В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
Типовая IDM-система предназначена в первую очередь для автоматизации процесса управления учетными записями, то есть фактически для создания и удаления пользователей в информационных системах. КУБ скорее относится к более широкому классу IAM-систем, где управление учетными записями – всего лишь одна из составляющих функций. Помимо этого, КУБ управляет правами доступа этих записей с учетом особенностей каждой ИС и контролирует все несанкционированные действия.
Он спроектирован таким образом, чтобы максимально снизить риски ошибочно предоставленного доступа за счет грамотного разграничения прав пользователей. Подконтрольны даже действия администратора. Любые изменения в системах происходят только на основании заявок, которые согласовываются в соответствии с политикой ИБ предприятия. Наличие динамических маршрутов согласования заявок на доступ отличает КУБ от представленных на рынке IDM и ЭДО-решений. КУБ контролирует исполнение заявок и осуществляет непрерывный мониторинг соответствия запрошенных и фактических изменений прав доступа. Все заявки в КУБ и выполняемые с ними операции защищаются электронной подписью, поэтому причастные к ее исполнению и согласованию лица не могут потом сказать: "Это не я!"
В КУБ присутствуют средства для автоматизации задач первоначальной настройки и анализа текущих прав доступа. Есть средства контроля корректности настройки системы, выдающие перечень недостатков и несоответствий рекомендуемым правилам.
Политика безопасности некоторых предприятий запрещает автоматическое внесение изменений в ИС. После согласования заявки на доступ КУБ генерирует инструкции, в которых сказано, какие изменения должны произойти в ИС. Эти инструкции могут быть исполнены автоматически или вручную. КУБ транслирует используемую бизнес-пользователями терминологию в понятные исполнителю инструкции с указаниями корректных названий и адресов ресурсов, что исключает любую двойственность.
КУБ не только фиксирует все несанкционированные действия, оповещая при этом уполномоченных лиц, он хранит полную историю всех изменений прав доступа. Что это дает? Отличные возможности для оперативного расследования инцидентов, связанных с нарушением политики ИБ. С КУБ всегда можно быстро установить, кто, когда и на каком основании выдал пользователю определенные права.
Во многих организациях сетевым доступом и доступом к ИС управляют разные специалисты, и их действия зачастую не связаны между собой. КУБ синхронизирует эти процессы. Например, если сотруднику необходимо получить доступ к удаленному ресурсу из дома и между ним и ресурсом находится МСЭ, заявкой генерируются инструкции и администратору ресурса, и специалисту, который отвечает за настройку МСЭ. И что самое важное, процесс работает и в обратную сторону, при ограничении прав или блокировке пользователей. Администратор системы блокирует доступ или удаляет учетную запись, а администратор МСЭ закрывает соответствующий маршрут.
Цифровые сертификаты используются для проверки сотрудника, которому нужен доступ к ресурсу. Выдавая сертификаты централизованно, через КУБ, мы обеспечиваем комплексность решения.
В КУБ содержатся сведения о конфигурации компьютеров и установленном на них ПО. Если сотруднику необходимо установить для работы дополнительные программы, он отправляет в КУБ заявку, и она согласовывается и исполняется. Если КУБ обнаруживает, что конфигурация компьютера неожиданно изменилась, например объем памяти стал меньше или звуковая карта отсутствует, идут оповещения соответствующим лицам.
КУБ постоянно развивается. Практически все доработки, выполненные в ходе реализации проектов, появляются в последующих версиях решения. Приобретая КУБ, заказчик будет регулярно получать обновления базовой функциональности и новые возможности.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013