Чтобы соблюсти требования государственных и отраслевых регуляторов, компаниям приходится допускать к корпоративным информационным системам внешних специалистов.
Для осуществления своей деятельности аудиторы должны получить высокие привилегии в информационной системе проверяемой организации и, в результате, они имеют все возможности своими действиями навредить компании. В статье мы рассмотрим, как можно устранить эти риски техническими средствами, не препятствуя работе аудиторов.
2. Оценка безопасности может быть опасна
3. Готовим технические средства
Введение
Для работы бизнеса применяется много самых разных информационных систем. Начиная от повсеместно применяемых — таких, как, например, продукции компании 1C — и заканчивая изощренными технологическими системами с множеством компонентов. Обслуживание таких систем требует сил, времени подготовленных специалистов и координации с бизнес-процессами. Для этого иногда (на деле довольно часто) приходится допускать к работе со своей информационной системой внешних пользователей и администраторов. Это могут быть как сотрудники производителей ПО, аутсорсеров или системных интеграторов, так и, например, проверяющие из контролирующих служб или бизнес-аудиторы.
Иметь в каждой компании «на борту» весь спектр специалистов необходимой подготовки сложно и дорого, особенно в кризис. Своими силами выполнять все требуемые работы получается очень невыгодно. Часто приходится прибегать к услугам внешних специалистов как для настройки нового оборудования, так и для проверки безопасности настроек. При эксплуатации некоторых особенно сложных систем требование удаленного доступа со стороны производителя или системного интегратора иногда напрямую прописывается в контракте. И если собственных сотрудников компания может контролировать более-менее надежно, то контроль таких временных пользователей из внешних организаций затруднен.
Особенно затруднительно контролировать работу специалистов, которые проверяют защищенность информационных систем, — в некоторых требованиях регуляторов есть указание на использование внешних проверяющих. Они, для осуществления своей деятельности, должны получать довольно высокие привилегии в информационной системе проверяемой организации и, в результате, имеют все возможности своими действиями навредить компании, а отказаться от взаимодействия с ними на практике нереально.
Компетенции и знания предметной области проверяющих часто невысоки, компании вряд ли могут противодействовать их работе, а возместить убытки в случае какой-либо проблемы будет очень сложно. В то же время и не допускать проверяющих нельзя — они по закону имеют определенные права на доступ к информационной системе и знают об этом.
Оценка безопасности может быть опасна
Компании, которым часто приходится принимать проверяющих, постепенно задумываются о том, как именно организовать безопасную работу таких пользователей с высокими полномочиями. Мы рассмотрим варианты решений подобной проблемы на примере, рассказанного техническим экспертом компании «АйТи Бастион» Дмитрием Михеевым:
«У небольшого оператора связи возникла потребность в контроле действий аудиторов, которые проверяли защищенность узла связи. Поскольку такие проверки предписаны различными нормативными актами, то отказаться от них практически невозможно. В то же время, проверяющие приходят, как обычно, в самый неподходящий момент, приносят с собой свое серверное оборудование, подключают его к внутренней сети оператора и начинают проверки с помощью различных средств автоматизации. Понятно, что для службы ИТ-оператора это серьезная нагрузка как по организации подобного подключения, так и по самой процедуре, которая может нарушить работу операторских систем. И хотя виновно в нарушении работы будет принесенное проверяющими оборудование, отвечать придется оператору».
При этом, по мнению Дмитрия Михеева, у руководства оператора всегда остаются сомнения в том, что проверяющие могли не только проверить защищенность, но и оставить какие-нибудь закладки или обнаружить неизвестные уязвимости, которые в дальнейшем будут использовать для решения своих задач, как по службе, так и лично. Дело в том, что аудиторы для полноценной проверки требуют административные права в проверяемых системах, что позволяет им не только получать реальные конфигурационные файлы, но и предоставляет им возможность внести изменения. Поэтому руководство оператора, естественно, желало бы знать, что именно проверяющие делают, не может ли это навредить оперативной деятельности компании и не возникнет ли в дальнейшем проблем в результате действий аудиторов.
Готовим технические средства
Чтобы грамотно организовать подобные проверки, было решено не подключать внешние сервера аудиторов, а предоставить им в пользование собственное оборудование оператора с установленной в них виртуальной системой. В результате аудиторы предложили пользоваться не реальными серверами, а выделенными и полностью подконтрольными им виртуальными машинами — такая схема устроила всех и позволила сэкономить время на развертывании стенда. Виртуальные машины поверяющих находились в хранилищах данных и быстро разворачивались оттуда в случае прихода проверки. При этом самим проверяющим не нужно было привозить собственное оборудование, а только предоставлять виртуальные образы своих серверов.
Однако по-прежнему оставалась проблема контроля действий проверяющих, которые с помощью виртуальных машин также могли повредить важные информационные системы провайдера. Поэтому было принято решение установить в предоставляемую аудиторам виртуальную систему виртуальную машину, которая записывала бы все действия аудиторов. Это позволило специалистам оператора быть в курсе того, несколько корректны были действия проверяющих. А в случае аварии или другой конфликтной ситуации у провайдера появлялась возможность проанализировать действия аудиторов и определить их влияние на информационную систему оператора.
Чтобы отследить действия временных сотрудников и проверяющих, было принято решение использовать продукт для контроля привилегированных пользователей от компании Wallix. О нем можно прочитать в обзоре «Контроль действий ИТ-аутсорсеров при помощи Wallix AdminBastion».
К счастью, компания Wallix предоставляет возможность купить свой продукт не только в виде готового аппаратного решения, но и как виртуальную машину для гипервизоров VMware, Hyper-V и KVM (см. «Обзор Wallix AdminBastion 4.1»). Продукт позволяет контролировать подключения как к активному оборудованию, так и к серверам, в т. ч. работу с «толстых» клиентов. Кроме того, использование WAB позволило реализовать регламент по доступу к элементам инфраструктуры для внешних специалистов по поддержке. Такое решение в результате устроило все стороны и было развернуто для контроля действий проверяющих у оператора связи.
Выводы
Сейчас в России законодательство по управлению интернетом и коммуникационными сетями ужесточается. Это приводит к тому, что к операторам и провайдерам все чаще приходят проверяющие от различных регуляторов, которые желают выяснить, как соблюдаются законодательные требования. Контролировать действия таких аудиторов непросто, тем не менее вполне возможно использовать для этого системы с контролем действий привилегированных пользователей — такие, как ПО Wallix AdminBastion.