КУБ - инновационное решение для комплексного управления ИБ

Татьяна Малявина
Руководитель отдела маркетинга компании "ТрастВерс".

Самые распространенные проблемы, с которыми сталкиваются ответственные за ИБ лица

• не определены правила соответствия прав доступа сотрудников их должностным обязанностям;
• отсутствуют эффективные инструменты контроля соответствия заявленных и реализованных прав пользователей к информационным ресурсам;
• история изменений прав сотрудников нигде не хранится, соответственно при обнаружении несанкционированного доступа или наличия избыточных прав практически невозможно оперативно расследовать или расследовать вообще, на основании какой заявки этот доступ был предоставлен, кто ее одобрил и кто реализовал;
• сотрудники отделов автоматизации пытаются обойти требования службы ИБ и упростить процессы согласования получения доступа, идя навстречу пожеланиям бизнес-пользователей, настаивающих на быстрой реализации своих заявок.

Даже если в компании формализована политика безопасности и определены правила предоставления доступа и схемы его согласования, очень важно понимать, как контролировать результаты исполнения заявок. Ведь исполнитель всегда может ошибиться - умышленно или нет.

Необходимо непрерывно контролировать состояние всех информационных систем

Это делается для обеспечения должного уровня безопасности. Подход к управлению всеми видами доступа пользователей (сетевым, логическим и физическим) должен быть согласованным. И если какой-то инцидент все-таки происходит, необходимо иметь разработанные методики и эффективные инструменты для его немедленного расследования. Ведь любая задержка может иметь фатальные последствия для бизнеса.

Необходимо также уделить пристальное внимание организации процесса согласования заявок на доступ. Он не должен быть слишком поверхностным или формальным, поскольку такая небрежность несет в себе риски нарушения политики безопасности, но и излишне усложнять схему согласования тоже не следует. Желательно продумать схему замещения: кто согласует заявку, если ответственное лицо в отпуске.

Какое решение предлагает компания "ТрастВерс" - разработчик IDМ-системы нового поколения КУБ

Несколько лет назад перед нашими разработчиками была поставлена задача создания системы ЭДО заявок на доступ для нашего первого заказчика - Центрального банка России. Затем задача трансформировалась в создание системы, работающей на основе документооборота заявок, которая обеспечит непрерывный контроль согласования и мониторинг исполнения заявок. КУБ проектировался как инструмент для службы безопасности, хотя он полностью справляется с задачами типовой IDМ. Система устроена так, что доступ к любому информационному ресурсу можно получить только на основании заявки на доступ. Если внесенное в информационную систему изменение не соответствует поступившей заявке, фиксируется несанкционированное действие и происходит немедленное оповещение уполномоченного круга лиц. Кроме того, КУБ хранит полную историю всех изменений прав доступа. Наличие подобной информации дает службе безопасности возможности для оперативного и результативного расследования инцидентов, связанных с нарушениями политики И Б. С помощью встроенного в КУБ инструментария всегда можно установить, кто и когда выдал пользователю права и кто инициировал заявку. В дополнение к функционалу, контролирующему выполнение заявок на доступ, которые, кстати, можно заверять ЭЦП, в КУБ реализован еще ряд уникальных возможностей: управление цифровыми сертификатами, программно-аппаратными конфигурациями, сетевым доступом и средствами защиты информации. Наши заказчики, для которых остро актуальны вопросы ИБ, такие как Центральный банк РФ, Федеральное казначейство РФ, ОАО "РЖД", АФК "Система", ФСБ России и другие, смогли оценить преимущества такого комплексного подхода на собственном опыте. На сегодняшний день КУБ - единственная система, полноценно решающая задачи сразу трех заинтересованных сторон: бизнес-пользователей, сотрудников служб автоматизации и ИБ.