Автоматизация управления доступом

Алексей Павлов
Эксперт компании “ТрастВерс"

По статистике, 65% хищений конфиденциальной информации происходит из внутренних источников, то есть причиной утечек становятся сотрудники предприятия. На сегодняшний день наиболее популярное решение данной проблемы в российских компаниях – внедрение DLP-систем. Но, как и каждая система, DLP имеет ряд недостатков, например, невозможно предотвратить съемку экрана мобильным телефоном.

Если анализировать проблему хищения информации, то оказывается, что можно значительно снизить риски утечки, приняв превентивные меры. Речь идет о контроле прав доступа к ИС, которыми обладает сотрудник. Представьте, что нужно узнать, к каким ресурсам имеет доступ сотрудник, работающий в организации пять лет. Сколько это займет времени? 15– 20 минут? А если необходимо провести проверку 50 сотрудников?

Необходима инвентаризация существующих прав доступа, а также автоматизация и формализация предоставления новых привилегий в соответствии с политикой ИБ.

Этапы и процесс предоставления доступа

Существуют обязательные этапы предоставления доступа:

• формулировка запроса;
• согласование доступа ответственными лицами;
• предоставление доступа;
• последующий контроль.

Эволюция процесса предоставления доступа проходит следующие стадии:

• бумажная заявка, согласование по телефону или e-mail, ручное исполнение;
• следующим шагом является внедрение системы электронного документооборота. Она позволяет в едином окне создавать заявки в свободной форме и проводить процедуру согласования, далее отправлять согласованную заявку исполнителям в IТ-службу;
• третий этап эволюции управления доступом – внедрение системы класса IDM (Identity Management).

Многие компании останавливаются на втором этапе, но в корне решить проблему не удается по следующим причинам:

• создание заявок в свободной форме может привести к возникновению языкового барьера и недопониманию между бизнес-подразделениями и исполнителями (службой IТ);
• автоматическое выполнение требований заявок на предоставление доступа отсутствует;
• маршруты согласования не всегда актуальны и доступ согласует не всегда тот, кто компетентен.

Что же может IDM-решение?

Изначально IDM позволяло управлять доступом к ИС на уровне самой системы. На основании кадровых изменений (постановка на должность, перевод, замещение) сотруднику автоматически создавалась учетная запись для входа в ИС. Достоинством этого подхода по сравнению с бумажным документооборотом запросов является ускорение процесса выдачи доступа к ИС. Недостаток – отсутствие возможности управления детализированными правами (чтение, полный доступ и т.д.), что создавало необходимость уточнения прав доступа вручную непосредственно в интерфейсе ИС.

В рамках эволюции IDM можно говорить о переходе от управления учетными записями к управлению правами доступа к ИС. Это та грань, которая разделяет вопросы автоматизации и комплексного подхода: IТ + ИБ. Права доступа назначаются в соответствии с политикой ИБ в компании. На основе организационно-штатной структуры сотруднику, помимо создания учетных записей, в целевых системах выдаются базовые права на доступ. Но и этого оказывается недостаточно с точки зрения организации процесса управления доступом.

Получение дополнительных прав доступа к ИС на основе электронного документооборота заявок дополняет картину. Сотрудник может создать заявку на доступ к информационной системе или ресурсу. Далее заявка проходит процедуру согласования ответственными лицами с возможностью использования ЭП, и система автоматически предоставляет сотруднику запрашиваемый доступ. Это основной функционал IDM, но есть еще множество дополнительных функций, помогающих решать задачи, связанные с управлением доступом.

В чем же выгода от использования IDM?

IТ: автоматическое управление доступом и учетными записями, инвентаризация инфраструктуры информационных ресурсов, автоматизация кадровых изменений – все это позволяет уменьшить количество рутинных операций и сократить ресурсы на поддержку целевых систем.

ИБ: изменение прав доступа осуществляется только на основе согласованных заявок, а любые несоответствия запрошенных и фактически действующих прав мгновенно выявляются и фиксируются. Эта особенность позволяет минимизировать риски ошибочно выданных или полученных в обход системы прав.

Бизнес: интеграция процедуры управления доступом с действующими бизнес-процессами, наличие удобного и понятного пользовательского интерфейса, а также возможность существенно сократить технические и человеческие ресурсы обосновывает привлекательность внедрения IDM-решения в организациях крупного и среднего бизнеса.