Маршрут согласования
Узнать большеБезопасность данных и IdM-системы
По нашим наблюдениям, права доступа к информационным ресурсам и системам – слабое место почти в 2/3 компаний. Ручное управление полномочиями, редкий аудит, частый наем, увольнение сотрудников, смена подразделений – все это факторы риска информационной безопасности. Поэтому, вне всякого сомнения, безопасность систем управления базами данных, CRM и других корпоративных информационных ресурсов начинается с корректных прав доступа.
Эффективное управление правами и учетными записями:
-
Снижает риски возникновения инцидентов информационной безопасности (далее – ИБ) в среднем на 20%.
-
До 50% сокращает время на сбор данных при расследовании инцидентов.
-
Экономит до 8 часов в год для каждого сотрудника на регулярный пересмотр прав.
Реализовать управление учетными записями и безопасностью данных, связанных с ними, помогут системы класса IdM/IGA, к которому относится наше решение Solar inRights.
Роль IdM/IGA-систем в корпоративной информационной безопасности компании
Средства IdM/IGA управляют жизненным циклом пользовательских данных на всех этапах существования учетных записей. С их помощью обеспечивается автоматизированная защита данных на двух уровнях.
Уровень пользователей. Предотвращение внешних и внутренних угроз информационной безопасности компании
Защита организации от внешних и внутренних угроз с помощью таких решений происходит за счет внедрения эффективного, прозрачного, контролируемого механизма управления доступом к информационным системам (далее – ИС) и ресурсам. Он реализуется посредством следующих возможностей и функций IdM-систем:
-
Контроль соблюдения регламентов предоставления доступа к корпоративным информационным системам. Благодаря такому контролю все доступы, права и привилегии сотрудников в любой момент времени актуальны и соответствуют действующим в компании политикам.
-
Исключение инцидентов, связанных с использованием деперсонифицированных учетных записей. При внедрении рассматриваемого решения необходимость в таких «учетках» просто отпадает, поскольку время на предоставление необходимых полномочий и доступов сокращается с нескольких дней до нескольких часов и даже минут.
-
Предотвращение SOD-конфликтов. В решениях класса IdM/IGA реализованы механизмы раннего оповещения о возникновении ситуаций, когда у одного лица образуются полномочия и доступы, позволяющие ему самолично влиять на критически важные для компании процессы. Это создает препятствия для злоупотреблений и нарушений безопасности корпоративных данных.
-
Регулярный аудит прав доступа и полномочий у сотрудников. Их систематическая проверка поможет избежать нарушений в области безопасности систем управления базами данных и других ИС в случае накопления прав у пользователей, присутствия в системе незаблокированных (одно из требований соблюдения стандарта PSI DSS) и бесхозных «учеток» и небезопасного хранения данных.
-
Следование принципам эффективной парольной политики и контроль за ее соблюдением сотрудниками компании. Такой подход позволит повысить уровень корпоративной безопасности учетных записей за счет выявления слабых парольных фраз, регулярной смены паролей и их назначения в соответствии со всеми требованиям и рекомендации по обеспечению ИБ.
-
Контроль привилегированных пользователей, технологических учетных записей, аккаунтов администраторов. Эти «учетки» входят в группу риска, так как ущерб от действий, совершаемых через них, может иметь критические для компании последствия.
Кроме того, современные программы управления доступом имеют возможность контролировать определенные операции из-под наблюдаемых учетных записей, что также повышает уровень защиты корпоративной информации.
Стратегический уровень. Автоматизированное управление безопасностью данных, исполнение стратегий, связанных с аутентификацией и авторизацией
При внедрении в компании IdM/IGA реализуются 2 модели контроля доступа – ролевая (RBAC) и атрибутная (ABAC).
Один из базовых принципов RBAC, обеспечивающих высокий уровень корпоративной защиты данных от несанкционированного доступа, – принцип наименьшей привилегии. Запрет полномочий на действия пользователей, не требуемых ему для выполнения конкретной задачи, исключает обход/нарушение политик ИБ и, как следствие, возникновение инцидентов: утечек, модификации, удаления, нарушения целостности данных и т. д. Кроме того, внедрение ролевой модели позволяет привести систему управления доступом и обеспечения защиты информационных активов компании в соответствие с практическими рекомендациями, а также локальными, национальными и международными нормативными актами.
ABAC – это развитие ролевой модели. В ней, помимо ролей, используются атрибуты (пользователя, устройства либо ресурса), которые выступают в качестве дополнительных элементов обеспечения информационной безопасности.
RBAC и ABAC при внедрении IdM/IGA-решений могут использоваться и совместно. Это упрощает формирование системы динамических ограничений при организации защиты информационных активов данных, которые могут устанавливаться в зависимости от различных изменчивых факторов, таких как продолжительность рабочего или нерабочего времени, местоположение сотрудника, используемое им для работы устройство и т. д. Такой подход позволяет быстро, практически в режиме реального времени, подстраиваться под меняющуюся обстановку и в любой момент предоставлять сотрудникам минимально достаточный доступ к ИС и ресурсам, что способствует повышению безопасности данных и корпоративных IT-инфраструктур.
Для интеграции с целевыми корпоративными информационными ресурсами и системами используются коннекторы – они либо идут в базе с IdM/IGA, либо создаются (с нуля или на основе существующих) вендором (разработчиком решения). Этот механизм позволяет применять программы контроля и управления доступом практически в любых ИС: базах данных, операционных системах, инфраструктурах для удаленной работы, средствах учета (бухгалтерского, складского), инструментах/средах для разработки, тестирования программного обеспечения, в банковских и других специализированных ИС.