Сегодня на рынке полно продуктов, которые справятся с любым объемом задач по управлению доступом. Это системы класса IDM/IAM (Identity Management/Identity and Access Management). Выбор действительно большой, и выбор этот на любой вкус и кошелек – российский, зарубежные, платные и даже бесплатные. Но главное – чем раньше вы примете решение по автоматизации, тем с меньшими проблемами вы этот процесс сможете построить. На моей практике были примеры, когда компания откладывала внедрение решения и пыталась решать эти вопросы «латая дыры» так долго, что потом, когда такое решение было принято, внедрение системы было настолько затруднено уже построенными разношерстными процессами, которые порой противоречили друг другу, что проект в итоге затянулся почти на 3 года. Автоматизируй!
При построении любой эффективной системы управления доступом нужно в первую очередь смотреть на возникающие риски информационной безопасности. Важно выстраивать процессы управлением доступом так, чтобы максимально исключать возможность несанкционированного доступа к информации и ее утечки.
В первую очередь обратить внимание на процесс отзыва прав доступа. Это достаточно простой процесс, и с него легко начать. Тут просто незаменимой будет совместная работа с отделом кадров, который ведает обо всех увольнениях и переводах. Без совместной работы с кадровиками в данном процессе обязательно будут оставаться дыры. Как мы уже говорили ранее, любая IDM-система способна автоматизировать получение информации из кадровой базы и практически в онлайне решать вопрос отзыва прав без вмешательства человека. Поэтому после описания всех частных случаев, при которых необходимо отзывать права пользователя (и какие именно права), вы получите один отлаженный и работающий процесс, который будет работать автоматически, не загружая ваших администраторов.
Дальше больше и немного посложнее. Процесс непосредственного предоставления прав доступа. Тут важно руководствоваться принципами необходимой минимальной достаточности. Ситуация, при которой рядовым случаем является «предоставить права такие же как у Васи Пупкина», является неприемлемой в 99% сценариев работы. Каждый сотрудник выполняет свой спектр задач, и если в какой-то момент ему необходимо подменить Васю Пупкина, администратор безопасности должен об этом знать и такой доступ должен быть согласован и санкционирован, а не предоставлен «просто так». Нужно описать процессы предоставления доступа таким образом, чтобы, с одной стороны, не повышать нагрузку на персонал бесконечными согласованиями на те или иные права, и с другой стороны, чтобы процесс действительно не позволял получать полномочия, превышающие необходимо достаточные. Тут хорошо помогает построение грамотной ролевой модели, которая предусматривает предоставление «базового» доступа без необходимости каких-либо согласований, а уже конкретные частные
права согласовываются отдельно с линейным руководителем, владельцем информационного ресурса и администратором безопасности.
Тут хотелось бы еще уделить внимание такому аспекту, как конфликт полномочий, когда одному и тому же сотруднику принадлежат такие права в информационной системе, которые в своей совокупности позволяют ему совершить нечто противоправное. Далеко не во всех компаниях этот аспект является очевидным и крайне необходимым, но все-таки это довольно частое явление. Поэтому грамотно построенная матрица конфликтных ролей и полномочий и наложенная на процесс предоставления прав – залог безопасного проектирования всего процесса управления доступом.
Многие компании совершают ошибку при построении системы управления доступом, когда планируют горизонт использования системы недостаточно дальновидно. Т.е. при выборе системы они руководствуются исключительно такими параметрами, которые важны здесь и сейчас, и которые позволят решить те проблемы, которые уже существуют. Ну к примеру, вы можете выбрать систему управления доступом, которая полностью отвечает вашим текущим насущным проблемам, и которая способна автоматизировать ваши текущие больные места. Но проходит, к примеру год, инфраструктура эволюционирует и вместе с ней эволюционируют и подходы к обеспечению безопасности, и вы вдруг понимаете, что пора вводить риск-ориентированный подход в управление доступом. Вы хотите организовать матрицы конфликта полномочий, взвешивать каждое право на весах риска для информационной безопасности. И обнаруживаете, что выбранное ранее решение таким функционалом не обладает… История грустная, конечно, но она встречается очень часто. И вы либо отказываетесь от идеи решения насущных вопросов риск-менеджмента, либо начинаете построение новой системы (миграцию со старой), что влечет за собой довольно большие издержки.
Еще более опасная ситуация, когда выбранная вами система в какой-то момент времени перестает развиваться и поддерживаться. Такое иногда случается даже с очень крупными вендорами, выпускающими большие линейки продукции. Была система, жила, развивалась, а потом бац – end of sale, end of support. Печаль вдвойне. Тут не может быть универсального совета, как избежать подобной ситуации. Но на мой взгляд, лучше смотреть на продукты, которые лидируют в сегменте, и на продукты, выпускаемые компаниями с не самой широкой линейкой.
Таким образом при выборе системы отталкиваясь от вышесказанного и ориентируясь на горизонт примерно 5 лет, вы сможете избежать подобных неприятных сюрпризов.
Безусловно, любая современная компания сталкивается так или иначе с проблемами в рамках построения процессов управления доступом. Эта заметка призвана акцентировать ваше внимание на главных принципах при построении этого процесса и избавить вас от типичных ошибок. Вы можете построить безопасный процесс управления доступом самостоятельно или же привлечь к этому специалистов. Выбор всегда есть. Главное – не бояться этого и не откладывать в долгий ящик!
По статистике средний ущерб от киберинцидента для крупных компаний составляет 11 млн руб., а для малого и среднего бизнеса – 1,6 млн руб. И один из главных рисков – утечка данных, доступ к которым нужно защищать не только от кибератак, но и контролировать внутри компании. О реализации и внедрении систем контроля и управления доступом к информации на предприятии корреспонденту ICT-Online рассказывает Андрей Конусов, генеральный директор компании Аванпост.
Умные устройства –– часы, смарт-телевизоры, детские игрушки, видеорегистраторы и холодильники –– во всем мире в 2018 году подверглись вирусным атакам в четыре раза чаще, чем в 2017-м. Такие данные «Известиям» предоставила антивирусная лаборатория «Доктор Веб». В этом году атак будет еще больше: только в первые шесть месяцев зарегистрировано 71,5 млн таких инцидентов, а к концу декабря их количество может перевалить уже за 100 млн, уверены аналитики.