Аттестация доступа: что это такое, как проходит, зачем она нужна

Получить консультацию по Solar inRights

ФИО

Телефон

Я даю согласие на обработку персональных данных, на условия Политики по обработке персональных данных, а также на получение информационных материалов и рассылок

Внутренние политики информационной безопасности компаний диктуют необходимость следить за актуальностью назначенных полномочий и уровней доступа сотрудников. Для этого предусмотрена периодическая аттестация доступа. В статье рассказываем, что это такое, как реализуется процесс, чем может помочь IGA-система Solar InRights.

Что такое аттестация доступа

Аттестация — проверка текущих уровней доступа сотрудников и пересмотр полномочий, назначенных для выполнения служебных обязанностей. В первую очередь она необходима, чтобы исключить накопление избыточных привилегий и минимизировать инциденты ИБ. Также аттестация позволяет подтвердить наличие текущих полномочий, чтобы сотрудники были обеспечены только теми правами, которые действительно необходимы для работы.

Существует и другое понятие, тоже тесно связанное с утверждением полномочий — сертификация доступа. Его часто используют как синоним аттестации, потому что в рамках сертификации по факту происходят аналогичные процессы. Но аттестация доступа — более глубокая процедура, которая распространяется на все аспекты управления объектами и субъектами доступа. Она подтверждает корректность некоторых фактов, например, целесообразность присвоения конкретным сотрудникам определенных системных и бизнес-ролей, полномочий. Также в процессе процедуры аттестации, руководители или владельцы ресурсов проводят анализ необходимости использования тех или иных прав доступа и действийй, которые могут выполняться в отношении ИТ-ресурсов, рассматривают и регулируют вопрос допустимости конфликтующих прав доступа, назначенных одному сотруднику и принимают решение о их сохранении.

Если идет речь о повторном подтверждении предоставленных пользователям уровней доступа и полномочий, например, при изменении некоторых условий (например, при реорганизации компании или переходе сотрудников на другие должности), то такой процесс называется ресертификацией. Эта процедура необходима организациям с высокими рисками ИБ и строгими требованиями к безопасности данных.

Как проходит аттестация доступа

Для проведения аттестации необходимо выполнение определенных условий и прохождение нескольких этапов:

Определяются: точное количество сотрудников организации, их должности и роли. Если у компании нет автоматизированных средств сбора информации, то целесообразно привлечь работников кадрового отдела и запросить полный список персонала, уточнить информацию у руководителей проектов.
Интерпретируются названия всех элементов ИТ-инфраструктуры, чтобы знать, к каким именно ресурсам предоставлять доступ.
Проверяются текущие виды прав доступа сотрудников и учетных записей, соотносятся с должностями и актуальными бизнес-задачами.
При необходимости отзываются неактуальные полномочия. Если кому-то из сотрудников недостаточно предоставленных прав доступа, набор привилегий пересматривается и дополняется.
Результаты процедуры в обязательном порядке документируются.

В некоторых компаниях из-за недостатка необходимой информации и отсутствия налаженного процесса согласования прав доступа аттестация проводится «вслепую». Пример такой ситуации — руководители проектов знают обязанности своих сотрудников, но не вникают в назначенные полномочия, а IT-менеджеры, наоборот, видят только полномочия, но не знают обязанностей. В результате не происходит глубокой проверки, и привилегии у всех остаются прежними. Подобное может быть и в случае, если процедура проводится полностью вручную, без использования автоматизированных решений. В таком случае, помимо того, что необходимо проанализировать и сопоставить большой объем информации, еще и велика вероятность ошибок под влиянием человеческого фактора. Итог — высокие риски ИБ.

Зачем нужна аттестация доступа

Основные цели проведения процедуры:

Контроль за актуальностью прав доступа.
Обеспечение соответствия требованиям регуляторов и стандартов безопасности.
Минимизация рисков утечки данных из-за избыточных полномочий.

Аттестация — одна из важных составляющих стратегии управления доступом в любой организации. Она позволяет соблюдать принцип наименьших привилегий и назначать только те полномочия, которых будет достаточно для выполнения служебных обязанностей. Также благодаря аттестации можно решить и противоположную проблему, связанную со слишком узким кругом прав для отдельных сотрудников. Как правило, в таких случаях недостающие полномочия запрашиваются отдельно по заявкам, которые могут долго рассматриваться. Логичнее пересмотреть круг прав, необходимых на постоянной основе и затем оформить соответствующий запрос на доработку стандартных наборов полномочий для определенных должностей или подразделений и, после утверждения, внести изменения в политики назначения полномочий.

Роль IGA-системы Solar InRights в проведении аттестации доступа

IGA-система (Identity Governance and Administration) Solar InRights предназначена для централизованного управления доступом. Она позволяет автоматизировать процессы назначения, изменения и отзыва полномочий для штатных и внештатных сотрудников, обеспечивает гибкий подход к аттестации, сертификации или ресертификации доступа.

Solar InRights помогает реализовать управление доступом на базе динамических политик назначения прав доступа, которые включают как подход с использованием ролевой модели, так и атрибутивной. В системе хранятся зарегистрированные политики назначения прав доступа для работников на одинаковых должностях и в конкретных подразделениях, а также политики описывающие любые уникальные ситуации. Если нужно расширить или сузить круг прав, достаточно внести изменения в политики назначений.

Solar InRights поможет ускорить процесс валидации полномочий, назначенных до ее внедрения. Она интегрируется с целевыми системами и собирает информацию об учетных записях и текущих доступах. На основании анализа собранной информации выявляются бесхозные учетные записи и инициируется процесс по актуальности текущих прав доступа для дальнейшего построения ролевой модели. После первичной сертификации и наведения порядка, с помощью системы Solar inRights можно проводить регулярные проверки доступа по выбранным подразделениям или по кампании в целом. Благодаря IGA-системе аттестация доступа будет проведена в полном соответствии с внутренними регламентами и требованиями регуляторов отрасли.

преимущества использования solar inrights для аттестации доступа

Преимущества использования IGA-системы Solar InRights для аттестации доступа

Можно выделить следующие ключевые преимущества:

Снижение трудозатрат лиц, ответственных за назначение и пересмотр полномочий;
Минимизация ошибок под влиянием человеческого фактора при управлении правами доступа;
Наличие информации, необходимой для аттестации доступа;
Повышение уровня информационной безопасности за счет прозрачного управления доступом и своевременного выявления отклонений и нарушений.

Аттестация назначенных ролей в системе Solar inRights

Solar InRights поможет и в проведении аудита прав доступа. Система собирает исчерпывающие данные о ролях сотрудников в организации, учетных записях, постоянных и временных полномочиях. Информацию можно просматривать в интерфейсе Solar InRights, либо скачивать отчеты в удобном формате.

ЗАКЛЮЧЕНИЕ

Регулярные аттестация и сертификация доступа важны, поскольку они позволяют контролировать пользовательские полномочия и соблюдать принцип наименьших привилегий. Если компания располагает многочисленным штатом сотрудников, осуществлять эти процедуры вручную трудозатратно и неэффективно. Целесообразно внедрить IGA-систему Solar InRights, которая ускорит процессы валидации полномочий. Решение также позволит оптимизировать управление доступом и снизить нагрузку на ИТ-специалистов.