Контроль доступа к данным: как его обеспечить и каким способом реализовать

В любой современной компании или на предприятии используется несколько информационных систем (кадровые, CRM, складские и так далее). На создание учетных записей в каждой из них, изменение привилегий пользователей, аудит, а также другие процессы уходит немало времени. Сэкономить его, сделать управление правами более эффективным поможет корпоративная система контроля доступа к данным.

Решение для организации контроля доступа к корпоративным данным и эффекты от его внедрения

С этой задачей отлично справляются решения класса IGA (Identity Governance and Administration). Посредством коннекторов они интегрируются с базами данных, а также различными типами информационных систем (далее – ИС), что дает возможность централизованно управлять учетными записями и правами пользователей через единый интерфейс. Эффекты от внедрения подобных решений и организации корпоративной системы контроля доступа (далее – СКД) к данным проявляются в разных сферах.

Работа с учетными записями в разных ИС

Главная цель, с которой создавались IdM-решения, в дальнейшем эволюционировавшие в IGA, – централизованное управление учетными записями пользователей и правами в различных информационных системах, используемых компаниями/предприятиями в работе. Благодаря им:

• Можно отказаться от формирования в ручном режиме заявок на создание или изменение учетных записей. За счет интеграции с кадровыми и другими системами этот процесс автоматизируется.

• Компании гораздо проще внедрить/поддерживать ролевую модель управления доступом (RBAC). Значительно упрощается выдача прав пользователей и контроль доступа к данным, ведь полномочия выдаются на основе ролей, присвоенных каждому сотруднику.

• Проще проводить инвентаризацию, ресертификацию прав доступа и другие процедуры. Представьте, сколько времени уйдет, чтобы, например, узнать обо всех полномочиях сотрудника, работающего в компании несколько лет. Придется для этого проанализировать огромные объемы информации из разных ИС. А если в компании используется IGA для централизованного управления учетными записями, поиск таких сведений не займет много времени. Изменение полномочий в разных системах делается в несколько кликов.

• Сокращается количество административных процедур и бумажный оборот по вопросам предоставления прав, согласования доступа к информационным ресурсам и управления учетными записями.

СКД к корпоративным данным и информационная безопасность компании

Внедрение системы контроля доступа к данным в компании способствует повышению уровня информационной безопасности. Такое решение позволяет держать под контролем права, а также полномочия пользователей и оперативно менять их.

Если СКД к корпоративным данным построена на базе IGA и аналогичных решений, можно отказаться от практики использования общих учетных записей, а также аккаунтов, предназначенных для нескольких сотрудников. Если происходит утечка информации или другой инцидент информационной безопасности, связанный с таким аккаунтом, найти виновного практически невозможно.

При построении системы контроля доступа к информации с использованием IGA-решения обеспечивается практически молниеносная реакция на события и инциденты ИБ. В случае необходимости изъятие или приостановление полномочий происходит одномоментно. Особенно эффективно это работает при интеграции IGA со сторонними решениями, например с SIEM. При получении сведений из них специалист по ИБ может реагировать на ситуацию моментально.

СКД – это также источник информации для расследований инцидентов, связанных с утечками данных, превышением полномочий и так далее. Благодаря ей офицеры ИБ, проводящие разбирательство, получают полную картину того, кто какими правами обладал в различных информационных системах, а также массу другой полезной информации.

Система контроля доступа к данным: какие решения она может контролировать

С помощью СКД на основе IdM, IGA или аналогичного решения организуется контроль данных и управление учетными записями в информационных системах, программах, сервисах, использующихся компанией в работе. Среди них:

• системы кадрового, бухгалтерского, складского учета;

• CMS сайтов, если ресурсами управляют несколько администраторов или создаются аккаунты для SEO-специалистов, сотрудников, занимающихся поддержкой сайтов, доработкой и другими работами;

• CRM, BPM-системы;

• облачные решения;

• базы данных;

• другие типы ИС.

Для сопряжения IdM/IGA с информационными системами и программными средствами используются стандартные коннекторы. «Из коробки» их предлагается немало – можно подключиться практически к любой современной ИС. Если в компании используется специфическое решение, разработчик кастомизирует коннектор решения под нужды заказчика или создаст новый.

Когда пора задуматься о внедрении СКД на основе IdM или IGA

Подобные решения находятся на стыке IT и информационной безопасности. Следовательно, инициатором внедрения может быть подразделение, отвечающее за ИБ, либо IT-отдел. Если вы понимаете, что процедуры создания учетных записей и их редактирования отнимают немало времени системных администраторов, если ИС постоянно приходится чистить от неактивных «учеток», если в компании становится все больше аккаунтов общего пользования, нужна эффективная СКД. Конечно же, подумать о внедрении стоит и при обнаружении инцидентов в сфере ИБ. Например, если выявляются случаи доступа к информации без соответствующих полномочий у пользователей. Но и это не все. У каждой компании, с учетом специфики ее работы, могут быть свои предпосылки к внедрению системы контроля и управления доступом к информации. Если возникли сомнения в том, нужно вам это или нет, есть смысл проконсультироваться у разработчика такого решения и оценить реализованные кейсы (некоторые можно спроецировать на себя).