Система управления доступом к информации: назначение, функции

Доступ к важным корпоративным данным может быть осуществлён физическим и по информационным каналам. В обоих случаях для контроля управления доступом используются специализированные системы. Они могут работать по-отдельности или в комплексе.

Управление физическим доступом к информационным ресурсам

Управление физическим доступом к информационным ресурсам, а также к носителям информации организуется с помощью:

• СКУД (система контроля и управления доступом). Может быть автономной (работает изолированно от других систем обеспечения безопасности) или сетевой (взаимодействует с другими решениями).

• Средств ограничения физического доступа к ПЭВМ, носителям информации и другому оборудованию: защитные экраны, заглушки на порты и так далее.

• Организационных мер. Они сводятся к организации пропускного режима и регламента доступа/обращения с ПЭВМ, носителями информации.

Система управления физическим доступом, конечно же, необходима. Но для надежной защиты корпоративной IT-инфраструктуры от утечек и других инцидентов в сфере ИБ упор следует сделать на информационные каналы, поскольку именно на них приходится большая часть инцидентов. Например, почти 70% утечек корпоративных данных связаны с сетью (браузер, облака и так далее), около 10% – с электронной почтой (перехват, а также другие действия). С физическим доступом связана малая часть инцидентов: около 1,3% – кража документов и съемных носителей, и почти столько же – их повреждение.

Исходя из этих данных, информационным каналам следует уделять гораздо больше внимания.

Управление доступом к информационным ресурсам с помощью IdM/IGA-системы: эффективное решение для бизнеса

Чем больше в компании используется информационных систем (далее – ИС), баз данных, а также приложений для различных целей, тем больше времени требуется на управление процессами доступа к информации в них (создание аккаунтов, назначение прав и так далее). Решить проблему поможет централизация и автоматизация процессов. Такие функции реализованы в современных IdM/IGA-системах.

Решения этого класса имеют следующие функции:

• Автоматизация управления учетными записями в ИС, используемых компанией. IdM или IGA получают информацию из кадровых систем, анализируют ее и на основе этого могут управлять учетными записями в целевых ИС: добавлять/убирать полномочия автоматически или формировать оповещения для специалистов по ИБ, блокировать «учетки».

• Ресертификация прав доступа. IGA-системы (по расписанию или по инициативе офицера по информационной безопасности) анализируют профили сотрудников в целевых ИС, сравнивают их с набором установленных правил и политик. В случае обнаружения отклонений формируются оповещения для специалистов или автоматически принимаются необходимые меры по заданному сценарию.

• Формирование и хранение полного архива действий с учетными записями в корпоративных ИС, с правами. Эти данные могут пригодиться в последующем – например, в ходе расследования инцидентов в сфере информационной безопасности, происходящих в компании.

• Предотвращение SoD-конфликтов (конфликтов полномочий). С помощью решений этого класса обнаруживаются учетные записи и аккаунты с правами, позволяющими единолично принимать решения и влиять на критически важные для компании бизнес-процессы. Владение этой информацией поможет избежать ситуаций, когда действия одного сотрудника могут повлечь для компании негативные последствия.

• Своевременное обнаружение неактивных учетных записей. Эта функция автоматизированной системы управления доступом полезна с точки зрения информационной безопасности. Ведь бесхозные «учетки» могут использовать злоумышленники.

• Контроль соблюдения действующих в компании регламентов предоставления доступа к информации. Благодаря решениям класса IGA упрощаются процессы инвентаризации прав, на них тратится меньше времени.

Возможности IdM по управлению доступом в разных целевых ИС

Одной системой управления и контроля доступа можно охватить разные целевые корпоративные ИС. Современные IdM/IGA совместимы с:

• программами для электронного документооборота;

• решениями от 1С;

• СУБД от разных вендоров;

• LDAP-каталогами (Active Directory и аналоги);

• CRM, BPM и другими специализированными программами для бизнеса;

• веб-сервисами, использующими при работе протоколы SOAP, SAML, SCIM, REST.

Кроме того, системы управления доступом без проблем интегрируются со средствами обеспечения безопасности (информационной и не только). Они могут обмениваться данными с решениями класса SIEM, DLP, SSO, PKI, СКУД от различных вендоров.

Взаимодействие с целевыми ИС происходит посредствам коннекторов. Для этого используются API, хранимые процедуры и другие средства/инструменты, в зависимости от особенностей целевой ИС. Коннекторы для популярных программ, баз данных и ПО, как правило, идут вместе с IdM «из коробки». При необходимости они могут дорабатываться под какую-то специфическую систему или создаваться заново.

Кому стоит подумать о внедрении системы автоматизации и управления доступом

Практика показывает, что задуматься о внедрении такого решения стоит компаниям с численностью от 1000 человек. Также среди показаний к использованию – большая текучесть кадров. Благодаря IGA можно минимизировать потери от простоев новых сотрудников, которые возникают на время, пока происходит создание аккаунтов и учетных записей для новых работников в корпоративных ИС. Еще один фактор, который подтолкнет к тому, чтобы задуматься о внедрении, — использование большого количества обезличенных общих учетных записей (например, при посменной работе). Конечно же, внедрить такую систему обязательно нужно в случае, если неправомерный доступ к информации или чрезмерные права могут нанести компании существенный вред. Подобные решения полезны в ритейле, финансовой сфере, для промышленных предприятий, нефтегазовой отрасли. Также IdM позволяют организовать управление доступом к информации в государственных учреждениях в соответствии с требованиями руководящих документов.