Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Обзор технологий, позволяющих контролировать действия привилегированных пользователей. Часть 3

В третьей части статьи рассматриваются возможности интеграции и совместного применения средств защиты информации класса Privileged Access Management (PAM) c другими компонентами информационной системы.

Используемые сокращения

ИБ - информационная безопасность ИС - информационная система
ИТ - информационные технологии
ОС - операционная система
ПД – привилегированный доступ
ПО - программное обеспечение
ПП - привилегированные пользователи
ПРД – правила разграничения доступа
СрЗИ – средства защиты информации
ЦР - целевые ресурсы
ЦУЗ - целевые учетные записи
PAM - Privileged Access Management

Введение

В предыдущих статьях были рассмотрены основные принципы работы и ключевые функциональные возможности средств защиты информации класса Privileged Access Management (PAM).

Основные задачи, решаемые PAM, это управление привилегированным доступом (ПД) и контроль действий привилегированных пользователей (ПП) при их работе с целевыми ресурсами (ЦР). ПП при подключении к ЦР могут использовать как собственные (локальные, доменные) учетные записи, так и сохраненные в хранилище PAM целевые учетные записи (ЦУЗ).

Совместное использование PAM с компонентами информационных систем (ИС) и средствами защиты информации (СрЗИ) позволяет достичь поставленных задач более эффективным и оперативным способом путем синергетического эффекта. Возможности интеграции и совместного применения PAM c другими компонентами ИС можно выделить в отдельную группу функциональных возможностей.

Важно понимать, что PAM – это инструмент, и только его грамотное применение персоналом службы информационной безопасности (ИБ) с учетом особенностей функционирования внутренних процессов позволит раскрыть весь потенциал и получить наибольшую выгоду для организации.

Взаимодействие PAM с компонентами ИС

ИС служат для достижения целей организации. ИС состоит из комплекса технических средств, включая СрЗИ. Грамотное совместное применение PAM и других средств, функционирующих в составе ИС, позволяет повысить их общую эффективность.

В ряде случаев для совместного применения PAM и другого технического средства необходимо обеспечить интеграцию между ними. Под интеграцией понимается обеспечение целенаправленного автоматизированного процесса обмена информацией между техническими средствами с использованием различных протоколов (как открытых, так и проприетарных) и методов (API, SDK, утилиты управления и др.).

В данном разделе приведены перечни технических средств, которые могут применяться совместно либо интегрироваться с решениями PAM. Указанные перечни не являются исчерпывающими и могут быть дополнены.

Совместное применение со СрЗИ

Применение PAM позволяет дополнять возможности имеющихся СрЗИ или реализовывать дополнительные сценарии совместного применения. При этом сами компоненты и пользователи PAM также нуждаются в защите от угроз ИБ.

СрЗИ
Эффект
Выгодоприобретатель (stakeholder)
Защита PAM и ИС
Enterprise Network Firewall (ENFW, NGFW, SWG, UTM),
Корпоративные межсетевые экраны
Исключение подключения ПП и ЦР в обход PAM
Разрешение управляющего доступа к PAM только из разрешенных сегментов сети
Администратор PAM
Ограничение доступа к управляющим (административным) протоколам Администратор ENFW
Virtual Private Network Gateway (VPN-Gateway),
Шлюз виртуальных частных сетей,
Криптографический шлюз
Исключение угрозы несанкционированного вмешательства в работу Администратора PAM и ПП при удаленной работе Администратор PAM
Endpoint Security Suite (ESS),
Выявление вредоносного ПО

Endpoint Detection & Response (EDR)
Выявление и реагирование на кибератаки
Защита среды функционирования PAM, рабочих мест Администраторов PAM и ПП Администратор PAM
Network Access Control (NAC),
Контроль доступа к сети
Предоставление ПД только с разрешенных устройств Администратор PAM
Повышение эффективности ИБ
Database Firewall (DBF),
Межсетевой экран для баз данных
Дополнительные методы фиксации действий с СУБД (видео, текстовая запись и т.п.)
Контроль использования ЦУЗ для доступа к СУБД
Администратор DBF
Mobile Device Management (MDM, MAM),
Управление мобильными устройствами
Контролируемый ПД с мобильных устройств Администратор MDM
Anti-Fraud,
Выявление мошенничества
Фиксация действий и контроль использования ЦУЗ при работе с финансовым ПО Администратор Anti-Fraud
Security Information & Event Management (SIEM),
Управление информацией и событиями безопасности
Фиксация дополнительных сведений и минимизация времени расследования сбоя (как вид инцидента) Администратор SIEM
Employee Monitoring Tools (EM Tools),
Мониторинг продуктивности и работы сотрудников
Анализ рабочего процесса ПП Администратор EM Tools

Таблица 1. Совместное применение PAM с различными СрЗИ


Рисунок 1. Совместное применение ENFW и PAM


Рисунок 2. Расследование сбоя с применением SIEM и PAM

Интеграция со СрЗИ

Довольно распространенной является ситуация, при которой разработчики разных СрЗИ реализовывают схожие функциональные возможности для выполнения поставленных задач. Среди них – функции управления учетными записями.

Однако возможен сценарий, при котором в одной ИС окажется два СрЗИ, неконкурентных друг другу. При этом у одного из СрЗИ данные функции развиты слабее. В такой ситуации имеет смысл реализовать сценарий с интеграцией разных средств.

Интеграция необходима для достижения двух разных целей:

  1. Повышение эффективности PAM или иного СрЗИ за счет функций, которые имеются в PAM или в другом средстве, но обладают более низким уровнем эффективности и возможности применения. Это ситуативная интеграция, актуальная до тех пор, пока возможности не станут сопоставимы.
  2. Повышение эффективности применения PAM или иного СрЗИ за счет функций, которые нецелесообразно реализовывать в другом продукте, – постоянная интеграция.

Решение
Возможные механизмы
Инициатор
(source –> destination)
Эффект
Выгодоприобретатель (stakeholder)
Постоянная интеграция
Data Leak Prevention (DLP),
Предотвращение утечек информации.

Data Access Governance (DAG),
Управление доступом к данным
Протоколы:
  • ICAP
  • OPES
  • SMB

Методы:
  • SDK
PAM -> DLP
PAM -> DAG
Категоризации передаваемой информации Администратор PAM, DAG, DLP
Выявление и блокировка утечек информации Администратор DLP
Методы:
  • API
  • Management Tools (утилиты управления)
PAM <- DAG Отслеживание доступа к критичным файлам и компонентам ЦР Администратор PAM
Enterprise Backup Solution (EBS),
Решения для резервного копирования файлов
Методы:
  • API
  • Management Tools
PAM -> EBS Восстановление критичных для ЦР файлов Администратор PAM
Endpoint Security Suite (ESS),
Комплексная защита узлов

SandBox,
«Песочница» для запуска подозрительных файлов
Протоколы:
  • ICAP
  • OPES
PAM -> ESS
PAM -> Sandbox
Блокировка попадания на ЦР вредоносного ПО Администратор PAM, ESS, Sandbox
Intrusion Detection System (IDS),
Выявление вторжений
Методы:
  • API
  • Management Tools
PAM <- IDS Блокировка скомпрометированных соединений Администратор PAM, IPS, IDS
Security Information & Event Management (SIEM),
Управление информацией и событиями безопасности
Протоколы:
  • Syslog
  • XML
  • CVS
PAM -> SIEM Выявление инцидентов, связанных с действиями ПП Администратор PAM, SIEM
Security Orchestration, Automation and Response (SOAR),
Средство оркестровки, автоматизации и реагирования
Протоколы:
  • SMTP

Методы:
  • API
  • Management Tools
PAM <- SOAR Изменение ПРД и автоматический разрыв привилегированных сессий, как реакция на инциденты Администратор PAM, SOAR
Identity & Access Governance (IAG, IdM, IAM),
Управление учетными записями и правами доступа

Domain Group Policy Management (GPM),
Управление доменными групповыми политиками
Методы:
  • API
  • Management Tools
PAM <- IAG
PAM <- GPO
Централизованное управление ПРД Администратор PAM, IAG, GPO
Multi-Factoring Authentication (MFA),
Многофакторная (усиленная) аутентификация
Протоколы:
  • RADIUS
  • ADFS
  • SAML
  • OIDC
PAM -> MFA Централизованная усиленная аутентификация при ПД Администратор PAM, MFA
Ситуативная интеграция
Employee Monitoring Tools (EM Tools),
Мониторинг продуктивности и работы сотрудников
Протоколы:
  • Syslog
  • ICAP
  • OPES
  • SMB

Форматы:
  • XML
  • CVS
PAM -> EM Tools Передача записей действий ПП для подсчета продуктивности и репутации Администратор PAM, EM Tools
Методы:
  • SDK
Подсчет продуктивности и репутации с помощью методов EM Tools Администратор PAM
User Behavioural Analytics (UBA),
Анализ поведения пользователей
Протоколы:
  • ICAP
  • OPES
  • SMB

Форматы:
  • XML
  • CVS
PAM -> UBA Передача записей действий для выявления аномалий действий ПП Администратор PAM, UBA
Методы:
  • SDK
Выявления аномалий поведения ПП с помощью методов UBA Администратор PAM
Endpoint Security Suite (ESS),
Комплексная защита узлов
Методы:
  • API
  • Management Tools
PAM -> ESS Блокировка запуска приложений, выполнения команд и операций Администратор PAM
Enterprise Password Manager (EPM),
Корпоративное управление безопасностью паролей
Методы:
  • API
  • Management Tools
PAM -> EPM Хранение и защита ЦУЗ с помощью внешнего средства Администратор PAM
Enterprise Single Sign-On (ESSO),
Технология единого входа
Протоколы:
  • RADIUS
  • ADFS
  • SAML
  • OIDC

Методы:
  • API
  • Management Tools
PAM -> ESSO Поддержка подключения и управления ЦУЗ от специализированных ЦР Администратор PAM

Таблица 2. Интеграция PAM со средствами защиты информации

* Под инициатором взаимодействия (source) понимается средство:

  1. Использующее методы средства-приемника (destination) для:

    • получения какого-либо результата (например, анализ перехваченного PAM файла на наличие вредоносного кода с помощью ESS);
    • изменение поведения средства-приемника (например, разрыв сессии в PAM при выявлении инцидента в SOAR);
    • реализации дополнительных возможностей для средства-инициатора (например, хранение ЦУЗ в внешнем хранилище EPM);
  2. Передающее данные средству-приемнику (destiantion) для повышения эффективности его работы (например, передача событий PAM в SIEM для выявления инцидентов ИБ).

В основном интеграция между любыми СрЗИ реализуется по запросу со стороны организации-заказчика. Так как стороннее СрЗИ может воздействовать на поведение и ПРД PAM, заказывать интеграцию рекомендуется только со СрЗИ, имеющим сертификат ФСТЭК России.


Рисунок 3. Контроль передачи файлов с антивирусной проверкой через ESS

Примеры продуктов PAM, поддерживающих интеграцию с СрЗИ:

Интеграция с компонентами ИС

Можно выделить следующие виды интеграции:

  1. Обязательная – без которой работа PAM в ИС будет сильно затруднена вплоть до невозможности нормального функционирования существующих ИТ-процессов;
  2. Рекомендательная – позволяет повысить эффективность и степень автоматизации работы PAM.

Решение
Возможные механизмы
Инициатор
(source –> destination)
Эффект
Выгодоприобретатель (stakeholder)
Обязательная интеграция
Directory Service (DS),
Служба каталогов
Протоколы:
  • LDAP
  • ADSI
PAM -> DS Импорт ЦУЗ и сведений о ЦУЗ Администратор PAM
Импорт перечня ЦР
Осуществление операций с ЦУЗ через PAM
Протоколы:
  • Kerberos
  • RADIUS
  • ADFS
  • SAML
  • OpenID Connect
PAM -> DS Авторизация с использованием внешних (доменных) учетных записей Администратор PAM, DS
DBO,
Система управления базой данных
Протоколы:
  • TDS/SQL
PAM -> DBO Хранение данных PAM в СУБД Администратор PAM
E-mail,
Электронная почта
Протоколы:
  • SMTP
PAM -> E-mail Отправка уведомлений Администраторам PAM и ПП Администратор PAM
Time Server,
Сервер времени
Протоколы:
  • NTP
PAM -> Time Server Синхронизация системного времени PAM Администратор PAM
AppServer,
Сервер приложений
Протоколы:
  • RemoteApp
  • ICA
PAM -> AppServer Контроль ПД к ЦР, при отсутствии поддержки специализированных протоколов Администратор PAM
Дополнительная интеграция
Service Desk,
Служба обработки заявок
Протоколы:
  • SMTP

Методы:
  • API
  • Management Tools
PAM <- Service Desk Централизованная настройка ПРД по заявкам Администратор PAM
Messengers,
Система обмена сообщениями
Методы:
  • API
  • Management Tools
PAM -> Messenger Отправка уведомлений администраторам PAM и ПП Администратор PAM
Network Attached Storage (NAS, SAN),
Сетевые хранилища данных
Протоколы:
  • NFS
  • CIFS
  • iSCSI
PAM -> NAS Хранение «тяжелых» данных Администратор PAM

Таблица 3. Поддержка интеграции PAM с ИТ-ресурсами

При интеграции PAM с Service Desk также рекомендуется обеспечить невозможность несанкционированного изменения поведения PAM.


Рисунок 4. Контроль ПД к опубликованному на AppServer ПО


Рисунок 5. Настройка ПРД по заявке через Service Desk

Построение организационного процесса

Решение класса PAM является «ядром» организационного процесса управления ПД и контроля действий ПП. Организационный процесс включает в себя:

  • технические средства (не только PAM);
  • защищаемые ЦР и ЦУЗ;
  • сопроводительную документацию;
  • внешние и внутренние ПП.


Рисунок 6. Визуализация плана построения организационного процесса

На этапе обследования необходимо сформировать исчерпывающий перечень ПП и ЦР. Затем надо изучить, какие сторонние технические средства имеются в организации и какие меры защиты приняты. Сбор исходных данных может осуществляться организацией самостоятельно либо с привлечением представителей организаций-подрядчиков. Совместно с обследованием возможно организовать тестирование продуктов PAM от разных разработчиков.

Далее можно приступить к проектированию и внедрению системы управления ПД и контроля действий ПП. При проектировании имеет смысл учесть возможные планы по масштабированию системы PAM с горизонтом планирования на 2-3 года вперед.

Для корректного функционирования организационный процесс требует наличия сопроводительной документации. Эта документация также необходима для качественного выполнения операций исполнителями.

После внедрения PAM можно приступить к постепенному переводу ПП на работу через PAM. При этом рекомендуется начинать с наиболее приоритетных категорий сотрудников.

В процессе перевода сотрудников на работу через PAM следует провести обучение и предоставить им для изучения весь необходимый материал и инструкции. Для обучения желательно привлечь представителей разработчика PAM или специализированного учебного центра.

Рекомендации к проведению обследования

Основной целью этапа обследования является сбор сведений об ИС в объеме, достаточном для внедрения PAM. В первую очередь речь идет о формировании исчерпывающих перечней:

  • категорий ПП и сведений о них;
  • категорий ЦР и сведений о них, включая используемые для подключения ЦУЗ.

Кроме информации о ПП, ЦР и ЦУЗ, осуществляется сбор информации об «окружении» PAM и изучение имеющейся организационно-распорядительной и технической документации, связанной со следующими организационными процессами:

  • управление доступом;
  • обеспечение сетевой безопасности;
  • контроль и оценка работы персонала;
  • выявление и реагирование на инциденты ИБ;
  • выполнение требований нормативно-правовых актов и стандартов в сфере ИБ.

Хорошей практикой после сбора первоначальных сведений является проведение пилотного тестирования. Тестирование позволяет более эффективно решить следующие задачи:

  • сформировать требования к управлению ПД и контролю действий ПП;
  • описать сценарии применения конкретного PAM;
  • понять особенности функционирования и обслуживания конкретного PAM.

После проведения обследования опционально допускается разработка соответствующего отчета, который может содержать:

  • перечень контролируемых сущностей (ПП, ЦР и ЦУЗ);
  • описание существующих организационных процессов;
  • цель и задачи внедрения PAM, ожидаемый эффект (выгоды от внедрения);
  • сокращенный проект внедрения PAM.

Детализированные рекомендации к составу отчета об обследовании не предъявляются, однако при разработке отчета обязательно нужно учитывать итоги тестирования, если оно проводилось.

Подход к сбору и систематизации сведений

Для сбора данных рекомендуется использовать опросный лист. Он заполняется самостоятельно или с привлечением представителей внешних подрядчиков. К самостоятельному заполнению рекомендуется прибегать только в случае наличия компетентных специалистов, уже знакомых с решениями класса PAM.

Ниже приведены примеры состава и заполнения основных разделов опросного листа.

Наименование
Параметры доступа
Роль
ПО, ОС
Способы взаимодействия
Учетные записи
Доп. сведения
1. organization.ru 192.168.15.7 Контроллер домена №1, DNS-сервер Windows Server 2016 LDAP (389)
Kerberos – Change Password (464)
(…)
PAMService@or-
ganization.ru
Домен для корпоративных ресурсов
2. Post.organization.ru Post.organization.ru Почтовый сервер MS Exchange SMTP (25) PAMReport

Таблица 4. Пример заполнения сведений о компонентах ИС



Категории целевых ресурсов
Перечень ресурсов
Параметры доступа
Домен
ОС, ПО
Способы подключения
Целевая учетная запись
Доп. сведения
1. Платформа виртуализации Хост ESXi 6.0 192.168.101.10 Нет VMware ESXi 6.0 SSH Локальная учетная запись – admin1 Необходимо управление паролями
VCenter Server 6.0 192.168.110.20 1 ПО на Windows Server 2016 HTTPS Доменная учетная запись Необходима публикация приложения
2. Сервера 1С Сервер 1С 10.0.31.4 1 ПО на Windows Server 2016 RDP Доменная учетная запись
СУБД 1С 10.0.31.3 1 RDP, TDS/SQL Доменная учетная запись Возможна публикация приложения
3. Виртуальные машины на базе Linux/Unix Сервер №1 192.168.87.4 Нет Red Hat Enterprise Linux 7 (RHEL 7.3) SSH Локальная учетная запись – service1 Необходимо управление паролями
Сервер №2 192.168.1.97 Нет CentOS 7.5-1804 SSH #1 (22), SSH #2 (666) Локальная учетная запись – admin3
4. Сервисы Active Directory 2016 Контроллер домена 10.66.81.4 1 Оснастка для работы с DNS - Доменная учетная запись Необходима публикация приложения

Таблица 5. Пример заполнения сведений о категориях ЦР



Категории привилегированных пользователей
Перечень пользователей
Доступные ресурсы
Полномочия
Рабочее время
Доп. сведения
1. Внутренние администраторы Сотрудник 1 1 – 4 Управление внутренними ЦР Пн-Пт
9:00 – 18:00
Высокая частота подключений
Сотрудник 2
2. Аутсорсеры 1С Сотрудник аутсорсера 1 2 Администрирование серверов с 1С; Администрирование СУБД, на которой размещена 1С, без доступа к серверу СУБД - Низкая частота подключений;
Доступ по согласованию по заявке
Сотрудник аутсорсера 2
3. Подрядчик X – Работа с серверами Linux/Unix Сотрудник подрядчика X №1 3 Проведение работ в рамках контракта Пн-Пт
18:00 – 20:00
Разовые работы в рамках контракта
Высокая частота подключений
4. Аутсорсер 1С и Подрядчик X – Работа с сервисами AD Сотрудник аутсорсера №1 4 Проведение работ в рамках контракта - Разовые работы в рамках контракта
Низкая частота подключений
Доступ по согласованию
Сотрудник подрядчика ААА 3

Таблица 6. Пример заполнения сведений о категориях привилегированных пользователей

Приведенных таблиц достаточно для сбора первоначальной информации о масштабах проекта. Их состав универсален для любого PAM. Однако в таблицах отсутствует специфическая информация вроде требований по контролю действий ПП при работе на ЦР или допустимых форматов записи действий. Структура дополнительных таблиц зависит от особенностей функционирования конкретного PAM. При заполнении опросных листов важно придерживаться принципа разумной достаточности. Высокая детализация сведений может быть избыточна, и такие сведения имеет смысл вносить уже в итоговую документацию по результатам внедрения.

Рекомендации к тестированию

Основные задачи пилотного тестирования конкретного продукта PAM:

  • развернуть демонстрационные компоненты PAM на площадках (в филиалах) организации-заказчика;
  • настроить функции компонентов PAM;
  • интегрировать компоненты PAM с компонентами ИС, включая СрЗИ;
  • сформировать правила реагирования на события, генерируемые PAM;
  • продемонстрировать представителям организации реализованные технические решения;
  • получить обратную связь от представителей организации.

При тестировании обязательно должны быть изучены следующие особенности и функциональные возможности PAM:

  • процесс внедрения PAM, включая сложности и дополнительные настройки;
  • интеграция PAM с компонентами ИС и СрЗИ;
  • настройка оборудования и сетевого окружения;
  • способы внесения (импорта) в PAM сведений о ПП, ЦР и ЦУЗ;
  • функции управления ПД;
  • функции управления ЦУЗ и паролями;
  • функции фиксации действий ПП;
  • функции анализа действий ПП;
  • функции контроля действий ПП.

Для пилотного тестирования организация может запросить у разработчика максимальный набор функций (через соответствующие лицензии). Это позволит определить актуальные для организации функциональные возможности, не учтенные ранее.

Чтобы ускорить тестирование, рекомендуется подготовить выборку из небольшого количества ПП и ЦР, разделенных на максимальное количество категорий. Выборка должна быть репрезентативна. Сознательное игнорирование категорий ПП и ЦР при тестировании снижает объективность итоговой оценки.

В качестве примера категорий ПП для тестирования можно привести следующие:

  • системные администраторы;
  • аудиторы;
  • разработчики и программисты;
  • операторы финансовых сервисов;
  • подрядчики.

Документальное сопровождение тестирования

Для планирования тестирования необходимо разработать техническое задание, которое должно содержать следующие сведения:

  • цель и задачи пилотного тестирования;
  • перечень участников со стороны организации и компаний-подрядчиков;
  • исходные данные;
  • схемы организации процесса работы ПП с ЦР (текущие и планируемые, через PAM);
  • функциональные требования;
  • план-график тестирования;
  • программа и методика испытаний (ПМИ).

Не рекомендуется запускать пилот без согласования со всеми сторонами технического задания. Это может привести к потерям времени и дополнительным техническим работам.

По итогам проведения пилотного тестирования обычно разрабатывается Отчет о результатах тестирования. Отчет может включать некоторые разделы из технического задания.

| |
Наименование раздела
Приоритет
Комментарии
Техническое задание
Отчет
Лист согласования / утверждения Высокий -
Общие сведения
Перечень участников Средний Перечисление организаций-участников, ответственных сотрудников и их контактные данные
Цель и задачи Высокий Выполнение всех задач является признаком завершения тестирования
Исходные данные Исходные данные о рамках и масштабах пилотного тестирования. Только количественные сведения.
Реестр требований
Категории ПП Высокий -
Категории ЦР -
Функциональные требования Перечень функциональных возможностей, подлежащих проверке
Требования к инфраструктуре Требования к сетевому окружению PAM в ИТ-инфраструктуре, наличие определенных компонентов
Порядок проведения испытаний
Программа и методика испытаний (ПМИ) Высокий Перечень проверок функциональных требований Разделы отсутствуют
План-график проведения пилотного тестирования Средний -
Протокол испытаний
Функциональные проверки Высокий Разделы отсутствуют Результаты проверок функциональных требований
Реализация функций в графическом интерфейсе Низкий Изображения элементов управления, реализующих конкретную функцию
Ошибки, замечания и пожелания Средний -
Архитектура решения
Схемы процесса доступа ПП к ЦР Средний Схематичное отображение организационного процесса подключения ПП к ЦР с использованием и без использования PAM.
Планируемая / Реализованная схема процесса доступа ПП к ЦР посредством PAM
Сетевая схема тестового внедрения PAM в ИС -
Настройки оборудования и сетевого окружения -
Сведения о PAM
Особенности управления правами доступа ПП к ЦР Низкий Разделы отсутствуют Сводное описание особенностей функционирования конкретного PAM
Особенности управления ЦУЗ
Особенности фиксации действий ПП
Особенности анализа действий ПП
Особенности контроля действий ПП
Автоматизация Описание механизмов автоматизации работы PAM. К примеру, автоматический поиск ЦУЗ и их импорт в хранилище
Дополнительные разделы Любые дополнительные разделы для фиксации важных сведений о конкретном PAM, но не включенные в иные разделы
Сценарии применения PAM
Сценарий 1 Средний Разделы отсутствуют Описание актуальных для организации сценариев применения конкретного PAM
Сценарий 2
...
Сценарий N
Приложения
Рекомендации по внедрению PAM Высокий Разделы отсутствуют Предварительная оценка количественных и качественных параметров, необходимых для формирования последующей финансовой оценки проекта по внедрению PAM
Отчеты о работе PAM Выгрузка встроенных отчетов со статистикой работы PAM
Комментарии представителей организации Средний -
Оценка выполнения требований нормативно-правовых актов и стандартов -
Выгоды от внедрения PAM Количественная и (или) качественная оценка

Таблица 7. Рекомендации по составу Отчёта о тестировании

При формировании требований к составу Отчёта о пилотном тестировании рекомендуется стремится к такому содержимому, с помощью которого можно:

  • воспроизвести полную картину проведенного тестирования;
  • понять особенности внедрения и применения конкретного PAM в организации.

Техническое задание и Отчёт могут быть разделены на несколько документов. Часто разделы «Программа и методика испытаний» и «Протокол испытаний» выносятся в отдельные документы.

Хорошей практикой является проведение тестирования нескольких продуктов класса PAM, которые лучше всего подходят для достижения целей организации, с последующим формированием сводного отчета, содержащим количественную оценку каждого протестированного продукта PAM.

Рекомендации к развертыванию

Процесс технического развертывания, а также интеграции с компонентами ИС индивидуальны для каждого продукта PAM. Даже решения, поддерживающие работу в одном режиме функционирования («Бастион», «Маршрутизатор» или «Агент»), отличаются в вопросах инсталляции и настройки.

Следующие задачи тестирования - фиксация и оценка индивидуальных особенностей настройки PAM. Очень важным параметром является удобство работы PAM. Чем удобнее PAM для решения типовых задач, тем меньше потребуется трудовых ресурсов. При этом прямой корреляции между функциональными особенностями и удобством функционирования не отмечено.

Порядок постановки под контроль категорий ПП

Основной рекомендацией при развертывании PAM является этапность задачи постановки ПП под контроль с сопутствующим обучением. Такой подход позволит оперативно корректировать настройки инсталляции PAM и постепенно дорабатывать сопроводительную документацию для достижения максимальной эффективности работы.

Кроме того, поэтапная постановка под контроль разных категорий ПП позволит задействовать на ранних этапах минимум лицензий и, следовательно, сократить затраты на внедрение и на приобретение вычислительных мощностей.

Для формирования порядка постановки под контроль ПП рекомендуется опираться на следующие показатели:

  • критичность работы конкретной категории ПП – чем более критичные и широкие полномочия у категории пользователей – тем раньше их необходимо перевести на работу через PAM;
  • средний уровень квалификации категории ПП – чем выше средний уровень квалификации сотрудников, относящихся к конкретной категории ПП – тем меньше затрат трудовых ресурсов понадобится для их обучения основам работы через PAM;
  • требуемые методы фиксации, контроля и анализа действий ПП – включение каждой функциональной возможности задействует вычислительные ресурсы, соответственно, на первоначальных этапах необходимо стремиться включать только минимально необходимый набор функций.

Категория пользователей
Порядок
Функции фиксации
Функции анализа
Функции контроля
Внешние разработчики 1 Видеозапись действий в среде разработки
Фиксация запускаемого ПО, выполняемых команд и операций
Фиксация переданных файлов
Только анализ работы со сторонним ПО (кроме среды разработки)
Анализ продуктивности и репутации на основе времени работы с конкретным ПО
Контроль работы со сторонним ПО и выполнение команд (кроме среды разработки)
Блокировка прямой работы с файлами
Контроль предоставления ЦУЗ для работы среды разработки
Согласование и заявки на подключения
ИТ-Подрядчики 2 Видео-, текстовая запись действий
Фиксация запускаемого ПО, выполняемых команд и операций
Фиксация переданных файлов
Анализ работы, с подсчетом продуктивности и репутации Контроль работы со всем ПО и контроль выполнения команд
Контроль работы с файлами
Согласование и заявки на подключения
Внутренние разработчики 3 Видеозапись действий в среде разработки
Фиксация запускаемого ПО, выполняемых команд и операций
Фиксация переданных файлов
Только анализ работы со сторонним ПО (кроме среды разработки)
Без подсчета продуктивности и репутации
Контроль работы со сторонним ПО и выполнение команд (кроме среды разработки)
Контроль работы с файлами
Контроль предоставления ЦУЗ для работы среды разработки
Системные администраторы 4 Видео-, текстовая запись действий
Фиксация запускаемого ПО, выполняемых команд и операций
Фиксация переданных файлов
Без подсчета продуктивности и репутации Контроль работы со всем ПО и контроль выполнения команд
Контроль работы с файлами
Операторы финансовых сервисов 5 Видео-, текстовая запись действий
Фиксация выполняемых команд и операций
Анализ работы, с подсчетом продуктивности и репутации
Выявление аномалий
Контроль работы с финансовым и бухгалтерским ПО
Блокировка работы в случае выявления критичных аномалий

Таблица 8. Пример порядка постановки под контроль категорий ПП

Рекомендации к разработке документации

Сопроводительная документация необходима для корректного функционирования организационного процесса управления ПД и контроля действий ПП.

Всю документацию можно разделить на три категории:

  • Организационная документация предоставляется для ознакомления широкому кругу сотрудников, включая представителей руководства. Документы этой категории занимаются «легализацией» PAM в организации и позволяют ответить на вопрос «Для чего это используется?».
  • Эксплуатационная документация предоставляется для ознакомления Администраторам PAM и ПП и отвечает за корректное использование PAM. Документы этой категории позволяют избежать непродуктивных затрат времени и вычислительных ресурсов при работе с PAM и отвечают на вопрос «Как этим пользоваться?».
  • Техническая документация предоставляется для ознакомления Администраторам PAM и описывает имеющуюся инсталляцию PAM. Документы этой категории не только описывают технические параметры инсталляции PAM, но и позволяют оперативно восстановить настройки PAM в случае серьезного сбоя. В целом эти документы отвечают на вопрос «Как это настроено?».

Наименование
Содержание
Назначение
Организационная документация
Приказ о вводе в действие системы контроля действий привилегированных пользователей - Запуск организационного процесса в работу
Положение о контроле действий привилегированных пользователей Основополагающий документ.
Вводит определения ПП, ЦР и ЦУЗ.
Устанавливает основные требования и принципы контроля действий ПП, назначает ответственных лиц
Описание основных принципов работы организационного процесса
Регламент о контроле действий привилегированных пользователей Описывает порядок предоставления и управления ПД. Вводит категории ПП, ЦР и ЦУЗ.
Содержит описание организационного процесса, типовые формы заявок, актов, уведомлений и т.п.
Реализация порядка работы организационного процесса
Типовое соглашение об осуществлении контроля Описывает порядок осуществления ПД внешних ПП, перечень действий, подлежащих фиксации, и меры активного воздействия на подключение Обеспечение контроля внешних ПП
Порядок и программа обучения сотрудников Описывает порядок действий разных категорий Администраторов PAM и ПП.
Содержит план проведения обучения и проведения проверок (экзаменов).
Содержит практические занятия
Донесение до сотрудников правил работы с PAM
Эксплуатационная документация
Руководство системного администратора Содержит:
  • Технические требования
  • Инструкция по монтажу
  • Подготовка инфраструктуры
  • Порядок внедрения
  • Отказоустойчивость и балансировка нагрузки
  • Защита среды функционирования
Предоставление исчерпывающей информации о работе с PAM для разных категорий сотрудников
Руководство администратора Содержит:
  • Внесение (импорт) данных о ПП, ЦР и ЦУЗ
  • Управление ПРД
  • Управление функциональными возможностями
  • Управление компонентами
  • Управление интеграцией
Руководство пользователя Содержит:
  • Порядок подключения ПП к ЦР
  • Порядок получения паролей ЦУЗ
  • Согласование заявок
  • Усиленная аутентификация
  • Анализ и контроль действий
  • Уведомления
Распределение нагрузки План и расписание подключений ПП к ЦР в разрезе по календарным дням и времени суток Контроль и планирование использования вычислительных мощностей
Порядок и методика оценки работоспособности Содержит порядок оценки работоспособности PAM и компонентов ИС, подходы к проведению нагрузочных испытаний Контроль корректной работы компонентов PAM
Порядок и методика периодической оценки эффективности Содержит порядок оценки эффективности функционирования PAM (оценка выполнения поставленных перед PAM задач) Контроль эффективности применения PAM
Техническая документация
Матрица доступа Содержит описание полномочий всех ПП в отношении ЦР, полномочий всех Администраторов в отношении функций PAM Предоставление сводной информации о полномочиях сотрудников при эксплуатации PAM и при доступе к ЦР
Схемы внедрения и интеграции Содержит:
  • Схемы внедрения на сетевом уровне (L3, L4)
  • Схемы процессов взаимодействия с компонентами ИС и СрЗИ
Визуализация инсталляции компонентов PAM с необходимой детализацией
Описание конфигураций Содержит описание дополнительных настроек PAM, среды функционирования (включая меры защиты), сетевых настроек оборудования и т.п. Предоставление информации о технических параметрах функционирования PAM и сетевого окружения PAM

Таблица 9. Перечень сопроводительной документации для организационного процесса управления ПД и контроля действий ПП

* Отчетные документы по итогам обследования и пилотного тестирования относятся одновременно к эксплуатационной и технической документации.

Заключение

Поддержка интеграции с широким перечнем технических средств является серьезным конкурентным преимуществом отдельно взятого решения PAM. В первую очередь за счет того, что подобная интеграция позволяет существенно расширить функциональные возможности PAM и (или) интегрируемого технического средства.

Необходимо помнить, что PAM, как и любое другое техническое средство, нуждается в корректном применении для получения максимальной эффективности. Для грамотной эксплуатации PAM необходимо грамотное построение организационного процесса управления ПД и контроля действий ПП.

Вопреки распространенному мнению о первоочередности технических работ, при построении организационного процесса ключевыми этапами являются подготовка и разработка документации.

В процессе обследования и тестирования на этапе подготовки закладывается фундамент, на основе которого будет строиться организационный процесс. Соответственно, ошибки, допущенные на данном этапе, могут привести к ощутимым затратам ресурсов в будущем, в процессе эксплуатации.

Разработка грамотного пакета документов, с одной стороны, позволяет уменьшить объем трудозатрат, необходимых для эксплуатации и настройки средства, а с другой – позволяет извлечь максимальную эффективность при применении PAM.

После корректного внедрения средства контроля действий ПП и формирования сопутствующего организационного процесса можно извлечь максимальную выгоду от приобретения PAM.

Автор:
Ярослав Голеусов, руководитель технического консалтинга компании «Индид».