Автоматизированное управление идентификацией и доступом к информационным ресурсам предприятия

В настоящее время проблемам и задачам в области информационной безопасности уделяется довольно много внимания. Даже в неспециализированных СМИ мы часто слышим о мошенничествах, о хакерах или даже об информационных войнах.

Это естественно, ведь информационная безопасность неразрывно связана с информатизацией в целом, и рост последней обязательно приводит к росту другой. В данной статье мы поговорим об одной из ключевых подсистемах информационной безопасности – о системе управления доступом.

Выстраивая в организации комплексную систему информационной безопасности, нужно помнить одно – даже самая современная система информационной безопасности с самыми передовыми средствами защиты (межсетевыми экранами, антивирусами, системами анализа защищенности и прочим), совершенно безоружна перед злоумышленником, если в компании не продумана система управления доступом. Именно система управления доступом является тем базисным и самым важным звеном в любой системе безопасности. Согласитесь, злоумышленник не будет преодолевать ваши заградительные редуты, ему проще проникнуть в вашу систему притворившись легитимным пользователем. Это похоже на старый комикс, когда снаружи изображено здание банка с кучей охраны и прочими атрибутами, а сзади здания уборщица, выходящая через черный ход и оставляющая ключ от двери под ковриком.

Развитие систем управления доступом было сопряжено, в первую очередь, с развитием ИТ-инфраструктуры компаний в целом. Рост бизнеса привносил в компании все новые и новые бизнес-приложения, и в какой-то момент их количество становилось таким, что эффективно управлять доступом к ним в «ручном режиме» становилось крайне затруднительно. Именно тогда начали появляться так называемые решения класса IDM (Identity Management) или в более широком смысле IAM (Identity&Access Management), основная задача которых сводилась в исключении большинства рутинных операций и автоматизации предоставления доступа. Другими словами, на сегодняшний день IDM-решение является наиболее эффективным средством централизованного управления доступом к информационным ресурсам предприятия. Давайте подробнее рассмотрим принципы ее работы.

Представим типичную ситуацию, в компании работает 300 сотрудников. При этом, в компании представлено порядка 10-15 различных бизнес-приложений (домен и файловые ресурсы, почтовый сервер, корпоративный портал, различные сборки 1С, система CRM, система контроля логистики и т.п.). Понятно, что при приеме на работу нового сотрудника, отдел ИТ или ИБ должен предоставить определенный набор прав и полномочий, согласно занимаемой должности. На практике это означает, что ИТ отдел, при получении данных из отдела кадров о новом сотруднике (к слову сказать, на это порой тоже нужно длительное время) должен дать команду своим администраторам каждого из бизнес-приложений, о необходимости предоставить доступ. Далее администраторы в ручном режиме должны в консолях задать на этого пользователя всю необходимую информацию, ввести его в нужные группы и заполнить все необходимые атрибуты и передать пользователю его логины и пароли. Как правило, этот процесс достаточно долгий, и может занимать порой несколько дней, в зависимости от уровня бюрократизации компании.

Что же будет происходить с приведенной в примере компанией при внедрении автоматизированного IDM-решения?

Все очень просто! Как только информация о новом сотруднике появится в кадровой системе, IDM-решение сразу же сформирует всем участникам технологического процесса уведомление, например, по электронной почте и скажет (основываясь на бизнес-роли сотрудника), что необходимо согласовать доступ к таким то бизнес-приложениям с такими-то полномочиями. При этом администраторам необходимо будет лишь согласовать подобный доступ, все дальнейшие рутинные операции IDM-решение выполнит самостоятельно – создаст необходимые учетные записи, заполнит всю необходимую информацию и сгенерирует пароли, которые необходимо будет сообщить сотруднику. К слову сказать, IDM-решения сегодня получают все большее распространение в самых различных областях бизнеса – от банковской сферы до энергетики и логистики, ведь кроме удобства использования, подобные решения имеют четкую и экономически эффективную модель обоснования вложений. Есть примеры, когда мы в компании Аванпост выполняя проекты, добивались снижения нагрузки на специалистов по управлению доступом в несколько раз, кроме того расчеты показывают, что подобная автоматизация позволяла компаниям экономить по несколько миллионов рублей в год в зависимости от их масштаба.

Нельзя не сказать и об еще одном, набирающем обороты направлении развития IDM-систем – интеграции их с системами двухфакторной аутентификации. Полагаю, никто не станет отрицать, что с развитием электронной коммерции и юридически значимого электронного документооборота, проблемы аутентификации встают все острее. Как удостовериться, что тот, кто хочет получить доступ к ресурсу, действительно является именно тем, за кого себя выдает? Мы видим, что использовавшихся долгое время систем, основанных на паре логин и пароль в текущих реалиях уже не достаточно. Последние несколько лет на смену логину и паролю постепенно начали приходить системы с так называемой двухфакторной аутентификацией. Т.е. такие системы, в которых пользователю нужно не только знать пароль, но и владеть неким уникальным ключом. При этом суть процесса не изменяется, но появляется очень важный компонент – пользователь должен предъявить помимо традиционного пароля (ПИН-кода) еще и некий физический уникальный идентификатор – токен, смарт-карту, одноразовый пароль и т.п. И именно интеграция с подобными системами выводит IDM на новый уровень автоматизации процесса. Давайте рассмотрим на том же примере, как работает подобная система. Возьмем нашу компанию, но теперь к IDM функционалу она решила внедрять систему юридически значимого электронного документооборота и систему двухфакторной аутентификации (доступ к корпоративным информационным системам будет выполняться с предъявлением токена). Реализация процесса управления доступом при таком подходе может быть следующей:

Новый сотрудник при приеме на работу, так же как и раньше взаимодействует сначала с отделом кадров. Как только информация о сотруднике (Ф.И.О., отдел, должность и пр.) попадает в кадровую систему, IDM-решение начинает процесс предоставления доступа и выдачи сотруднику его уникального ключевого носителя (токена). Происходит автоматическое создание на основе бизнес-ролей всех необходимых учетных записей, а так же генерируется запрос на выпуск сертификата в удостоверяющих центр. Администратор безопасности после одобрения сертификата должен только лишь записать его на ключевой носитель и выдать пользователю вместе с ПИН-кодом. При этом со стороны пользователя этот процесс происходит абсолютно незаметно – он пришел в отдел кадров, расписался в приказах, далее пошел в службу ИТ или ИБ и получил свой ключевой носитель.

Более того, важно отметить, что внедрение подобного функционала подразумевает так же избавление от извечной проблемы ИБ – компрометация пользователя. Ведь при таком построении системы управления доступом ни один участник технологического процесса даже не знает конкретных логинов и паролей пользователя к информационным системам, ни сам пользователь ни администратор. Все участники могут оперировать лишь токеном и ПИН-кодом, который к слову сказать, можно распечатывать напрямую в ПИН-конверт, как это например делается при выдаче банковской карты.

Безусловно, говорить о примерах применения IDM-решений можно достаточно долго, но ясно одно – именно IDM-решения на сегодняшний день являются наиболее эффективными средствами автоматизации управления доступом, а как уже говорилось в начале статьи, управление доступом – ключевая задача информационной безопасности. И кто знает, может быть следующие несколько лет, станут началом повсеместного применения подобных решений. Благо выбирать есть из чего, и сегодня на рынке уже появляются бюджетные IDM-решения, способные выполнять весь спектр необходимых задач.

Александр Санин, коммерческий директор компании Аванпост

Navigation & Communication Magazine