Современные способы управления доступом как часть задачи управления безопасностью

Система управления доступом к информационным системам и ресурсам должна своевременно предоставлять пользователям только необходимый доступ, а сам процесс управления доступом должен быть управляемым и контролируемым. Поэтому важно правильно выстроить процедуры управления доступом, организовать контроль и ресертификацию прав доступа.

Большинство современных организаций живут весьма динамично: меняются бизнес-процессы, открываются новые направления деятельности, появляются новые законодательные требования. Все это приводит к изменению должностных обязанностей работников, появлению новых ролей в информационных системах, ротации персонала. Очевидно, такая динамика должна незамедлительно находить свое отражение в доступе к информационным системам и ресурсам, позволяя его оперативно предоставлять или изменять.

Однако большой поток заявок на изменение прав доступа приводит к перегрузке ИТ-подразделения организации и задержкам в их исполнении. Ожидание исполнения заявки может растягиваться на долгий срок, а это означает, что в данное время сотрудник не может полноценно работать; новый же работник, которому нужно предоставить первичный доступ к системам, и вовсе не работает. При этом время вынужденного бездействия оплачивается работодателем, а это уже прямые финансовые потери от неэффективно организованного процесса. Да и затраты на содержание штата ИТ-администраторов, перегруженных не самой интеллектуальной, но необходимой работой по ручному заведению учетных данных пользователей или изменению прав доступа, тоже весьма существенны.

В этих условиях особую актуальность приобретает автоматизация процесса управления доступом, с возможностью адаптации к текущим задачам, постоянного контроля и ресертификации.

На сегодняшний день управление доступом в различных организациях устроено по-разному, что обусловлено различиями в их структуре и объеме, потребностями и особенностями доступа к информационным системам и ресурсам, подходами в реализации системы обеспечения информационной безопасности, наличием ресурсов (в том числе людских и финансовых) и другими факторами. Возможно, что для небольших организаций, использующих одну-две информационные системы, с малым количеством ролей в них, и нет смысла внедрять дорогостоящую IDM-систему.

Автоматизация

Тем не менее основным трендом для многих организаций является автоматизация процесса управления доступом на всех этапах его жизненного цикла: предоставления, пересмотра, прекращения. И это понятно: большое число пользователей, значительное количество информационных систем и ресурсов, к которым нужен доступ, различные права по доступу – эффективно и качественно управлять всем этим вручную попросту становится невозможным. Появляются и накапливаются не заблокированные вовремя учетные записи, ошибки в предоставлении доступа, пользователи ждут предоставления доступа или пересмотра прав длительное время, отсутствие контроля – все это может привести к злоумышленным действиям.

В качестве средства автоматизации на сегодняшний день обычно выступают решения класса IDM (англ. Identity Мanagement), которые появились на российском рынке более 10 лет назад и в настоящее время эволюционировали от простого управления учетными записями в информационных системах организации к управлению правами доступа пользователей (IAM-системы, Identity and Access Management) и далее – к более продвинутым решениям класса IGA (Identity Governance and Administration), позволяющим автоматически распространять и запрашивать права, управлять паролями, контролировать права пользователей посредством Workflow и оценки уровня риска, выполнять задачи разделения полномочий, управлять ролями, агрегировать и анализировать роли из целевых систем (Role Mining), проводить расследования инцидентов, генерировать отчеты и формировать аналитику.

В идеальном случае IDM-система интегрируется с системой учета персонала (например, 1С, SAP HR и т.п.), со всеми информационными системами и ресурсами, к которым может быть запрошен доступ пользователем в рамках исполнения служебных обязанностей, формируется так называемая матрица ролевого доступа, учитывающая все необходимые виды доступа для каждого конкретного работника, внедряется алгоритм управления доступом. Казалось бы, все, полный порядок в управлении доступом. При этом IDM-система на основе данных, получаемых из системы учета персонала, должна иметь техническую возможность самостоятельно прописывать, изменять и отзывать права доступа пользователей во всех инфраструктурных и прикладных ИТ-системах организации.

Возможные осложнения

Однако идеал не всегда достижим: на практике существует множество нюансов, которые усложняют процесс внедрения системы управления доступом в организации:

• значительное число должностей и ролей, что существенно увеличивает размерность матрицы ролевого доступа;
• отсутствие четкой ролевой модели для большинства должностей, что затрудняет автоматизацию процесса управления доступом;
• наличие нетиповых ролей, когда работнику требуются дополнительные права вне используемой ролевой модели, возможно, на некий период времени, что приводит к усложнению ролевой модели и рискам появления излишних прав (например, после утраты необходимости в дополнительных правах);
• практика предоставления прав и привилегий по указанию руководства (срочно!), в рамках "горящих" проектов, форс-мажора, срочных заданий и т.п., как правило, без соответствующих заявок;
• наличие неиспользуемых, но по каким-то причинам активных учетных записей, которые могут быть использованы для несанкционированных действий;
• наличие неперсонифицированных (технологических) учетных записей, которые могут иметь достаточно широкие права, использоваться как пользователями, так и процессами;
• наличие работников сторонних организаций и различного рода совместителей, которым предоставляется доступ по каким-то другим, отличным от базовых, процедурам доступа;
• слабый контроль за действиями администраторов систем и ресурсов, которые могут предоставлять завышенные права и привилегии без оформления заявки.

Все это осложняется тем, что в большинстве российских компаний предоставление доступа к информационным системам и ресурсам изначально было организовано не системно, а стихийно, зачастую по аналогии с уже работающими коллегами, т.е. новому работнику в полном объеме копируется весь набор доступов, который далеко не всегда проходит процедуру согласования со службой информационной безопасности и подразделениями – владельцами ресурсов и может быть избыточным. В дальнейшем работнику предоставляются все новые и новые права, т.к. меняются бизнес-процессы, характер его работы, участие в рабочих группах, а зачастую и должность. И далеко не всегда эти права отзываются после утраты необходимости в них. Так и складывается сложная, запутанная, никак и никем не контролируемая система управления доступом, способствующая возникновению инцидентов информационной безопасности и совершению преступлений, существенно снижающая уровень безопасности организации.

Кроме того, во многих организациях из соображений безопасности предоставление и изменение прав доступа могут производиться не полностью автоматически, а только после подтверждения соответствующим руководителем и службой информационной безопасности.

Решение задачи

Вместе с тем современные IDM-системы позволяют эффективно решать задачи, обусловленные сложностью ролевой модели, с использованием модуля Role Manager, позволяющего формировать базовую ролевую модель и набор исключений, имеющих место на практике. Модуль фактически подтягивает из системы учета персонала информацию о работниках и их должностях, проводит анализ собранной информации и выявляет корреляцию между их правами доступа. В результате получается базовая ролевая модель, возможно, с некоторыми рассмотренными выше нюансами, которые необходимо будет проанализировать и устранить.

В случае необходимости предоставления работнику дополнительных прав во многих IDM-системах предусмотрен инструмент Workflow, позволяющий работнику инициировать запрос на предоставление тех или иных прав доступа прямо через интерфейс IDM, с добавлением их в список исключений для корректной работы дальнейших аудитов.

Еще одним серьезным достоинством IDM-систем является возможность регулярного аудита прав доступа пользователей, с удобным механизмом контроля с целью выявления отклонений от заданных правил доступа и проведением дальнейшей ресертификации прав. При этом контроль может осуществляться фактически непрерывно, что минимизирует нарушения в предоставлении доступа со стороны администраторов систем и ресурсов, повышая тем самым уровень информационной безопасности организации.

Поэтому в большинстве случаев целесообразным будет вариант неполной автоматизации, позволяющий полностью автоматизировать процесс создания и блокировки учетных записей и частично автоматизировать остальные процессы управления доступом, с учетом перечисленных выше факторов. При этом глубина автоматизации во многом определяется сложностью ролевой модели организации, наличием адекватной политики управления доступом, финансированием работ (с учетом их высокой стоимости) и намерения соответствующих руководителей довести проект до логического завершения, с учетом сопоставимых людских и финансовых затрат.

Итогом такой автоматизации должно быть построение целевой системы управления доступом, соответствующей требованиям информационной безопасности, существенное ускорение процесса управления доступом, уменьшение количества ошибок и других проявлений человеческого фактора, реализация эффективной системы контроля и ресертификации прав, а также разгрузка ИТ-администраторов.