Заметка известного специалиста Дона Людерса (Don Lueders – на фото) была опубликована 15 марта 2021 года на блоге «Управление документами следующего поколения» (Next Generation Records Management, http://nextgenrm.org/ ).
Мой комментарий: Предыдущий пост серии см. здесь: http://rusrim.blogspot.com/2021/03/blog-post_69.html
Спустя несколько недель после обнаружения утечки данных вследствие кибератаки типа Sunburst (речь идёт о нашумевшей атаке на клиентов известной компании SolarWinds, действующей в сфере обеспечения информационной безопасности, в которой обвинили злых русских хакеров и Правительство РФ - Н.Х.), новостное агентство BBC взяло интервью у Брайана Лорда (Brian Lord), бывший заместитель директора по кибероперациям британского разведывательного ведомства GCHQ (о нём см. https://ru.wikipedia.org/wiki/Центр_правительственной_связи - это спецслужба, ответственная за ведение радиоэлектронной разведки и обеспечение защиты информации органов правительства и армии Великобритании – Н.Х.).
Г-н Лорд согласился с тем, что результатом кибератаки, которая привела к компрометации информационных систем ряда федеральных органов исполнительной власти США, в том числе министерств финансов, иностранных дел, национальной безопасности и энергетики, - была разрушительная утрата государственной информации. В то же время он отметил: «Я думаю, будет справедливо сказать, что дополнительные уровни безопасности вокруг документов высшей и высокой степени секретности останутся в неприкосновенности благодаря внутренним мерам контроля и управления, поэтому прямой доступ к этим материалам маловероятен».
Справа на рис. приведена цитата: «Будучи в меньшинстве, даже оставаясь один против всех, вы не безумны. Была правда и была ложь, и если вы отстаиваете правду даже против всего мира, вы не безумец.» - это слова Уинстона Смита (Winston Smith), специалиста по управлению документами в Министерстве правды – главного героя знаменитого романа Джорджа Оруэлла (George Orwell) «1984».
Какие внутренние меры и средства контроля и управления доступом имел в виду г-н Лорд? Кто отвечает за эти меры и средства контроля доступа? И, что наиболее важно, что случилось бы с чувствительными и секретными федеральными документами, если бы эти меры и средства управления доступом никогда не были реализованы?
Когда дело доходит до управления жизненным циклом информации (а эту работу специалисты по управлению документами выполняют в течение тысячелетий), «безопасность» и «доступ» - это две очень разные вещи.
Не так давно, в те дни, когда документированная информация хранилась почти исключительно на бумаге, обеспечение безопасности заключалось в заборе, колючей проволоке, видеокамерах и решетчатых окнах центра хранения документации компании. Управление доступом выражалось в том, что специалист по управлению корпоративными документами проверял, есть ли у желающего просмотреть документ компании человека разрешение на это.
Сохраняемая в электронном виде информация (американский правовой термин, по сути являющийся расширительным толкованием понятия «документ» - Н.Х.) ничем в этом смысле не отличается. Для типичной корпоративной ИТ-системы можно привести длинный список как аппаратных, так и программных решений, используемых для обеспечения безопасности её сетей. Брандмауэры, антивирусная защита, белые и черные списки, решения для сегментации сети, инструменты шифрования… Этот список практически бесконечен.
Но, как снова и снова демонстрируют последние новости, пока что никакая комбинация этих решений по обеспечению безопасности не доказала свою способность помешать решительно настроенным и хорошо финансируемым злоумышленникам получить доступ к некоторым из самых защищённых сетей в мире. Именно в такой ситуации меры и средства управления доступом, за которые несут ответственность специалисты организации по управлению документами, играют ключевую по важности роль в смягчении ущерба, связанного со взломом и утечкой данных.
В течение последней четверти века практически все «приложения для управления документами»', проданные федеральным органам исполнительной власти США, были смоделированы (и сертифицированы) на основе стандарта DoD 5015.2 «Требования к проектированию электронных систем управления документами» (Electronic Records Management Software Applications Design Criteria, см. также пост https://community.aiim.org/blogs/don-lueders%20crm%20cdia/2013/05/27/on-why-i-no-longer-support-the-dod-5015.2-standard - перевод на русский язык здесь: https://rusrim.blogspot.com/2013/06/dod-50152.html - Н.Х.). Фактически, решения, сертифицированные на соответствие DoD 5015.2, являются единственными приложениями, специально упомянутыми в федеральном нормативном акте, описывающем адекватные системы для управления электронными документами государственных органов – это раздел 36 CFR 1236.20 Свода нормативных актов США (см. https://www.law.cornell.edu/cfr/text/36/1236.20 ).
Вот как стандарт DoD 5015.2 определяет понятие «управление доступом»:
DL1.2. Управление доступом (Access Control). Термин «управление доступом» имеет следующие значения:
DL1.2.1. Функциональная возможность сервиса или метод, который используется для разрешения или запрещения использования компонентов коммуникационной системы.
DL1.2.2. Метод, используемый для предоставления или ограничения прав физических лиц или прикладных программ на получение данных с запоминающего устройства или на размещение данных в нём.
DL1.2.3. Предоставление или ограничение прав физических лиц или прикладных программ на получение данных с запоминающего устройства или на размещение данных в нём. Типы методов контроля и управления доступом включают мандатный контроль доступа (Mandatory Access Control - т.е. в строгом соответствии с полномочиями или правилами – Н.Х.) и дискреционный контроль доступа (Discretionary Access Control – когда сетевые администраторы избирательно, на своё усмотрение, предоставляют некоторым пользователям доступ к ресурсам – Н.Х., ссылка (c)).
DL1.2.4. Процесс ограничения доступа к ресурсам автоматизированных информационных систем (Automated Information Systems, AIS), который разрешается только авторизованным пользователям, программам, процессам или другим системам. (DL1.15)
DL1.2.5. Функция, выполняемая контроллером ресурсов (resource controller), который выделяет системные ресурсы для удовлетворения запросов пользователей.
Стандарт содержит множество требований к реализации мер и средств контроля и управления доступом в сертифицированном хранилище документов. В качестве примера приведём тестовую матрицу управления доступом, используемую Агентством оборонных информационных систем (Defense Information Systems Agency, DISA) в рамках базовой проверки систем на соответствие DoD 5015.2:
В сертифицированном на соответствие DoD 5015.2 решении специалист по управлению документами может применять эти меры контроля и управления, в бесконечной комбинации, к отдельным документам, группам документов, папкам и подпапкам в рамках всей классификационной схемы хранилища документов. И если злоумышленник взломает систему информационной безопасности организации, то эти средства контроля и управления не позволят ему получить доступ ко всей информации в хранилище. Это и есть те «меры и средства внутреннего контроля», которые г-н Лорд имел в виду, когда его спросили об утечках данных в результате Sunburst-атаки.
Но что если ни один федеральный орган исполнительной власти (включая Национальные Архивы США!) никогда на самом деле не вводил сертифицированное по DoD 5015.2 решение в производственную эксплуатацию, - о чём подробно рассказано в статье, опубликованной (см. https://www.theepochtimes.com/the-illusion-of-transparency_3234958.html - перевод на русский язык здесь: http://rusrim.blogspot.com/2020/03/1.html - Н.Х.) в номере журнала Epoch Times за февраль 2020 года?
К сожалению, это означало бы, что ни одна из этих критически важных мер и средств контроля и управления доступом никогда бы не применялся в отношении какой-либо документированной информации государственного органа, и что любой, кто обошёл систему сетевой безопасности этого органа, мог бы свободно путешествовать по ведомственным документальным источникам, похищая, изменяя или уничтожая информацию по своему желанию.
Это также означало бы, что взлом Департамента по управлению персоналом органов федерального правительства США (Office of Personnel Management, OPM) в 2015 году (о нём см. https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach ), Sunburst-кибератаки, а теперь ещё и кража электронной переписки из серверов Microsoft Exchange ( https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/ ) спонсируемыми государством китайскими хакерами (как, это не мы? даже обидно как-то … - Н.Х.) являются в колоссальной степени более разрушительными, чем готов признать кто-либо в технологической индустрии или в правительстве США.
* * *
Враги управления документами хотят, чтобы Вы поверили, что «безопасность» и «доступ» - это одно и то же, потому что они жаждут неограниченного контроля над самым ценным товаром в мире - информацией. До тех пор, пока меры и средства контроля и управления доступом, за которые отвечает служба управления документами организации, не станут последовательно применяться к документам в масштабах всей организации, сама критически-важная в мире информация будет находиться на ужасающем уровне уязвимости, и эти разрушительные взломы и атаки будут продолжаться.
Читайте далее «Ложь №4: Документы и не-документы сильно отличаются друг от друга».
(Окончание следует)
Дон Людерс (Don Lueders)
Источник: блог «Управление документами следующего поколения» (Next Generation Records Management)
https://nextgenrm.com/2021/03/15/the-four-lies-destroying-records-management-lie-3-security-vs-access/
Комментариев нет:
Отправить комментарий