Журнал "Системы Безопасности" № 3‘2018

2. Управление учетными записями внештатных сотрудников. Нужно понять, как с помощью IdM управлять учетными записями внештатных сотрудников, потому что автоматически из кад- ровой системы подгружать их, скорее всего, не получится. Речь идет прежде всего об учетных записях тех работников и контрагентов, кото- рые имеют доступ к информационным систе- мам (как минимум удаленный доступ в корпо- ративную сеть). 3. Учет системных и технологических учетных записей. Необходимо сразу решить, будут ли они учитываться в IdM или нет. Конечно, с точки зрения информационной безопасности их учи- тывать надо, но стоит ли управлять ими – боль- шой вопрос. 4. Обработка отпускных, декретного отпуска, больничных. Будет ли блокироваться учетная запись сотрудника в системах на период отпус- ка или нет? 5. Оргштатные мероприятия. На мой взгляд, это очень сложный процесс. Ведь даже простое переименование подразделения может приве- сти к тому, что на следующий день ни у одного сотрудника не будет никаких прав доступа. Например, в "1С: Предприятие" используются "1С: Зарплата и кадры", и если директор по пер- соналу создал новое подразделение и перевел в него всех сотрудников, то формально это переименование, а в системе – создание новой структуры с новыми штатными единицами. И получается, что у сотрудников старого под- разделения все права отобрали, а ни у одного сотрудника нового подразделения прав доступа нет, так как для него нет ролевой модели. Место IdM в системе информационной безопасности банка На рис. 1 представлен цикл Деминга, или цикл PDCA, описывающий правильное построение процесса. А обеспечение информационной без- опасности – это, прежде всего, правильно выстроенные процессы. Когда мы говорим о системе IdM, то имеем в виду процесс управления правами доступа. Рассмотрим четыре составляющие цикла Деминга с точки зрения IdM: 1. Планирование. Проводятся организационные и технические мероприятия, разработка про- ектной документации на внедрение IdM. 2. Внедрение. Реализация требований докумен- тов, внедрение IdM. 3. Контроль. В рамках согласования заявок осу- ществляется текущий контроль предоставления прав доступа через IdM-систему, и с помощью отчетов и других механизмов IdM-системы обеспечивается проверка корректности и пра- вильности выданных прав доступа. 4. Совершенствование. Улучшение организа- ционной составляющей, внесение изменений в инструкции и положения, проведение допол- нительных настроек, а иногда и доработок в IdM-системе. Взаимодействие IdM с другими продуктами по обеспечению ИБ С какими системами, на наш взгляд, было бы правильно интегрировать IdM-систему? 1. SIEM – система по сбору логов и корреляции событий ИБ. Хорошей практикой является отбра- сывание на SIEM-систему логов из всех систем без- опасности (и не только безопасности). 2. Single Sign-On – система аутентификации. Помимо того, что учетная запись в системе заведена, ей нужно назначить аутентифика- ционные данные. Если используется внешняя система SSO, ей нужно сказать, что под опреде- ленной учетной записью будет входить тот человек, который в этой системе SSO уже заве- ден. Для этого нужна интеграция с IdM. 3. PIM – система управления привилегирован- ными учетными записями. Обычно PIM исполь- зуется в том числе для контроля удаленного подключения в корпоративную сеть. Соответ- ственно, функционировать все должно пример- но так: в IdM запрашивается заявка на удален- ный доступ, она проходит согласование в пор- тале PIM, и у сотрудника сразу появляется новый компьютер в списке компьютеров, к которым он должен получить удаленное под- ключение. 4. DLP – система защиты от утечек. Практически обязательным объектом в любой DLP-системе является так называемое досье клиента. Очень удобно, когда в этой же системе можно сразу посмотреть, какие права доступа у определен- ного сотрудника к различным системам, чтобы понять, откуда он мог скачать ту или иную информацию, которую отправляет вовне. Мифы об IdM Развеем некоторые мифы, связанные с IdM. 1. IdM обеспечивает контроль за действиями администраторов. Не обеспечивает. Так как в большинстве систем IdM автоматически не про- писывает права доступа, соответственно, нико- гда не увидит, что там делает администратор по собственному желанию в обход IdM. Но даже для систем, где IdM автоматически не прописы- вает права доступа, это тоже не работает. Цикл обновления данных у IdM – около 1–2 часов. Соответственно, все, что происходит в системе в течение этого времени, IdM не видит. Какие-то ошибки администрирования через систему можно выявить, например, что администратор по доброте душевной включил пользователя в какую-то группу доступа в обход IdM. Но если администратор хочет произвести какие-то дей- ствия так, что бы IdM этого не заметил, для него не составит большого труда это сделать. Для контроля администраторов нужны другие системы, такие как SIEM и PIM. 2. IdM отбирает у пользователей излишние права доступа. Не отбирает, примерно по тем же причинам, что и в первом мифе. Следует также отметить, что управление поль- зователями в большинстве систем осуществ- ляется на уровне групп доступа. И именно составом групп управляет IdM. Соответственно, если пользователя в обход IdM поместили в какую- то группу пользователей, то он его оттуда "вычистит". Но если права доступа пре- доставлены непосредственно учетной записи, IdM об этом не узнает. 3. Применение IdM позволяет реализовать принцип предоставления минимальных прав доступа сотруднику. Это не работает. Внедрение IdM связано с формированием ролевых моде- лей. Если формировать ролевые модели для каждого сотрудника и пытаться предоставить ему исключительно те права, которые нужны для исполнения функциональных обязанностей, будет такое количество ролей и привилегий, что никогда не получится ими управлять. Поэтому формирование ролевой модели – это всегда компромисс, кто бы что ни говорил. Ролевая модель всегда будет избыточна, и только вла- дельцу решать – насколько. Чем более она будет избыточна, тем меньше будет ролей и тем проще будет ими управлять. И, соответственно, чем более точные права доступа предоставлять, тем больше будет ролей и тем сложнее будет всем этим управлять и сопровождать. Залог успеха IdM – безусловно, нужная и полезная система, но не стоит ждать от нее чудес. Задумывая внед- рение IdM, следует очень тщательно и взвешен- но подходить к этапу подготовки, внедрения, выбору контрагентов, формированию целей и функциональных требований. n июнь – июль 2018 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М n w w w . a l l - o v e r - i p . r u 142 Рис. 2. Взаимодействие IdM с другими продуктами по обеспечению ИБ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru