Читаем Обеспечение информационной безопасности бизнеса полностью

Управление доступом относится к числу приоритетных задач обеспечения информационной безопасности. При всей важности встроенных и наложенных средств защиты информации эффект от их использования может быть сведен на нет, если политика предоставления доступа в организации является неоптимальной и непродуманной и основывается на устаревших средствах управления доступом. По этим причинам внедрение современных средств управления доступом является одним из основных направлений деятельности по обеспечению защиты информации компании «Инфосистемы Джет».

Одна из особенностей традиционного управления доступом заключается в том, что для бизнеса информационная система является в значительной степени «черным ящиком»: сотрудники бизнес-подразделений не могут проконтролировать, какие права доступа назначаются администраторами систем сотрудникам и какие привилегии они в результате имеют.

Усугубляет ситуацию и то, что ИТ-инфрастуктура организации, как правило, состоит из множества различных информационных систем, большинство из которых имеет свое собственное хранилище учетных записей и связанных с ними привилегий. Эти политики могут значительно различаться, а управление учетными записями становится трудоемкой задачей. В результате невозможно представить полную картину прав доступа сотрудников и тем более получать такую информацию оперативно и регулярно.

Выполнение операций с учетными записями является по большей части механической работой, которая может быть автоматизирована. Традиционное ручное управление учетными записями, особенно в случае неподконтрольности результата, чревато как случайными, так и умышленными ошибками, которые могут быть выявлены лишь спустя значительное время или не выявлены совсем. Также ручное управление доступом приводит к задержкам предоставления или изменения доступа, вследствие чего увеличивается время вынужденного простоя, если сотрудник не может выполнять свои служебные обязанности или риски безопасности, если по каким-то причинам права доступа сотрудника в данный момент являются избыточными.

На практике реализация единой политики доступа к информационным ресурсам затрудняет поиск компромисса между удобством и безопасностью. В частности, если пользователь имеет доступ к пяти информационным системам, он вынужден помнить различные пароли, отвечающие всем требованиям сложности. А если сделать смену пароля обязательной хотя бы раз в три месяца, то самой частой задачей отдела системного администрирования, вероятно, будет восстановление забытых паролей, а пользователи будут записывать пароли на стикерах в текстовых файлах.

Средства предотвращения утечек информации (Data Leak Prevention — DLP) также значительно снижают удобство использования информационных ресурсов. Так, например, стандартными мерами по предотвращению распространения конфиденциальной информации являются запрет на использование USB-носителей и контентная фильтрация исходящего почтового трафика. Эти меры затрудняют обмен информацией даже в том случае, когда ее передача легитимна (например, в случае отправки конфиденциальных документов контрагентам), и не позволяют управлять доступом к служебной информации за пределами периметра. Впрочем, и внутри периметра отследить и предотвратить доступ к конфиденциальной информации на уровне файлов с помощью стандартных DLP-решений крайне сложно или даже невозможно.

Основные тенденции, которые прослеживаются в развитии средств управления доступом, — повышение прозрачности соответствующих процессов и их передача под контроль бизнес-подразделений.

Эти тенденции, а также сложность администрирования разнородных хранилищ учетных записей привели к появлению информационных систем Identity Management (IdM), одними из основных задач которых являются централизация и автоматизация процессов управления доступом. IdM-система подключается к «доверенному источнику», которым чаще всего является система кадрового учета для получения данных о сотрудниках (прием на работу, изменение должности, увольнение и т. д.), и к «целевым системам» — информационным системам и бизнес-приложениям организации. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов. Такой подход позволяет реализовать принцип разделения полномочий в управлении доступом (Segregation of Duties — SoD), согласно которому каждый процесс должен иметь более одного участника, что значительно снижает риск предоставления избыточных полномочий. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, а также контроля привилегий пользователей в целевых системах и формирования отчетов, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов.