Журнал "Information Security/ Информационная безопасность" #6, 2018

Cовременные IDM-систе- мы позволяют эффективно решать задачи, обусловлен- ные сложностью ролевой модели, с использованием модуля Role Manager, поз- воляющего формировать базовую ролевую модель и набор исключений, имею- щих место на практике. В большинстве случаев целесообразным будет вариант неполной автомати- зации, позволяющий пол- ностью автоматизировать процесс создания и блоки- ровки учетных записей и частично автоматизировать остальные процессы управ- ления доступом. вателем в рамках исполнения служебных обязанностей, фор- мируется так называемая мат- рица ролевого доступа, учиты- вающая все необходимые виды доступа для каждого конкретного работника, внедряется алгоритм управления доступом. Казалось бы, все, полный порядок в управ- лении доступом. При этом IDM- система на основе данных, полу- чаемых из системы учета персо- нала, должна иметь техническую возможность самостоятельно прописывать, изменять и отзы- вать права доступа пользовате- лей во всех инфраструктурных и прикладных ИТ-системах орга- низации. Возможные осложнения Однако идеал не всегда достижим: на практике суще- ствует множество нюансов, которые усложняют процесс внедрения системы управления доступом в организации: l значительное число должно- стей и ролей, что существенно увеличивает размерность мат- рицы ролевого доступа; l отсутствие четкой ролевой модели для большинства долж- ностей, что затрудняет автома- тизацию процесса управления доступом; l наличие нетиповых ролей, когда работнику требуются дополнительные права вне используемой ролевой модели, возможно, на некий период вре- мени, что приводит к усложне- нию ролевой модели и рискам появления излишних прав (например, после утраты необходимости в дополнитель- ных правах); l практика предоставления прав и привилегий по указанию руководства (срочно!), в рамках "горящих" проектов, форс- мажора, срочных заданий и т.п., как правило, без соответствую- щих заявок; l наличие неиспользуемых, но по каким-то причинам активных учетных записей, которые могут быть использованы для несанк- ционированных действий; l наличие неперсонифициро- ванных (технологических) учет- ных записей, которые могут иметь достаточно широкие права, использоваться как поль- зователями, так и процессами; l наличие работников сторон- них организаций и различного рода совместителей, которым предоставляется доступ по каким-то другим, отличным от базовых, процедурам доступа; l слабый контроль за действия- ми администраторов систем и ресурсов, которые могут пре- доставлять завышенные права и привилегии без оформления заявки. Все это осложняется тем, что в большинстве российских ком- паний предоставление доступа к информационным системам и ресурсам изначально было орга- низовано не системно, а стихий- но, зачастую по аналогии с уже работающими коллегами, т.е. новому работнику в полном объе- ме копируется весь набор досту- пов, который далеко не всегда проходит процедуру согласова- ния со службой информационной безопасности и подразделения- ми – владельцами ресурсов и может быть избыточным. В даль- нейшем работнику предостав- ляются все новые и новые права, т.к. меняются бизнес-процессы, характер его работы, участие в рабочих группах, а зачастую и должность. И далеко не всегда эти права отзываются после утра- ты необходимости в них. Так и складывается сложная, запутан- ная, никак и никем не контроли- руемая система управления доступом, способствующая воз- никновению инцидентов инфор- мационной безопасности и совер- шению преступлений, существен- но снижающая уровень безопас- ности организации. Кроме того, во многих орга- низациях из соображений без- опасности предоставление и изменение прав доступа могут производиться не полностью автоматически, а только после подтверждения соответствую- щим руководителем и службой информационной безопасности. Решение задачи Вместе с тем современные IDM-системы позволяют эффек- тивно решать задачи, обуслов- ленные сложностью ролевой модели, с использованием моду- ля Role Manager, позволяющего формировать базовую ролевую модель и набор исключений, имеющих место на практике. Модуль фактически подтягивает из системы учета персонала информацию о работниках и их должностях, проводит анализ собранной информации и выявляет корреляцию между их правами доступа. В результате получается базовая ролевая модель, возможно, с некоторыми рассмотренными выше нюанса- ми, которые необходимо будет проанализировать и устранить. В случае необходимости пре- доставления работнику допол- нительных прав во многих IDM- системах предусмотрен инстру- мент Workflow, позволяющий работнику инициировать запрос на предоставление тех или иных прав доступа прямо через интерфейс IDM, с добавлением их в список исключений для корректной работы дальнейших аудитов. Еще одним серьезным достоинством IDM-систем является возможность регуляр- ного аудита прав доступа поль- зователей, с удобным механиз- мом контроля с целью выявле- ния отклонений от заданных правил доступа и проведением дальнейшей ресертификации прав. При этом контроль может осуществляться фактически непрерывно, что минимизирует нарушения в предоставлении доступа со стороны админи- страторов систем и ресурсов, повышая тем самым уровень информационной безопасности организации. Поэтому в большинстве слу- чаев целесообразным будет вариант неполной автоматиза- ции, позволяющий полностью автоматизировать процесс соз- дания и блокировки учетных записей и частично автомати- зировать остальные процессы управления доступом, с учетом перечисленных выше факторов. При этом глубина автоматиза- ции во многом определяется сложностью ролевой модели организации, наличием адек- ватной политики управления доступом, финансированием работ (с учетом их высокой стоимости) и намерения соот- ветствующих руководителей довести проект до логического завершения, с учетом сопоста- вимых людских и финансовых затрат. Итогом такой автоматизации должно быть построение целе- вой системы управления досту- пом, соответствующей требо- ваниям информационной без- опасности, существенное уско- рение процесса управления доступом, уменьшение количе- ства ошибок и других проявле- ний человеческого фактора, реализация эффективной системы контроля и ресерти- фикации прав, а также разгруз- ка ИТ-администраторов. l • 27 КОНТРОЛЬ ДОСТУПА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru