В любой компании среднего масштаба (условно, для компаний в которых работает 500 сотрудников и более) по мере развития внутренней инфраструктуры и роста количества важных бизнес ИТ-систем, наступает пора, когда текущий состав отдела администрирования перестает эффективно справляться с процессом управления доступом. Нет, доступ для пользователей, конечно, предоставляется, но вот все остальные аспекты этого процесса задвигаются на задний план. Так, к примеру, административный персонал перестает следить за учетными записями уволенных сотрудников, перестает обращать внимание на «переводы» сотрудников из подразделения в подразделение и на необходимость отзыва тех или иных прав, перестает обращать внимание на конфликты в полномочиях. Эта, в целом банальная ситуация, в огромном количестве компаний воспринимается, как неотвратимая действительность. И никто не пытается это изменить. Но на самом деле ситуация для компании является очень опасной и с каждым днем опасность эта нарастает. Никто не думает, что всего одна единственная серьезная утечка, освещенная в широких кругах, может привести к многомилионным убыткам, к потере деловой репутации, к потере рынка, и как апогей — к банкротству. В этой колонке мы рассмотрим 3 базовых принципа, которыми нужно руководствоваться при построении эффективной системы управления доступом.
Принцип первый — автоматизируй это!
Важно всегда помнить, что практически любой процесс в ИТ или ИБ можно в той или иной мере автоматизировать. Если ситуация начинает вываливаться из штатной работы, если люди перестали справляться с полноценным выполнением своих обязанностей в рамках управления доступом, значит процесс нуждается в автоматизации. Я часто слышу фразы в стиле «да мы наймем еще двух студентов, и они нам все исправят» — это очень опасное заблуждение. Не исправят! Просто полный хаос наступит чуть позже, но уже с гораздо более серьезными последствиями. Вместо найма низкоквалифицированного персонала, компании надо заняться процессом автоматизации управления доступом.
Сегодня на рынке полно продуктов, которые справятся с любым объемом задач по управлению доступом. Это системы класса IDM/IAM (Identity Management/Identity and Access Management). Выбор действительно большой, и выбор этот на любой вкус и кошелек — российский, зарубежные, платные и даже бесплатные. Но главное — чем раньше вы примете решение по автоматизации, тем с меньшими проблемами вы этот процесс сможете построить. На моей практике были примеры, когда компания откладывала внедрение решения и пыталась решать эти вопросы «латая дыры» так долго, что потом, когда такое решение было принято, внедрение системы было настолько затруднено уже построенными разношерстными процессами, которые порой противоречили друг другу, что проект в итоге затянулся почти на 3 года. Автоматизируй!
Принцип второй — проектируй безопасно!
При построении любой эффективной системы управления доступом нужно в первую очередь смотреть на возникающие риски информационной безопасности. Важно выстраивать процессы управлением доступом так, чтобы максимально исключать возможность несанкционированного доступа к информации и ее утечки.
В первую очередь обратить внимание на процесс отзыва прав доступа. Это достаточно простой процесс, и с него легко начать. Тут просто незаменимой будет совместная работа с отделом кадров, который ведает обо всех увольнениях и переводах. Без совместной работы с кадровиками в данном процессе обязательно будут оставаться дыры. Как мы уже говорили ранее, любая IDM-система способна автоматизировать получение информации из кадровой базы и практически в онлайне решать вопрос отзыва прав без вмешательства человека. Поэтому после описания всех частных случаев, при которых необходимо отзывать права пользователя (и какие именно права), вы получите один отлаженный и работающий процесс, который будет работать автоматически, не загружая ваших администраторов.
Дальше больше и немного посложнее. Процесс непосредственного предоставления прав доступа. Тут важно руководствоваться принципами необходимой минимальной достаточности. Ситуация, при которой рядовым случаем является «предоставить права такие же как у Васи Пупкина», является неприемлемой в 99% сценариев работы. Каждый сотрудник выполняет свой спектр задач, и если в какой-то момент ему необходимо подменить Васю Пупкина, администратор безопасности должен об этом знать и такой доступ должен быть согласован и санкционирован, а не предоставлен «просто так». Нужно описать процессы предоставления доступа таким образом, чтобы, с одной стороны, не повышать нагрузку на персонал бесконечными согласованиями на те или иные права, и с другой стороны, чтобы процесс действительно не позволял получать полномочия, превышающие необходимо достаточные. Тут хорошо помогает построение грамотной ролевой модели, которая предусматривает предоставление «базового» доступа без необходимости каких-либо согласований, а уже конкретные частные
права согласовываются отдельно с линейным руководителем, владельцем информационного ресурса и администратором безопасности.
Тут хотелось бы еще уделить внимание такому аспекту, как конфликт полномочий, когда одному и тому же сотруднику принадлежат такие права в информационной системе, которые в своей совокупности позволяют ему совершить нечто противоправное. Далеко не во всех компаниях этот аспект является очевидным и крайне необходимым, но все-таки это довольно частое явление. Поэтому грамотно построенная матрица конфликтных ролей и полномочий и наложенная на процесс предоставления прав — залог безопасного проектирования всего процесса управления доступом.
Принцип третий — смотри в будущее!
Многие компании совершают ошибку при построении системы управления доступом, когда планируют горизонт использования системы недостаточно дальновидно. Т. е. при выборе системы они руководствуются исключительно такими параметрами, которые важны здесь и сейчас, и которые позволят решить те проблемы, которые уже существуют. Ну к примеру, вы можете выбрать систему управления доступом, которая полностью отвечает вашим текущим насущным проблемам, и которая способна автоматизировать ваши текущие больные места. Но проходит, к примеру год, инфраструктура эволюционирует и вместе с ней эволюционируют и подходы к обеспечению безопасности, и вы вдруг понимаете, что пора вводить риск-ориентированный подход в управление доступом. Вы хотите организовать матрицы конфликта полномочий, взвешивать каждое право на весах риска для информационной безопасности. И обнаруживаете, что выбранное ранее решение таким функционалом не обладает… История грустная, конечно, но она встречается очень часто. И вы либо отказываетесь от идеи решения насущных вопросов риск-менеджмента, либо начинаете построение новой системы (миграцию со старой), что влечет за собой довольно большие издержки.
Еще более опасная ситуация, когда выбранная вами система в какой-то момент времени перестает развиваться и поддерживаться. Такое иногда случается даже с очень крупными вендорами, выпускающими большие линейки продукции. Была система, жила, развивалась, а потом бац — end of sale, end of support. Печаль вдвойне. Тут не может быть универсального совета, как избежать подобной ситуации. Но на мой взгляд, лучше смотреть на продукты, которые лидируют в сегменте, и на продукты, выпускаемые компаниями с не самой широкой линейкой.
Таким образом при выборе системы отталкиваясь от вышесказанного и ориентируясь на горизонт примерно 5 лет, вы сможете избежать подобных неприятных сюрпризов.
Вместо заключения
Безусловно, любая современная компания сталкивается так или иначе с проблемами в рамках построения процессов управления доступом. Эта заметка призвана акцентировать ваше внимание на главных принципах при построении этого процесса и избавить вас от типичных ошибок. Вы можете построить безопасный процесс управления доступом самостоятельно или же привлечь к этому специалистов. Выбор всегда есть. Главное — не бояться этого и не откладывать в долгий ящик!