Как построить эффективную систему управления доступом

В большинстве шпионских фильмов вы замечали хитрые высокотехнологичные железки, которые и дверь с кодом откроют, и компьютер взломают, и систему безопасности отключат. Разработчики современных систем управления доступом тоже смотрят кино. И дают вам возможность пользоваться чем-то подобным. О том, какими системами доступа вы можете снабдить свой офис, зачем это нужно и сколько вы сэкономите, поговорим в этой статье.
 
Александр Санин, коммерческий директор компании Avanpost
 
Выстраивая в организации комплексную систему информационной безопасности, нужно помнить одну простую вещь: даже самая современная система безопасности с лучшими межсетевыми экранами, антивирусами, системами анализа защищенности, системами защиты от утечек и прочего совершенно безоружна перед злоумышленником, если в системе не продумана система управления доступом. Именно она является базисным и самым важным звеном в любой системе безопасности. Поэтому о ней мы решили поговорить подробно.
 
Касаясь систем управления доступом в рамках данной статьи, мы поговорим о доступе именно к информационным ресурсам и не будем касаться вопросов, связанных с системами физической безопасности и так называемых СКУД.
 
На что же следует обратить особое внимание при построении эффективной системы управления доступом? Попробуем раскрыть три, на наш взгляд, основных момента: аутентификация, автоматизация управления и интеграция.
 
Аутентификация
 
Никто не станет отрицать, что с развитием информационных технологий, электронной коммерции и юридически значимого электронного документооборота все острее встают проблемы аутентификации. Как удостовериться, что тот, кто хочет получить доступ, является тем, за кого себя выдает?
 
Использовавшихся долгое время систем, основанных на паре «логин – пароль», уже недостаточно. Ведь логин и пароль являются «виртуальными» понятиями, и тут либо мы получаем простой пароль, который взламывается очень быстро, либо имеем ситуацию, при которой сложные пароли просто хранятся у пользователей на каком-то ресурсе, так сказать, «чтоб не забыть», что тоже приводит к повышению риска их кражи. В «критичных», важных для компании информационных системах такие риски неприемлемы.
 
Последние несколько лет на смену логину и паролю постепенно начали приходить системы с так называемой двухфакторной аутентификацией. В них пользователю нужно не только знать пароль, но и владеть неким уникальным ключом. При этом суть процесса не изменяется, но появляется очень важный компонент – пользователь должен предъявить, помимо традиционного пароля – PIN-кода, еще и некий физический уникальный идентификатор – токен, смарт-карту, одноразовый пароль и т. п.
 
Риски компрометации пользователя при этом снижаются в разы, ведь злоумышленнику придется не только узнать пароль, но и похитить физический идентификатор. Подделать этот идентификатор невозможно. Хотя, говоря «невозможно», скорее подразумевается слово «нецелесообразно», ведь на это потребуется несколько десятков, а то и сотен лет, в зависимости от стойкости криптоалгоритма.
 
Таким образом, если говорить о сегодняшних реалиях, то именно системы с двухфакторной аутентификацией выходят на первый план. Никакие современные системы управления доступом, особенно те, в которых хранится чувствительная информация (все виды тайн, охраняемых по закону), не могут строиться без применения ключевых носителей информации. Благо на рынке такие ключевые носители представлены, как говорится, на любой вкус и для решения любых, даже самых специфичных задач.
  
Понять непонятное

Идентификация – процедура распознавания субъекта по некоторой информации – числу, строке символов, которые по идее должен знать только тот, кто его вводит. Для примера: пара «логин – пароль», как в любой почте.
 
Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации. Совершенно другой подход. Вы, как пользователь, передаете уникальную информацию, которой и доказываете, что являетесь тем, за кого себя выдаете. Степень защиты при этом очень высока.
 
Токен, говоря простым языком, это электронный ключ для доступа к чему-либо. Некоторые предназначены для хранения криптографических ключей, таких как электронная подпись или биометрические данные (отпечатки пальцев). В одни встроена защита от взлома, в другие – мини-клавиатура для ввода PIN-кода и т. д.
 
Криптография – сейчас это наука о методах обеспечения конфиденциальности. Она одна из старейших – ее история насчитывает 4 тыс. лет. Сначала криптография занималась только вопросами шифрования и дешифровки, но сейчас в нее включены электронные цифровые подписи, ключи и проч. Криптография стала больше похожа на смесь математики и информатики.

Автоматизация управления
 
Автоматизация управления – это еще один важный момент, на который хотелось бы обратить внимание. Говоря о системах двухфакторной аутентификации на основе токенов и смарт-карт, как правило, нужно говорить и о криптографии. Ведь в обычном понимании, если не брать в расчет особые случаи со специфическими ключами, сам по себе носитель является пустой болванкой. И важнейшим компонентом в такой системе становится не он, а сертификат и пара сгенерированных ключей, хранящаяся в защищенной области носителя. Тут на первый план выходят удостоверяющие центры и криптопровайдеры.
 
Но не будем углубляться в дебри криптографии, основной акцент хотелось бы поставить именно на системе управления, и вот почему.
 
Начиная выстраивать систему управления доступом на базе двухфакторной аутентификации, многие даже не задумываются о той проблеме, которая их подстерегает, – необходимость внедрения эффективной системы управления ключевыми носителями.
 
Большинство компаний при внедрении двухфакторной аутентификации электронных подписей сводят все к выбору того или иного производителя токенов или смарт-карт и платформы удостоверяющего центра. Такая тактика в корне не верна, и явно это можно увидеть на примере.
 
Компания численностью около 500 человек внедряет систему электронной подписи с хранением сертификатов на токенах. Кроме того, раз уж появляются ключевые носители, то принимается решение, что доступ к корпоративным информационным системам тоже будет выполняться с предъявлением токена.
 
В компании уже действует удостоверяющий центр, и сотрудникам службы безопасности требуется примерно две-три недели, чтобы выдать всем своим сотрудникам токены с их сертификатами. Система запущена и начинает работать. А что происходит дальше?
 
Дальше все очень просто. Сотрудники начинают терять токены, забывать PIN-коды к ним, их переводят в другие отделы, на другие должности (при этом сотрудникам необходима корректировка информации, записанной на токене), и, наконец, они покидают компанию. В общем, происходит обыкновенный процесс управления доступом, осложненный наличием у каждого сотрудника ключевого носителя.
 
Вся эта ситуация очень быстро приводит к тому, что через некоторое время никто не сможет достоверно сказать, где какой токен находится, существуют ли незаблокированные токены, закрепленные за уволенными сотрудниками, это не говоря уже о невозможности проведения аудита доступа.
 
Естественно, подобной ситуации не хочет допускать ни одна здравомыслящая служба информационной безопасности. Ручные операции по управлению этим «зоопарком» не эффективны. С одной стороны, они повышают нагрузку на сотрудников службы безопасности, с другой – влияют на работу самих пользователей, ведь простой в их работе – прямые финансовые потери.
 
Мы проводили исследования влияния подобных систем автоматизации на процессы управления доступом. Не углубляясь в расчеты, можно сказать, что внедрение подобной системы снижает нагрузку на обслуживающий персонал в 14 раз. В компании, где проводилось исследование, система позволила экономить до 15 млн рублей ежегодно.
 
Как мы видим, автоматизация управления – очень важный элемент любой эффективной системы управления доступом, и забывать о ней не следует.
 
Интеграция
 
Интеграция – еще один очень интересный фактор, влияющий на общую эффективность работы системы управления доступом. Правильное применение этого фактора может дать прекрасный синергетический эффект и позволит свести ручные операции к минимуму.
 
К типичному и наиболее удачному синергетическому эффекту можно отнести интеграцию системы управления доступом с кадровой системой компании. Подобной интеграцией могут похвастаться системы и решения класса IDM (Identity and Access Management), призванные сделать процесс предоставления доступом прозрачным и максимально автоматизированным. Как это работает?
 
Принцип работы IDM-систем довольно прост. Эти системы позволяют получать данные из кадровой службы компании и моментально предоставлять доступ сотрудникам согласно ролевой модели. Проще всего это можно описать на примере.
 
В типичную компанию на работу выходит новый сотрудник. Специалист кадровой службы «заводит» его в своей кадровой информационной системе, указывая все необходимые ему сведения. В этот момент IDM-система автоматически получает эти данные – Ф. И. О., должность, департамент, часы работы и т. п. и создает согласно ролевой модели все необходимые учетные записи во всех необходимых информационных системах.
 
После этого новый сотрудник идет в службу ИТ (или ИБ) и получает свой персональный ключевой носитель, на который уже записаны все необходимые данные, и PIN-код. Все, процесс предоставления прав завершен, новый сотрудник может приступать к работе буквально через 10 минут после оформления в отделе кадров.
 
В дальнейшем, если сотрудник будет переводиться на другую должность или же будет увольняться, IDM-система выполнит все необходимые операции автоматически.
 
Безусловно, в приведенном примере описана идеальная ситуация, когда все процессы предоставления доступа автоматизированы. В жизни, как правило, существует регламент, и на определенной стадии предоставления прав может потребоваться согласование например, будущего начальника нового сотрудника. Но даже включение в этот процесс одного-двух согласующих лиц не критично – в любом случае мы получим существенное уменьшение времени предоставления доступа.
 
На моей практике бывали случаи, когда после внедрения подобной системы срок предоставления прав сокращался с 5 рабочих дней до 4 часов. Но почему так важно говорить об интеграции именно с кадровой системой компании?
 
Ответ на этот вопрос также лежит на поверхности. Именно кадровая служба обладает актуальной и достоверной информацией обо всех сотрудниках компании, именно она знает, кто из сотрудников ушел в отпуск, а кто уволился. Это та информация, которая просто необходима каждой службе информационной безопасности при построении эффективной системы управлением доступом.
 
Внедрение подобной системы серьезно разгрузит сотрудников, занимающихся предоставлением доступа, а также позволит решить огромное количество задач, начиная с того, что в любой момент времени вы будете иметь достоверную и актуальную информацию, кто и куда имеет доступ, заканчивая простотой и удобством проведения аудита.
 
Говоря об интеграции, можно рассказать много интересных примеров внедрения IDM-систем. Приведу один наиболее мне запомнившийся из недавней практики – IDM-система, интегрированная со СКУД.
 
Эффект был очень интересный. Сотрудник входил в офис, прикладывая на проходной свою смарт-карту к турникету, далее – в кабинет, также прикладывая свою смарт-карту к считывателю, открывающему дверь, и, наконец, авторизовывался на своем рабочем компьютере, вставляя эту же смарт-карту в карт-ридер. При этом в информационной системе единой политикой были заданы определенные ситуации – например, блокировка рабочего компьютера при выходе сотрудника из кабинета. Хотели даже реализовать временный отзыв всех прав пользователя по окончании рабочего дня и выходе его из офиса, но от идеи отказались ввиду необходимости некоторым сотрудникам работать удаленно и иногда не нормированно.
 
Вместо заключения
 
Если подводить итог всего вышесказанного, то хочется сказать: безусловно, в конечном итоге каждый сделает свой собственный выбор в том, как ему строить свою систему управления доступом. Мы лишь обратили внимание на важные и интересные моменты, которые могут принести огромную пользу. И очень хочется надеяться, что эта информация позволит вам по новому взглянуть на свою систему безопасности. Может, настало время заняться эффективностью?

Александр Санин

Журнал «Консультант», № 15, 2012.