Нельзя сказать, что отечественный ИТ-рынок испытывает сегодня дефицит качественных решений в области защиты информации. Скорее наоборот: среди многообразия альтернативных разработок выбрать подходящий продукт становится все труднее. Причем наравне с функционалом таких программно-аппаратных комплексов теперь оценивается их способность органично встраиваться в корпоративную инфраструктуру. Одним из возможных способов решения является построение комплекса информационной безопасности собственными силами. Когда у компании достаточный по численности и квалификации штат ИТ-персонала, такой путь может привести к желаемому результату, и именно его выбрали в банке «Возрождение» — одной из крупнейших и наиболее прогрессивных финансово-кредитных организаций страны.
Информационная
сеть банка «Возрождение» постоянно развивается. На сегодняшний день она охватывает
37 городов, расположенных в 19 регионах России, и включает в себя центральный
офис, шестьдесят региональных филиалов и 147 офисов продаж, где в общей сложности
работает более 5000 пользователей.
По мере эволюционных преобразований корпоративной ИТ-инфраструктуры совершенствуется и система информационной безопасности (СИБ) банка, обеспечивающая защиту корпоративной информации от несанкционированного доступа и вредоносных действий со стороны злоумышленников и пользователей. В число последних по времени проектов, инициированных управлением по информационной безопасности для решения этих задач, входит серия работ по организации системы защищенного доступа удаленных пользователей и обеспечению безопасного использования электронной почты и интернет-ресурсов. В ходе их реализации в СИБ банка было создано несколько рубежей защиты, образованных межсетевым экраном, системой обнаружения атак, системой фильтрации трафика eSafe, решением по защите закрытых ключей пользователей eToken и удостоверяющим центром компании.
Защищенный
пользовательский доступ
Систему защищенного доступа пользователей банка «Возрождение», базирующуюся на инфраструктуре открытых ключей (PKI), сотрудники банковской службы информационной безопасности создали своими силами. По словам заместителя начальника этой службы Дмитрия Василевского, это было обосновано отсутствием на российском рынке готовых решений по управлению PKI-инфраструктурой, которые были бы рассчитаны на столь сложную структуру и в то же время в полной мере удовлетворяли требования российского законодательства.
Так, в частности, критически важными условиями данного проекта для заказчика являлись обязательное использование сертифицированных средств шифрования и обеспечение контроля работы из единого центра. При этом управление ключевыми контейнерами и носителями усложнялось необходимостью защиты передаваемых по открытым сетям данных, касающихся деятельности банка и обслуживания всё возрастающего количества клиентов — как юридических лиц, так и частных вкладчиков. Сложная ИТ-инфраструктура, образованная множеством приложений и рабочих сред, а также необходимость в реальном времени осуществлять контроль изменения статусов и полномочий пользователей тоже предъявляли свои требования к управлению паролями доступа сотрудников.
Созданная специалистами «Возрождения» система защищенного доступа ныне объединяет
пять способных работать в режиме реального времени компонентов: систему управления
ключевыми носителями и сертификатами; сервер защищенного доступа (СЗД); систему
балансировки нагрузки СЗД; систему управления паролями пользователей; коннектор
к кадровой подсистеме.
Система управления ключевыми носителями и сертификатами, основанная на eToken
PRO, обеспечивает управление жизненным циклом ключевых носителей и выпуском
сертификатов из единого центра. В неё входит несколько центров регистрации,
закрепленных за филиалами банка. Под контролем администратора удостоверяющего
центра (УЦ) система позволяет формировать запросы на создание сертификата, устанавливать
сертификат в контейнер, аннулировать сертификат или приостанавливать его действие.
Права доступа администраторов безопасности в филиалах строго разграничены: каждый
из них может выполнять только процедуры для сотрудников своего филиала, в то
время как администратор УЦ контролирует все операции.
Мощная система подготовки отчетов позволяет подбирать данные по многим параметрам. Отчеты могут формироваться также в форматах MS Word и MS Excel.
СЗД и система балансировки его нагрузки обеспечивают доступ к внутренним защищенным ресурсам через небезопасные сегменты сети, для чего организуется прозрачное TLS-соединение (обеспечиваемое российскими сертифицированными криптопровайдерами) внутренних информационных ресурсов через размещенный в демилитаризованной зоне СЗД.
Система управления паролями пользователей по сути представляет собой систему однократной регистрации (SSO), передающую имя и пароль пользователя от ключевого носителя к приложениям. Эта система транслирует пароли в приложения Windows, Web, выполняемые на терминальных станциях MS RDP и Citrix Metaframe, а также обеспечивает первичный вход в систему.
Коннектор к кадровой подсистеме (ККП) является ключевым связующим элементом системы защищенного доступа, так как именно благодаря ему обеспечивается взаимодействие всех вышеперечисленных компонентов в реальном времени. В частности, правомерность запроса на доступ к приложениям и базам данных система защищенного доступа определяет в результате анализа выборки актуальной информации, выполненной ККП из реестра сотрудников. Этот анализ включает в себя сопоставление идентификационных параметров пользователя (ФИО сотрудника, его должность, наименование подразделения, сведения о приеме на работу, должностных и структурных изменениях) с информацией, касающейся его текущего местонахождения и легитимности полномочий (имеется в виду обработка сведений о командировках, отпусках, больничных листах и увольнениях).
Примечательно, что весь процесс управления доступом осуществляется централизованно и позволяет сочетать в себе высокую оперативность и своевременность процедур актуализации данных, а также прозрачность текущего статуса полномочий пользователей для сотрудников службы информационной безопасности банка. Это обстоятельство особенно важно для исключения нелегитимного использования устаревших привилегий доступа со стороны уволенных сотрудников либо должностных лиц, перешедших на работу в другое подразделение.
Процесс актуализации данных построен следующим образом. Как только на работу приходит новый сотрудник, администратору безопасности (центрального офиса или филиала — в зависимости от того, куда поступает сотрудник) тут же передается сообщение с требованием подключить новый eToken для автоматического оформления всех назначенных новому работнику пользовательских прав. Автоматически генерируются пароли доступа к разрешенным приложениям, выполняются запросы на сертификаты, формируются ключевые контейнеры, в которые устанавливаются сертификаты. Если разрешено, то создаются дубликаты ключевых носителей. В системе реализовано управление носителями и сертификатами для сложных иерархических структур правил доступа, в том числе и для групповых сертификатов. Предусмотрен вариант усиленного режима контроля доступа к приложениям. В этом случае доступ разрешается только по предъявлении связки сертификат плюс ключевой носитель, т. е. по конкретному сертификату, установленному на конкретном ключевом носителе при их одновременном предъявлении. Система автоматически отрабатывает все изменения прав пользователей, связанные с переводами, отпусками, больничными, командировками.
Как упоминалось, СЗД банка «Возрождение» построен в соответствии с требованиями российского законодательства и использует только сертифицированные средства. Надежность и отказоустойчивость обеспечиваются дублированием всех основных рабочих узлов системы CPL. Предусмотрено наращивание функционала системы за счет подключения новых модулей.
Безопасность
электронной почты
и Интернета
В соответствии с требованиями федерального законодательства и нормативов ФСТЭК, ФСБ и ЦБ РФ операционная сеть банка физически отделена от сети общего пользования, и служба ИБ банка внимательно следит за соблюдением правил использования электронной почты и Интернета. Особенно это касается подключений к бесплатным почтовым сервисам, таким как Google.ru, Yandex.ru и т. п., передачу конфиденциальной информации через которые ей трудно контролировать.
До недавнего времени для контроля интернет-ресурсов использовался файл логов межсетевого экрана. Анализировать его содержание сотрудникам службы ИБ приходилось вручную, что по мере роста численности персонала банка отнимало всё больше времени. Несмотря на это служба ИБ не стала ограничивать сотрудникам доступ в Интернет, полагаясь на действенность соответствующих инструкций и сознательность персонала. Вместе с тем в отношении работников, неоднократно нарушавших политику использования интернет-ресурсов, могли быть в полной мере применены административные меры, предусмотренные Трудовым кодексом РФ.
Такое сочетание методов «кнута и пряника» долгое время оставалось приемлемым для банка «Возрождение». Однако с некоторых пор вопрос использования открытых каналов доступа, по оценкам службы ИБ «Возрождения», усугубился всё возрастающим объемом спама, который стал создавать банку проблемы, опосредованно приводящие к денежным потерям. Причём выражались они не столько в стоимости порождаемого паразитного трафика, сколько во временных затратах сотрудников на разбор почты, удаление «мусора» из переписки. Как показали наблюдения, это время может составлять несколько десятков минут в день на одного работника, использующего на службе электронную почту. К этому следует добавить испорченное настроение в самом начале рабочего дня (спам, как правило, накапливается в ночные часы, а «разгребать» его приходится утром). Если суммировать эти показатели по пяти тысячам рабочих мест, то потери оказываются вполне ощутимыми.
Стремясь снизить актуальность данной проблемы, а также более рационально распределить свои временные и человеческие ресурсы, служба ИБ банка «Возрождение» приступила к поиску современного программно-аппаратного комплекса, способного обеспечить контроль за интернет- и почтовым трафиком. По совокупности ряда факторов выбор был сделан в пользу пакета eSafe компании Aladdin — решения в области комплексного обеспечения проактивной безопасности информации в корпоративной сети на уровне интернет-шлюзов и почтовых серверов. Эта программа способна защитить электронную почту от вирусов и спама и обеспечить плотный контроль доступа сотрудников в Интернет.
Когда решено было приобрести eSafe, в ИТ-инфраструктуре банка уже использовались три антивируса, установленных на межсетевом экране, почтовых серверах и рабочих местах конечных пользователей. Базы сигнатур этих антивирусных программ обновлялись каждый час, но тем не менее пару раз в году во внутреннюю сеть банка вирусы все же проникали. Причина кроется в том, что между обнаружением нового вируса и выпуском необходимых добавлений в реактивные средства защиты всегда есть временная задержка (у лучших продуктов это несколько часов), а сотрудники информационной безопасности банка, со своей стороны, не всегда своевременно вводят их в системы. Поэтому для борьбы с проникшими во внутреннюю сеть вирусами в банке разработан специальный план мероприятий.
Связанная с внедрением eSafe реорганизация почтовой системы (выполненная без остановки ее работы) позволила повысить ее производительность.
Отныне вся входящая и исходящая электронная корреспонденция сотрудников проходит проверку на серверах eSafe: письма очищаются от вредоносного контента, а спам направляется в карантин. Опыт показывает, что неверно настроенная защита от спама способна навредить деловой переписке, поэтому важно не только удалять мусорные письма из потока, но и исключить утрату полезной корреспонденции. Для этого регулярно, с установленной периодичностью или по запросу пользователей, им направляются письма, которые eSafe при текущих настройках классифицировала как спам. Сотрудники сами могут подтвердить такое решение системы, и в этом случае отправления с данного адреса в дальнейшем будут всегда определяться как спам и удаляться без помещения в карантин. Если определение сообщения как спамерного получатель сочтет ошибкой, адрес отправителя будет исключен из «черного» списка. И наконец, адресанта можно оставить на контроле до принятия окончательного решения, помещая его письма в карантин.
После запуска интернет-компонента eSafe у сотрудников службы информационной безопасности появилась уверенность, что паразитный интернет-трафик в корпоративной сети можно исключить практически полностью. Они остались довольны не только достигнутыми с помощью системы результатами, но и тем, как в ней организована настойка фильтров. Модуль фильтрации приложений eSafe позволяет избирательно ограничивать использование сотрудниками интернет-пейджеров, неслужебных приложений IP-телефонии, соединений P2P, которые генерируют ощутимый непроизводительный трафик.
Сильной стороной eSafe пользователи признают ее способность определять приложения по сигнатурам, а не по используемым портам: это исключает возможность обмануть фильтры системы.
Для контроля Web-адресов в системе задействована актуализируемая восемь раз
в сутки база компании Cobion — крупного каталогизатора Интернета. Служба ИБ
банка выделила из базы шестьдесят категорий сайтов, доступ к которым ограничен
или запрещен. Кроме «черного» в системе есть и «белый» список, который открывает
сотрудникам доступ только на конкретные сайты: работа в этом режиме гарантированно
исключает непроизводительное использование Интернета и, что важнее, рабочего
времени.
Одним из примеров удачного взаимодействия заказчика и разработчика в данном
случае является процесс промышленной эксплуатации eSafe, позволившей специалистам
банка «Возрождение» выявить несколько ресурсов домена .RU, к которым необходимо
исключить доступ по умолчанию. В результате банковская база сканирования была
пополнена вручную, а данные о нежелательных сайтах переданы разработчику с тем,
чтобы включить их в программу опроса серверов Cobion, — с них пополняются базы
пользователей eSafe во всем мире.
Подобные проблемы с обработкой русскоязычного спама связаны с недавним появлением продукта eSafe на нашем рынке. Следует отметить большую работу, которую проводят специалисты Aladdin по настройке системы eSafe (по методике Cobion) на обнаружение русскоязычного спама: по оценкам этой компании, его фильтрация по качеству вплотную приблизилась к фильтрации англоязычного спама. Кроме упомянутого выше осложнения с обработкой «отечественного» спама, в банке отметили проблему с кодировкой текстов при подготовке отчетов в eSafe версии 5.1, функционирующей на платформе Linux. Как заявляют представители Aladdin, замечания по работе eSafe и предложения по ее улучшению (не только от банка «Возрождение», но и от других заказчиков) аккумулируются и учитываются в регулярных автоматических обновлениях.
Процесс оптимизации настроек системы еще продолжается, но итоги первых этапов эксплуатации eSafe в банке оценивают высоко и сделанные во внедрение системы вложения считают эффективными.
Специалисты ИБ банка «Возрождение» продолжают самостоятельно развивать систему защиты информации. Сегодня на повестке дня — поддержка международных стандартов информбезопасности.
