Создание системы управления разделением полномочий с учетом рисков ИБ

Александр Каледин
Руководитель направления решений
по информационной безопасности
Energy Consulting

При создании системы управления информационной безопасностью (СУИБ), нацеленной на обеспечение непрерывности ключевых видов деятельности, предприятие неизбежно сталкивается с огромной трудоемкостью по инвентаризации активов, разработке модели доступа к информационной системе (ИС) и построению карты технологических рисков. Отдельного внимания при создании СУИБ заслуживают процессы управления полномочиями в ИС с учетом рисков ИБ. Эффективность автоматизации этих процедур зависит, c одной стороны, от прозрачности, подконтрольности и измеримости процессов управления рисками доступа, а с другой – от непосредственной вовлеченности подразделений предприятия в эти процессы.

Принцип разделения полномочий в ИС подразумевает, что выполнение критичных для бизнеса цепочек операций не должно быть полностью отдано на исполнение одному сотруднику, такие операции должны быть распределены между несколькими сотрудниками предприятия. Это значит, что сотрудник по совокупности возложенных на него функциональных обязанностей не должен обладать в системе критичным набором полномочий, позволяющих ему выполнить непреднамеренные либо мошеннические действия. В реальности полностью исключить подобные ситуации невозможно. Риски расширенного доступа к ИС возникают также по причине изменений организационной структуры предприятия, ротации сотрудников, а также изменений самой ИС. Современная СУИБ должна обеспечить потребности бизнеса в части эффективного управления соответствующими рисками.

Организационные аспекты

Процесс управления разделением полномочий не должен являться исключительно функцией IT-подразделения и подразделения, ответственного за ИБ. Ключевыми лицами, ответственными за результат определенной группы функциональных задач в ИС, являются владельцы бизнес-процессов. Именно эти сотрудники могут оценить последствия нарушения принципа разделения полномочий. В их зону ответственности должно входить назначение бизнес-ролей, участие в определении рисков, связанных с предоставляемым доступом, подтверждение необходимости устранения несоответствий в наборах бизнес-ролей, а также участие в выработке альтернативных мер снижения рисков.

Для трансформации требований владельцев бизнес-процессов в технические требования и настройки в процесс должны быть вовлечены сотрудники, ответственные за автоматизацию процессов и технические специалисты, выполняющие соответствующие настройки в системе. Подразделение, ответственное за ИБ, должно определять алгоритм организации процесса управления распределением полномочий и осуществлять контроль корректности его выполнения. В задачи внутреннего аудита входят анализ эффективности процессов, участие в выявлении и снижении рисков ИБ и проверка соответствия внутренним и внешним требованиям.

Таким образом, процесс управления разделением полномочий с учетом рисков ИБ подразумевает участие сотрудников из различных функциональных областей и является сквозным для предприятия. Применение средств автоматизации позволит повысить прозрачность и эффективность процесса, снизить операционную нагрузку и быть актуальным для целей внешнего аудита финансовой (бухгалтерской) отчетности.

Начало работ по созданию системы управления разделением полномочий с учетом рисков ИБ должно быть одобрено руководством предприятия. Это важный шаг, позволяющий, с одной стороны, согласовать конкретные цели и ожидаемый результат, а с другой – обеспечить работы необходимыми ресурсами, зафиксировать роли и зону ответственности каждого участника. Следующим шагом необходимо выполнить детальный анализ бизнес-процессов, автоматизированных в ИС, определить участников и роли в процессах, разработать либо актуализировать ролевую модель доступа к функциям процессов, определить подверженные рискам цепочки операций, классифицировать связанные риски и их допустимые уровни.

Такие цепочки операций, как создание и выставление счетов-фактур электронным способом, ведение основных данных поставщика и обработка связанных с ним счетов, создание и подтверждение заказов на проведение закупок, назначенные одному сотруднику, приводят к возникновению риска искажения соответствующих финансовых документов.

Цепочки операций, выявленные в ходе обследования бизнес-процессов, формируют библиотеку правил разграничения полномочий. В начале разработки библиотеки можно использовать готовые шаблоны и обобщенные описания ролевой модели. В дальнейшем библиотека уточняется под специфику деятельности предприятия, ролевая модель детализируется до конкретных объектов полномочий и действий. Далее необходимо выявить несоответствия в назначениях полномочий в ИС и возникающие при этом риски. Эти операции являются отправной точкой для планирования и реализации изменений в правилах доступа к ИС. В ряде случаев выполнить необходимые изменения затруднительно. Разделение функций БП между его участниками может потребовать неприемлемых для предприятия организационных изменений штатной структуры и обязанностей подразделений.

Кроме того, в определенные периоды времени сотрудникам необходимо предоставлять критические наборы полномочий, например для замещения находящегося в отпуске ответственного сотрудника или внесения критичных изменений в ИС. Типичными примерами решения этой задачи являются: постоянные расширенные права у доверенного пользователя, использование чужой учетной записи, хранение параметров расширенного доступа в конверте. Как правило, процесс выдачи расширенных полномочий организуется корректно, а вот процедуры контроля действий, выполненных с такими правами, и отзыва прав несистемны либо отсутствуют. Качественным же решением этой задачи является выявление при разработке библиотеки разграничения полномочий таких экстренных сценариев доступа, их легализация и последующая автоматизация соответствующих процедур предоставления и отзыва полномочий и контроля действий.

Подходы к автоматизации

При автоматизации процессов разделения полномочий и управления связанными рисками необходимо стремиться к внедрению централизованной системы. Выбор средства автоматизации должен вестись с учетом степени его интеграции с ИС в части механизмов разделения полномочий, а также смежными системами. К смежным системам можно отнести решения класса IDM, SIEM, Service Desk, Process и Risk Management, системы документооборота и HR.

Так, уже существующие процедуры согласования заявки на предоставление доступа и изменения полномочий в ИС могут быть качественно улучшены за счет создания обязательной автоматизированной проверки возникновения рисков доступа. Интеграция с системой управления событиями ИБ позволит дополнить процесс расследования инцидентов событиями управления доступом к бизнес-данным. Определение процессов управления доступом к ИС и связанными рисками в единой системе управления процессами и рисками предприятия позволит осуществлять планирование и контроль этих процессов более систематизированно.

При реализации системы управления разделением полномочий с учетом рисков ИБ необходимо определить стратегию внедрения. Один из подходов заключается в построении соответствующих процессов в рамках одной бизнес-области предприятия с последующим тиражированием на остальные. Второй подход заключается в выявлении наиболее критичных бизнес-процессов предприятия, построении соответствующей библиотеки разделения полномочий и последующей автоматизации и тиражировании решения на остальные процессы. Первый подход позволяет в сжатые сроки получить результат в виде ограниченной библиотеки разделения полномочий, идентифицированных рисков и соответствующих процессов управления. Однако в ходе тиражирования решения пилотная библиотека разделения полномочий потребует пересмотра. Второй подход изначально более ресурсоемкий, как за счет объема обследуемых процессов, так и за счет необходимости интеграции с различными ИС единовременно.

Выбор подхода к автоматизации процесса разделения полномочий определяется в зависимости от возможностей и задач предприятия. Оба подхода при правильной организации работ позволят комплексно выстроить деятельность предприятия в области управления рисками ИБ.

Вывод

В заключение нужно отметить, что необходимость защиты бизнес-данных предприятия от ошибок и мошеннических действий очевидна для всех. Однако создание сквозного процесса управления разделением полномочий и связанными рисками доступа является непростой задачей, в которой важно правильно задействовать ключевых участников процесса и сделать его удобным для совместного исполнения.