Ресертификация прав доступа

Исследования показывают, что и в 2020, и в 2021 году наблюдается рост внутренних инцидентов ИБ, большая часть которых (53%) связана с утечками информации. Опасаясь возможного сокращения, некоторые недобросовестные работники стараются найти дополнительный источник дохода за счет хищения и слива корпоративных данных. Во многих случаях одна из ключевых причин таких инцидентов – избыточный доступ сотрудников к важным для компании данным. Большинства подобных ситуаций можно было бы избежать. Для этого следует наладить регулярную своевременную ресертификацию прав доступа.

Что такое ресертификация в корпоративных информационных системах

Под ресертификацией (инвентаризацией или сертификацией – понятия тождественны) понимают периодическую процедуру (комплекс мероприятий), цель которой – контроль за состоянием прав доступа сотрудников. В ходе нее:

• оценивается актуальность полномочий, существующих в компании;

• корректируются или удаляются устаревшие/ избыточные;

• создаются/включаются новые.

Каких-то рекомендаций по периодичности этой процедуры нет. Каждая компания устанавливает ее с учетом своей специфики. Но, очевидно, чем чаще проводится инвентаризация, тем ниже вероятность возникновения инцидентов информационной безопасности. А лучше, если этот процесс будет непрерывным, обеспечивающим незамедлительную реакцию на любые изменения.

Сертификация прав доступа к данным может проводиться вручную или с помощью специальных средств, автоматизирующих этот процесс. Например, такая опция есть в современных IdM-системах, и в Solar InRights в частности.

Специфика ресертификации при использовании разных моделей управления доступом

Существует несколько моделей управления доступом к конфиденциальным данным компании: DAC, MAC, RBAC, ABAC.

DAC, или дискреционная модель, оперирует такими понятиями, как объект безопасности и его владелец. Объекты – это файлы, папки, базы данных и так далее. Предполагается, что у каждого объекта есть владелец. Модель предусматривает задание явных прав доступа к объектам для субъектов. При этом владелец объекта может выдавать полномочия другим, которые, по сути, тоже могут становиться владельцами информации, к которой допущены. Модель довольно проста в реализации – все полномочия записываются в виде матрицы. Но чем больше компания, тем сложнее становится эта матрица. А при ресертификации бывает сложно учесть права, которые предоставлены субъектами, получившими их от владельцев, другим пользователям. Простой пример, когда пользователь получает доступ к «расшаренной» папке, создает в ней свою и разрешает пользоваться/управлять ей другим.

При использовании MAC (мандатной модели) пользователям и объектам информации присваиваются метки конфиденциальности. На основе их сравнения принимается решение о предоставлении доступа к информации запросившему его сотруднику. Модель довольно эффективна. Но ресертификация при ее использовании требует немало времени и детального анализа (который часто требуется проводить вручную). Все из-за равнозначности отдельно взятых категорий меток одного уровня конфиденциальности. За счет этого может возникать избыточность прав для конкретных субъектов в пределах их уровней доступа. Автоматизировать обнаружение таких случаев очень сложно.

RBAC как база для эффективной системы ресертификации

В основе RBAC, или ролевой модели, лежит использование объектно-ориентированного подхода к управлению правами. Она предполагает внедрение набора ролей, каждая из которых представляет собой набор прав доступа к объектам информации. В зависимости от должности и функций сотрудника ему присваивается необходимое количество ролей, обеспечивающих требуемый набор полномочий. Для усиления защиты от инцидентов совместно с RBAC часто используется модель ABAC (атрибутная): например, совместно с ролями используются еще и ID устройства / ID пользователя. За счет такого усиления исключается возможность доступа к целевой информационной системе и важным данным для злоумышленников, даже если они получат чужие данные для авторизации.

RBAC позволяет обеспечить гибкое управление доступом и владение исчерпывающей информацией о полномочиях пользователей информационных систем в любой момент времени. Для реализации этой модели компаниями широко используются IdM-системы. Одна из функций современных решений этого класса – ресертификация прав доступа сотрудников компании к информации и целевым ИС.

IdM периодически формирует уведомления со списком полномочий, прав доступа, индивидуальных привилегий сотрудников. Они отправляются руководителю, владельцу ресурса или специалисту по ИБ. Ответственный сотрудник анализирует информацию и принимает решение: продлить полномочия, добавить либо удалить какие-то роли.

Помимо плановой сертификации/ресертификации с помощью IdM решаются и другие задачи:

1. Выявление несоответствий. Если какие-то полномочия были назначены сотруднику в обход IdM (прямо в целевой системе), это незамедлительно автоматически выявляется и специальный модуль реагирования на такие нарушения позволяет реализовать различные сценарии работы с ними в соответствии с политикой безопасности компании.

2. Оперативное реагирование на кадровые изменения, увольнение, перевод сотрудников на другие должности, а также иные события. Решение класса IdM постоянно мониторит изменения, черпая информацию из кадровых систем и других программ. При обнаружении несоответствий незамедлительно формируются оповещения для руководителя или специалиста по ИБ либо в автоматическом режиме проводятся необходимые изменения данных, в соответствии с утвержденным регламентом. По сути, обеспечивается непрерывная инвентаризация полномочий и прав пользователей к информационным ресурсам и целевым ИС.

Таким образом, своевременная ресертификация гарантирует правильность авторизации пользователей в целевых корпоративных информационных системах. Кроме того, руководителям она внушает уверенность, что методы контроля полномочий в компании соответствуют нормативным документам и стандартам. Эффективность системы инвентаризации во многом зависит от базовой модели управления доступом, которой пользуется компания. Поэтому перед внедрением IdM-решения с функциями для ресертификации целесообразно сначала провести аудит процессов контроля и управления доступом.