Переход рынка информбезопасности на более высокий уровень сопровождается оптимизацией систем организации и управления доступом к корпоративным информационным ресурсам. Даже в условиях вызванного кризисом сокращения бюджета, выделяемого на совершенствование IT-инфраструктур, IdM-системы демонстрируют устойчивый рост спроса со стороны заказчиков, признающих эффективность автоматизации бизнес-логики управления доступом на основании принятых в компании правил.
Особенностью систем Identity management (IdM) является их функционирование на стыке области ответственности службы информбезопасности, непосредственно бизнес процессов и управления имеющимися в компании IT-ресурсами.
Специалистам службы ИБ ежедневно приходится сталкиваться с массой вопросов относительно доступа сотрудников к ключевой информации, да и сисадмины загружены «по горло» контролем, созданием/блокировкой учетных записей.
Так уж сложилось, что инициаторами внедрения проекта IdM-системы могут выступать и аЙТишники, и «information security», что свидетельствует об отсутствии на данном этапе строго определенной классификации относительно основной функциональной направленности систем «Identity management».
Какие же преимущества дает использование инструментов IdM службам ИБ, ответственность которых особенно возрастает в условиях кризиса, повышения активности киберпреступности? Ведь даже случайное разглашение доступной сотрудникам коммерческой информации создает дополнительные риски для любой успешной организации. А что уж говорить про намеренно организованную утечку данных.
Основные проблемы контроля прав доступа
Как указывают специалисты, ответственные за защиту ключевой для бизнеса информации, основными источниками угрозы нарушения установленного порядка доступа сотрудника к корпоративным данным являются:
- пренебрежение утвержденного для применения в организации регламента;
- сложность осуществления постоянного контроля над уровнем доступа, которым наделены сотрудники;
- отсутствие необходимого объема информации для принятия адекватного решения службой информбезопасности.
Для всех указанных категорий угроз в современных IdM-системах имеются соответствующие инструменты, позволяющие автоматизировать выполнение полагающихся регламентов. Их внедрение дает возможность оперативно выявлять нарушения, предоставлять службе ИБ всеобъемлющую информацию относительно правомерности попыток получить доступ к сведениям определенного характера.
IdM-системы обеспечивают выполнение установленных регламентов
Наиболее опасной угрозой признается несоблюдение прописанных регламентов, определяющих порядок действий при допуске сотрудников компании к данным, которые представляют коммерческую тайну. Примеров такой «расхлябанности» достаточно как в финансовых организациях, так и в госструктурах, когда предоставляются полномочия без соответствующей проверки работника, согласования со службой безопасности либо с нарушением установленных правил.
В крупных компаниях не редкость ситуации, когда виза «Согласовано» накладывается сотрудником, даже не являющимся прямым руководителем лица, получающего допуск к информации. Выявляются подобные нарушения лишь при полноценном расследовании определенного инцидента, нанесшего значительный ущерб.
Активный допуск оставляют за собой и сотрудники, которые уже уволились. На первый взгляд и причина подобного нарушения вполне благовидная – для полноценной передачи дел новому сотруднику, а поставить об этом в известность службу безопасности «забывают».
Открытый для внешних сотрудников временный допуск становится постоянным. После завершения работы над определенным проектом, «по забывчивости» руководства отдела, доступ привлеченных специалистов по-прежнему остается активным.
Весь этот комплекс незначительных, на первый взгляд, нарушений превращается для службы ИБ в ежедневную рутинную работу, отвлекая ее специалистов от выявления скрытых угроз, заставляя обрабатывать большое число excel-файлов, проверяя актуальность внесенных в них данных о сотрудниках и их учетных записях.
Специалисты Open Vision обращают внимание, что внедрение IdM-системы позволяет отказаться от рутинной работы в «ручном режиме», автоматизировав процесс проверки, обеспечив неукоснительное выполнение всех предписанных регламентов.
Применение IdM-системы позволяет создать централизованный подход к процессу предоставления сотруднику прав доступа, автоматизировав выполнение всех формальностей при:
- приеме/увольнении работника;
- переводе на иную должность, в другое структурное подразделение;
- отпуске, продолжительном больничном;
- запросе на избыточные права доступа.
Несомненным достоинством подобного подхода по обеспечению неукоснительного выполнения предписанных регламентом процедур, является выполнение процессов в автоматическим режиме (блокировка допуска при увольнении), даже определение самой же системой руководителей, с которыми должно быть согласовано расширение допуска. Используется, при этом, как информация от кадровиков, так и специальные корпоративные справочники. Такая организация процесса согласования позволяет добиться строгого выполнения процедур, предусмотренных регламентом.
Обращаем внимание, что практическое использование IdM-систем гораздо шире, нежели простой контроль, поскольку:
- при приеме на работу базовый набор полномочий предоставляется автоматически;
- даже если в компании не разработана специальная модель, предполагающая предоставление определенного допуска с учетом занимаемой должности и стажа работы, МНП (минимальный набор полномочий) предоставляется автоматически.
МНП в виде установленного набора полномочий и предоставленных учетных записей, получает большинство сотрудников. Сюда входит:
- e-mail и учетная запись в доменном адресе компании;
- доступ к информсистеме техподдержки (HelpDesk).
Благодаря такой автоматизации процесса приема на работу уменьшается число заявок, которые поступают в службу ИБ для согласования.
Автоматизируются и все процессы, которыми сопровождается увольнение сотрудника – на основании приказа, с даты увольнения, блокируется аккаунт, отзываются все полномочия, а все данные отправляются в специальное хранилище. Такой подход исключает вероятность существования активного допуска у уволившегося сотрудника.
Рекомендуем использовать функционал IdM-системы для автоматизации процедуры согласования расширения полномочий специалиста. Для этого потребуется лишь создать в системе заявку, что делает либо сам сотрудник, либо его непосредственный руководитель.
Все остальное осуществляется без вмешательства человеческого фактора, но регламент выполняется полностью. Обычно, процедура согласования расширения полномочий заключается в выполнении трех этапов, а именно:
- получение согласия у непосредственного руководителя;
- предоставление обоснований для расширения доступа ответственному за информацию лицу, получение его согласия;
- согласование в службе ИБ.
В результате – руководитель сотрудника берет на себя ответственность за предоставление дополнительного доступа своему подчиненному. Специалист, в ведении которого находится информация, в свою очередь, отвечает за проверку соответствия информации и функциональных обязанностей сотрудника, для которого запрашивается доступ. Служба ИБ, в свою очередь, оперативно принимает решение о возможности расширения допуска определенным сотрудникам.
Применяется и функция автоматической блокировки допуска, даже если сотрудник находится в отпуске либо на длительном больничном, возобновляя доступ по окончанию отпуска – на основании указанных в приказе чисел. Подобная практика снижает риск утечки информации.
Обращаем внимание, что для некоторых сотрудников рекомендуется оставлять допуск активным даже на период отпуска. IdM-системы используются и в случае продвижения сотрудников по служебной лестнице, при работе в удаленных филиалах, но описанные выше операции являются основными.
Подытоживая вышесказанное, обращаем внимание, что IdM-системы практически полностью автоматизируют процесс расширения допуска, контролируют соблюдение ограничений по времени, отзывая временный допуск, блокируя аккаунты уволенных сотрудников. Благодаря такому подходу управление доступом соответствует требованиям, установленным регламентами.
Упрощение контрольных процедур
Даже сейчас в существующих IdM-решениях нет особо выраженной отраслевой специфики. Обусловлено это тем, что бизнесу, IT-подразделениям и службам ИБ требуется от IdM-продуктов лишь обеспечение жесткого контроля доступа к ключевой информации. А вот сам процесс управления уже может иметь определенную специфику, поскольку возможно применение и электронной подписи, и криптографии.
Поэтому и признается вторым важным преимуществом IdM – возможность отказа от трудоемких и кропотливых процессов выполнения необходимых контрольных процедур, поскольку:
- выявление «забытых» в корпоративной инфраструктуре аккаунтов, полномочий доступа без соответствующего согласования – требует проведения полномасштабного аудита;
- проверка каждой учетной записи, уточнение полномочий сотрудников, проверка наличия заявки, по которым они предоставлены – занимает в больших компаниях столько времени, что по завершению подобной сплошной проверки можно смело начинать новый аудит, для внесения изменений в существующие записи;
- подсознательно осознавая всю сложность и рутину подобной работы, в большинстве служб «information security» полноценный аудит проводят крайне редко, да и то избирательно, по определенной системе;
- полученные в результате «ручного» аудита данные практически всегда не актуальны, свидетельством чему являются «мертвые души» накапливающиеся в корпоративных информсистемах.
Не менее опасным для информационной безопасности организации являются избыточные полномочия по доступу к ключевой информации, которые могут «образоваться» у сотрудников при частом их переводе с отдела в отдел. Практика свидетельствует, что этот аспект часто «выпадает» с поля зрения служб ИБ, поскольку процедура может быть элементарно не прописана в регламенте. Подобная уязвимость в системе защиты информационной инфраструктуры может стать той брешью, через которую и будет осуществляться утечка ключевых сведений.
Общепринятые стандарты безопасности вменяют в обязанности руководителей структурных подразделений периодический пересмотр полномочий своих подчиненных. Вот только эти стандарты не учитывают трудоемкость процесса, значительные потери времени. Подобная процедура изначально воспринимается начальниками отделов как нечто излишнее, поэтому и «саботируют» ее выполнение под любым предлогом. В результате – многие сотрудники наделены излишним допуском, что в разы увеличивает риск утраты контроля над важной коммерческой информацией.
Внедрение IdM-системы позволяет значительно упростить выполнение необходимых, но крайне «неприятных» процедур, а именно:
- IdM самостоятельно выявляет все несогласованные полномочия;
- при выявлении нарушения система автоматически отправляет информацию в ИБ службу либо блокирует несогласованные полномочия;
- процедура пересмотра полномочий допуска подчиненных, что требуется от руководителей структурного подразделения, проводится автоматически и с установленной периодичностью;
- при выявлении несоответствий – система самостоятельно формирует заявку, отправляемую в «information security»;
- полномочия сотрудника автоматически пересматриваются при переводе в другой отдел (структурное подразделение), что осуществляется по процедуре изменения прав в соответствии с ролевой моделью либо по процедуре пересмотра руководителем полномочий подчиненного.
Обращаем внимание специалистов информзащиты, что в отличие от «ручного режима», выполняемые IdM действия не вызывают кривотолков в коллективе, проводятся быстро и без ущерба для авторитета сотрудника. В автоматическом режиме сотрудник наделяется дополнительными полномочиями при переводе в другой отдел, где предусмотрен более широкий доступ к информационным данным. Автоматизации поддаются и иные контрольные процедуры, предписанные регламентами компаний.
Процесс «сверки» полномочий сотрудников на практике заключается в следующем:
- обнаружение системой несогласованных полномочий сопровождается оповещением службы информбезопасности, с подачей заявки для принятия адекватного ситуации решения;
- получив информацию о выявленном нарушении, специалисты ИБ устраняют несогласованные полномочия либо оперативно проводят процедуру согласования;
- каждая проверка сопровождается обязательным составлением отчета о «сверке», где отмечается все выявленные несогласованные полномочия за определенный период.
В компаниях, где необходимо соблюдение норм Payment Card Industry Data Security Standard (PCI DSS), установлены собственные стандарты безопасности по защите конфиденциальных данных, в автоматическом режиме запускается руководителем структурного подразделения пересмотр прав доступа подчиненных.
Подобная проверка осуществляется пару раз в течение года, что обязывает руководителя отдела (проекта) оценить актуальность имеющихся у подчиненных прав доступа. Для этого вида проверки в IdM предусмотрены специальные заявки, в которых руководитель от своего имени указывает, для кого из подчиненных имеющийся допуск является актуальным, а чей доступ следует отозвать.
Хотелось бы обратить внимание, что подобная процедура является не только обязательным выполнением стандартов защиты информации, но и позволяет кардинально снизить объем избыточных полномочий, которыми наделены сотрудники.
Отличные результаты дает использование IdM-системы при продвижении сотрудника по «карьерной лестнице» либо переводе специалиста в другое структурное подразделение. Несмотря на наличие средств автоматизации оценки уровня доступа работника, оптимальным вариантом является пересмотр полномочий предыдущим руководителем и новым начальником. Немного усложненный механизма имеет значительные преимущества, поскольку бывший начальник снимает с себя ответственность, отзывая у бывшего подчиненного доступ к критически важной информации, а новый руководитель осознанно берет на себя ответственность за уровень допуска, которым он наделяет своего подчиненного. Устраняется и вероятность пересечения полномочий, предоставляемых сотрудникам.
В результате работы IdM-системы автоматизируются основные контрольные мероприятия по оценке прав доступа сотрудников компании, что позволяет уменьшить число нарушений.
IdM предоставляет полную информацию об использовании ключевых сведений
Отсутствие реальной картины относительно активных прав доступа к критически важным сведениям значительно усложняет работу службы безопасности, не давая возможности объективно оценить эффективность используемых средств защиты. Особенно сложно оперативно получить такую информацию в больших организациях, чтобы установить, какими правами наделен конкретный сотрудник, сколько людей имеют доступ к определенной информации. Именно недостаточный объем информации и признается третьей проблемой для «information security», что может привести к утрате контроля над использованием имеющейся у компании информации.
Исследовательские центры, занимающиеся проблемами информационной безопасности, не зря бьют тревогу, поскольку:
- все более частыми и сокрушительными для бизнеса становятся утечки данных;
- стремительное возрастание объемов информации, цифровизация бизнес-процессов, требуют усиления мер защиты ключевых сведений;
- более 70% опрошенных сотрудников компаний уверены, что для их работы не нужен предоставленный избыточный доступ к конфиденциальной информации;
- 80% системных администраторов и сотрудников служб ИБ уверены, что по их месту работы не осуществляется ограничение прав доступа до необходимого для занимаемой должности минимума;
- широкий доступ к коммерческим сведениям, отсутствие эффективного контроля, неминуемо приводят к утечке информации с катастрофическими последствиями для компании.
Если и это не внушает опасения, то достаточно вспомнить, сколько же времени потребовало расследование последнего инцидента. Удалось ли установить «слабое звено»? Закрыта ли брешь в системе информационной безопасности? Гарантирована ли компания от подобных утечек в ближайшем будущем? Если же проводится расследование давнего инцидента - практически нереально определить, кто имел доступ к «утерянным» данным в определенный момент.
А ведь именно IdM-система и позволяет установить, кто активировал доступ сотрудников к разглашенным сведениям, почему коммерческая тайна была открыта большому числу работников, функциональные обязанности которых не требуют использования и половины тех данных, к которым у них был доступ.
Работа служб «information security» крайне затруднена, если отсутствуют данные о подрядчиках, имеющих доступ к информационной системе, нет реестра технологических учетных данных с указанием ответственных лиц за выполнение определенных работ. Такое положение дел в лучшем случае значительно увеличит время, которое потребуется для расследования инцидента, в худшем – злоумышленник, распространивший конфиденциальную информацию, так и не будет установлен. Да и определить уязвимость в системе защиты будет очень тяжело.
Внедрение IdM с последующим ее использованием, предоставляет службе «information security» весь объем информации относительно управления правами доступа сотрудников. В любой момент можно уточнить, какие у конкретного сотрудника полномочия для использования коммерческих данных, к каким сведениям он имеет доступ.
Система позволяет оперативно установить владельца аккаунта, используя который был осуществлен вход в базу данных, кто согласовывал полномочия, как менялись права доступа сотрудника за весь период его работы в компании.
Возникла необходимость провести повторное расследование инцидента, произошедшего полгода назад? У ИБ службы появились подозрения относительно контактов определенного сотрудника? Требуется получить реальную картину его прав доступа на определенную дату? Все эти вопросы решаются с помощью IdM-системы, которая оперативно представит все необходимые отчеты.
Системы управления доступом могут быть использованы даже в качестве справочника, позволяющего уточнить телефон, имя и фамилию руководителя конкретного специалиста. Кроме того, службе «information security» могут потребоваться специальные отчеты относительно изменения доступа сотрудников, что настраивается в процессе внедрения системы. Столь широкий функционал, оперативность выполнения поставленных задач, предоставление специалистам ИБ исчерпывающей информации – позволяют надежно контролировать права доступа всех работников.
В дополнение к вышеперечисленным функциональным характеристикам, IdM-системы позволяют оперативно блокировать доступ к конфиденциальной информации, осуществлять контроль SoD-конфликтов, сокращать количество необоснованно поданных заявок на расширение доступа.
IdM-системы - фундамент централизованного управления корпоративной ИБ
Специалисты Open Vision обращают внимание сотрудников служб «information security» на эффективность и надежность использования специально разработанного и внедренного IdM-продукта, подключаемого к имеющимся в распоряжении компании информационным ресурсам. Грамотно прописанный регламент, полный охват всей IT-инфраструктуры, позволяют даже одному оператору быстро реагировать на любые изменения в штате компании, увольнение либо прием новых работников, переводы в иные структурные подразделения, подключение новых информсистем, изменение корпоративной политики в сфере «information security».
Обращаем внимание, что внедряемые нами IdM-проекты продемонстрировали свою надежность в многосистемной среде, взаимодействуя даже с софтом, написанным заказчиком для своих нужд. При необходимости создаются специализированные программы-коннекторы для отдельных систем, входящих в инфраструктуру клиента, что позволяет взять под контроль все процессы, имеющие отношение к организации доступа.
К сожалению, долгое время основное внимание уделялось защите периметра корпоративных инфраструктур, а фундаментальные принципы защиты критически важных сведений внутри организации были необоснованно «отложены на потом». Да и сейчас многими компаниями не уделяется должного внимания этой проблеме, что и приводит к катастрофическим для бизнеса последствиям.
Ведь необходимо оценивать не надежность каждой системы в отдельности, а «information security» комплексно, что без IdM-продукта в нынешних условиях ужесточения конкурентной борьбы и промышленного шпионажа, невозможно.
Относительно же внедряемых Open Vision IdM-систем, то при оценке их надежности наши специалисты осуществляют многоуровневый контроль, чтобы иметь возможность предложить клиентам действительно эффективные и безотказные решения для «information security».