Атрибутивная модель управления доступом
Узнать большеВнутренние политики информационной безопасности компаний диктуют необходимость следить за актуальностью назначенных полномочий и уровней доступа сотрудников. Для этого предусмотрена периодическая аттестация доступа. В статье рассказываем, что это такое, как реализуется процесс, чем может помочь IGA-система Solar InRights.
Что такое аттестация доступа
Аттестация — проверка текущих уровней доступа сотрудников и пересмотр полномочий, назначенных для выполнения служебных обязанностей. В первую очередь она необходима, чтобы исключить накопление избыточных привилегий и минимизировать инциденты ИБ. Также аттестация позволяет подтвердить наличие текущих полномочий, чтобы сотрудники были обеспечены только теми правами, которые действительно необходимы для работы.
Существует и другое понятие, тоже тесно связанное с утверждением полномочий — сертификация доступа. Его часто используют как синоним аттестации, потому что в рамках сертификации по факту происходят аналогичные процессы. Но аттестация доступа — более глубокая процедура, которая распространяется на все аспекты управления объектами и субъектами доступа. Она подтверждает корректность некоторых фактов, например, целесообразность присвоения конкретным сотрудникам определенных системных и бизнес-ролей, полномочий. Также в процессе процедуры аттестации, руководители или владельцы ресурсов проводят анализ необходимости использования тех или иных прав доступа и действийй, которые могут выполняться в отношении ИТ-ресурсов, рассматривают и регулируют вопрос допустимости конфликтующих прав доступа, назначенных одному сотруднику и принимают решение о их сохранении.
Если идет речь о повторном подтверждении предоставленных пользователям уровней доступа и полномочий, например, при изменении некоторых условий (например, при реорганизации компании или переходе сотрудников на другие должности), то такой процесс называется ресертификацией. Эта процедура необходима организациям с высокими рисками ИБ и строгими требованиями к безопасности данных.
Как проходит аттестация доступа
Для проведения аттестации необходимо выполнение определенных условий и прохождение нескольких этапов:
- Определяются: точное количество сотрудников организации, их должности и роли. Если у компании нет автоматизированных средств сбора информации, то целесообразно привлечь работников кадрового отдела и запросить полный список персонала, уточнить информацию у руководителей проектов.
- Интерпретируются названия всех элементов ИТ-инфраструктуры, чтобы знать, к каким именно ресурсам предоставлять доступ.
- Проверяются текущие виды прав доступа сотрудников и учетных записей, соотносятся с должностями и актуальными бизнес-задачами.
- При необходимости отзываются неактуальные полномочия. Если кому-то из сотрудников недостаточно предоставленных прав доступа, набор привилегий пересматривается и дополняется.
- Результаты процедуры в обязательном порядке документируются.
В некоторых компаниях из-за недостатка необходимой информации и отсутствия налаженного процесса согласования прав доступа аттестация проводится «вслепую». Пример такой ситуации — руководители проектов знают обязанности своих сотрудников, но не вникают в назначенные полномочия, а IT-менеджеры, наоборот, видят только полномочия, но не знают обязанностей. В результате не происходит глубокой проверки, и привилегии у всех остаются прежними. Подобное может быть и в случае, если процедура проводится полностью вручную, без использования автоматизированных решений. В таком случае, помимо того, что необходимо проанализировать и сопоставить большой объем информации, еще и велика вероятность ошибок под влиянием человеческого фактора. Итог — высокие риски ИБ.
Зачем нужна аттестация доступа
Основные цели проведения процедуры:
- Контроль за актуальностью прав доступа.
- Обеспечение соответствия требованиям регуляторов и стандартов безопасности.
- Минимизация рисков утечки данных из-за избыточных полномочий.
Аттестация — одна из важных составляющих стратегии управления доступом в любой организации. Она позволяет соблюдать принцип наименьших привилегий и назначать только те полномочия, которых будет достаточно для выполнения служебных обязанностей. Также благодаря аттестации можно решить и противоположную проблему, связанную со слишком узким кругом прав для отдельных сотрудников. Как правило, в таких случаях недостающие полномочия запрашиваются отдельно по заявкам, которые могут долго рассматриваться. Логичнее пересмотреть круг прав, необходимых на постоянной основе и затем оформить соответствующий запрос на доработку стандартных наборов полномочий для определенных должностей или подразделений и, после утверждения, внести изменения в политики назначения полномочий.
Роль IGA-системы Solar InRights в проведении аттестации доступа
IGA-система (Identity Governance and Administration) Solar InRights предназначена для централизованного управления доступом. Она позволяет автоматизировать процессы назначения, изменения и отзыва полномочий для штатных и внештатных сотрудников, обеспечивает гибкий подход к аттестации, сертификации или ресертификации доступа.
Solar InRights помогает реализовать управление доступом на базе динамических политик назначения прав доступа, которые включают как подход с использованием ролевой модели, так и атрибутивной. В системе хранятся зарегистрированные политики назначения прав доступа для работников на одинаковых должностях и в конкретных подразделениях, а также политики описывающие любые уникальные ситуации. Если нужно расширить или сузить круг прав, достаточно внести изменения в политики назначений.
Solar InRights поможет ускорить процесс валидации полномочий, назначенных до ее внедрения. Она интегрируется с целевыми системами и собирает информацию об учетных записях и текущих доступах. На основании анализа собранной информации выявляются бесхозные учетные записи и инициируется процесс по актуальности текущих прав доступа для дальнейшего построения ролевой модели. После первичной сертификации и наведения порядка, с помощью системы Solar inRights можно проводить регулярные проверки доступа по выбранным подразделениям или по кампании в целом. Благодаря IGA-системе аттестация доступа будет проведена в полном соответствии с внутренними регламентами и требованиями регуляторов отрасли.
Преимущества использования IGA-системы Solar InRights для аттестации доступа
Можно выделить следующие ключевые преимущества:
- Снижение трудозатрат лиц, ответственных за назначение и пересмотр полномочий;
- Минимизация ошибок под влиянием человеческого фактора при управлении правами доступа;
- Наличие информации, необходимой для аттестации доступа;
- Повышение уровня информационной безопасности за счет прозрачного управления доступом и своевременного выявления отклонений и нарушений.
Solar InRights поможет и в проведении аудита прав доступа. Система собирает исчерпывающие данные о ролях сотрудников в организации, учетных записях, постоянных и временных полномочиях. Информацию можно просматривать в интерфейсе Solar InRights, либо скачивать отчеты в удобном формате.