Управление идентификационными данными и доступом - основа системы информационной безопасности КИС

Алексей Сова
ведущий специалист компании "Информзащита"

Сегодня практически любая компания в той или иной мере использует информационные технологии. И зачастую ресурсы корпоративной информационной системы (КИС) являются куда более ценными активами, чем здания, станки или те же самые компьютеры, на которых хранится информация и работают прикладные программы. Соответственно повсеместно создаются и системы информационной безопасности (СИБ). Уровень данных систем, как правило, отражает представления руководства компании, службы автоматизации и службы безопасности о потенциальных угрозах и ценности защищаемой информации.

На первых этапах построения таких систем обычно решают следующие базовые задачи:

• межсетевое экранирование;
• защита от несанкционированного доступа (НСД) на рабочих станциях и серверах;
• обнаружение вторжений и защита критичных элементов сети;
• криптографическая защита информации, передаваемой по каналам связи (VPN).

Нормативные документы

Правильно введенные в эксплуатацию средства защиты информации и средства обеспечения безопасности операционных систем и приложений позволяют реализовать требования защищенности согласно нормативным документам и обеспечить в целом безопасную обработку информации.

Вместе с тем вступление в силу Федерального закона № 152-ФЗ "О персональных данных", принятие в 2007 г. Правительством РФ Постановления № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и ряда нормативных и методических документов ФСТЭК и ФСБ России вызывает необходимость принятия дополнительных мер, препятствующих несанкционированному доступу к информационным системам персональных данных.

Положение осложняется рядом факторов, характерных для любой крупной информационной системы, влекущих за собой повышенный расход ресурсов и снижение эффективности работы как СИБ, так и КИС в целом. К таким факторам можно отнести:

• большое количество пользователей;
• разнообразие  прикладных программ;
• разрозненные механизмы и политики доступа для различных ресурсов;
• большой объем обрабатываемой информации;
• отсутствие механизмов централизованного    управления учетными записями;
• неконтролируемая деятельность привилегированных пользователей;
• необходимость соблюдения нормативных требований и обеспечения аудита.

Территориальная распределенность информационной системы, наличие большого числа ресурсов, периодическое изменение состава пользователей системы порождает множество точек администрирования, что в свою очередь приводит к высокому риску появления ошибок: несвоевременное или неправильное назначение прав доступа, несвоевременное лишение прав доступа, предпосылки для использования идентификационных данных уволенных работников и т.д.

Мировые практики ИБ

При выборе дополнительных элементов для наращивания СИБ необходимо опираться как на требования регуляторов, так и на лучшие мировые практики в области информационной безопасности, представленные в стандарте ISO 27001/27002. Так, СТР-К в качестве основных мер защиты информации предусматривает разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации, регистрацию действий пользователей автоматизированной системы, контроль за несанкционированным доступом и действиями пользователей.

Система управления идентификационными данными и доступом пользователей

Таким образом, представляется целесообразным первоочередное внедрение системы управления идентификационными данными и доступом пользователей (Identity and Access Management System, IAMS). Эта система не только является необходимым инструментом эффективной организации управления информационными ресурсами и способствует защите и развитию бизнеса, но и отвечает требованиям государственных регуляторов по разграничению доступа в информационных системах органов государственной власти и в информационных системах персональных данных.

Первый компонент системы - подсистема управления идентификационными данными (Identity Manager) - обеспечивает централизацию и автоматизацию процедур создания, изменения и удаления учетных записей и управления идентификационными данными пользователей в течение всего жизненного цикла:

• автоматическое  создание набора учетных записей в соответствии  со служебными обязанностями сотрудника при приеме на работу и внесение этой информации во все требуемые прикладные программы;
• изменение идентификационных данных в связи с изменением служебного положения, перемещениями внутри организации, созданием рабочих групп и т.д.;
• плановая смена или восстановление забытого пароля без обращения  в службу техподдержки;
• оперативная  приостановка или блокировка всех или части идентификационных  данных пользователя при убытии в отпуск, увольнении и т.д.

Подсистема позволяет быстро включать в работу пользователей и ресурсы, эффективно управлять учетными записями.

В результате развертывания Identity Manager у пользователя появляется большое количество сложных, трудно запоминаемых паролей, созданных согласно корпоративной политике безопасности. Для удобства пользователей и обеспечения безопасности доступа требуется решение по однократному защищенному доступу ко всем требуемым ресурсам - Access Manager for Single Sign-On (AM SSO). При помощи AM SSO пользователи удостоверяют свою подлинность только однократно и получают безопасный доступ ко всем требуемым ресурсам. Поддерживаются различные типы аутентификации пользователя - от обычного ввода пароля до применения смарт-карт и биометрии.

Identity Manager и Access Manager взаимодействуют между собой, используя единую базу данных (каталог), в которой собираются сведения о пользователях и их идентификационных данных из всех источников в организации.

Контроль действий пользователей

Весьма актуальной является  и  проблематика противостояния внутренним нарушителям. Особое внимание к действиям собственных сотрудников вызвано тем, что все чаще реальная угроза безопасности исходит либо от их некомпетентности, либо от преднамеренных действий с целью нанести ущерб компании. Без управления идентификационными данными и доступом невозможно полноценно реализовать системы контроля действий пользователей и управления правами доступа к документам.

Контроль действий пользователей (Insight Management) включает в себя мониторинг рабочих операций на предмет их соответствия корпоративным политикам и автоматический вывод предупреждений, когда нарушаются политики безопасности либо когда информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий.

Система управления электронными правами

Данная система защищает и отслеживает любую критичную информацию независимо от того, где она сохранена или используется: на рабочих станциях, ноутбуках, мобильных беспроводных устройствах и в других хранилищах, внутри и вне периметра сети. Система позволяет значительно уменьшить риск утечки конфиденциальной информации за счет:

• шифрования данных;
• контроля действий, производимых с документом (печать, копирование,  пересылка), независимо от его местонахождения и количества копий;
• регистрации событий доступа к информации;
• возможности централизованно изменить или аннулировать доступ к документу.
  

Комментарий эксперта

Николай Нашивочников
начальник отдела ИТООО "Газинформсервис"

Автор статьи попытался определить роль и место системы управления идентификационными данными и доступом (Identity and Access Management Systems, IAMS) в системе информационной безопасности корпоративных информационных систем, описал компоненты системы и рассмотрел возможность применения IAMS в качестве инструмента для повышения эффективности защитных мер (в части управления доступом к корпоративным информационным ресурсам), в том числе при обработке персональных данных. Действительно, внедрение в рамках корпоративной информационной системы IAMS позволяет эффективно решать данные задачи, включая централизованное создание и распространение учетных записей и политик доступа пользователей в различные системы, согласование предоставляемых полномочий с заинтересованными должностными лицами, предоставление оперативной и исторической отчетности о событиях управления пользовательскими данными, автоматический отзыв привилегий и блокирование пользователей при заданных условиях (увольнение работника, изменение объема должностных обязанностей и др.).

Вместе с тем эффективность применения механизмов IAMS в качестве дополнительных мер, направленных на повышение защищенности персональных данных организации, неочевидна. Более того, IAMS в своем "классическом" понимании предполагают использование в качестве доверенного источника данных о пользователях HR-системы организации, которые в большинстве случаев относятся к упоминаемым автором информационным системам персональных данных. Включение в состав IAMS систем, обрабатывающих персональные данные, может трактоваться как расширение границ информационных систем персональных данных и создает дополнительные сложности, связанные с аттестацией (оценкой соответствия) таких систем по требованиям безопасности информации. Озвученная проблема может оказаться трудноразрешимой в условиях отсутствия в стране опыта и методик аттестации (оценки соответствия) таких систем.

Одновременно хотелось бы уточнить стандартные компоненты, входящие в состав систем управления идентификационными данными и доступом. Автором IAMS представляется в виде совокупности подсистемы управления идентификационными данными (Identity Manager) и решения по однократному защищенному доступу к ресурсам (Access Manager for SSO). Дополнительно описываются решения по мониторингу действий привилегированных пользователей (Insight Management, IM) и управления правами (Information Rights Management, IRM). Упоминание компонентов IM и IRM в контексте статьи об управлении идентификационными данными и доступом может исказить представление читателя о IAMS, поскольку функциональность упомянутых компонентов лежит в иной плоскости применения. Кроме того, следует отметить, что описание решения по однократному защищенному доступу может показаться недостаточно информативным ввиду присутствия на рынке как минимум двух типов систем, обеспечивающих SSO: систем однократной аутентификации для корпоративных приложений (Enterprise SSO) и систем однократной аутентификации для Web-приложений (WebSSO).