26 февраля, 2018, BIS Journal №1(28)/2018

Кто бреет брадобрея?


Михеев Дмитрий

технический директор ("АйТи БАСТИОН")

Наблюдения за использованием систем контроля действий администраторов

Не так давно я поймал себя на том, что опять провожу вечер, пытаясь разобраться в тексте федерального закона. Не то, чтобы я никогда этого не делал, но я вдруг понял, что в последнее время для ответа на возникающие вопросы наших уважаемых клиентов приходится заниматься этим регулярно, и чем дальше, тем чаще и подробнее. Такое время, такие особенности окружающей действительности. Какие еще особенности обратили на себя внимание за те несколько лет, что мы внедряем Систему контроля действий поставщиков услуг?

ЧИСЛО УЧАСТНИКОВ РАСТЕТ

В прошедшем 2017 году можно было увидеть, что в проектах заметно выросло число участников: к пользователям, администраторам и администраторам безопасности стали прибавляться исполнители-сотрудники, внешние специалисты от интеграторов, партнеры по сервису, служб мониторинга... Теперь еще некоторым придется принимать у себя плановых или внеплановых проверяющих в связи с ФЗ-187 о критически важных элементах информационной инфраструктуры.

В самом деле, если еще год назад 10-15 участников было вполне стандартным числом для проекта, то сейчас – это скорее несколько десятков или даже сотен живых людей.  С одной стороны, такое увеличение связано с вниманием регулирующих органов и законотворчеством последних лет. С другой, под контроль переходят крупные инфраструктурные узлы, целые датацентры.  Ну, и, наверное, так как мы говорим о крупном бизнесе, – на данную тенденцию влияет также и обоснованное желание управлять рисками, не полагаясь на моральные качества персонала.

МЕСТНАЯ ОСОБЕННОСТЬ

Об этом примерно было упомянуто в отчете Gartner о PAM системах 2016 года, но можно заметить местную культурную особенность. Западные коллеги говорят и пишут о массивных внедрениях PIM систем в облачных сервисах (например, на основе сервиса Azure), тогда как у нас это обычно внедрения на собственном оборудовании, на самый крайний случай – частные облака на собственных или сильно обособленных ресурсах. Например, в защищенных дата-центрах от крупных игроков рынка ИТ и безопасности.  Финансовых организаций это касается в первую очередь – очень немногие банки или страховые компании полагаются на внешние инфраструктуры в своей работе.

НОВЫЕ СИСТЕМЫ

Растущие объемы проектов не могут не радовать нас, как разработчиков системы, но надо понимать, что чем больше задач мы решаем, тем интереснее жить. Опять же, локальные культурные особенности добавляют радости каждый день, куда ж без них. Если раньше для систем виртуализации было два основных кандидата в виде VmWare и Hyper-V, то сейчас все больше крупных клиентов запускают виртуальные инфраструктуры на различных локализованных решениях, работающих на основе систем виртуализации KVM и других подобных. Это относится и к работе на этих платформах, и к управлению доступом к ним в целях контроля действий администраторов. В основном речь идет об окологосударственных компаниях, но и в банках мы наблюдаем эту тенденцию.

Похожая история с системами SIEM и другими – некоторые привычные и, казалось бы, вечные торговые марки пропадают из технических документов, заменяясь вдруг совсем новыми и незнакомыми, что требует определенных усилий по знакомству и интеграции с ними.

ДВОЙНОЙ-ТРОЙНОЙ-ВСТРЕЧНЫЙ КОНТРОЛЬ

Растущее внимание к задачам защиты ключевых систем ИТ и ИБ приводит к тому, что за одними и теми же администраторами идет контроль с нескольких решений, как шлюзовых, так и агентских, на уровне входа в ОС, на уровне DLP систем... Легкость внедрения и скорость работы иногда от таких эшелонированных защит, конечно, страдает.

К сожалению, надо быть готовыми к таким проблемам, теперь они тоже никуда от нас не уйдут.

Пару лет назад, на одном из проектов мы обнаружили, что сервисная компания и ее крупный заказчик внедрили каждый свою систему контроля действий администраторов и используют их для организации доступа сервисных инженеров к инфраструктуре, а также для того, чтобы со стороны сервисной компании контролировать реальную работу исполнителей и показатели SLA. Подобный встречный контроль позволил этим уважаемым компаниям также успешно разбирать рабочие конфликты по качеству обслуживания, что не может не радовать. Но, честно говоря, рассказывая потом на презентациях о данной ситуации, я до некоторой степени воспринимал ее как некоторый выброс, может, даже пример чрезмерного контроля и управления. Но в настоящее время с подобным запросом компании приходят на первые установочные встречи по задачам, связанным с управлением рисками внешнего доступа. И это уже видится как стандартное решение.

ТОТАЛЬНАЯ АВТОМАТИЗАЦИЯ

Еще один [m5] признак, по которому этот год отличается от предыдущих, - это желание повсеместной автоматизации.  Пожелания типа «а вот хочется, чтобы само, по заявке из сервис-деска, на «три зеленых свистка» все стало хорошо» были всегда, сколько существуют ИТ системы и системы безопасности. Но раньше было достаточно уверенно ответить: да, можно, есть программный интерфейс и т.д.  В этом году мы сделали для нескольких проектов в банковских организациях специальные доработки в процессе развертывания – чтобы процесс управления правами доступа администраторов был провязан через IdM систему и систему заявок, чтобы входы на виртуальные машины сразу после создания вставали под контроль действий уже по команде от ПО оркестратора виртуальной фермы.   По сути, можно сказать, что контроль действий администраторов занимает уже вполне уверенную позицию как один из стандартных механизмов обеспечения безопасности и управляемости ИТ инфраструктуры.

НОВЫЕ ЗАКОНЫ         

Разговор об ИТ безопасности сегодня не может обойти вопросы ответственности, в том числе, о соответствии требованиям регулирующих органов. Кроме уже действующего приказа 135 от 04.04.2016 Минкомсвязи, законов по защите ПдН, средств АСУТП и других законов по данной теме в ближайшее время вступят в силу закон и подзаконные акты о КИИ – критической информационной инфраструктуре (187-ФЗ). Практически каждый из этих законов подразумевает требования о контроле доступа к системам ИТ, фиксированию действий, выполняемых на элементах инфраструктуры, регистрации событий, связанных прямо или косвенно с деятельностью привилегированных пользователей и администраторов. Все эти требования законодательно закрепляют право контролирующих органов на доступ к данной информации. Владельцам объектов инфраструктуры вменяется в обязанность оперативное уведомление контролирующих организаций о тех или иных событиях.

Согласно новому закону критерии отнесения систем к критически важным сформулированы достаточно открыто – социальная значимость, предоставление значительного объема информационных услуг, а банки и финансовая сфера в целом – явно обозначены как сфера применения данного закона и сопровождающих его подзаконных актов. Учитывая потенциальные риски уголовного преследования за ненадлежащую эксплуатацию КИИ, обойти данные законодательные новшества вниманием не получится.

ПРАКТИКА НЕ ПОСПЕВАЕТ ЗА ЗАКОНОТВОРЧЕСТВОМ

За предыдущие годы мы реализовали несколько проектов, связанных с обеспечением доступа специалистов контролирующих органов к отчетным данным, обеспечивая, по возможности, данный процесс с точки зрения предоставления доступа, фиксирования фактов обращения и передаваемых данных. Конечно, в настоящий момент не до конца понятны критерии и практика отнесения тех или иных элементов информационной инфраструктуры к критическим, но даже те документы, которые уже доступны для изучения, показывают, что под данную категорию легко могут попасть большинство банков, хотя бы по объему оказываемых информационных услуг и использованию сетей электросвязи.

За несколько лет подобного рода законодательные практики проходили стандартный путь от проектов законов до явных требований законодательства с ответственностью за невыполнение. Скорость принятия этих законов такова, что практика их применения не успевает складываться и эти практики приходится вырабатывать в рабочем порядке. Для обеспечения данных законодательных инициатив в настоящее время реализуются крупные проекты в самых разных областях, но при этом можно перефразировать старую шутку: «Кто бреет брадобрея? Сертифицированный брадобрей!»

А кто же бреет сертифицированного брадобрея? Данный вопрос пока в проработке.

Развивающаяся практика применения, по опыту предыдущих лет показывает тенденцию к ужесточению требований и ответственности за невыполнение требований.  Таким образом, в ближайшее время данный сценарий использования может оказаться популярным и востребованным, как никогда.