|
|
Пример решения: InfoWatch защищает конфиденциальную информацию «ГидроОГК»
О заказчике
«ГидроОГК» является одной из крупнейших по установленной мощности гидрогенерирующих компаний в мире. К моменту завершения формирования компания будет объединять около 50 ГЭС с общей установленной мощностью 23,3 ГВт. Таким образом, значение деятельности компании для экономики России сложно переоценить.
Между тем, это одна из наиболее сложных информационных систем, с точки зрения топологии и гетерогенного характера. ИT-инфраструктура «ГидроОГК» охватывает локальную сеть центрального офиса (около 800 рабочих станций и 45 серверов) и распределенные сети порядка 50 гидроэлектростанций (около 200 рабочих станций и 7 серверов на каждой). Другими словами, компьютерная сеть федеральной генерирующей компании насчитывает около 10,5 тыс. рабочих станций и 350 серверов. Кроме того, если рабочие станции и файловые серверы работают под управлением Microsoft Windows, то почтовые серверы используют, как Microsoft Exchange, так и Linux Sendmail. Таким образом, ИT-инфраструктура «ГидроОГК» является в высшей мере разветвленной и гетерогенной.
Сегодня информационные системы играют критически важную роль в деятельности компании. Конфиденциальность и целостность классифицированных данных, доступность ИT-ресурсов, непрерывность бизнес-процессов — от всех этих факторов зависит успешность бизнеса энергетического гиганта.
До внедрения
Развитие рынка энергоресурсов и постоянный рост «ГидроОГК» выдвинули на первый план вопросы ИT-безопасности. До внедрения комплексного решения InfoWatch Enterprise Solution в компании уже существовала система защиты от внешних угроз. Однако проблема инсайдеров и утечек оставалось не решенной. Между тем, характеристики внутренней среды организации делали ее критически уязвимой для внутренних атак. Более 10 тыс. компьютеризированных рабочих мест, сотни серверов и различных каналов связи — все эти ресурсы находились в распоряжении инсайдеров и в любой момент могли быть использованы для кражи конфиденциальной информации. Таким образом, «ГидроОГК» провела конкурс на разработку и внедрение системы защиты от инсайдеров и утечек, которая должна удовлетворять следующим требованиям:
- Создаваемая система ИT-безопасности должна эффективно защищать от внутренних угроз (утечка, искажение, уничтожение конфиденциальной информации; нарушение непрерывности бизнес-процессов со стороны инсайдеров) и включать в себя механизмы внутреннего контроля в соответствии с требованиями секции 404 американского закона SOX (Sarbanes-Oxley Act of 2002);
- Внедряемое решение для защиты от внутренних угроз должно иметь комплексный характер и покрывать все пути утечки конфиденциальной информации из организации (электронную почту и интернет, принтеры и сменные накопители на рабочих станциях, беспроводные сети и мобильные устройства);
- Система внутренней ИT-безопасности должна быть максимально прозрачной, то есть не затруднять доступ к информации и не тормозить бизнес-процессы заказчика в тех случаях, когда действия инсайдеров соответствуют политике безопасности;
- Решение для защиты от инсайдеров и утечек должно быть полностью управляемым и иметь возможность интеграции в комплексную корпоративную систему ИT-безопасности;
- Корпоративный процесс управления ИT-безопасности должен соответствовать европейскому стандарту ISO 17799.
«Энергетика — это очень серьезно. Свет не должен гаснуть, поэтому для нашей компании крайне важно иметь полностью управляемую и эффективную систему ИT-безопасности, которая защищает, как от внешних, так и от внутренних угроз, а также соответствует международным стандартам (ISO 17799) и законодательным актам (SOX). Одним из наиболее сложных требований, которые мы предъявляли к системе защиты от утечек и инсайдеров, была комплексность. Очевидно, что для эффективной защиты от внутренних угроз необходимо закрыть все возможные каналы утечки и взять под контроль все узлы, где обрабатывается классифицированная информация. Между тем, на этапе постановки задачи мы даже не были уверены, что на рынке существуют достаточно эффективные и комплексные решения. Однако, как выяснилось далее, такие решения уже представлены на российском рынке», — комментирует Гаральд Бандурин, директор по информационным технологиям «ГидроОГК».
Выбор системы
Специалисты «ГидроОГК» в течение нескольких месяцев тщательнейшим образом изучали и анализировали рынок систем защиты от инсайдеров и утечек. Эксперты рассматривали не только техническую функциональность продуктов и степень их зрелости для использования в компании такого масштаба, как «ГидроОГК», но еще и спектр сопроводительные услуг, оказываемых различными поставщиками. После детального анализа различных вариантов, выбор был сделан в пользу комплексного решения InfoWatch Enterprise Solution, поставляемого российской компанией InfoWatch.
Выбранное решение адресует весь спектр внутренних угроз (утечка, искажение, уничтожение, саботаж и т.д.) и покрывает все используемые в компании коммуникационные каналы. Наиболее важными аргументами в пользу InfoWatch Enterprise Solution были следующими:
- Компания InfoWatch имеет четкую специализацию на защите от утечек и инсайдеров, а также опыт реализации проектов в крупнейших корпорациях и госструктурах;
- Решение InfoWatch Enterprise Solution единственное на российском рынке обладает достаточной степенью комплексности: покрывает каналы электронной почты и Интернета, всевозможные порты рабочих станций (USB, COM, LPT, FireWire, IrDA, Bluetooth и т.д.), защищает от утечки через принтеры и т.д.;
- Кроме того, в состав комплексного решения входит модуль InfoWatch *Storage, собирающий и архивирующий абсолютно всю корпоративную корреспонденцию и весь сетевой трафик. Отличительной особенностью этого продукта также является возможность произвести мощный ретроспективный анализ. Данный модуль интегрирован в систему защиты от утечек и не имеет конкурентных аналогов.
- Компоненты InfoWatch Enterprise Solution обладают достаточной высокой производительностью, чтобы обеспечить эффективный контроль над гигантскими объемами трафика в ИT-инфраструктуре заказчика. Модули решения устойчивы к нагрузкам и позволяют в режиме реального времени проверять трафик и блокировать утечки, а также складывать корреспонденцию и web-данные в централизованный архив.
- Помимо активной функциональности, продукт обладает широкими пассивными возможностями: абсолютно все операции служащих с конфиденциальной информацией протоколируются и складываются вначале в журнал событий, а потом в базу данных. Таким образом, возможен детальный ретроспективный анализ произведенных действий.
- Используемое в решении InfoWatch разделение ролей позволяет избежать проблемы супер-пользователя и обеспечить «контроль над контролером». Таким образом, минимизируется проблема человеческого фактора и злонамеренных действий инсайдеров, обличенных властью.
- Комплексное решение InfoWatch Enterprise Solution является полностью централизованным и управляемым. С единой консоли уполномоченные лица могут задавать настройки различных компонентов решения, что значительно снижает затраты на администрирование решения.
- Компания InfoWatch поставляет широкий спектр сопроводительных и консалтинговых услуг, как в сфере обеспечения соответствия нормативным актам, так и в области построения эффективной системы защиты от инсайдеров и утечек. Эксперты InfoWatch внедряют решение «под ключ» и обеспечивают заказчика расширенной технической поддержкой в лице персонального менеджера.
Просуммировав все эти факторы, руководство «ГидроОГК» посчитало, что комплексное решение InfoWatch Enterprise Solution не имеет аналогов на российском рынке и полностью удовлетворяет предъявленным требованиям. Таким образом, выбор поставщика был сделан однозначно.
Предпроект
Перед компанией InfoWatch стояла задача разработки и внедрения системы управления ИT-безопасности «ГидроОГК» — крупной территориально распределенной компании с большим набором разнообразных информационных систем, в том числе и производственных. На момент начала работ процессы управления ИT-безопасности заказчика находились на начальном уровне модели зрелости в соответствии со стандартом COBIT. То есть в компании уже имелись документально зафиксированные свидетельств осознания организацией существования проблем обеспечения ИT-безопасности. Однако используемые процессы управления не были стандартизованы, применялись эпизодически и бессистемно. Общий подход к управлению информационной безопасностью выработан не был.
Проведя детальный анализ ИT-инфраструктуры «ГидроОГК», специалисты InfoWatch составили следующий график выполнения работ в соответствии с требованиями и пожеланиями заказчика:
План работ компании InfoWatch по созданию системы защиты конфиденциальной информации от утечек и инсайдеров в «ГидроОГК» |
Номер этапа |
Описание этапа |
Сроки выполнения |
1 |
На начальном этапе производится аудит ИT-систем заказчика на соответствие стандарту по управлению ИT-безопасностью ISO 17799. В результате аудита эксперты InfoWatch получают общую картину состояния ИT-систем, степени влияния их на бизнес процессы организации, состоянии процессов управления ИT-безопасностью; |
1,5-2 месяца |
2 |
Выработка общих принципов и подходов к обеспечению ИT-безопасности и закрепление их в специальном документе «Политика ИT-безопасности». Созданная «Политика» должна учитывать производственную специфику заказчика и результаты аудита. Жизненный цикл «Политики» должен включать в себя механизмы принятия решений и постоянной актуализации положений документа. Кроме того, «Политика» должна охватывать все без исключения подразделения заказчика; |
3-4 месяца |
3 |
Разработка «Плана защиты» — документа, необходимого для внедрения «Политики ИT-безопасности». В «Плане зашиты» поэтапно, придерживаясь принципа «сверху — вниз», должны быть описаны шаги по интеграции «Политики» в управленческие и бизнес-процессы заказчика. Придерживаясь «Плана защиты» и в тесной кооперации с соответствующими службами заказчика, разработать такие документы как: «Положение о конфиденциальности информации», «Политика реагирования на инциденты ИT-безопасности», «Политика работы с мобильными компьютерами» и еще более 10 документов; |
4-5 месяцев |
4 |
При необходимости приобретение нескольких новых программных продуктов, специфических отраслевым требованиям заказчика и необходимых для внедрения; |
4-5 месяцев |
В результате реализации плана работ должна быть построена система защиты от внутренних угроз и система управления IT-безопасности, удовлетворяющая требованиям нормативных актов.
После внедрения
Проект стартовал в 2005 году и уже в 2006 году был завершен. Все цели проекта были достигнуты. Вот, как полученные результаты комментирует Гаральд Бандурин, директор по информационным технологиям «ГидроОГК»: «Мы высоко оценили качество и точность выполнения работ компанией InfoWatch. Все работы были проведены в соответствии с намеченным планом, а полученная система защиты от инсайдеров и утечек удовлетворила всем предъявляемым требованиям».
Построенная система управления ИT-безопасностью была оценена как система «четвертого уровня зрелости» (в соответствии со стандартом COBIT). Другими словами, у заказчика обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов управления ИT-безопасностью обеспечивается их оптимизация. Процессы управления находятся в стадии непрерывного совершенствования, используются средства автоматизации управления ИT-безопасностью.
Система защиты от утечек и инсайдеров в «ГидроОГК»
Построенная система защиты от инсайдеров и утечек в полной мере учитывает специфику деятельности «ГидроОГК». Эксплуатация различных компонентов InfoWatch Enterprise Solution в ИT-инфраструктуре заказчика еще на этапе внедрения позволила выявить целый ряд неправомерных действий инсайдеров, нарушающих политику ИT-безопасности. Все эти операции были блокированы в режиме реального времени, а соответствующее уведомление тут же доставлено офицеру ИT-безопасности. Хотя все выявленные и заблокированные действия инсайдеров были совершены не по злому умыслу, а по небрежности, результат мог оказаться столь же плачевным. Таким образом, использование комплексного решения InfoWatch позволило минимизировать самый опасный риск — нарушение конфиденциальности информации.
Итоги
По результатам проекта руководство «ГидроОГК» приняло решение о стратегическом сотрудничестве с компаний InfoWatch. «Мы заинтересованы в дальнейшем развитии собственной системы ИT-безопасности в целом. Кроме того, для нашей компании очень важно постоянно наращивать эффективность системы защиты от внутренних угроз. Хотя все поставленные в данном проекте цели были достигнуты, мы все равно приняли решение об установлении стратегических партнерских отношений с InfoWatch. Это позволит нам заказывать модификацию отдельных компонентов решения и дополнительных модулей в соответствии со своими специфическими требованиями, а также проводить эффективное расследование инцидентов внутренней ИT-безопасности», — комментирует Гаральд Бандурин, директор по информационным технологиям «ГидроОГК».
Таким образом, одна из крупнейших гидрогенерирующих компаний в мире уже сегодня построила эффективную, надежную и полностью управляемую систему ИT-безопасности. В отличие от многих подобных проектов, внедренное решение не только соответствует ISO 17799, секции 404 закона SOX и требованиям к системе четвертого уровня зрелости стандарта COBIT. Кроме этого, построенная система адресует одну из самых опасных групп рисков ИT-безопасности: утечку конфиденциальной информации, искажение финансовой отчетности, саботаж и другие инсайдерские угрозы.
|
|