Контакты
Подписка
МЕНЮ
Контакты
Подписка

В погоне за двумя зайцами

В погоне за двумя зайцами

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

В погоне за двумя зайцами

Александр Шахлевич
руководитель направления ИБ
компании NETWELL

Век информационных технологий давно оправдал свое название, плотно интегрировав нашу жизнь с электронным миром. Электронные магазины любой направленности, интернет-приемные социальных служб, казино, интернет-банкинг, электронное правительство – да чего только нет! Понятие "онлайн" становится все более обыденным, и теперь для многих людей уже становится проблемой быть "офлайн". Стремительная экспансия информационных технологий естественным образом повысила и уровень компьютерной грамотности большого слоя населения: теперь роутеры мирно существуют в квартирах граждан, а люди, по долгу службы далекие от ИТ, перестали бояться слова "файрвол". Однако уровень развития киберпреступности и изменчивость информационной среды обгоняют уровень защищенности  даже корпоративных информационных систем. Вследствие агрессивного пресейла вендоров и интеграторов ИБ-службы не всегда обладают объективной информацией для принятия решений о наиболее актуальных проблемах в организации и полагаются на рекомендации экспертов. В итоге компании устанавливают десятки средств защиты информации, но забывают о самом важном – о "мозге" информационной системы, хранящем всю информацию, об обрабатывающих механизмах и способах предоставления информации, а главное – об уязвимости и хрупкости этой части системы.

Безопасность – отдельный бизнес-процесс

Аудит доступа к СУБД, бесконтрольность действий администраторов СУБД и практически полная невозможность гранулированного контроля доступа к файловым хранилищам и раньше часто становились головной болью для многих корпораций, которым есть что охранять, будь то ноу-хау, секреты производства, конструкторская документация или финансовая отчетность. Но сейчас уже практически ни одна крупная компания не обходится без системы программ "1C", систем финансового учета, ЭДО или других ERP/CRM-систем. Все они используют то или иное приложение как платформу, хранят информацию в СУБД или файловых хранилищах и являются средоточием того, что изначально предполагалось защищать, – информации.

WAF – Web Appliсation Firewall, межсетевой экран для Web-приложений.
DAM – Database Activity Monitoring, аудит доступа в СУБД.
FAM – File Activity Monitoring, аудит доступа к файлам.
URM – User Rights Management, управление правами пользователей.

Но многие ли компании могут похвастаться тем, что Web-интерфейс их приложений надежно защищен, обеспечено разграничение полномочий на ИТ- и ИБ-администраторов, ПО обновляется с выходом новой версии, ведется постоянный аудит доступа к СУБД и файловым серверам, настроены права пользователей в соответствии с бизнес-необходимостью, организован процесс предоставления прав и процесс увольнения сотрудников и выполнен ряд других важных задач? Многие крупные компании поплатились за свою беззаботность в этом вопросе, и как следствие, мы слышим череду тревожных новостей за 2011 г.: взломы сайтов McAfee, Sun, MySql, инсайдерские действия в Intel и Лаборатории Касперского. И это при том, что уж эти компании хорошо осведомлены об актуальных угрозах. Безопасность перестала быть чисто техническим процессом внедрения средств защиты, а стала отдельным бизнес-процессом организации, требующим всесторонней проработки и конкретной стратегии развития.

Стандарты и рекомендательные документы

Благо на помощь приходят регуляторы, которые не только подумали и придумали систему правил, как должна быть организована система защиты критичной информации, но и заставляют компании следовать этим правилам. В частности, наиболее активными драйверами развития ИБ в России являются ФЗ-152 и стандарт PCI DSS. Если требования стандарта PCI DSS напрямую обязывают организации защищать свои приложения и любые хранилища информации, содержащие данные пластиковых карт, то рекомендации приказа № 58 ФСТЭК работают только при правильно составленной модели угроз. Как бы то ни было, при всей возможной неидеальности существующих законов требования придуманы не на ровном месте, а вызваны насущной необходимостью.


На детальное изучение стандартов и рекомендательных документов по организации систем защиты информации ушли бы все страницы этого журнала, даже не только этого. Поэтому остановим свое внимание на разделах стандартов PCI DSS и СТО БР ИББС и приказа № 58 ФСТЭК, касающихся Web-приложений и информационных хранилищ (см. табл.).

Imperva SecureSphere

Важность защиты приложений и информационных хранилищ (СУБД или файловых серверов) осознает все больше компаний, и это видно по ряду крупных слияний и поглощений на рынке ИТ: Intel приобретает McAfee, HP дополняет портфель продуктами Fortify, Oracle покупает Secerno, а IBM – Guardium.

В условиях огромного многообразия различных инфраструктурных элементов в сетях организаций и все большей информатизации компании должны очень вдумчиво и аккуратно выстраивать стратегии развития информационных систем и их безопасности.
Важно постоянно анализировать рынок на предмет появления новых угроз, изучать мировой опыт в области ИБ, следовать требованиям регуляторов и лучшим практическим рекомендациям. Все это позволит сделать бизнес более безопасным и устойчивым перед лицом развивающейся угрозы.

Среди всего многообразия решений хочется отдельно обратить внимание на линейку продуктов Imperva SecureSphere. Этот производитель не старается охватить весь рынок ИБ, но уже на протяжении 8 лет занимается тем, что у него лучше всего получается: безопасностью Web-приложений, СУБД и файловых хранилищ.

Эти решения легко интегрируются в существующую инфраструктуру, не требуют перезагрузки или внесения изменений на защищаемых ресурсах и обладают богатым функционалом:

  • анализ структуры Web-приложений и поведения пользователей в автоматическом режиме;
  • поиск    и   классификация информации в СУБД и на файловых серверах;
  • оценка уязвимости СУБД;
  • интеллектуальные механизмы защиты приложений и СУБД;
  • репутационный анализ внешних пользователей;
  • аудит доступа к СУБД и файловым серверам;
  • контроль    прав    доступа к СУБД и файловым серверам;
  • оповещение в режиме реального времени;
  • автоматизация поиска мертвых аккаунтов, идентификации завышенных прав, процесса увольнения и перехода сотрудников;
  • интеграция со службами каталогов;
  • возможность работы как в режиме мониторинга, так и активной блокировки;
  • наглядная и полностью кастомизируемая отчетность;
  • минимальное влияние на производительность.

Imperva WAF сертифицирован независимым агентством ICSA Labs как надежный межсетевой экран для Web-приложений с возможностью использования для защиты информационной системы по требованиям стандарта PCI DSS 2.0. Кроме того, вся линейка продуктов Imperva SecureSphere сертифицирована ФСТЭК по техническим условиям с возможностью использования при защите ИСПДн до класса К2 включительно.

NETWELL
115114 Москва,
1-й Дербеневский пер., 5, стр. 1
Тел.: (495) 662-3966
Факс: (495) 662-3965
E-mail: marketing@netwell.ru
www.netwell.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2011
Посещений: 7680

Приобрести этот номер или подписаться
  Автор

Александр Шахлевич

Александр Шахлевич

Ведущий специалист департамента маркетинга компании "Информзащита"

Всего статей:  6

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций