В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
Система управления доступом к информационным системам и ресурсам должна своевременно предоставлять пользователям только необходимый доступ, а сам процесс управления доступом должен быть управляемым и контролируемым. Поэтому важно правильно выстроить процедуры управления доступом, организовать контроль и ресертификацию прав доступа.
Большинство современных организаций живут весьма динамично: меняются бизнес-процессы, открываются новые направления деятельности, появляются новые законодательные требования. Все это приводит к изменению должностных обязанностей работников, появлению новых ролей в информационных системах, ротации персонала. Очевидно, такая динамика должна незамедлительно находить свое отражение в доступе к информационным системам и ресурсам, позволяя его оперативно предоставлять или изменять.
Однако большой поток заявок на изменение прав доступа приводит к перегрузке ИТ-подразделения организации и задержкам в их исполнении. Ожидание исполнения заявки может растягиваться на долгий срок, а это означает, что в данное время сотрудник не может полноценно работать; новый же работник, которому нужно предоставить первичный доступ к системам, и вовсе не работает. При этом время вынужденного бездействия оплачивается работодателем, а это уже прямые финансовые потери от неэффективно организованного процесса. Да и затраты на содержание штата ИТ-администраторов, перегруженных не самой интеллектуальной, но необходимой работой по ручному заведению учетных данных пользователей или изменению прав доступа, тоже весьма существенны.
В этих условиях особую актуальность приобретает автоматизация процесса управления доступом, с возможностью адаптации к текущим задачам, постоянного контроля и ресертификации.
На сегодняшний день управление доступом в различных организациях устроено по-разному, что обусловлено различиями в их структуре и объеме, потребностями и особенностями доступа к информационным системам и ресурсам, подходами в реализации системы обеспечения информационной безопасности, наличием ресурсов (в том числе людских и финансовых) и другими факторами. Возможно, что для небольших организаций, использующих одну-две информационные системы, с малым количеством ролей в них, и нет смысла внедрять дорогостоящую IDM-систему.
Тем не менее основным трендом для многих организаций является автоматизация процесса управления доступом на всех этапах его жизненного цикла: предоставления, пересмотра, прекращения. И это понятно: большое число пользователей, значительное количество информационных систем и ресурсов, к которым нужен доступ, различные права по доступу – эффективно и качественно управлять всем этим вручную попросту становится невозможным. Появляются и накапливаются не заблокированные вовремя учетные записи, ошибки в предоставлении доступа, пользователи ждут предоставления доступа или пересмотра прав длительное время, отсутствие контроля – все это может привести к злоумышленным действиям.
В качестве средства автоматизации на сегодняшний день обычно выступают решения класса IDM (англ. Identity Мanagement), которые появились на российском рынке более 10 лет назад и в настоящее время эволюционировали от простого управления учетными записями в информационных системах организации к управлению правами доступа пользователей (IAM-системы, Identity and Access Management) и далее – к более продвинутым решениям класса IGA (Identity Governance and Administration), позволяющим автоматически распространять и запрашивать права, управлять паролями, контролировать права пользователей посредством Workflow и оценки уровня риска, выполнять задачи разделения полномочий, управлять ролями, агрегировать и анализировать роли из целевых систем (Role Mining), проводить расследования инцидентов, генерировать отчеты и формировать аналитику.
В идеальном случае IDM-система интегрируется с системой учета персонала (например, 1С, SAP HR и т.п.), со всеми информационными системами и ресурсами, к которым может быть запрошен доступ пользователем в рамках исполнения служебных обязанностей, формируется так называемая матрица ролевого доступа, учитывающая все необходимые виды доступа для каждого конкретного работника, внедряется алгоритм управления доступом. Казалось бы, все, полный порядок в управлении доступом. При этом IDM-система на основе данных, получаемых из системы учета персонала, должна иметь техническую возможность самостоятельно прописывать, изменять и отзывать права доступа пользователей во всех инфраструктурных и прикладных ИТ-системах организации.
Однако идеал не всегда достижим: на практике существует множество нюансов, которые усложняют процесс внедрения системы управления доступом в организации:
Все это осложняется тем, что в большинстве российских компаний предоставление доступа к информационным системам и ресурсам изначально было организовано не системно, а стихийно, зачастую по аналогии с уже работающими коллегами, т.е. новому работнику в полном объеме копируется весь набор доступов, который далеко не всегда проходит процедуру согласования со службой информационной безопасности и подразделениями – владельцами ресурсов и может быть избыточным. В дальнейшем работнику предоставляются все новые и новые права, т.к. меняются бизнес-процессы, характер его работы, участие в рабочих группах, а зачастую и должность. И далеко не всегда эти права отзываются после утраты необходимости в них. Так и складывается сложная, запутанная, никак и никем не контролируемая система управления доступом, способствующая возникновению инцидентов информационной безопасности и совершению преступлений, существенно снижающая уровень безопасности организации.
Кроме того, во многих организациях из соображений безопасности предоставление и изменение прав доступа могут производиться не полностью автоматически, а только после подтверждения соответствующим руководителем и службой информационной безопасности.
Вместе с тем современные IDM-системы позволяют эффективно решать задачи, обусловленные сложностью ролевой модели, с использованием модуля Role Manager, позволяющего формировать базовую ролевую модель и набор исключений, имеющих место на практике. Модуль фактически подтягивает из системы учета персонала информацию о работниках и их должностях, проводит анализ собранной информации и выявляет корреляцию между их правами доступа. В результате получается базовая ролевая модель, возможно, с некоторыми рассмотренными выше нюансами, которые необходимо будет проанализировать и устранить.
В случае необходимости предоставления работнику дополнительных прав во многих IDM-системах предусмотрен инструмент Workflow, позволяющий работнику инициировать запрос на предоставление тех или иных прав доступа прямо через интерфейс IDM, с добавлением их в список исключений для корректной работы дальнейших аудитов.
Еще одним серьезным достоинством IDM-систем является возможность регулярного аудита прав доступа пользователей, с удобным механизмом контроля с целью выявления отклонений от заданных правил доступа и проведением дальнейшей ресертификации прав. При этом контроль может осуществляться фактически непрерывно, что минимизирует нарушения в предоставлении доступа со стороны администраторов систем и ресурсов, повышая тем самым уровень информационной безопасности организации.
Поэтому в большинстве случаев целесообразным будет вариант неполной автоматизации, позволяющий полностью автоматизировать процесс создания и блокировки учетных записей и частично автоматизировать остальные процессы управления доступом, с учетом перечисленных выше факторов. При этом глубина автоматизации во многом определяется сложностью ролевой модели организации, наличием адекватной политики управления доступом, финансированием работ (с учетом их высокой стоимости) и намерения соответствующих руководителей довести проект до логического завершения, с учетом сопоставимых людских и финансовых затрат.
Итогом такой автоматизации должно быть построение целевой системы управления доступом, соответствующей требованиям информационной безопасности, существенное ускорение процесса управления доступом, уменьшение количества ошибок и других проявлений человеческого фактора, реализация эффективной системы контроля и ресертификации прав, а также разгрузка ИТ-администраторов.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2018