и бизнес-процессам в компании. Пройдемся по списку.

Незаблокированные учетные записи


Ручное управление доступом и редкий аудит приводят к избыточному доступу к данным. Одна из частых причин возникновения инцидентов ИБ незаблокированные вовремя учетки сотрудников, покинувших компанию. Объяснений может быть несколько. Например, проходит слишком много времени от момента увольнения до получения админом указания о блокировке. В некоторых компаниях до сих пор используют обходной лист: пока он гуляет по всем подразделениям, проходит около недели и больше. В других компаниях оформить заявку на прекращение доступа должен руководитель, но пока он выделит на это время, пока заявка отстоит в очереди в ИТ-отдел Иногда учетные записи так и остаются активными, о них просто забывают. А всплывает это только во время аудита или еще хуже при расследовании инцидента ИБ.

Накопление прав


При изменении штатной позиции сотрудник, перешедший на новую должность, запрашивает новые права в информационной системе, а старые права не удаляются, их по-прежнему можно использовать. Бывает, когда сотруднику дали повышенные привилегии на время, например, на период отпуска руководителя, а удалить забыли. Это может приводить к печальным последствиям от утечки важной конфиденциальной информации до злонамеренных действий с использованием повышенных и вовремя не удаленных прав. По статистике, бывшие сотрудники и смена подразделений это ключевые зоны риска. Иногда дело заканчивается даже уголовными делами: например, в 2015 году, как сообщил портал Banki.ru, бывший сотрудник страховой компании АльфаСтрахование получил два года условно за то, что воспользовался доступом к корпоративной системе после увольнения, скачал базу данных заключенных договоров и передал ее посреднику для перепродажи.

Бесхозные учетные записи


Это те учетки, которые дают доступ к корпоративным системам, службам и приложениям, но не имеют реального владельца. Кроме учетных записей уволенных сотрудников сюда относятся технические, тестовые и другие учетки, которые не закреплены за конкретным сотрудником. Если проверки проводятся нерегулярно, в крупных компаниях выявляются сотни подобных аккаунтов. И вот почему это плохо:

  • Они дают доступ к почтовым ящикам, к учетным данным приложений, к конфиденциальной информации, и бывшие владельцы учетных записей или злоумышленники могут добраться до ценных ресурсов и нанести вред компании.
  • Иногда они функционируют, когда это уже не требуется, и потребляют ресурсы или пропускную способность. Такая проблема особенно часто возникает с техническими учетными записями определенных служб. Несколько приложений могут продолжать использовать бесхозную учетную запись из-за ошибки или неправильной конфигурации. Например, когда из-под технической учётки регулярно стартует задание: выгружает из центральной системы на клиентский сервер большой массив данных, которые когда-то были актуальны для обработки и аналитики, но со временем эту актуальность потеряли или были заменены на другие инструменты. Но задание так и продолжает молотить ежедневно, съедая ценные ресурсы и перегружая систему.
  • Бесхозная учетная запись, когда под ней долгое время никто не работает, выпадает из поля зрения действующей политики и требований безопасности. Требования не применяются к ней и не обновляются. Например, у такой учетки может оказаться слабый или скомпрометированный пароль.
  • Бесхозные учетки часто используются совместно несколькими сотрудниками. Это повышает риск несанкционированного доступа, а идентифицировать того, кто нанес вред компании, порой просто невозможно.

Слабые пароли и их ненадежное хранение


По данным свежего исследования Ростелеком-Солар, около 80% компаний не соблюдают базовых правил парольной защиты. При проведении тестирования специалистам удалось получить администраторские права практически в каждой компании, что открывает слишком широкие возможности для злоумышленника.

Когда в компании используется множество приложений и для каждого из них свой набор учетных данных и свои требования к паролям, процесс авторизации может быть длительным и не очень удобным для сотрудников. Поэтому, они часто записывают пароли и хранят в доступном месте, например, на приклеенных к рабочему месту стикерах, в блокнотах, на листке под клавиатурой и т. п., либо используют одинаковый пароль для входа в разные системы. Последнее приводит к тому, что все учетные данные сотрудника становятся уязвимыми, т. к. злоумышленнику достаточно узнать один пароль, чтобы получить доступ ко всем приложениям. Ну, и отдельная боль любого безопасника простые пароли, которые злоумышленник может подобрать меньше чем за минуту. Свежий пример взлом систем шведской компании Gunnebo AB, крупного производителя банковских сейфов и хранилищ. По данным издания SiliconAngle, причиной стал слабый пароль у одного из высокопоставленных сотрудников компании. В даркнет утекли схемы банковских систем защиты лакомый кусок для грабителей.

Небезопасное хранение данных на сетевых ресурсах


Каждая организация за годы эксплуатации систем генерирует огромные объемы информации, которые с течением времени только увеличиваются. По оценкам аналитической компании Gartner, как минимум 80% корпоративных данных являются неструктурированными. 7 из 10 пользователей имеют доступ к данным, которого у них быть не должно. Аудиторские проверки во многих компаниях выявляют следующее: конфиденциальная информация, которая хранится на файловых серверах, в облачных хранилищах, на корпоративных порталах, в общих ящиках электронной почты и т. д., не защищена и доступна множеству сотрудников. А это может привести к серьезным инцидентам ИБ: личные данные клиентов и сотрудников, коммерческие предложения, закрытые исследования и прочие секретные сведения могут быть украдены. Кроме того, в некоторых случаях хранение данных должно соответствовать законодательству (например, персональные данные) или стандартам (например, PCI DSS).

Несанкционированный доступ


Часто аудиторы просят продемонстрировать, что пользователю были предоставлены та или иная учетная запись и права в информационной системе на основании утвержденной политики. То есть необходимо показать, что это была автоматизированная процедура или запрос в системе самообслуживания, кем были подтверждены/согласованы такие права, были ли учтены правила разделения обязанностей SoD, какими средствами запрос был исполнен и др. По сути нужна вся сохраненная история по всем этапам таких процессов. Подобные вопросы могут поставить в тупик сотрудников ИТ- и ИБ-подразделений, потому что нередко такую информацию очень сложно найти либо она вообще не сохраняется.

Используем решения класса IdM/IGA


Самое очевидное, что мы можем сделать со сбоящими в ручном режиме процессами, автоматизировать их. Контролировать процессы управления доступом, обеспечивать соблюдение политик и процедур позволяет система класса IdM или IGA. Она получает кадровую информацию о работниках компании и автоматически управляет их учетными записями и правами во всех подключенных системах на основании действующей политики. Давайте снова пройдемся по списку проблем, которые можно выявить при аудите, и я расскажу, как их решает автоматизированная система управления правами доступа.

Проблема с незаблокированными учетками решается автоматической блокировкой. Она происходит моментально, как только увольнение зафиксировано в отделе кадров. Кстати, для ряда компаний, особенно финансовых, это одно из требований регуляторов, например, в части соблюдения стандарта PSI DSS (немедленный отзыв доступа для уволенных работников и необходимость деактивации неактивных пользовательских аккаунтов по истечении 90 дней).



При смене штатной позиции сотрудника решения класса IdM/IGA автоматически активируют процедуру пересмотра прав и смены полномочий. В случае с предоставлением временных прав система предупреждает о том, что срок временного доступа скоро истечет, а потом в нужный момент блокирует его. Так мы решаем вопрос с накоплением прав.

Если говорить о бесхозных учетках, то эту проблему система решает их автоматическим выявлением и возможностью назначить ответственного за ту или иную учетную запись. А при его увольнении решение класса IGA может сигнализировать о необходимости блокировки или смены ответственного.

Проблема простых паролей и их ненадежного хранения также может быть решена с помощью системы управления доступом. Она включает функциональные модули, которые определяют, как сотрудники могут использовать программное обеспечение. Такие системы способны полностью автоматизировать создание идентификаторов на крупном предприятии и ввести централизованную парольную политику для всех подключенных систем или контролировать выполнение отдельных политик для конкретных приложений.



Подключая дополнительные модули, мы можем вообще отказаться от кучи паролей, на радость сотрудникам. Например, служба аутентификации SSO (Single Sign-On) позволяет использовать один набор учетных данных для входа в несколько приложений. Система сама автоматически подставит сложные и безопасные пароли в нужное время и будет хранить их в секрете даже от самого пользователя. Если применять альтернативные средства аутентификации (смарт-карты, биометрию и т. п.), можно полностью отказаться от использования паролей самим сотрудником. А безопасность при этом не пострадает.

Решение класса IdM/IGA в комплексе с системами класса DAG (Data Access Governance) помогут разобраться с небезопасным хранением больших объемов неструктурированных данных, точнее, упорядочат сами данные и контроль за ними. Комплексные решения позволят выявить и категоризировать данные, обнаружить конфиденциальные и наиболее ценные для компании активы, а автоматизированные средства позволят проводить регулярный пересмотр прав доступа к ресурсам и отзыв прав у тех, кто в таком доступе не нуждается. Благодаря постоянному мониторингу пользователей, получающих доступ к критичным данным, мы сможем на ранней стадии выявлять угрозы, обнаруживать утечки и реагировать на них.

Автоматизированная система IdM/IGA способна решить проблему с несанкционированным доступом, внеся определенный вклад в приведение корпоративных систем в соответствие требованиям регуляторов. Сразу скажу, это не панацея, но одна из возможных составляющих решения задачи. Как это может помочь:

Во-первых, можно в любой момент получить исчерпывающую информацию о правах сотрудников или партнеров в информационных системах компании, включая всю историю изменений и ответственных за это специалистов.

Во-вторых, решения класса IdM/IGA позволяют безопасно разграничивать доступ на основании использования ролевой модели. То есть базовый доступ для сотрудников каждого отдела, управления, департамента и т. п. предоставляется на основании заранее определенных ролей. С помощью автоматизированной системы можно поддерживать и легко модифицировать ролевую модель при изменениях структуры компании или функционала сотрудника. Регулярные пересмотры прав доступа позволяют избежать накопления излишних прав и поддерживать их в актуальном состоянии. С помощью матрицы конфликтов полномочий (ролей) SoD (см. скриншот ниже) можно настроить различные сценарии реагирования на совмещение критичных прав.



Кроме того, система автоматически фиксирует отклонения от утвержденной модели доступа (предоставление прав в обход централизованной системы управления доступом), регистрирует нарушение и предлагает принять меры. Все заявки через систему самообслуживания проходят согласование по заранее утвержденным маршрутам, и система хранит всю историю по предоставлению и изменению прав.

Выводы


Автоматизация это возможность избавиться от ручных процессов, которые мешают следовать стратегии по управлению доступом. Подразделениям безопасности будет проще обрабатывать постоянно растущие и меняющиеся наборы данных и вовремя реагировать на угрозы безопасности по мере их возникновения.

Когда мы переводим процедуры управления доступом в автоматический режим, повышается уровень соответствия внутренним политикам организации и требованиям регуляторов. А затраты на поддержание этого уровня снижаются. И тогда никакие аудиторские проверки будут не страшны.

Автор: Людмила Севастьянова, менеджер по продвижению Solar inRights
Подробнее..
Категории: Информационная безопасность , It-инфраструктура , Управление проектами , Софт , Блог компании ростелеком-солар , Управление доступом , Idm , Права доступа , Учётные записи , Аудит , Несанкционированный доступ , Слабые пароли , Требования регуляторов

Особенности подготовки и прохождения международных аудитов безопасности

01.03.2021 10:14:41 | Автор: admin

В данной статье я хочу описать основные этапы подготовки к аудиту безопасности. Чаще всего это аудит соответствия стандартам безопасности серииISO(27***) илиPCIDSS, либо выполнение требований соответствияGDPR.

Мой опыт в области информационной безопасности 12 лет. За это время мной были выполнены проекты с десятками компаний из США, Британии, Китая, России, Украины и стран Европы. Клиентами были как крупные процессинговые центры и банки, так и ИТ компании разной специализации. Результаты внедрения оценивалиPWC(Hongkong),VISA(USA),Deloitte(UKR) и успешно подтвердили соответствие требованиям, о чем можно посмотреть в рекомендательных письмах насайтеи отзывах в профилеLinkedin.

Надеюсь, что мой опыт проведения аудитов, консалтинга и курирование проектов по приведению компаний в соответствие требованиям стандартаPCIDSS,VISA&MASTERCARDSecurityпоможет мне простыми словами донести полезную информацию до читателей.

Накопившийся опыт и знания, наблюдения и замечания я бы хотел выразить в данной статье на примере подготовки к аудиту соответствия стандартуPCIDSS. Все высказанное в данной статье может значительно отличатся от мнений других аудиторов и консультантов, официальной позицииPCISecurityStandardsCouncilи других источников. Я не предлагаю неукоснительно следовать всему, о чем будет идти речь. Это всего лишь информация для принятия Вами собственных решений. Надеюсь, она будет полезной для читателей.

Итак, с чего же начинается и как проходит аудит?
Все начинается даже не с подписания договора на аудит или пред аудит. Все начинается с решения компании (чаще директора или менеджера) о необходимости прохождения аудита.

И тут есть два варианта развития событий: аудит необходимо пройти по требованию клиентов или платежных систем, что бывает чаще, либо аудит инициируется и отстаивается перед директором компании (главой правления, материнской компанией) начальником отдела информационной безопасности (ИБ) или менеджером - реже. В первом случае аудит спускается как Божья кара на сотрудников ИТ и ИБ подразделений, так как дополнительной работы добавится, в должностных инструкциях ее может и не быть, а зарплата остается на прежнем уровне. Тут все зависит от коллектива, руководителя ИБ и конкретной компании. Если коллектив удастся мотивировать, чем это уже вопрос менеджмента и к данной статье не относится, то результат, безусловно, будет. Результат будет, даже в том случае если персонал будет не мотивирован, но применяться будет уже иной метод метод кнута. Но вот трудностей возникнет больше.

По-иному обстоят дела, если инициатором выступает руководитель отдела ИБ. В таком случае с высокой долей вероятности процессы так или иначе уже соответствуют требованиям стандарта. Документация подготовлена, архитектура в корне не противоречит требованиям стандарта, начальник ИБ понимает, зачем это нужно. А раз он инициирует, значит, понимает пользу для себя и для отдела. И сможет донести до подчиненных (скорее всего, уже донес) необходимость, а также найти понимание (в идеале поддержку) у отдела ИТ.

Если компания, которая будет выполнять аудит не спущена сверху руководством, то стоит пообщаться с коллегами, которые уже взаимодействовали с аудиторами из данной компании. При этом выбирать стоит не только компанию, но и аудитора, который будет его проводить. Так как именно этому человеку Вам необходимо будет доказать (именно доказать), что Вы соответствуете всем пунктам стандарта. Кроме того, целесообразно спросить данный вопрос у консультанта, который будет внедрять процессы в Компании, если таковой будет привлечен. Так как, вероятно, у него тоже есть свое представление об аудиторах и аудиторских компаниях на рынке, кроме того, прохождение аудита после подготовки это и его часть ответственности, которую стоит с ним разделить. В зависимости от Ваших целей, которые могут быть абсолютно разными от получения бумажки о соответствии до полного приведения всех процессов в соответствие пунктам стандарта необходимо и выбирать компанию и аудитора. Но стоит иметь в виду, что самые компетентные специалисты самые дотошные. Они дают самые лучшие консультации в рамках аудита, но требуют от Вас очень высокого общего уровня соответствия. Это как нежелание закрывая глаза на недочеты, подвергать риску свою репутацию, так и просто неприемлемость принятия работ низкого качества. Безусловно, и они подвергаются давлению как с вашей стороны, как заказчика, так и со стороны собственного руководства. Но данный класс экспертов больше хотят делать качественную работу, чем играть в корпоративные игры.

Также, не стоит забывать, что вы можете как сами готовиться к аудиту, так и привлечь профильного специалиста для подготовки. Это может быть как сотрудник в штате, так и внешний консультант. Преимущество сотрудника в штате то, что вероятно данный человек будет выполнять дополнительные функции в рамках задач безопасности вне активных фаз ежегодного аудита, а также всецело отдавать себя процессам и инфраструктуре компании.

Преимущества консультанта профильная специализация именно по требуемому стандарту, минимизация затрат путем оплаты за конкретные задачи и часы и высокая скорость подготовки к аудиту. Каждый из вариантов имеет свои плюсы и важные особенности в зависимости от компании, требований к срокам аудита, бюджету и пр., которые стоит оценить перед началом проекта.

Если есть необходимость пройти аудит, а не построить процессы (заранее говорю, что часть требованийPCIDSSособенно в части документирования процессов тормозит работу самих бизнес-процессов). То лучше обратится к маленькому локальному игроку рынка. Аудиторы такой компании, как правило, более лояльны к формам реализации требованийPCIDSS. Если же хочется получить не только толстый отчет, но и консалтинг в рамках его проведения то однозначной рекомендации нет. Выбирайте именно аудитора. Если же нужен красивый отчет с печатью известной компании выбор очевиден, международная известная компания. Окончательный выбор только за Вами.

В рамках данной статьи не будет рассматриваться вопрос, по какой версии проводить аудит, так как стандарт развивается и его версии меняются. Сейчас актуальной версией является версияPCIDSS3.2.1 но готовится к выходу версияPCI DSS4.0.

Если не планируется привлекать профильного специалиста или консультанта на этапе подготовки, то проводить внутренний аудит придется собственными силами. Результатом аудита должен стать не отчет, а согласованный план-график устранения несоответствий (пример таблицы аудита, разделов отчета и плана графика приведен в Приложениях 1-3).

Приложение 1

Приложение 2

Приложение 3

И вот для того, чтобы получить данный план, необходимо провести детальный анализ инфраструктуры, документации, процессов и интервьюирование персонала. Выполнение данной задачи позволит понять уровень зрелости процессов компания и выявить самые большие прорехи.
Основные моменты, на которые стоит обратить внимание в рамках устранения несоответствий можно разделить на следующие:
1.Подготовка либо внесение изменений в регуляторные документы.
2.Подготовка актов, реестров, планов тестирования и иной отчетности.
3.Модернизация и внесение изменений в конфигурацию систем и ПО.
4.Проведение внутренних и внешних сетевых сканирований и обработка их результатов.
5.Проведение тестов на проникновение.
6.Проведение обучений и тестирование планов реагирования.
7.Анализ прав доступа в логических и физических системах.

Стоит быть готовым к тому, что, как и любое изменение бизнес-процессов, изменения вносимые в рамках приведения компании к соответствиюPCIDSSмогут встречать ожесточенное сопротивление со стороны руководителей отделов и остального персонала. Для нивелирования данного эффекта, рекомендую комплексный подход. А именно:
- Поддержку вашей позиции руководством и доведение его мнения до персонала.
- Выделение части времени персонала на задачиPCIDSSпо указанию руководства.
- Проведение совместных совещаний с руководителями отделов для донесения сути стандарта и предполагаемых проверок.
- Ознакомительные рассылки для персонала.
- Непрямая мотивация: сувениры по теме ИБ, конкурсы, плакаты, заставки.

Думаю, не стоит говорить, что нет компании, в которой бы абсолютно все было без нарушений. На то есть разные причины: слишком большие затраты на выполнение требований, нарушение или разрушение реальных бизнес-процессов при исполнении требований, исторически сложившиеся процессы. И тут все зависит от того, что покажут аудитору или, что он увидит или найдет. Опять-таки не стоит забывать о возможности применения компенсационных мер.
В случае отсутствия возможности привлечения профильного консультанта, при подготовке к аудиту, безусловно, необходим человек компетентный в области аудита и стандартов, или тот, кто быстро может стать таковым (специалист смежной сферы). Так как аудиторам и представителям компании крайне желательно понимать друг друга, обладать высоким уровнем компетенций в сфере, подлежащей аудиту. Когда проектом по прохождению аудита соответствия руководит не мотивированный и некомпетентный в вопросах проектного менеджмента и стандартов ИБ человек, вероятность его успешного прохождения сильно уменьшается, а сроки и бюджет проекта, наоборот увеличиваются. Исключение могут составлять случаи, когда за все уплачено заранее. Но в таком случае, наверное, даже не стоит вести сам проект.

Поговорим более детально по перечисленным ранее пунктам.

1.При разработке и редактировании документов используется очень простой принцип. Необходимо, чтобы все процессы, подлежащие документированию в рамках требованийPCIDSS, были документированы.
Из нюансов рекомендую обратить внимание, что это чревато тем, что большинство процессов так и останутся только на бумаге. Прописывая, тот или иной процесс в документах думайте, как он будет выполняться персоналом. Как это ни банально, но это действительно важно.
2.Достаточно длинный перечень ежемесячных, ежеквартальных и прочих актов должен готовиться сотрудниками компании. Если прибавить к этому актуализацию реестров, планов, анализ и обработка результатов сканирования и обработку рисков, а также документацию по реагированию на инциденты, то стопка за год, может быть толще качественной кирпичной кладки (хотя возможно, что и в электронной форме). Нужно понимать, что лучше готовить ее на протяжении года. Хотя часто ее делают непосредственно перед аудитом. Тут уже вопрос корректности процессов. В конце концов, все направлено на повышение уровня безопасности и логичнее все делать вовремя. Ведь все равно делать придется.
3.Системы требуют постоянных обновлений, изменения настроек и параметров конфигураций. Для этого необходимо иметь в штате компетентных специалистов, отслеживать частоту и правильность установки обновлений. Соответствие паспортам конфигураций. Это периодическая и очень затратная по времени часть работ. Кстати, это можно автоматизировать. Я писал об этом, когда рассматривал вопрос Построение процессов управления уязвимостями и соответствиемтут.
4.Для проведения внутренних сканирований достаточно использовать любой более-менее качественный сетевой сканер с последними обновлениями. И разворачивать целый комплекс по управлению сетевыми уязвимостями в рамках соответствияPCIDSSсовсем не обязательно.А вот что обязательно это обработка результатов сканирования. Все уязвимости, которые немогут быть устранены должны быть проанализированы. И если уязвимость обнаружена не ошибочно, для нее должны быть разработаны и внедрены компенсационные меры.
Что же касается ежеквартального сканирования внешнего периметра (ASV) то достаточно просто купить лицензию на необходимое количествоIPC28Cи проводить 4 раза в год сканирование самостоятельно. Естественно это для тех случаев, когда у Вас нет уязвимостей в сканируемой инфраструктуре. А их не должно быть.
5.C29CВ рамках подготовки к тесту на проникновение по приоритетности я бы выделил следующие особенности:
- Донесение до сотрудников компании, что можно, а чего делать нельзя.
- Контроль мест хранения карточных данных.
- Обновление систем.
Именно в этой последовательности, как правило, возникают проблемы в рамках теста на проникновение.
6.C30CОбучение сотрудников является неотъемлемой частью улучшения безопасности. Но вот если у вас не все процессы, прописанные на бумаге, работают в действительности, то это как раз возможность рассказать сотрудникам кому и как они должны отвечать на вопросы. Чтобы в рамках интервьюирования сотрудников не выяснилось, что далеко не все процессы, отраженные на бумаге, используются в действительности.
Что касается планов реагирования, то если за текущий отчетный период они применялись нужно подготовить свидетельства. В противном случае провести тестирование планов реагирования по результатам - составить акты.
7.C31CТакже обязательно контролировать доступ пользователей к системам. При этом если это выполняется сугубо для галочки, то так тому и быть. Но если Вы хотите наладить процессы и обеспечить реальный процесс разграничения доступа, то сначала нужно строить процесс, а потом проводить аудит. А не наоборот. Так как при неработающем процессе у Вас очень быстро все вернется на круги своя и усилия будут напрасны.C32C

Особое внимание хотелось бы уделить планированию работ и контролю их выполнения. Думаю, что для каждого проекта актуален вопрос недостатка ресурсов. Аудит в этом плане, наверное, самый лучший пример. Так как ни для одного из привлеченных отделов(может быть за исключением отдела безопасности) проект не является приоритетным. А поскольку основные проекты для задействованных подразделений никто не планирует останавливать, то отношения ждите соответствующего. А если Вы не заручились поддержкой руководства в этом вопросе Но не будем о грустном.
Я являюсь сторонником ведения проектов по методологииPMBok, правда, позволяя себе сократить иногда количество отчетных бумажек. Данная методология позволяет корректно вести проекты и очень много вопросов, которые будут возникать у Вас в процессе ведения проекта уже предусмотрены заранее. Вот только если Вы с ней не знакомы, то потребуется время на ознакомление с ней и ее апробацию.
Какие бы ситуации не приходилось решать в рамках тех или иных проектов, это всегда немножко творчество. И еще опыт и крупицы знаний. Которые как раз можно почерпнуть в том числе, например из статей в профильной прессе. Я, например, почерпнул идеи из методологииSCRUM, которая к информационной безопасности и аудитам не имеет никакого отношения. Но пришлась как нельзя кстати.
Что касается несоответствий, то я бы рекомендовал относиться к найденным несоответствиям спокойно, если это не базовые несоответствия в архитектуре системы, недостатке оборудования, ПО или критичных, для компании процессах, которые ни коим образом не могут быть изменены.Во всех остальных случаях от аудитора можно получить разъяснение, а часто и совет как это исправить самым простым образом. Вот только времени и денег на это может потребоваться значительно больше, чем планировалось изначально. Потому, лучше воспользоваться услугами профильного специалиста заранее. Но тут не нужно забывать о человеческих качествах и отношениях между людьми.

Непосредственно перед проведением аудита обязательно необходимо собрать всех сотрудников, которые будут участвовать в интервьюировании и провести совещание, где уточнить основныемоменты предстоящего аудита и особенно обратить внимание на нюансы. Например, что администратору запрещается покидать рабочее место, не заблокировав компьютер при посторонних. На каждом аудите находится администратор, который выбегает, куда-то оставив при этом аудитора один на один с открытыми соединениями к подлежащим аудиту критичным серверам. Данное замечание не критично, и использовано как пример, но таких мелочей может накопиться достаточно много. Кроме того, обязательно согласуйте с коллегами, какую информацию не стоит разглашать аудитору ни в коем случае об этом выше. Так как, услышав хоть какое-то несоответствие, аудитор обязательно распутает клубок можете не сомневаться.
Перед аудитом будьте готовы к тому, что как бы вы все не планировали, вы не успеете устранить все несоответствия и выполнить все задачи, которые хотели к запланированным срокам. Так как в компании происходят непрерывные внесения изменений в системы, процессы, случаются авралы (обязательно в самый неподходящий момент), а сотрудникам кроме подготовки к аудиту нужно выполнять свои функциональные задачи. Рекомендую обязательно при планировании в зависимости от уровня зрелости процессов, загрузки сотрудников и своей сферы влияния закладывать от 10 до 35% дополнительного времени на риски.
Да вот еще, что касается решений, которые рекомендуют компании по результатам аудита. Нужно понимать, что как правило, компании, которые проводят аудит, имеют подразделения, которые занимаются внедрением определенных решений и систем. И можете не сомневаться, что независимо от их соответствия в полной мере вашим требованиям, рекомендовать к внедрению будут именно их. Просто имейте это виду. Ничего страшного в этом нет. Если подразделение компании обладает реально выполненными успешными проектами, а данное решение и цена за услуги вас устраивает смело соглашайтесь. Просто имейте виду, что не стоит слепо полагаться на рекомендации и внедрять дорогостоящие системы, чтобы пройти аудит и забыть о них до следующего года.
И еще. Не воспринимайте аудитора как врага. Воспринимайте его как союзника. Часто, результаты аудита могут показать руководству, что у вас действительно не хватает ресурсов, технологий или бюджета, и что это не вы сами придумали необходимость наличия бесполезных игрушек для ИТ или ИБ. Смело говорите об этом аудитору, пусть пишет в отчете. Но помните, такое можно говорить при предварительном аудите или экспертном аудите, но уж никак не как несоответствие, на сертификационном. Так как в противном случае сертификата соответствия, вы можете и не увидеть. А руководство вместо дополнительных ресурсов и бюджета может наградить вас выговором или и вовсе уволить, за плохую работу и провал сроков проекта.
В целом могу сказать, что подготовка компании к аудиту на предмет соответствия требованиям стандартаPCIDSS(впрочем, как и любого иного) требует четкого планирования, упорства и выдержки. А также умения балансировать между документированными требованиями стандарта и их внедрения таким образом, чтобы они минимально влияли на работающие процессы в компании, при этом повышая их реальную безопасность.

Если у вас возникли вопросы, то вы всегда можете их задать, написав мне напочту.

Актуальнуюиполезную информацию поPCIDSSможно найтина сайте.

Подробнее..
Категории: Информационная безопасность , Gdpr , Аудит , Iso , Pci dss 3.2.1

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru