Журнал "Information Security/ Информационная безопасность" #5, 2018

Задача была простой: облегчить жизнь пользова- телей и повысить уровень безопасности. К сожалению, не все системы можно легко перевести на использование двух факторов. К счастью, в модуле SSO (Single Singh on) есть возможность приду- мать пароль за пользовате- ля в момент его смены, а сложность этого пароля задается отдельной полити- кой, позволяющей сделать пароль как минимум длин- ным. Технических сложностей при использовании нет, они скорее технологические и организационные. При внед- рении они, конечно, были из-за необходимости интег- рации со многими система- ми. Например, пришлось объединить СКУД-системы головного офиса, филиалов и отделений, изменить тех- нологический процесс вне- сения изменений или обнов- ления существующих информационных систем, дополнив его процессом проверки функционирова- ния систем 2FA и SSO, а также дополнить и проте- стировать все аварийные планы по переходу на резервные серверы с уче- том новой технологии. паролей, управление сертифи- катами пользователей, ограничение доступа в случае отпуска или ухода из офиса. – Какие есть сложности в использовании новой технологии аутентифика- ции/SSO? – Технических сложностей при использовании нет, они ско- рее технологические и органи- зационные. При внедрении они, конечно, были из-за необходи- мости интеграции со многими системами. Например, при- шлось объединить СКУД-систе- мы головного офиса, филиалов и отделений, изменить техно- логический процесс внесения изменений или обновления существующих информацион- ных систем, дополнив его про- цессом проверки функциониро- вания систем 2FA и SSO, а также дополнить и протести- ровать все аварийные планы по переходу на резервные сер- веры с учетом новой техноло- гии. Еще из сложностей – органи- зация процессов, связанных с жизненным циклом пропусков, порядком их выдачи и замены или, например, что делать, если пользователь забыл свой про- пуск и находится к тому же в филиале? Впрочем, все реша- ется. – Что изменилось после внедрения усиленной аутентификации? Как про- ект в целом повлиял на ИБ? – Забот у ИБ стало больше. Но это происходит при внедре- нии любой новой системы. Большинство проектов ИБ обычно невидимо для конечных пользователей, об ИБ обычно вспоминают, если письмо задержится или ссылка какая в Интернете не откроется. Этот же проект затронул всех поль- зователей. – Что на деле измени- лось для пользователей? Как они отнеслись к пере- ходу на новую технологию доступа? – У пользователя одни плюсы, пароли придумывать не надо, кроме одного PIN-кода для карты, вручную вводить логины и пароли в системы тоже не надо. Осталась одна забота – не забывать дома пропуск. Если при переходе все про- исходит гладко, заранее все протестировано, а с пользова- телями предварительно прове- дена разъяснительная работа, то и отношение хорошее. Для успешного внедрения приходится брать на вооруже- ние маркетинговые технологии, и с их помощью новые продук- ты, как говорится, идут в массы. – Какие, на ваш взгляд, существуют особенности в организации ИБ при работе сотрудников в финансовой организации? – Банк – это надежность, обрабатываемая им информа- ция – это деньги. Потому потеря этой информации – это прямая потеря денег. Банк – это и дове- рие, клиент передает банку много конфиденциальной информации, и ее необходимо защищать. Банк – это удобные сервисы, они шагнули вначале на стол к клиентам с системами "Банк – Клиент", а затем и к ним в карман на мобильные телефоны с системами "Мобильный банк". Банк – это бесперебойность, клиент дол- жен быть уверен в том, что сможет перевести деньги или сделать платеж по карте в любое время и в любом месте. ИБ в банке – это повышенная ответственность за обеспечение всего вышеперечисленного. Ответственность за то, что системы защиты должны рабо- тать и новые внедряемые систе- мы не должны усложнять суще- ствующие процессы. – Что повлияло на выбор конкретного поставщика решения? – При выборе поставщика мы имели уже некоторое представление о том, как должна работать система в наших реалиях. Один из глав- ных критериев выбора – про- исхождение. Она должна быть российской. Простота внедре- ния, успешные внедрения в банках, качественная под- держка и открытость к поже- ланиям заказчика – тоже немаловажный фактор. l • 9 ПЕРСОНЫ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru