Идентификация – процедура распознавания субъекта по некоторой информации – числу, строке символов, которые по идее должен знать только тот, кто его вводит. Для примера: пара «логин – пароль», как в любой почте.
Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации. Совершенно другой подход. Вы, как пользователь, передаете уникальную информацию, которой и доказываете, что являетесь тем, за кого себя выдаете. Степень защиты при этом очень высока.
Токен, говоря простым языком, это электронный ключ для доступа к чему-либо. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (отпечатки пальцев). В одни встроена защита от взлома, в другие – мини-клавиатура для ввода PIN-кода и т. д.
Криптография – сейчас это наука о методах обеспечения конфиденциальности. Она одна из старейших – ее история насчитывает 4 тыс. лет. Сначала криптография занималась только вопросами шифрования и дешифровки, но сейчас в нее включены электронные цифровые подписи, ключи и проч. Криптография стала больше похожа на смесь математики и информатики.
Автоматизация управления
Автоматизация управления – это еще один важный момент, на который хотелось бы обратить внимание. Говоря о системах двухфакторной аутентификации на основе токенов и смарт-карт, как правило, нужно говорить и о криптографии. Ведь в обычном понимании, если не брать в расчет особые случаи со специфическими ключами, сам по себе носитель является пустой болванкой. И важнейшим компонентом в такой системе становится не он, а сертификат и пара сгенерированных ключей, хранящаяся в защищенной области носителя. Тут на первый план выходят удостоверяющие центры и криптопровайдеры.
Но не будем углубляться в дебри криптографии, основной акцент хотелось бы поставить именно на системе управления, и вот почему.
Начиная выстраивать систему управления доступом на базе двухфакторной аутентификации, многие даже не задумываются о той проблеме, которая их подстерегает, – необходимость внедрения эффективной системы управления ключевыми носителями.
Большинство компаний при внедрении двухфакторной аутентификации электронных подписей сводят все к выбору того или иного производителя токенов или смарт-карт и платформы удостоверяющего центра. Такая тактика в корне не верна, и явно это можно увидеть на примере.
Компания численностью около 500 человек внедряет систему электронной подписи с хранением сертификатов на токенах. Кроме того, раз уж появляются ключевые носители, то принимается решение, что доступ к корпоративным информационным системам тоже будет выполняться с предъявлением токена.
В компании уже действует удостоверяющий центр, и сотрудникам службы безопасности требуется примерно две-три недели, чтобы выдать всем своим сотрудникам токены с их сертификатами. Система запущена и начинает работать. А что происходит дальше?
Дальше все очень просто. Сотрудники начинают терять токены, забывать PIN-коды к ним, их переводят в другие отделы, на другие должности (при этом сотрудникам необходима корректировка информации, записанной на токене), и, наконец, они покидают компанию. В общем, происходит обыкновенный процесс управления доступом, осложненный наличием у каждого сотрудника ключевого носителя.
Вся эта ситуация очень быстро приводит к тому, что через некоторое время никто не сможет достоверно сказать, где какой токен находится, существуют ли незаблокированные токены, закрепленные за уволенными сотрудниками, это не говоря уже о невозможности проведения аудита доступа.
Естественно, подобной ситуации не хочет допускать ни одна здравомыслящая служба информационной безопасности. Ручные операции по управлению этим «зоопарком» не эффективны. С одной стороны, они повышают нагрузку на сотрудников службы безопасности, с другой – влияют на работу самих пользователей, ведь простой в их работе – прямые финансовые потери.
Мы проводили исследования влияния подобных систем автоматизации на процессы управления доступом. Не углубляясь в расчеты, можно сказать, что внедрение подобной системы снижает нагрузку на обслуживающий персонал в 14 раз. В компании, где проводилось исследование, система позволила экономить до 15 млн рублей ежегодно.
Как мы видим, автоматизация управления – очень важный элемент любой эффективной системы управления доступом, и забывать о ней не следует.
Интеграция
Интеграция – еще один очень интересный фактор, влияющий на общую эффективность работы системы управления доступом. Правильное применение этого фактора может дать прекрасный синергетический эффект и позволит свести ручные операции к минимуму.
К типичному и наиболее удачному синергетическому эффекту можно отнести интеграцию системы управления доступом с кадровой системой компании. Подобной интеграцией могут похвастаться системы и решения класса IDM (Identity and Access Management), призванные сделать процесс предоставления доступом прозрачным и максимально автоматизированным. Как это работает?
Принцип работы IDM-систем довольно прост. Эти системы позволяют получать данные из кадровой службы компании и моментально предоставлять доступ сотрудникам согласно ролевой модели. Проще всего это можно описать на примере.
В типичную компанию на работу выходит новый сотрудник. Специалист кадровой службы «заводит» его в своей кадровой информационной системе, указывая все необходимые ему сведения. В этот момент IDM-система автоматически получает эти данные – Ф. И. О., должность, департамент, часы работы и т. п. и создает согласно ролевой модели все необходимые учетные записи во всех необходимых информационных системах.
После этого новый сотрудник идет в службу ИТ (или ИБ) и получает свой персональный ключевой носитель, на который уже записаны все необходимые данные, и PIN-код. Все, процесс предоставления прав завершен, новый сотрудник может приступать к работе буквально через 10 минут после оформления в отделе кадров.
В дальнейшем, если сотрудник будет переводиться на другую должность или же будет увольняться, IDM-система выполнит все необходимые операции автоматически.
Безусловно, в приведенном примере описана идеальная ситуация, когда все процессы предоставления доступа автоматизированы. В жизни, как правило, существует регламент, и на определенной стадии предоставления прав может потребоваться согласование например, будущего начальника нового сотрудника. Но даже включение в этот процесс одного-двух согласующих лиц не критично – в любом случае мы получим существенное уменьшение времени предоставления доступа.
На моей практике бывали случаи, когда после внедрения подобной системы срок предоставления прав сокращался с 5 рабочих дней до 4 часов. Но почему так важно говорить об интеграции именно с кадровой системой компании?
Ответ на этот вопрос также лежит на поверхности. Именно кадровая служба обладает актуальной и достоверной информацией обо всех сотрудниках компании, именно она знает, кто из сотрудников ушел в отпуск, а кто уволился. Это та информация, которая просто необходима каждой службе информационной безопасности при построении эффективной системы управлением доступом.
Внедрение подобной системы серьезно разгрузит сотрудников, занимающихся предоставлением доступа, а также позволит решить огромное количество задач, начиная с того, что в любой момент времени вы будете иметь достоверную и актуальную информацию, кто и куда имеет доступ, заканчивая простотой и удобством проведения аудита.
Говоря об интеграции, можно рассказать много интересных примеров внедрения IDM-систем. Приведу один наиболее мне запомнившийся из недавней практики – IDM-система, интегрированная со СКУД.
Эффект был очень интересный. Сотрудник входил в офис, прикладывая на проходной свою смарт-карту к турникету, далее – в кабинет, также прикладывая свою смарт-карту к считывателю, открывающему дверь, и, наконец, авторизовывался на своем рабочем компьютере, вставляя эту же смарт-карту в карт-ридер. При этом в информационной системе единой политикой были заданы определенные ситуации – например, блокировка рабочего компьютера при выходе сотрудника из кабинета. Хотели даже реализовать временный отзыв всех прав пользователя по окончании рабочего дня и выходе его из офиса, но от идеи отказались ввиду необходимости некоторым сотрудникам работать удаленно и иногда не нормированно.
Вместо заключения
Если подводить итог всего вышесказанного, то хочется сказать: безусловно, в конечном итоге каждый сделает свой собственный выбор в том, как ему строить свою систему управления доступом. Мы лишь обратили внимание на важные и интересные моменты, которые могут принести огромную пользу. И очень хочется надеяться, что эта информация позволит вам по новому взглянуть на свою систему безопасности. Может, настало время заняться эффективностью?
Александр Санин
Сегодня никто не станет спорить, что все мы живем в век тотальной зависимости от информационных технологий и Интернета. Она так сильна, что в Штатах, насколько я знаю, от нее уже начинают лечить. По крайней мере, появились предприятия, предлагающие такие услуги.
Носить наличные с собой небезопасно, а у кассира не всегда есть сдача с крупной купюры. С кредитной карточкой такой проблемы не возникает, но карточку иногда заедает в банкоматах. К тому же ее можно забыть дома. Отмечающая десятилетний юбилей технология NFC (Near Field Communication) обещает справиться с этими мелкими неприятностями и обеспечить нам новые возможности.