Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 6)

Опубликовано: 7 Апреля, 2023

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)

Введение

В первой части этой серии статей, посвященной вопросам планирования безопасности BYOD и консьюмеризации ИТ, мы рассмотрели проблемную область «Принеси свое собственное устройство» (BYOD) и обсудили ключевые аспекты планирования и проектирования. Мы завершили статью рассмотрением структуры структуры планирования, которую вы можете использовать для принятия решений по планированию. Во второй части мы обсудили ряд требований к решениям, применимым ко всем безопасным развертываниям BYOD. Это включает в себя технические возможности, которые требуются во всех решениях BYOD. В части 3 мы продолжили рассмотрение требований BYOD, а также их истории и намерений. В части 4 высказаны некоторые мысли о необходимости поддержки современных механизмов аутентификации в вашей стратегии BYOD. В части 5 мы перешли к обсуждению соответствия BYOD государственным и отраслевым стандартам безопасности и конфиденциальности.

Почему аудит и отчетность важны в регулируемом деловом мире

Вы можете сделать все возможное, чтобы гарантировать, что устройства сотрудников, которые получают доступ к вашей сети, безопасны и соответствуют нормативным требованиям, под которые подпадает ваша организация, но если у вас нет документации, подтверждающей это, вы все равно можете быть в горячей воде. Вы получаете информацию для этой документации с помощью аудита и сохраняете эту информацию с помощью отчетов.

В годы службы в правоохранительных органах я преподавал составление отчетов в полицейской академии. Это не было одним из самых захватывающих занятий, которые новобранцы должны были пройти в своем путешествии, чтобы заработать значок, но я попытался внушить им, что на самом деле это был один из самых важных. На самом деле, это происходит сразу после защитной тактики, которая может спасти им жизнь, потому что написание отчетов — это навык, который может спасти их карьеру.

В полицейском управлении распространена поговорка: «Если этого нет в отчете, этого не было». Это, конечно, неправда – но именно так на это будут смотреть и администрация, и органы внутренних дел, и юристы, и суды. И именно так регулирующие органы будут смотреть на это, если у вас нет письменной документации, которая показывает, что ваши механизмы безопасности действуют и эффективны.

Однако ИТ-специалистам повезло. Полицейским, по крайней мере в мое время, приходилось кропотливо печатать или печатать отчеты с подробным описанием каждого инцидента. Сегодня ситуация несколько улучшилась; у них есть оборудование для распознавания голоса/диктовки, а некоторые аспекты отчетности автоматизированы, но далеко не до такой степени, как автоматизирована отчетность ИТ.

Аудит соответствия и отчетность

Попытка вручную собрать, упорядочить и составить отчет о соответствии информации осложняется тем фактом, что такая информация часто распространяется по разным серверам, разным ИТ-хранилищам и хранится в разных физических местах, потому что только в самых крупных организациях вы найдете специальные отделы, которым поручено обеспечение безопасности. согласие. В большинстве случаев эту ответственность разделяют многие люди в разных подразделениях компании. Ручные процессы требуют много времени и персонала (и, следовательно, являются дорогостоящими) и подвержены ошибкам. В среде BYOD это еще более справедливо из-за количества и мобильности устройств, соответствие которым должно быть продемонстрировано.

Практически обязательно автоматизировать процесс документирования соответствия. Однако процесс аудита и отчетности должен быть настраиваемым, чтобы соответствовать конкретной ситуации каждой организации.

Что, когда и как проверять

Аудит может быть непростой задачей. Когда вы решаете, что конкретно проверять, легко подумать «чем больше, тем лучше», но это не всегда так. Регистрация слишком большого количества событий может не только отрицательно сказаться на производительности ваших систем, но и затруднить поиск нужной информации, когда она вам нужна.

При выборе объектов и событий для аудита необходимо учитывать два фактора:

  • Какая информация вам нужна для ваших собственных целей отслеживания?
  • Какая информация вам нужна для подтверждения соответствия?

Любой элемент, не подпадающий ни под одну из этих категорий, не нуждается в аудите. Это означает, что потребности в аудите будут различаться для разных организаций в зависимости от того, как вы ведете бизнес, типа (типов) данных, с которыми вы имеете дело, уровня безопасности, который вы хотите внедрить, и того, какие правила соответствия относятся к вашей компании.

Некоторые основные элементы аудита для большинства целей соответствия включают:

  • Попытки входа в систему (успешные и неудачные), время, продолжительность и связанная информация
  • Устройства, используемые для доступа к корпоративным ресурсам
  • Состояние шифрования устройства и информация о работоспособности (защита от вирусов и вредоносных программ, обновленная операционная система и прикладное программное обеспечение и т. д.)
  • Функции устройства включены
  • Статус удаленной блокировки
  • Действия пользователя (доступ к файлам, неудачные попытки доступа к файлам, изменения и удаления файлов/папок, неудачные попытки записи или удаления файлов/папок и т. д.)
  • Методы доступа (терминальные службы/удаленный рабочий стол, VPN, веб-службы и т. д.)
  • Административные действия (добавление/удаление/отключение пользователей, изменение разрешений и привилегий, изменение настроек конфигурации, изменение настроек аудита и т. д.)

Одна вещь, которая усложняет процесс аудита отчетности о соответствии, заключается в том, что вам необходимо иметь возможность связать проверяемые объекты/события с конкретными нормативными требованиями. Например, раздел 164.308(a)(5)(ii)(c) HIPAA требует «процедур для отслеживания попыток входа в систему и сообщения о расхождениях». Это будет соответствовать аудиту успешного входа/выхода из системы, неудачного входа в систему, служб терминалов/входа на удаленный рабочий стол, входа в VPN. Каждый элемент аудита, который вы включаете, должен быть аналогичным образом сопоставлен с соответствующим разделом закона или постановления, который содержит конкретное требование.

Сделай сам или нет?

Чтобы задокументировать соответствие нормативным требованиям для устройств BYOD, которые подключаются к вашей сетевой инфраструктуре Windows Server, один из вариантов — ознакомиться со всеми нормативными требованиями вместе с вашими собственными бизнес-требованиями и самостоятельно настроить аудит с помощью встроенного аудита Windows. возможности. Функция аудита в Windows с годами стала более сложной: количество параметров политики аудита увеличивалось с каждой новой итерацией ОС, а аудит интегрировался в групповую политику.

Усовершенствования аудита в Windows Server 2012/2012 R2 упростили сокращение объема информации аудита, позволяя применять политики аудита к определенным файлам и пользователям на основе атрибутов и утверждений пользователей/устройств. Аудит доступа к глобальным объектам в сочетании с аудитом на основе утверждений и динамическим контролем доступа позволяет применять принудительные меры к более точному набору действий. Еще одним важным дополнением стала возможность аудита файлов на съемных носителях.

Документы могут быть классифицированы, например, как High Business Impact, и доступ к этим документам пользователей, которые не обладают минимальным требуемым уровнем безопасности, может быть зарегистрирован, или вы можете регистрировать доступ или попытку доступа пользователей к документам, связанным с проектами, которые они выполняют. не работаю. Вы можете узнать больше об аудите безопасности Windows Server 2012/2012 R2 и дополнительных функциях в библиотеке TechNet.

Службу сбора аудита (ACS) в System Center 2012/2012 R2 можно использовать для сбора информации, создаваемой политикой аудита, которая хранится в локальном журнале безопасности, и помещать ее в централизованную базу данных SQL. Это упрощает фильтрацию и анализ событий с помощью функций анализа и отчетности SQL Server. Узнайте больше об ACS здесь.

Службы SQL Server Reporting Services включают в себя набор инструментов, которые можно использовать для создания настраиваемых отчетов из баз данных отношений, XML и других источников. Первоначально он был выпущен как дополнение к SQL Server 2000 и входит в состав SQL Server 2008 R2, 2012 и 2014.

Расширенный аудит безопасности в последних версиях Windows Server предоставляет вам мощный инструмент, не требующий дополнительных затрат на стороннее решение для аудита. Однако существует множество сторонних решений, которые могут лучше соответствовать вашим потребностям. Те, кто читал мои обзоры, знают, что одним из моих фаворитов в этой области является Netwrix Auditor. У Netwrix есть информация об использовании их продукта для соответствия некоторым из наиболее распространенных отраслевых и государственных нормативных требований:

http://www.netwrix.com/PCI_Compliance.html

http://www.netwrix.com/SOX_Compliance.html

http://www.netwrix.com/HIPAA_Compliance.html

http://www.netwrix.com/FISMA_Compliance.html

Крупные компании также предлагают аудит соответствия требованиям как часть программного обеспечения для управления системами (например, IBM Tivoli Compliance Insight Manager).

Резюме

Соблюдение нормативных требований уже является серьезной проблемой для ИТ-отдела, а BYOD делает его еще более сложным, поскольку ИТ-отдел имеет меньший контроль над устройствами, принадлежащими сотрудникам. Программа BYOD, скорее всего, вызовет тревогу у аудиторов соответствия и заставит их еще более внимательно изучить адекватность ваших усилий по обеспечению безопасности. Важно, чтобы у вас была надлежащая документация, показывающая, кто входил в вашу сеть, с каких устройств, когда и что они делали во время подключения.

Это завершает нашу серию из 6 частей, в которых вы ознакомились с процессом планирования наиболее безопасного способа использования BYOD и потребительского использования ИТ в регулируемом деловом мире, ориентированном на соблюдение нормативных требований. Я надеюсь, что это дало пищу для размышлений и послужило отправной точкой для более плавного перехода к BYOD для вашей организации.

  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 2)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 3)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 4)
  • Рекомендации по планированию BYOD и консьюмеризации ИТ (часть 5)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023