присвоения данным меток (метаданных), которые сопровождают данные в процессе их перемеще ния в информационных потоках организации. Создав основной репозиторий (master repository) характеристик данных, вы обеспечиваете ситуацию, при которой во всех частях организации точно известно, какой уровень защиты требуется для той или иной чувствительной информации.

При внедрении единого стандарта такой подход позволяет всем департаментам, бизнесединицам и поставщикам использовать общий для всех набор метаданных. Стандартные мета данные, относящиеся к безопасности, позволяют не только оптимизировать защиту данных, но и снизить издержки за счет прямого указания на правила обращения с данными в ходе различ ных технологических и бизнес-процессов. Этот же подход к обеспечению безопасности позволяет предотвращать несанкционированный доступ и снижать риск злоупотребления информацион ными активами. Когда чувствительные данные корректно идентифицированы, это способствует также и укреплению доверия к организации со стороны клиентов и партнеров. Метаданные, относящиеся к информационной безопасности, сами по себе становятся стратегическим активом, повышающим качество транзакций, отчетности и бизнес-анализа при одновременном снижении затрат на защиту данных и рисков утери или хищения ценной информации.

1.2 Цели и принципы

1.2.1 Цели

Основные цели работ, проводимых в области безопасности данных, следующие.

Обеспечение санкционированного доступа и исключение возможности несанкционирован ного доступа к информационным активам организации.

Обеспечение соблюдения нормативно-правовых требований и политик в отношении защиты информации о частной жизни, персональных и конфиденциальных данных.

Обеспечение соблюдения требований всех заинтересованных сторон в отношении защиты информации о частной жизни, персональных и конфиденциальных данных.

1.2.2 Принципы

Обеспечение безопасности данных организации должно быть основано на следующих принципах.

Сотрудничество. Деятельность в области безопасности данных требует слаженных усилий администраторов по безопасности ИТ, распорядителей данных, ответственных за руковод ство данными, команд, проводящих внутренний и внешний аудит, а также юридической службы организации.

Корпоративный подход. Стандарты и политики в области безопасности данных должны применяться согласованно в масштабах всей организации.

Проактивное управление. Успех управления защитой данных зависит от динамичного и своевременного, а по возможности упреждающего выявления и устранения силами всех

заинтересованных сторон узких мест в деятельности организации или организационной культуре, которые мешают эффективному обеспечению ИБ, включая преодоление барьеров традиционного строгого разграничения ответственности между специалистами по ИБ, ИТ, управлению данными и бизнес-администрированию.

Четкое распределение ответственности. Функциональные роли и обязанности должны определяться предельно четко, включая цепочки передачи данных «с рук на руки» под ответ ственность различных должностных лиц и подразделений.

Управление на основе метаданных (metadata-driven). Классификация элементов данных с точки зрения безопасности — неотъемлемая часть определения данных.

Снижение риска за счет уменьшения объема распространяемых данных. Минимизируйте объемы распространяемой чувствительной и/или конфиденциальной информации, особен но в средах, не относящихся к рабочей эксплуатации.

1.3 Основные понятия и концепции

В области ИБ используется специфическая профессиональная терминология. Знание ключевых терминов позволяет ответственным за руководство данными четко формулировать требования по безопасности данных.

1.3.1 Уязвимость

Уязвимостью в ИБ принято называть слабое место или дефект в системе, которое может создать условия для спешной атаки извне и раскрытия или потери информации. По существу, это «дыра» (hole) в защите организации. Некоторые уязвимости называют эксплойтами (exploits)1

Примеры уязвимостей: сетевые компьютеры с неустановленными обновлениями безопас ности; веб-страницы, не защищенные надежными паролями; пользователи, не обученные игно рировать активные ссылки и вложения, содержащиеся в электронных письмах от неизвестных отправителей; корпоративное ПО, не защищенное от выполнения служебных команд, позволяю щих злоумышленнику получать контроль над системой.

Во многих случаях предэксплуатационные среды отличаются большей уязвимостью, чем экс плуатационные. Следовательно, важнейшим аспектом ИБ является надежная изоляция данных в эксплуатационной среде, используемых в операционной деятельности организации, от всякой возможности доступа со стороны предэксплуатационных сред.

1.3.2 Угроза

Угроза (threat) — потенциальное атакующее воздействие, которое может быть предпринято против организации. Угрозы бывают внешние и внутренние. Злой умысел — не обязательный атри бут угрозы. Постоянный сотрудник вполне может по неопытности или неведению, сам того не

1 Под термином «эксплойт» (от англ. exploit — эксплуатировать) обычно понимается компьютерная программа (а так же фрагмент программного кода или последовательность команд), использующая уязвимости в программном обеспечении и применяемая для проведения атаки на вычислительную систему. — Примеч. науч. ред.

сознавая, выполнить операции, приносящие организации ущерб. Угрозы могут быть связаны

стеми или иными уязвимостями, которым должны быть назначены приоритеты в отношении их устранения. Для каждой угрозы следует предусмотреть ту или иную возможность ее предотвра щения или ослабления ущерба в случае ее реализации. Совокупность ресурсов, которые подвер жены угрозе, называют поверхностью атаки (attack surface)

Примерами угроз являются: получение представителями организации электронных писем

свирусами во вложениях; запуск процессов, вызывающих перегрузку сетевых серверов и блоки рующих тем самым бизнес-транзакции, — так называемые DoS-атаки (атаки, вызывающие отказ в обслуживании, — denial-of-service attacks); выявление и использование злоумышленниками известных уязвимостей.

1.3.3 Риск

Риском (risk) называют одновременно возможность ущерба и источник (предмет или объект) или причину (условие) возможного ущерба. Риск, связанный с любой угрозой, может быть оценен на основе учета следующих факторов.

Вероятность реализации угрозы и возможная частота ее реализации.

Характер и размер ущерба, включая репутационный, причиняемого каждым случаем реали зации угрозы.

Влияние понесенного ущерба на размер дохода и бизнес-операции.

Затраты на устранение последствий понесенного ущерба.

Затраты на предотвращение угрозы, включая исправление уязвимостей.

Цели или намерения потенциального злоумышленника.

Риски можно классифицировать по их приоритетности с точки зрения потенциальной тяжести вероятного ущерба или вероятности реализации угроз, которая тем выше, чем легче отыскива ются уязвимости. Часто приоритеты расставляются с учетом обоих этих факторов. Оценка прио ритетности рисков должна представлять собой формализованный процесс, в который должны быть вовлечены все заинтересованные стороны.

1.3.4 Классификация рисков

Классификация рисков описывает степень чувствительности данных и вероятность того, что они могут заинтересовать злоумышленников. Классы рисков используются для определения круга лиц (то есть ролей), имеющих право доступа к данным. Элемент данных с наивысшим классом риска в пользовательском разделе данных (к которому открыт доступ тем или иным пользовате лям) определяет класс риска всего раздела. Примеры классов риска:

Данные критического риска (Critical Risk Data, CRD). Включают, в частности, персо нальные данные, несанкционированный доступ к которым агрессивно стремятся получить

злоумышленники как внутри, так и вне организации, ввиду их высокой и непосредственной финансовой ценности. Раскрытие CRD причинит ущерб не только отдельным лицам — вла дельцам данных, но и компании, которая может понести существенные убытки вследствие крупных штрафов и затрат на удержание клиентов и сотрудников, а также получить серьез ный удар по своему имиджу и репутации.

Данные высокого риска (High Risk Data, HRD). Являются объектом активных попыток не санкционированного использования из-за их потенциально высокой финансовой ценности. HRD дают компании преимущество перед конкурентами. Их утечка чревата недополученной прибылью и упущенными возможностями, а утеря — утратой доверия к бизнесу и, как след ствие, упущенной выгодой, прямыми убытками вследствие возможных судебных преследова ний, штрафов и иных санкций со стороны надзорных органов, а также имиджевым и репута ционным ущербом.

Данные умеренного риска (Moderate Risk Data, MRD). Не представляют ощутимого интере са для взломщиков; однако несанкционированное использование любой не предназначенной для открытого доступа информации чревато негативными последствиями для компании.

1.3.5 Организация обеспечения безопасности

В зависимости от размера организации функция обеспечения информационной безопасности может находиться в ведении специальной группы обеспечения ИБ, обычно входящей в блок ИТ. В крупных компаниях часто имеется директор по информационной безопасности (Chief Information Security Officer, CISO), подчиняющийся либо CIO, либо CEO. В относительно не больших организациях, не имеющих штатных специалистов по ИБ, вся ответственность за обеспечение безопасности данных возлагается на сотрудников, занимающихся управлением данными. Последние, впрочем, должны участвовать в работе по обеспечению безопасности данных в любом случае.

В крупных организациях штатные сотрудники, занимающиеся вопросами ИБ, могут делеги ровать часть функций по руководству данными и авторизации пользователей бизнес-менедже рам. Например, назначение прав доступа и обеспечение нормативно-правового соответствия. Деятельность штатных выделенных специалистов по ИБ часто связана в основном с техниче скими аспектами защиты данных, включая борьбу с вредоносными программами и отраже ние хакерских атак. Тем не менее в ходе проектов по разработке и развертыванию приложений имеется обширное поле для сотрудничества специалистов по ИБ, управлению данными и биз нес-менеджеров.

Эта возможность синергетического взаимодействия часто не используется по причине ра зобщенной работы двух организационных систем — ИТ и управления данными. Для них, как правило, не предусмотрен процесс совместной работы с требованиями по обеспечению норма тивно-правового соответствия и ИБ. Поэтому необходимо проработать стандартную процедуру взаимного информирования о требованиях регулирующих органов в области данных, угрозах потери или утечки информации, требованиях по защите данных, — и согласовываться всё это

должно с первых же шагов планирования любого проекта по разработке или развертыванию но вого программного обеспечения.

Первым шагом в рамочной структуре управления рисками Национального института стан дартов и технологий США (National Institute of Standards and Technology, NIST) является клас сификация всех данных организации1. Ключевым условием достижения этой цели является со здание корпоративной модели данных. Без четкого и наглядного представления о расположении всей чувствительной информации невозможно приступить к созданию всеобъемлющей и эффек тивной программы защиты данных.

Специалисты по управлению данными должны активно привлекаться к сотрудничеству с раз работчиками ИТ-решений и специалистами по ИБ при проведении работ по идентификации ре гламентируемых данных, реализации соответствующей защиты чувствительных систем и разра ботке и внедрению необходимых механизмов контроля доступа пользователей, с тем чтобы обес печить надлежащий уровень конфиденциальности, целостности и соответствия требованиям регулирующих органов. Чем крупнее организация, тем важнее слаженность действий различных функциональных групп, подкрепляемая корректной и регулярно обновляемой корпоративной моделью данных.

1.3.6 Процессы обеспечения безопасности данных

Требования и процедуры, связанные с обеспечением безопасности, разбиваются на четы ре группы, известные как «четыре A» (four A’s): доступ (Access), аудит (Audit), аутентификация (Authentication) и авторизация (Authorization). С недавних пор к ним стали добавлять еще и «E» (пятую группу) — набор прав (Entitlement), — связанную с обеспечением нормативно-правового соответствия. Классификация информации, права доступа, ролевые группы, пользователи и па роли являются средствами реализации политики ИБ и требований «четырех А». Мониторинг безопасности не менее важен и служит средством проверки и подтверждения успешного функ ционирования других процессов. Мониторинг и аудит могут осуществляться непрерывно или периодически. Формальный аудит (чтобы его результаты были официально признаны) должен проводиться незаинтересованной стороной. Незаинтересованная сторона может быть как вну тренней, так и внешней.

1.3.6.1 ТРЕБОВАНИЯ И ПРОЦЕДУРЫ «ЧЕТЫРЕ А»

Доступ. Авторизованным лицам предоставляется своевременный доступ к информационным системам. В зависимости от контекста слово «доступ» (аccess) может указывать либо на действие — активное подключение к информационной системе и осуществление работы с данными, либо на факт — у субъекта есть действующее разрешение на работу с данными.

Аудит. Проверка выполняемых операций по обеспечению безопасности и действий пользова телей, которая проводится с целью подтверждения соответствия требованиям регулирующих

1 См.: National Institute of Standards and Technology (US) (http://bit.ly/1eQYolG).

органов и соблюдения политики и стандартов организации. Специалисты по ИБ также перио дически проверяют журналы и документы, чтобы удостовериться в выполнении всех выше названных требований. Результаты таких аудитов регулярно публикуются.

Аутентификация. Подтверждает действительность доступа. Когда кто-то пытается войти в систему, она должна проверить, что это именно тот человек, реквизиты которого указаны. Один из способов проверки — c помощью паролей. Более строгие методы аутентификации включают использование токенов безопасности (security tokens), контрольных вопросов, от печатков пальцев. Все данные в процессе аутентификации передаются в зашифрованном виде во избежание хищения.

Авторизация. Заключается в выдаче различным лицам разрешений на доступ к определен ным представлениям данных в соответствии с их ролями. После того как разрешение зафик сировано (принято решение о его выдаче), система контроля доступа при входе пользователя проверяет наличие у него действительного токена авторизации (authorization token). С техни ческой точки зрения токен представляет собой запись в поле данных корпоративной службы каталогов Active Directory, указывающую на то, что пользователю выдано разрешение кем-то из ответственных лиц, имеющих доступ к соответствующим данным. Токен также показыва ет, что ответственное лицо приняло решение о выдаче разрешения, поскольку пользователю оно требуется для работы или полагается в силу должностного статуса.

Набор прав. Определяет совокупность элементов данных, которые становятся доступными для пользователя после его авторизации. Ответственное лицо должно определить набор прав, предоставляемых пользователю, прежде чем выдать разрешение на доступ. Для того чтобы обеспечить выполнение требований нормативно-правового соответствия и конфиденциаль ности при принятии решений о назначении наборов прав, по каждому набору необходимо иметь перечень данных, доступ к которым открывается.

1.3.6.2 МОНИТОРИНГ

Системы должны включать средства мониторинга, позволяющие выявлять непредвиденные события, включая потенциальные взломы защиты и нарушения правил безопасности. В системах, содержащих конфиденциальную информацию, например бухгалтерские данные, часто реализованы механизмы активного мониторинга в режиме реального времени, мгновенно уве домляющие администратора безопасности о подозрительной активности или несанкциониро ванном доступе.

Некоторые системы оснащены активной защитой, которая срабатывает автоматически и пре рывает любые действия, не соответствующие профилю доступа. В этом случае учетная запись или процесс остаются в заблокированном состоянии, пока персонал службы ИБ не проведет ана лиз события.

Пассивный мониторинг, напротив, лишь отслеживает изменения, делая моментальные сним ки состояния системы через установленные промежутки времени, и сравнивает фактические тенденции с контрольными эталонами или иными критериями. Система отправляет отчеты

распорядителям данных или администраторам, отвечающим за безопасность. Таким образом, если активный мониторинг является механизмом обнаружения угроз, то пассивный мониторинг относится к средствам оценки состояния систем и процессов.

1.3.7 Целостность данных

В сфере информационной безопасности под целостностью данных (data integrity) понимается их невредимое цельное состояние, предполагающее защиту от несанкционированного изменения, удаления или добавления данных. Например, в США законом Сарбейнса — Оксли установлены строгие требования по обеспечению целостности финансовой информации, предписывающие придерживаться строго определенных правил создания и редактирования финансовых данных.

1.3.8 Шифрование данных

Шифрование (еncryption) — это процесс преобразования открытого текста в сложные коды с це лью сокрытия информации ограниченного доступа, подтверждения передачи передаваемой ин формации или удостоверения личности отправителя. Зашифрованные данные невозможно прочесть без ключа или алгоритма для дешифрования, который обычно хранится отдельно и не может быть вычислен на основе других элементов данных в том же наборе. Четыре основных метода шифрования — хеширование, симметричное шифрование и асимметричное шифрование частным (закрытым) ключом и публичным (открытым) ключом — могут реализовываться с раз личными уровнями сложности и структурами ключей.

1.3.8.1 ХЕШИРОВАНИЕ

При хешировании используются различные алгоритмы математического преобразования дан ных. Для дешифрования данных нужно знать точные алгоритмы шифрования и порядок их применения. Иногда хеширование используют в качестве средства проверки целостности или идентичности данных после передачи. Наиболее распространенные алгоритмы хеширования — Message Digest (дайджест сообщения) 5 (MD5) и Secure Hashing Algorithm (безопасный алгоритм хеширования) (SHA).

1.3.8.2 ЧАСТНЫЙ КЛЮЧ

При шифровании с использованием частного (private) ключа (такие ключи еще называют закрыты ми) один и тот же ключ применяется для шифрования и дешифрования данных, то есть идентичные экземпляры ключа должны иметься и у отправителя, и у получателя. Данные могут шифроваться посимвольно (поточным методом) или блоками. Распространенные алгоритмы шифрования дан ных с использованием частного ключа включают Data Encryption Standard (стандарт шифрования данных) (DES), Triple (тройной) DES (3DES), Advanced Encryption Standard (усовершенствованный стандарт шифрования) (AES), International Data Encryption Algorithm (международный алгоритм шифрования данных) (IDEA), Cyphers Twofish и Serpent. Простой алгоритм DES использовать не рекомендуется по причине относительной легкости взлома зашифрованных данных.