КУБ: новый класс систем комплексного управления доступом

Компания ТрастВерс, входящая в холдинг «Информзащита» предложила рынку свое видение решенийIDM, расширяющее общепринятое понятие об управлении доступом к информационным ресурсам компании. Платформа КУБ - комплексное решение, которое обеспечивает управление доступом, непрерывный контроль соблюдения политики безопасности и выявление несанкционированных изменений настроек прав доступа к информационным ресурсам компании.

В идеале, в каждой компании должны существовать четкие регламенты, описывающие доступ сотрудников к тем или иным ресурсам. Тогда и проблем с безопасностью данных немного, и порядка больше. Однако далеко не везде дела обстоят так хорошо. В любой компании численностью от тысячи человек, количество значимых кадровых перемещений ежедневно составляет около 2%. Сюда относятся не только случаи увольнения и приема на работу, но и перемещения из отдела в отдел, болезни, командировки, временное замещение обязанностей ушедших в отпуска людей. Например, сотрудник уехал в командировку. Это значит, что помимо билетов и командировочных, организация должна обеспечить ему удаленный доступ к необходимым корпоративным ресурсам. А по возвращении — отозвать, если в его должностной инструкции такой доступ не предусмотрен. В результате, если кадровых изменений много, даже идеально отстроенная система начинает накапливать ошибки и несообразности, что может привести к негативным последствиям в компании.

Новый уровень управления доступом

«Классическая система IDM закрывает проблему управления учетными записями, оставляя открытыми вопросы информационной безопасности», - комментирует Сергей Ступин, менеджер по продукту КУБ.

Разработанная в ТрастВерс платформа КУБ решает задачу управления доступом шире, учитывая потребности и служб безопасности. Причем для последних, крайне важно обеспечить непрерывность контроля, поскольку, чем больше времени пройдет с момента нарушения политики безопасности компании, тем больше нанесенный ущерб. Основная задача КУБ состоит в централизации всех информационных ресурсов компании и эффективном управлении ими. После внедрения системы на предприятии довольно быстро возникает стройная и упорядоченная структура предоставления доступа, где каждое изменение прав доступа имеет своего автора. Это особенно полезно в случае возникновения инцидентов, связанных с недобросовестностью сотрудников. После беглого взгляда на КУБ остается вопрос: это действительно серьезное и единственное в своей нише решение или «пятое колесо» в инфраструктуре компании?

Говоря о различияхмежду системами класса IDM и платформой КУБ, Сергей Ступин уточняет, что целевая аудитория систем класса IDM - это администраторы, управляющие настройками информационных систем. Но задача управления доступом затрагивает гораздо больше вопросов, среди которых:

И это далеко не полный список вопросов, которые необходимо решать компаниям.

Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом.

Таким образом, механизм управления доступом, реализованный в системе КУБ, включает в себя функциональность IDM систем, существенно расширяя ее в области согласования, определения требуемых изменений и оперативного контроля настроек доступа в целевых системах. Именно эти задачи являются ключевыми для комплексного управления доступом. КУБ — платформа нового поколения. Она решает задачу управления доступа сразу для трех основных участников процесса:

Как это работает?

У всех решений, связанных с информационной безопасностью, существует слабое место, а именно — человеческий фактор. Можно сколь угодно долго отстраивать политики, распределять роли, и совершенствовать аутентификацию — один злоумышленник, получивший достаточно прав, может свести все усилия на нет. Особенно, если по каким-то причинам, у него высокий уровень доступа. Любая заявка на изменение прав должна иметь инициатора, имеющего необходимые для этого права, и пройти ряд установленных правилами согласований. Когда процесс согласования заявки автоматизирован и полностью соответствует политике информационной безопасности и действующим в компании бизнес-процессам, возможно предотвратить ошибки человеческого фактора за счет автоматизации. Если, несмотря на все предосторожности, инцидент все-таки произошел, очень важно иметь перед глазами всю историю изменений настроек прав доступа. Только так можно идентифицировать «нарушителя».

При использовании КУБ часть «возможностей» недобросовестных сотрудников отсекаются уже на уровне архитектуры.

В процессе управления доступом КУБ создает так называемую «модель», отражающую текущие настройки всех информационных систем. После согласования заявки, КУБ может спрогнозировать, как должны измениться настройки информационных систем и перевести модель в новое состояние.

Благодаря такой модели, процедура контроля становится по настоящему эффективной, потому что все совершенные изменения в системе в тот же момент сопоставляются с утвержденной моделью доступа и политикой информационной безопасности. Более того, изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае, сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.

Кому необходим КУБ, и чего ждать от внедрения?

Прежде чем приступить к разработке системы КУБ специалисты компании ТрастВерс тщательно проанализировали потребности рынка и нашли никем не занятуюнишу, востребованную предприятиями крупного бизнеса, для которых принципиально важны вопросы информационной безопасности при управлении доступом.

Сейчас ТрастВерс внедряет КУБ в ЦБ РФ, Федеральном Казначействе, РЖД, ФСБ и прочих крупных корпорациях. «Отраслевой специфики как таковой у нас нет», - поясняет менеджер продукта Сергей, - «мы наработали типовые решения в зависимости от организационной структуры и политики безопасности в компании. Для того, чтобы начать внедрять КУБ нужно формализовать политику безопасности».

Целевым потребителем КУБ являются крупные компании с разветвленной структурой, имеющие большое количество ежедневных кадровых операций и высокую цену любых ошибок, связанных с правами доступа к информационным ресурсам.

К сожалению, классическое IDM-решение не в состоянии решить проблему контроля доступа и соблюдения политики информационной безопасности. На сегодняшний день – КУБ единственное комплексное решение, представленное на российском рынке.

Сергей Ступин отмечает, что срок внедрения КУБ относительно небольшой. Средний проект на 1000 рабочих мест занимает около 2-х месяцев. Основное время затрачивается на подготовительный этап, когда необходимо оптимизировать или описать действующие бизнес-процессы в области обеспечения информационной безопасности и помочь компании сформулировать основные принципы безопасного управления доступом. После выполнения выше описанных действий вовлечение заказчика в реализацию проекта минимально. Несмотря на то, что крупные компании уделяют достаточно много внимания информационной безопасности, их политика в области доступа и распределения ролей сотрудников часто далека от идеальной. В КУБ встроены средства анализа и оптимизации структуры ролей, которые помогут навести порядок.

Что же происходит после внедрения КУБ? Возможно ли каким-то образом оценить эффект? Смотрите сами.