Назим Касумзаде Государственное Казначейское Агентство Баку, Азербайджан 02 Октябрь 2013 год

Оглавление: Внутренние риски Внешние риски Формальные процедуры и программные решения для контроля ИТ админов Выводы, заключения и предлагаемые решения

В общем принципы хранения и доступа к конфиденциальной информации, принципы построения ИТ систем в частном секторе и в государственном секторе не отличаются. Считается, что крупные частные компании тратят и соответственно имеют более охраняемую и более неприступную систему. В данной презентации рассматриваются общие принципы подхода, которые применимы как в казначействе, так и в частном секторе.

К наиболее вероятным видам рисков, связанных с осуществлением повседневных операций в казначействе относятся: Доступ к конфиденциальной информации без соответствующей на то авторизации, в частности со стороны сотрудников ИТ отдела, ИТ администраторов Возможное умышленное нанесение ущерба со стороны ИТ админов Небрежность или халатность системных администраторов В общем подразделение производится по следующим критериям: Поучители Предприниматели Подсматривающие Шпионы Мстители

Доступ к конфиденциальной информации При отсутствии формальных процедур и регламента доступа к конфиденциальной информации, системные администраторы либо имеют прямой и неограниченный доступ к ней, либо могут получить его, затратив, как правило, минимум усилий. Нужно понимать, что невозможно отстранить системных администраторов от доступа к конфиденциальной информации, но, при правильном подходе, можно регулировать и контролировать доступ к таковой информации со стороны ИТ админов. Системные администраторы могут это делать для того, чтобы побаловаться (это поведенческая проблема), но это может быть и преднамеренным действием, которое может повлечь за собой серьёзные последствия.

Обиженные системные администраторы О том, какие возможности имеют сотрудники ИТ отдела, с точки зрения доступа к информации и к системе в целом, как правило, сотрудники остальных отделов имеют весьма общее представление. В реальности системные администраторы имеют все пароли для корневого доступа к файловой системе серверов, пароли базы данных, сетевые пароли, имеют неограниченные полномочия на запуск команд. Что если такой сотрудник обиделся на руководство компании?

Небрежность системных администраторов К ИТ рискам относится и небрежность (халатность) системных администраторов, которая может привести к нежелательным последствиям. Пусть и непредумышленная группа риска, но тоже может иметь весьма плачевные последствия. Что если системный администратор вошёл под супер-пользователем на сервер, а уходя забыл выйти из системы?

Примеры: Эдвард Сноуден - ИТ специалист Терри Чайлдс – сетевой администратор г. Сан Франциско Джейсон Корниш - ИТ специалист Сергей Алейников - ИТ специалист Роджер Дуронио – системный администратор

Внешние риски Различные формы атак используются как для получения доступа к конфиденциальной информации, так и для нанесения ущерба: Формы атак могут быть различными: Взлом сети из вне Внедрение программы – трояна Блокирование серверов от внешнего доступа Изменение внутреннего кода используемого ПО

Формальные процедуры и программные решения для контроля ИТ админов, применяемые казначействе Азербайджана В нашем казначействе введён принцип двойного контроля (two button rule) – для авторизации в качестве root пользователя, требуется введение пароля двумя разными сотрудниками. Этот же принцип у нас используется и при внесении изменений в ПО, любые изменения требуют подтверждения двумя ответственными лицами. Мы используем Spectorsoft решения для мониторинга деятельности и админов, и всех пользователей системы Серверные комнаты оснащены и видео наблюдением, и сенсорами, которые посылают оповещения, если кто-либо проникнет в серверную Полномочия системного администратора дублируются внешним консалтингом Управление сетью обеспечивается со стороны Министерства, исключая возможность внесения изменений системными администраторами

Выводы, заключения и предлагаемые решения Периодический аудит ИТ систем Тщательные критерия отбора ИТ персонала Внутренние правила регулирования доступа со стороны ИТ