Журнал "Системы безопасности" #5, 2019

l работнику временно были предоставлены расширенные права, которые забыли ото- звать; l сотрудник перешел на новую штатную пози- цию в другое подразделение, а его доступ в информационных системах не изменился. Этот список можно продолжать и продолжать. Представьте себе ситуацию: в компании про- изошел инцидент информационной безопас- ности, но известно о нем стало лишь спустя длительное время и виновный сотрудник уже успел уволиться. Для проведения расследова- ния нужно поднять архивную информацию: какими правами и привилегиями в информа- ционных системах этот сотрудник обладал в определенный момент. И тут выясняется, что системные логи хранятся совсем недолго, поч- товое сообщение с запросом и согласованием доступа найти не удалось. То есть кто, когда, на основании чего предоставил доступ, выяснить невозможно. В результате налицо потери для компании, а провести полноцен- ное расследование для выяснения причин и деталей происшедшего не представляется возможным. Как эти проблемы решаются с помощью IdM Развитые IdM-системы помогают выстроить в организации эффективные процедуры управления правами доступа. На выходе компания получает формализованный, авто- матизированный процесс, который будет удобен всем задействованным подразделе- ниям. С одной стороны, система интегриру- ется с кадровыми источниками, получая пол- ную информацию о работающих сотрудни- ках, а с другой – с целевыми информацион- ными системами организации для управле- ния правами доступа в них. Что получают сотрудники бизнес-подразделений? Прежде всего, внедрение IdM обеспечивает работникам бизнес-подразделений оператив- ное предоставление доступа в необходимые для работы информационные системы пред- приятия, а также, при необходимости, быстрое изменение прав при смене должности. Авто- матизация процесса выдачи, аннулирования и приостановки прав осуществляется на основа- нии кадровых событий (прием на работу, перевод, увольнение, отпуск). Кроме того, в зависимости от функций, выполняемых под- разделением, его сотрудники могут автомати- чески получать те или иные базовые роли. Удобной точкой входа является единый портал для оформления заявок пользователей на дополнительный доступ ко всем информацион- ным системам. А понятная система согласова- ния заявок, учитывающая утвержденные в ком- пании правила выдачи и контроля полномочий, позволяет оперативно получить подтверждения руководства или других ответственных подраз- делений. Руководители бизнес-департаментов оценят возможность оформления доступа для своих сотрудников на определенное время без необходимости подавать дополнительную заявку на отзыв прав по истечении этого перио- да. Чтобы не плодить множество заявок, руко- водитель может сделать один запрос прав для нескольких сотрудников одновременно. В IdM- системе сотрудник всегда может быстро узнать статус своей заявки. Автоматическая эскалация при тайм-ауте решает вопрос перенаправления заявки другому ответственному лицу. Кроме того, IdM-система по сути является удобным единым справочником сотрудников и их трудоустройств в компании, включая информацию о совмещаемых должностях, внештатном оформлении, участии в про- ектной деятельности и др. В случае изменения данных любого сотрудника в кадровой систе- ме эта информация автоматически актуализи- руется в информационных системах, подклю- ченных к IdM. Руководители и владельцы ресурсов, используя встроенные механизмы формирования отчет- ности, могут оперативно получать консолиди- рованную информацию о доступе пользовате- лей для проведения анализа и ресертификации (пересмотра прав доступа), а также для предо- ставления контролирующим органам. Что получает ИТ-персонал? Очевидным преимуществом внедрения разви- той системы управления доступом для ИТ-под- разделения компании является сокращение ручного труда по управлению правами доступа. С этого момента на всех этапах процесс осу- ществляется автоматически. Кроме того, IdM-система значительно снижает трудозатраты ИТ-специалистов на подготовку данных для отчетов, предоставляемых по тре- бованию аудиторов. В продвинутых системах есть как готовые формы отчетов, в которых можно запросить информацию о правах досту- па всех пользователей на любую дату, так и воз- можность создать собственную форму отчетов. Существенно облегчит жизнь ИТ-специалистам и наличие в некоторых IdM-решениях справоч- ной системы, благодаря которой сокращается время на консультации пользователей по оформлению, согласованию и выполнению заявок. Такой "портал самообслуживания" пре- доставляет пользователям всю необходимую информацию о статусе заявок и доступе к ИС организации в формализованном виде. Что получают специалисты ИБ-служб? Главное преимущество внедрения IdM для под- разделений ИБ – это возможность немедленно получить исчерпывающую информацию о том, кто и на каком основании имеет доступ к опреде- ленной системе. ИБ-специалист может быстро формировать отчеты о статусе прав пользовате- лей за любой период, видя полную картину: когда получено то или иное право, на основании каких событий и согласований, кем согласовано, и т.д. Если при возникновении инцидента информа- ционной безопасности требуется оперативная блокировка пользователя в одной или несколь- ких ИС организации, сотрудник ИБ-службы может сделать это в течение нескольких секунд. Автоматическое изменение и прекращение неактуального доступа на основании кадровых событий исключает риск несанкционированно- го доступа к данным при увольнении сотрудни- ков или изменении их штатной позиции. Для прав, по которым требуется пересмотр при изменении штатной позиции, формируется соответствующая заявка. Заранее определенные роли позволяют предо- ставить доступ в соответствии с функционалом сотрудника и таким образом избежать избыточ- ных прав доступа персонала в информацион- ных системах организации. Функционал IdM- системы также станет хорошим подспорьем для ИБ-специалистов в решении задачи контроля доступа на основании периодической ресерти- фикации с учетом изменяющейся структуры и функциональной модели организации. Дисциплина и порядок Крупным предприятиям с многочисленным штатом сотрудников и "зоопарком" различных информационных систем внедрение развитой системы управления доступом дает множество преимуществ, повышая эффективность как биз- нес-процессов, так и работы ИТ- и ИБ-служб. Подобные системы с развитой функциональ- ностью существенно сокращают трудозатраты персонала на все работы, связанные с организа- цией доступа к информационным ресурсам, и, соответственно, высвобождают рабочее время сотрудников для решения других важных задач, до которых раньше просто не доходили руки. Российскому бизнесу постоянно пеняют на низ- кий уровень производительности труда. Совре- менная IdM-система, помимо всех перечислен- ных плюсов, может стать хорошим вспомога- тельным инструментом для решения и этой задачи. n Полую версию статьи с иллюстрациями читайте на нашем сайте https://www.secuteck.ru/arti- cles/kultura-zdorovogo-pitaniya-ili-zachem-kom- paniyam-nuzhen-idm www.secuteck.ru октябрь – ноябрь 2019 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 123 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Форма выбора параметров отчета по заявкам Запрос прав пользователей на конкретную дату