В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
По статистике, 65% хищений конфиденциальной информации происходит из внутренних источников, то есть причиной утечек становятся сотрудники предприятия. На сегодняшний день наиболее популярное решение данной проблемы в российских компаниях – внедрение DLP-систем. Но, как и каждая система, DLP имеет ряд недостатков, например, невозможно предотвратить съемку экрана мобильным телефоном.
Если анализировать проблему хищения информации, то оказывается, что можно значительно снизить риски утечки, приняв превентивные меры. Речь идет о контроле прав доступа к ИС, которыми обладает сотрудник. Представьте, что нужно узнать, к каким ресурсам имеет доступ сотрудник, работающий в организации пять лет. Сколько это займет времени? 15– 20 минут? А если необходимо провести проверку 50 сотрудников?
Необходима инвентаризация существующих прав доступа, а также автоматизация и формализация предоставления новых привилегий в соответствии с политикой ИБ.
Существуют обязательные этапы предоставления доступа:
Эволюция процесса предоставления доступа проходит следующие стадии:
Многие компании останавливаются на втором этапе, но в корне решить проблему не удается по следующим причинам:
Изначально IDM позволяло управлять доступом к ИС на уровне самой системы. На основании кадровых изменений (постановка на должность, перевод, замещение) сотруднику автоматически создавалась учетная запись для входа в ИС. Достоинством этого подхода по сравнению с бумажным документооборотом запросов является ускорение процесса выдачи доступа к ИС. Недостаток – отсутствие возможности управления детализированными правами (чтение, полный доступ и т.д.), что создавало необходимость уточнения прав доступа вручную непосредственно в интерфейсе ИС.
В рамках эволюции IDM можно говорить о переходе от управления учетными записями к управлению правами доступа к ИС. Это та грань, которая разделяет вопросы автоматизации и комплексного подхода: IТ + ИБ. Права доступа назначаются в соответствии с политикой ИБ в компании. На основе организационно-штатной структуры сотруднику, помимо создания учетных записей, в целевых системах выдаются базовые права на доступ. Но и этого оказывается недостаточно с точки зрения организации процесса управления доступом.
Получение дополнительных прав доступа к ИС на основе электронного документооборота заявок дополняет картину. Сотрудник может создать заявку на доступ к информационной системе или ресурсу. Далее заявка проходит процедуру согласования ответственными лицами с возможностью использования ЭП, и система автоматически предоставляет сотруднику запрашиваемый доступ. Это основной функционал IDM, но есть еще множество дополнительных функций, помогающих решать задачи, связанные с управлением доступом.
IТ: автоматическое управление доступом и учетными записями, инвентаризация инфраструктуры информационных ресурсов, автоматизация кадровых изменений – все это позволяет уменьшить количество рутинных операций и сократить ресурсы на поддержку целевых систем.
ИБ: изменение прав доступа осуществляется только на основе согласованных заявок, а любые несоответствия запрошенных и фактически действующих прав мгновенно выявляются и фиксируются. Эта особенность позволяет минимизировать риски ошибочно выданных или полученных в обход системы прав.
Бизнес: интеграция процедуры управления доступом с действующими бизнес-процессами, наличие удобного и понятного пользовательского интерфейса, а также возможность существенно сократить технические и человеческие ресурсы обосновывает привлекательность внедрения IDM-решения в организациях крупного и среднего бизнеса.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013