Журнал "Information Security/ Информационная безопасность" #6, 2018

На сегодняшний день управление доступом в раз- личных организациях устроено по-разному, что обусловлено различиями в их структуре и объеме, потребностями и особенно- стями доступа к информа- ционным системам и ресур- сам, подходами в реализа- ции системы обеспечения информационной безопас- ности, наличием ресурсов (в том числе людских и финан- совых) и другими фактора- ми. Возможно, что для небольших организаций, использующих одну-две информационные системы, с малым количеством ролей в них, и нет смысла внед- рять дорогостоящую IDM- систему. Система управления доступом к информа- ционным системам и ресурсам должна свое- временно предоставлять поль- зователям только необходимый доступ, а сам процесс управле- ния доступом должен быть управляемым и контролируе- мым. Поэтому важно правильно выстроить процедуры управле- ния доступом, организовать контроль и ресертификацию прав доступа. Большинство современных организаций живут весьма дина- мично: меняются бизнес-процес- сы, открываются новые направ- ления деятельности, появляются новые законодательные требо- вания. Все это приводит к изме- нению должностных обязанно- стей работников, появлению новых ролей в информационных системах, ротации персонала. Очевидно, такая динамика долж- на незамедлительно находить свое отражение в доступе к информационным системам и ресурсам, позволяя его опера- тивно предоставлять или изме- нять. Однако большой поток заявок на изменение прав доступа при- водит к перегрузке ИТ-подраз- деления организации и задерж- кам в их исполнении. Ожидание исполнения заявки может рас- тягиваться на долгий срок, а это означает, что в данное время сотрудник не может полноценно работать; новый же работник, которому нужно предоставить первичный доступ к системам, и вовсе не работает. При этом время вынужденного бездей- ствия оплачивается работода- телем, а это уже прямые финан- совые потери от неэффективно организованного процесса. Да и затраты на содержание штата ИТ-администраторов, перегру- женных не самой интеллекту- альной, но необходимой работой по ручному заведению учетных данных пользователей или изме- нению прав доступа, тоже весь- ма существенны. В этих условиях особую акту- альность приобретает автома- тизация процесса управления доступом, с возможностью адап- тации к текущим задачам, посто- янного контроля и ресертифи- кации. На сегодняшний день управ- ление доступом в различных организациях устроено по-раз- ному, что обусловлено различия- ми в их структуре и объеме, потребностями и особенностями доступа к информационным системам и ресурсам, подходами в реализации системы обеспече- ния информационной безопас- ности, наличием ресурсов (в том числе людских и финансовых) и другими факторами. Возможно, что для небольших организаций, использующих одну-две инфор- мационные системы, с малым количеством ролей в них, и нет смысла внедрять дорогостоящую IDM-систему. Автоматизация Тем не менее основным трен- дом для многих организаций является автоматизация процес- са управления доступом на всех этапах его жизненного цикла: предоставления, пересмотра, прекращения. И это понятно: большое число пользователей, значительное количество инфор- мационных систем и ресурсов, к которым нужен доступ, различ- ные права по доступу – эффек- тивно и качественно управлять всем этим вручную попросту ста- новится невозможным. Появляются и накапливаются не заблокированные вовремя учет- ные записи, ошибки в предо- ставлении доступа, пользователи ждут предоставления доступа или пересмотра прав длительное время, отсутствие контроля – все это может привести к зло- умышленным действиям. В качестве средства автома- тизации на сегодняшний день обычно выступают решения класса IDM (англ. Identity Мana- gement), которые появились на российском рынке более 10 лет назад и в настоящее время эво- люционировали от простого управления учетными записями в информационных системах организации к управлению пра- вами доступа пользователей (IAM-системы, Identity and Access Management) и далее – к более продвинутым решениям класса IGA (Identity Governance and Administration), позволяю- щим автоматически распро- странять и запрашивать права, управлять паролями, контроли- ровать права пользователей посредством Workflow и оценки уровня риска, выполнять задачи разделения полномочий, управ- лять ролями, агрегировать и анализировать роли из целевых систем (Role Mining), проводить расследования инцидентов, генерировать отчеты и форми- ровать аналитику. В идеальном случае IDM- система интегрируется с систе- мой учета персонала (например, 1С, SAP HR и т.п.), со всеми информационными системами и ресурсами, к которым может быть запрошен доступ пользо- 26 • ТЕХНОЛОГИИ Современные способы управления доступом как часть задачи управления безопасностью правление доступом к информационным системам и ресурсам было и остается одной из важнейших задач обеспечения информационной безопасности для любой организации: правильно выстроенная система управления доступом позволяет существенно снизить риски получения пользователями “излишних" доступа и прав, связанных с этими рисками несанкционированных действий, утечек информации, внедрения вредоносных программ и других негативных действий. У Игорь Писаренко, департамент информационной безопасности, ПАО Банк “ФК Открытие”, к.т.н., доцент, член АРСИБ