В декабря 2011 г. 11:24
БЕЗОПАСНОСТЬ
Десять шагов для защиты конфиденциальных данных
Предотвращение утери данных — эго задача на которой сосредоточено внимание компаний всех уровней. Единственная при»ина состоит в том, что наши мобильные сотрудники носят в своих компьютерах постоянно увети^ваю-щиеся объемы конфиденциальных данных. В настоящее время кампании покупают больше ноутбуков чем настольных компьютеров, и в эти ноутбуки загружается конфиденциальная ии-форма^я: все, начиная от патентов, важных регистрационных данных, которые ведутся ксж клиентами, так и сотрудниками, и заканчивая интеллектуальной собственностью, финансовой информацией и паролями.
При столь большом объеме донных, все больше путешествующих за пределами периметра сети, они представляют собой все более привлекательную л/ишень для киберпреступников. И количество случаев нарушения безопасности растет. В соответствии с отчетом "Unsecured Economies" (Незащищенная экономика), подготовленным компанией McAfee, за первую половигу 2009 г. исследовательская группа обнаружила почти столько же новых вредоносных программ (1,2 млн. уникальных примеров), как за весь 2008 г. (1,5 млн.).
Затраты на смягчение последствий в случае одноразовой утери донных могут в короткие сроки превысить затраты на защиту донных, сделанные заблаговременно. Фскты говорят о том, что в прошлом гсщу на каждом пятом предприятии среднего бизнеса возникали нарушена безопасности, при этом средний прямой урон для оргсямзации вылился в недополучение доходов на сумму 41 тыс. дола
Действие 1. Проведите оценку нормативных требований, которые обязано выполнять ваше предприятие. Нет недостатка в законах, нормативных сжтах и отраслевых приказах, с которыми сталкиваются компании В наше время только те сферы, в которых очень строго контролируется вьгюлнение зсжонодо-тельства, — это здравоохранение, финансы и правительственные учреждения, — единственные, кто озабочен обеспечением соответствия предъявленным требованиям, а среди коммерческих предгриятум практически нет НИ ОДНОГО защ ищенного. Вне зависимости от того, является ли компания частной иги государственной, маленькой или большой, находится пи она в США, Европе или в Азии, ей необходамо иметь хорошо гродуманный план зашиты данных. Начните с того, что по всей вероятности вы обязаны вьполнятъ законы и нормативные акты
каждого из регионов, в котором вы ведете свой бизнес После этого следует уяснить, что для большинства из этих нормативных актов общими являются два аспекта. Первый — они, как правило, сосредотачивают внимание на зашите донных, которые могут однозначно характеризовать физическое лицо, пациента, клиента или сотруд ника. Второй — тре6ованк«м многих нормативны* актов можно удовлетворять, если указанные критически важные денные защищены с применением шифрования Совершенно очевидно, что ест эти акты применимы к вашей компсмии, их конкретные положения необходимо изучить. К концу дня станет понялю, в чем состоит смысл защиты данных
Действие 2. Установите известные риски, которым подвержено содержимое.
Хранятся ли номера страховых полисов, информация о кредитных картох или же медн-і***ские карточки пациентов - важнейшим аспектом является наличие необходимых инструментов для сканирования сети на наличие изве стных рисков. Эти инструменты должны обладал» такими возможностями как сканирование общего доступа к файлам, баз донных, хранилищ для управления содержимым, а также всех иных хронилнц различных донных Часто организациям известно, где частично размешены такие донные: например, на сервере, которым пользуется финансовое подразделение или отдел кадров, но от механизма обнаружения требуется, чтобы он наход ил все экземпляры конфиденциальных донных Они могут храниться на старых серверах настольных компьютерах или в других хранилищах, о которых группа ИТ уже давно позабыла. Более того, ядао программы обнаружения должно иметь автоматизированные алгоритмы для запуска в момент появления нового содержимого или его добавления на сетевые ресурсы
Действие 3. Поговорите с заинтересованными лицами.
Эффективная защита донных начинается с понимания на самом высоком уровне тех данных, которые являются важными для каждого заинтересованного гица. Их необходимо под-клночитъ к рассмотрению донного аспекта на раннем этапе, попросив ответить на вопрос ко-кого типа донные создает и потребляет их подразделение. Кто работает с этими донньли? Какие операции над ншли выполняются? Как осуществляется совместная работа? Где хранятся и архивируются их донные? С функцией
нальной точки зрения, кто в их подразделении является уполномоченным контактным лицом для ликвидаций последствий возникших проблемных ситуаций?
Если каждое подразделение знает донные с которыми оно работает, эта задача не является трудной. Но она важна. Это не будет правильным и практически реализуемым, если задачу определения того, какие данные являются конфиденциальными, а какие нет возложить на отдел ИТ.
Действие 4. Получите полную информацию о том, где находятся ваши данные.
Понимание того, где хранятся ваши донные может оказаться не настолько очевидным, как это кажется. Конечно, они хранятся на файловых серверах, в базах данных и на отдельных компьютерах. А как быть с д исководами для резервного копирования, флеш-накопителями, смсртфонами и другими ли^ыл^ устройствами, которые сотрудники приносят в офис? Как быть с системами, которые они используют дома? Необходимо мыслить аире, чем такие понятия как оборудование, официально выданное компанией сотрудникам. Важно понимал», у кого есть допуск к таким личным устройствам и системам.
Действие 5. Установите официальные правила в отношении политики создания и изменения данных
Без сомнений, у вас будет несколько человек, вносящих свой вклад в ту политику, которую вы внедрите с целью зашиты донных вашей ор-ганихх*и. Вам необходимо думать иод теч как будут предлагаться, доводиться да сведения других сотрудников и развертьеслься дополнения и изменения к политуре, чтобы избежать вмешательства в стаадартные бизнес-процессы
Действие 6. Введите в действие механизмы оповещения и реализации принятых решений.
Никакая стратегия безопасности не будет полной без механизма оповещения и выполнения действий в реальном масштабе времени, направлеи«ых на устранение возникших угроз. Оповещения, направляемые администраторам ИТ, а также специалистам отдела кодаов, юристам и контролерам, обеспечивающим соответствие нормативным требованиям, весьма важны Но сообщения, отправляемые конечным пользователям, просто бесценны с точки зрения обучения и изменения их поведения с целью обеспечения должного обращения с
38
T-Comm, ионь 2010
БЕЗОПАСНОСТЬ
конфиденциальными записями
Для реализации принятой политики может предприниматься широкий диапазон действий; от простых оповещений по электрон*ной почте о нарушении соглашений относительно работы с персональными данными до задействования профилактических механизмов, которые принудительно цифруют сообщения электронной почты, содержащие конфиденциальные дан-ьые, пропуская их через серверы шифрования прежде чем они гкжимут пределы компании. Указанные направления реализации принятой политики также могут включзть действия по запрету доступа к электронной почте в Интернете: к таким порталам как Gmai и Yciroo! Mail, службам общего пользования для передачи мгновенных сообщений, теким как Windows live Messenger и Yahoo! Messenger, которые представляют собой известные каналы нарушения безопасности
Действие 7. Д елегируйте ответственность и управленческие фунюии.
До этого момента мы обсудили важность с точки зрения защиты конфиденциальных данных выявлен*) рисков д ля содержимого, а также ввода в действие принятой политики и механизма ее реализации. Также необход имо делегировать ответственность и функции управления политиками на случай, если произойдет нарушение безопасности.
Различные владельцы данных получат различные права доступа к вашим данным и к политикам обеспечения их беэопосности. По-видимому. вам понадобятся сотрудники, которые должны будут выявлять конфиденциальные записи, задавать соответствующую политику, после чего переходить к следующему циклу — обеспеченно должной зашиты этой информации.
Однако еще более важным моментом делегирования является то, что это критически важны* шаг на случай, когда возникнет необходимость предпринять действия по ликвидации последствий нарушения безопасности. Должен ли владелец донньс* подаазделения или контролер соблюдения нормативных требований обращаться в нужную ИКГГОН1ЦЮ для оповещении о произошедшем нарушении? Что делать в слу-чое, если на настольном компьютере конечного пользователя требуется внести изменения в конфигураций или требуется вмешатегъство персонала ИТ-лодразделення? Как быть, если обучение пользователей является обязательным требованием?
Как вы планируете управлять процессом лишидадо последствий нарушен» безопас
ности и прослеживать его выполнение да самого окончания? Вам необходимо внедрить процедуры, в которых определяется последовательность выполнения работ при устранении таких нарушений. Более того, вашей организации необходима гарантия того, что конфиденциальные донные, ставиие причиной нарушения, находятся в данный момент в безопасности, и доступ к ним имеет лишь несколько ГрИвИ-легированных пользователей и менеджеры
Действие 8. Доведете до максимального уровня инвестиции в существующие ИТ.
В течение последних 15-20 лет организации инвестировали бальиие суммы в различные Интернет-технологии. Они построили свои сети. В этих сетях они развернуты приложения. Они ведут нагряженную работу по обеспечению выполнения каждой операции процесса. Что бы вы не внедрили с целью зашиты конфиденциальных данных, это должно обеспечивать максимальную отдачу от имеющихся технологий — как в плане функциональных возможностей, так и в плане навыков работы с тюдь^
Напри^иер, идеальным решением для реализации принятой полигтияси могла бы бьль интеграция в элементы существующей инфраструктуры, такие как шлюзы электронной почты, сетевые коммутаторь* Интернет прсжси-серверы и решения по обеспечению цифрования. Точно также, решение по контролю нод сохранностью личных данных должно использовать преимущества систем обнсружения вторжений, межсетевых экранов, а также решений по оценке уязви*лостей, которые могут уже работать в донном сетевом окружении. Это предоставит более широкие возможности наблюдения за действиями, вь#юлняемь*ии в сети на более низком уровне, будет способствовать повышению точности и общей эффективности решения по защите лииных данных
Действие 9. Применяйте подход основанный на использовании платформ.
Обеспеч>те, чтобы любое решение, которое вы планируете развернуть, могло обеспечит. вам централизованное управление, а также инструменты для развертывания, реализации тринятой политики и отчетности, в которых нуждается ваш бизнес. Традиционный подход предполагающий развертывание приложений, лучших по характеристикам в своем клоссе, очень быстро оставит вас с кипой решений от разных производил елей, каждое из которых будет требовать отдельных процедур обслуживания и ухода, а в результате безопасность будет поставлена под угрозу. Затраты при таком
подходе, рассматривающем отдел иные категории в отрыве от целого, быстро возростут. Ваш персонал должен будет пройти обучение на нескольких системах. У вас не будет такого преимущества как накопление отчетности в масштабах предприятия. Требования по обучению со стороны конечного пользователя высоки. И, конечно же, каждей производитель указывает на другого, когда заходит речь о проблемах.
Клиенты согласны и поддерживают мнение о том, что подход осноеанньй на применении еденой платформы — это единственный выход из сложившейся ситуац ии. Универсальная платформа позволяет вам начать с использования одного решения, а затем по мере необходимости добавлять другие без повторения инфраструктуры или прохождения нового серьезного курса обучения. Подход осноеанньй на применении ед иной платформы гарантирует отсутствие проблем в проц ессе развертывания, а так же то, что решения от сторонних проннзеодите-лей также подойдут, благодаря использованию известных интерфейсов.
Действие 10. Стройте свое решение, основываясь на необходимости.
Многие клиенты ведят ценность в том, чтобы сначала реаить вопрос, предела вляюиий собой насущную проблему. Начните с защиты ноутбука, шифрования файлов, шифрования съемных носителей иили даже предотвращения утери данных, основываясь на конкретных потребностях Подход предложенный компанией McAfee для заииты данных, позволяет начать с такого решения, которое целесообразно для вас. Д ополнительные решения могут добавляться позднее по мере необходимости.
Остановите утерю донных раньше, чем она произойдет; управляйте обеспечением соответствия нормативным требованиям и постановление правительства; делайте все это, не гтрерьеая деловую активность при полном ее соответствии требованиям законодательства. Это легче чем вы могли подумать, если вы выполните 10 действий с использованием решений McAfee DIP (по защ ите от утери донных).
Статья подготовлена по материалам компании McAfee
T-Comm, июнь 2010
39