Получить консультацию по Solar inRights

Безопасность данных и IdM-системы

По нашим наблюдениям, права доступа к информационным ресурсам и системам – слабое место почти в 2/3 компаний. Ручное управление полномочиями, редкий аудит, частый наем, увольнение сотрудников, смена подразделений – все это факторы риска информационной безопасности. Поэтому, вне всякого сомнения, безопасность систем управления базами данных, CRM и других корпоративных информационных ресурсов начинается с корректных прав доступа.

Эффективное управление правами и учетными записями:

  • Снижает риски возникновения инцидентов информационной безопасности (далее – ИБ) в среднем на 20%.

  • До 50% сокращает время на сбор данных при расследовании инцидентов.

  • Экономит до 8 часов в год для каждого сотрудника на регулярный пересмотр прав.

Реализовать управление учетными записями и безопасностью данных, связанных с ними, помогут системы класса IdM/IGA, к которому относится наше решение Solar inRights.

Роль IdM/IGA-систем в корпоративной информационной безопасности компании

Средства IdM/IGA управляют жизненным циклом пользовательских данных на всех этапах существования учетных записей. С их помощью обеспечивается автоматизированная защита данных на двух уровнях.

Уровень пользователей. Предотвращение внешних и внутренних угроз информационной безопасности компании

Защита организации от внешних и внутренних угроз с помощью таких решений происходит за счет внедрения эффективного, прозрачного, контролируемого механизма управления доступом к информационным системам (далее – ИС) и ресурсам. Он реализуется посредством следующих возможностей и функций IdM-систем:

  • Контроль соблюдения регламентов предоставления доступа к корпоративным информационным системам. Благодаря такому контролю все доступы, права и привилегии сотрудников в любой момент времени актуальны и соответствуют действующим в компании политикам.

  • Исключение инцидентов, связанных с использованием деперсонифицированных учетных записей. При внедрении рассматриваемого решения необходимость в таких «учетках» просто отпадает, поскольку время на предоставление необходимых полномочий и доступов сокращается с нескольких дней до нескольких часов и даже минут.

  • Предотвращение SOD-конфликтов. В решениях класса IdM/IGA реализованы механизмы раннего оповещения о возникновении ситуаций, когда у одного лица образуются полномочия и доступы, позволяющие ему самолично влиять на критически важные для компании процессы. Это создает препятствия для злоупотреблений и нарушений безопасности корпоративных данных.

  • Регулярный аудит прав доступа и полномочий у сотрудников. Их систематическая проверка поможет избежать нарушений в области безопасности систем управления базами данных и других ИС в случае накопления прав у пользователей, присутствия в системе незаблокированных (одно из требований соблюдения стандарта PSI DSS) и бесхозных «учеток» и небезопасного хранения данных.

  • Следование принципам эффективной парольной политики и контроль за ее соблюдением сотрудниками компании. Такой подход позволит повысить уровень корпоративной безопасности учетных записей за счет выявления слабых парольных фраз, регулярной смены паролей и их назначения в соответствии со всеми требованиям и рекомендации по обеспечению ИБ.

  • Контроль привилегированных пользователей, технологических учетных записей, аккаунтов администраторов. Эти «учетки» входят в группу риска, так как ущерб от действий, совершаемых через них, может иметь критические для компании последствия.

Кроме того, современные программы управления доступом имеют возможность контролировать определенные операции из-под наблюдаемых учетных записей, что также повышает уровень защиты корпоративной информации.

Стратегический уровень. Автоматизированное управление безопасностью данных, исполнение стратегий, связанных с аутентификацией и авторизацией

При внедрении в компании IdM/IGA реализуются 2 модели контроля доступа – ролевая (RBAC) и атрибутная (ABAC).

Один из базовых принципов RBAC, обеспечивающих высокий уровень корпоративной защиты данных от несанкционированного доступа, – принцип наименьшей привилегии. Запрет полномочий на действия пользователей, не требуемых ему для выполнения конкретной задачи, исключает обход/нарушение политик ИБ и, как следствие, возникновение инцидентов: утечек, модификации, удаления, нарушения целостности данных и т. д. Кроме того, внедрение ролевой модели позволяет привести систему управления доступом и обеспечения защиты информационных активов компании в соответствие с практическими рекомендациями, а также локальными, национальными и международными нормативными актами.

ABAC – это развитие ролевой модели. В ней, помимо ролей, используются атрибуты (пользователя, устройства либо ресурса), которые выступают в качестве дополнительных элементов обеспечения информационной безопасности.

RBAC и ABAC при внедрении IdM/IGA-решений могут использоваться и совместно. Это упрощает формирование системы динамических ограничений при организации защиты информационных активов данных, которые могут устанавливаться в зависимости от различных изменчивых факторов, таких как продолжительность рабочего или нерабочего времени, местоположение сотрудника, используемое им для работы устройство и т. д. Такой подход позволяет быстро, практически в режиме реального времени, подстраиваться под меняющуюся обстановку и в любой момент предоставлять сотрудникам минимально достаточный доступ к ИС и ресурсам, что способствует повышению безопасности данных и корпоративных IT-инфраструктур.

Для интеграции с целевыми корпоративными информационными ресурсами и системами используются коннекторы – они либо идут в базе с IdM/IGA, либо создаются (с нуля или на основе существующих) вендором (разработчиком решения). Этот механизм позволяет применять программы контроля и управления доступом практически в любых ИС: базах данных, операционных системах, инфраструктурах для удаленной работы, средствах учета (бухгалтерского, складского), инструментах/средах для разработки, тестирования программного обеспечения, в банковских и других специализированных ИС.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Узнать больше
Как обеспечить безопасность паролей и как часто нужно их менять?

Как обеспечить безопасность паролей и как часто нужно их менять?

Узнать больше
Регламент предоставления доступа к информационным ресурсам

Регламент предоставления доступа к информационным ресурсам

Узнать больше