Информационная инфраструктура и информационная безопасность "в одном флаконе". Часть 2

Информационная инфраструктура и ИБ "в одном флаконе".

Часть 2

Станислав Ясько, кандидат технических наук, доцент, эксперт

Николай Нашивочников, эксперт

Управление идентификационными данными пользователей. Проблемы в деталях В настопщее время большинство компаний используют изолированные хранилища идентификационной информации. Это обусловлено тем, что различные корпоративные приложения имеют свои собственные базы пользователей, имея при этом свои собственные методы администрирования, аутентификации и авторизации пользователей. Как следствие, пользователю приходится помнить большое количество комбинаций "имя-пароль", а администратору управлять всем этим множеством данных и политик доступа.

В этой ситуации трудности возникают практически на каждом этапе жизненного цикла учетных записей пользователей, включающего:

• заведение учетной записи;
• оперативное сопровождение;
• удаление/блокирование.

Все больше материальных и человеческих ресурсов тратится на процесс заведения учетных записей в связи с непрерывным добавлением новых ресурсов и информационных технологий и возрастающим числом внешних и внутренних пользователей.

Увеличение расходов компаний на оперативное сопровождение учетных записей обусловлено, как правило, человеческим фактором: пользователи забывают пароли (в том числе в связи с увеличением наборов идентификационной информации), увеличивается число ошибок администраторов при редактировании учетных записей и прав доступа.

Существует немалая вероятность того, что при удалении/блокировании учетных записей уволенных (переведенных на должности в другие подразделения) сотрудников не все записи будут удалены/заблокированы, а права доступа отозваны. По некоторым данным, в крупных российских предприятиях от 5 до 30% хранимых учетных записей являются "мертвыми" (не были вовремя отозваны). Это может нанести существенный экономический ущерб компании, особенно в случае конфликтного увольнения сотрудника руководящего звена. Кроме того, лишние учетные записи (например, в бизнес-приложениях) являются причиной резкого повышения стоимости лицензий на бизнес-приложения - ведь цена такого ПО обычно пропорциональна количеству пользователей.

Существующие риски

Новые сотрудники могут неделями ждать, пока им будет предоставлен доступ ко всем ресурсам, необходимым для выполнения их должностных обязанностей, а персонал - доступа к новым ресурсам, обновления паролей или исправления ошибок в обеспечении доступа. ИТ-подразделение может тратить большую часть времени на рутинную работу по созданию, удалению/блокированию и корректировке учетных записей. Кроме того, увеличивается количество запросов в службу технической поддержки из-за несогласованности параметров доступа и паролей в различных подсистемах.

Отсутствие возможности интеграции новых приложений в единую систему управления учетными данными делает ИТ-инфраструктуру "лоскутной" и резко повышает время и затраты на дальнейшее сопровождение подобных систем.

Огрехи в ИБ также являются результатом неэффективности существующего процесса управления идентификационными данными пользователей. Речь идет в первую очередь о том, что при удалении/блокировании учетных записей уволенного сотрудника не все записи будут удалены/заблокированы, а права доступа к информационным ресурсам отозваны. Однако это только одна сторона вопроса. Вероятность неосознанно оставить "дыру" в системе безопасности существенно возрастает при колоссальном количестве учетных записей и прав доступа.

Функции системы управления идентификационными данными

Хранение информации, при котором решаются следующие основные задачи:

• аудит пользователей и контроль уровня их привилегий;
• обеспечение получения данных из достоверных источников.

Аутентификация и авторизация. Аутентификация и авторизация выполняются компонентами типа Access Manager и Enterprise Single-Sign-On, которые являются составными частями комплекса решений Identity Management. В то время как пользователь запрашивает доступ к требуемому ресурсу, система первоначально аутентифицирует этого пользователя, запрашивая его идентификационные данные, которые могут быть в виде: имени пользователя/пароля, цифрового сертификата, смарт-карты, биометрических данных. После успешной аутентификации пользователя обеспечивают его доступ к ресурсам на основе идентификационных данных и атрибутов его учетной записи. Такой подход определяется как "однократная аутентификация" ("single sign-on" или "reduced sign-on"). В настоящее время вполне реалистическим требованием к системам управления идентификационной информацией является обеспечение режима "single sign-on" как для всех Web-приложений, так и для унаследованных приложений (т.н. enterprise single sign-on, ESSO), которые реализуются с помощью установки на рабочие станции легких агентов ESSO.

Регистрация учетных записей внешних пользователей. СУИД обеспечивают клиентам и другим внешним пользователям регистрацию учетных записей. Ряд систем позволяет при помощи встроенного механизма автоматизации выполнения бизнес-процессов (workflow) отследить трек утверждения регистрационных запросов.

Предоставление пользователям локальных административных прав. СУИД обеспечивает управление паролями пользователей. Пользователь может изменить пароль, значение которого впоследствии синхронизируется с информационными системами, к которым пользователь имеет доступ.

СУИД позволяет пользователю редактировать его собственную персональную информацию, а также запрашивать доступ к информационным ресурсам. В случае необходимости, подобные изменения могут проходить процедуру утверждения перед тем, как быть погруженными в соответствующие приложения и системы.

Аудит. СУИД предоставляет широкий набор средств аудита и составления отчетов о профилях пользователей, об истории изменений и о правах, предоставленных пользователям организацией. СУИД позволяет хранить информацию о доступе пользователей столь долго, сколько это необходимо для анализа истории доступа. Для периодического составления отчетов или в целях аудита информационной безопасности можно восстанавливать и изучать привилегии доступа, относящиеся к конкретным датам.

Централизованное администрирование. СУИД позволяет администратору централизованно управлять как множественностью учетных записей в системах и приложениях, так и доступом к этим ресурсам. Процедуры управления могут быть осуществлены как посредством прямого изменения атрибутов и привилегий пользователя, так и при помощи глобальных политик, ролей и групп. Последнее весьма существенно для крупных организаций.

Делегированное администрирование. СУИД позволяет перераспределять права администрирования таким образом, что тот или иной администратор может управлять только теми учетными записями, за которые он отвечает. Кроме того, возможно обеспечение режима, когда один администратор управляет процессом регистрации и сопровождения учетных записей (кадровое подразделение), а другой - правами доступа к ресурсам (подразделение информационной безопасности). Тем самым обеспечивается рекомендуемый регламентом безопасности режим разделения полномочий и локализации ответственности. Данная функциональность весьма важна для крупных, территориально распределенных организаций с вертикальной иерархической структурой.

Об основах инфраструктуры СУИД читайте в следующем номере.

Комментарий эксперта

Николай Романов, инженер технического департамента компании "Verysell Проекты"

В целом поднятая авторами тема актуальна, особенно для компаний, использующих большое количество разнородных информационных систем. Сейчас существует немалое количество решений, позволяющих создать комплексную систему ведения учетных записей и контроля доступа к множеству информационных ресурсов. Но позволить использование подобных комплексов могут в основном достаточно крупные организации, в которых стоимость таких решений и их сопровождение оправдано, ведь цена таких систем (о чем, к сожалению, не было упомянуто в статье) довольно высока. Но, в конечном итоге, руководство приходит к тому, что автоматизация доступа к ресурсам (по сути то, о чем написали авторы) жизненно необходима; часто подобные решения начинают обдумывать после каких-либо инцидентов. Конечно, такие решения сами по себе позволяют избежать дальнейших сложностей только в некоторых случаях, поскольку системы безопасности не могут работать поодиночке. Как правило, это решение является одним из звеньев многоуровневой структуры безопасности компаний, и их внутренние ИТ-службы после проведения аудита предоставляют начальнику службы информационной безопасности данные, на основании которых он сможет оценить финансовые риски и принять решение о необходимости внедрения такой системы. Но стоит отметить, что такие механизмы реализации (то есть столь тесное сотрудничество между аудиторами, CSO, СЮ в рамках отдела ИТ) у нас пока не столь широко распространены, как на Западе. Кроме того, при проведении аудита силами сотрудников компаний (речь, конечно, уже идет об отечественных организациях), подобные вопросы решаются далеко не в первую очередь.

Из собственного опыта могу сказать, что во многих крупных компаниях система ведения учетных записей реализована даже средствами домена не всегда. А когда структура организации постепенно расширяется, но при этом вся инфраструктура отстает в развитии от нее, то появляются значительные сложности в дальнейшем, например, возникает необходимость привлечения сторонних организаций для полной реструктуризации всего комплекса информационных ресурсов.