Статья

Аудит изменений ИТ-инфраструктуры: работаем с NetWrix

Безопасность Инфраструктура Стратегия безопасности Администратору SMB Безопасность
мобильная версия

Если представить здание информационной безопасности современной организации стоящим на трех китах, то этими китами должны быть системы управления рисками, соответствием и изменениями – со всеми своими процессами, их организационными и техническими составляющими и разнообразными сложными взаимосвязями между ними. Первые две из перечисленных систем, используя риск-ориентированный подход, нормативную базу и передовой опыт, задают уровень защищенности информационных активов организации, в то время как третья обеспечивает сохранение и поддержание этого уровня, благодаря чему система управления информационной безопасностью организации (СУИБ) имеет возможность находиться в относительно стабильном состоянии.

Источники угроз

В современном быстро меняющемся мире развитие информационных технологий приводит к тому, что происходящие с компаниями изменения становятся серьезным вызовом их безопасности. Такие явления, как слияния и поглощения, текучка кадров, вывод на рынок новых продуктов и услуг и связанное с этим изменение внутренних процессов угрожают снижением уровня защищенности активов.

Взаимосвязь ИТ-процессов (ISO/IEC 20000)

Источник: GlobalTrust, 2012

Одной из основных причин инцидентов в сфере информационной безопасности являются изменения, влияющие на ИТ-инфраструктуру. Этому способствуют такие факторы, как недостаточная готовность или адаптируемость персонала к изменениям, вечная нехватка ресурсов, недостаточная обученность персонала работе с новыми технологиями, слабый анализ воздействия изменений и т. п.

Управление изменениями, помимо организационной составляющей, определяемой корпоративной политикой, процедурами, стандартами, компетенциями, ответственностью персонала и прочим, включает не менее важную технологическую составляющую, связанную с использованием современных программных и аппаратных средств, предназначенных для фиксации и анализа изменений, предотвращения нежелательных изменений и восстановления после таких изменений.

В данной статье основные технологические аспекты управления изменениями рассматриваются на примере комплекса программного обеспечения компании NetWrix, предназначенного для аудита изменений. Не менее важным вопросом также является то, каким образом и в какой степени данная продуктовая линейка может использоваться для обеспечения соответствия нормативным требованиям РФ в области информационной безопасности.

Аудит изменений и жизненный цикл систем менеджмента

Важное место аудит изменений занимает в жизненном цикле систем менеджмента ИТ-сервисов, построенных на базе ISO 20000, и систем менеджмента информационной безопасности, построенных на базе ISO 27001. В рамках используемого данными системами цикла Деминга на стадии "Проверка" среди прочих вопросов требуется осуществлять аудит изменений, влияющих на обеспечение соответствия законодательству и отраслевому регулированию, внутренним политикам и процедурам. Управление изменениями также входит в указанные стандарты и как отдельный процесс. Помимо этого, процесс управления изменениями лежит в основе многих других процессов, таких как управление инцидентами и непрерывностью бизнеса, контроль и восстановление целостности, обнаружение и предотвращение вторжений.

    Функции средств управления событиями безопасности и аудита изменений
  • централизованный аудит, анализ и корреляция событий безопасности,
  • поиск, фильтрация событий и подготовка отчетов об изменениях,
  • различные формы уведомлений о событиях безопасности, инцидентах и критичных изменениях ИТ-инфраструктуры, состава и конфигурации программных и аппаратных средств,
  • архивирование событий безопасности,
  • резервное копирование, восстановление данных и конфигурационной информации,
  • сохранение контрольных точек и откат изменений.

Аудит изменений позволяет не только проводить полноценное расследование инцидентов безопасности, но и повышает ответственность персонала за свои действия, предоставляет возможность многократного контроля вносимых изменений со стороны различных должностных лиц, а также согласование и утверждение изменений. Это снижает вероятность экспертных ошибок и уменьшает проявления "человеческого фактора". В то же время, управление изменениями служит не только целям информационной безопасности. Как показано на рисунке, оно является одним из центральных процессов в управлении ИТ-инфраструктурой и услугами.

NetWrix: ответы на вопросы

В качестве одного из многочисленных примеров, подчеркивающих важность аудита изменений, можно привести утечку корпоративной переписки крупной компании из почтового ящика одного из сотрудников. При расследовании не удалось установить, кто это сделал и когда. Во-первых, не велся журнал доступа (из-за его большого размера). Во-вторых, регистрация была возможна только по IP-адресу, но из-за динамической модели распределения внутренних IP-адресов утрачивался смысл регистрации и т. д.

Подобного рода проблемы решаются путем применения целого комплекса специализированных средств аудита изменений, подобно тем, которые разрабатывает американская компания NetWrix. Для различных систем и приложений эти продукты дают конкретные ответы на вопросы: кто получал доступ к почтовому ящику другого пользователя в MS Exchange, кто изменил права доступа к файлам и папкам, кто получал доступ к конфиденциальным файлам, кто удалил файлы с сервера, кто установил программное обеспечение и другие.

Решения компании NetWrix, кроме указанных выше возможностей, предлагают полный аудит всех изменений ИТ-инфраструктуры, построенной на базе MS Windows.

Аудит изменений позволяет получить ответы на четыре основных вопроса по каждому изменению: кто сделал изменение, что изменилось, когда и где сделаны изменения?

Помимо средств аудита изменений могут потребоваться программы для управления учетными записями пользователей и паролями. Эти задачи решают такие продукты, как Account Lockout Examiner, Inactive Users Tracker, Privileged Account Manager и Bulk Password Reset.

Как показывает проведенный компанией GlobalTrust анализ нормативных требований, данная продуктовая линейка обеспечивает выполнение значительного объема требований, предъявляемых к защите персональных данных, банковской и платежной информации, а также прочих видов конфиденциальной информации.

Обеспечение соответствия нормативным требованиям

Наибольшее значение управление изменениями приобретает в связи с необходимостью обеспечения соответствия законодательству и отраслевому регулированию. В первую очередь, за счет появления новых требований со стороны регуляторов и усиления их контроля, а также за счет влияния оглашаемых фактов нарушений нормативных требований на имидж и репутацию компании.

    Компоненты ИТ-инфраструктуры и продукты NetWrix
  • Active Directory (AD Change Reporter)
  • Group Policy (Group Policy Change Reporter)
  • Microsoft Exchange (Exchange Change Reporter)
  • Файловые сервера (EMC Celerra и File Server Change Reporter)
  • Виртуальные машины VMware и System Center Virtual Machine Manager (Change Reporter for VMware)
  • Конфигурация Windows (Server Configuration Change Reporter)
  • Сетевые устройства (Network Infrastructure Change Reporter)
  • Серверы SQL Server (SQL Server Change Reporter)
  • Серверы SharePoint (SharePoint Change Reporter)

Для российских компаний сегодня наиболее актуальны такие регулятивные документы, как международный стандарт на систему управления информационной безопасностью ISO 27001, стандарт Банка России СТО БР ИББС, стандарт в отношении пластиковых карт PCI-DSS и 152-ФЗ "О персональных данных".

Значительная часть требований нормативных документов реализуется средствами аудита изменений и управления ИТ-инфраструктурой NetWrix. В частности, они закрывают требования по доступу к платежной информации, идентификации и аутентификации пользователей, управлению паролями и учетными записями, управлению изменениями, расследованию инцидентов, контролю соответствия, управлению коммуникациями и операциями, регистрации и учету событий, обнаружению попыток несанкционированного доступа и многие другие.

Более подробный анализ соблюдения требований нормативов (по каждому из регулятивных документов) размещен на сайте NetWrix.

Михаил Пышкин, Александр Астахов