Статья

КУБ: новый класс систем комплексного управления доступом

Безопасность Интеграция Инфраструктура Стратегия безопасности Администратору
мобильная версия

Компания "ТрастВерс", входящая в холдинг "Информзащита", предложила рынку свое видение решений IDM, расширяющее общепринятое понятие об управлении доступом к информационным ресурсам компании. Платформа КУБ - комплексное решение, которое обеспечивает управление доступом, непрерывный контроль соблюдения политики безопасности и выявление несанкционированных изменений настроек прав доступа к информационным ресурсам компании.

В идеале в каждой компании должны существовать четкие регламенты, описывающие доступ сотрудников к тем или иным ресурсам. Тогда и проблем с безопасностью данных немного, и порядка больше. Однако далеко не везде дела обстоят так хорошо. В любой организации численностью от тысячи человек количество значимых кадровых перемещений ежедневно составляет около 2%. Сюда относятся не только случаи увольнения и приема на работу, но и перемещения из отдела в отдел, болезни, командировки, временное замещение обязанностей ушедших в отпуска людей. Например, сотрудник уехал в командировку. Это значит, что помимо билетов и командировочных, организация должна обеспечить ему удаленный доступ к необходимым корпоративным ресурсам. А по возвращении — отозвать, если в его должностной инструкции такой доступ не предусмотрен. В результате, если кадровых изменений много, даже идеально отстроенная система начинает накапливать ошибки и несообразности, что может привести к негативным последствиям в компании.

Новый уровень управления доступом

"Классическая система IDM закрывает проблему управления учетными записями, оставляя открытыми вопросы информационной безопасности", - комментирует Сергей Ступин, менеджер по продукту КУБ.

Архитектура КУБ

Увеличить


Источник: "ТрастВерс", 2012

Разработанная в "ТрастВерс" платформа КУБ решает задачу управления доступом шире, учитывая потребности и служб безопасности. Причем для последних крайне важно обеспечить непрерывность контроля, поскольку чем больше времени пройдет с момента нарушения политики безопасности компании, тем сильнее будет ущерб. Основная задача КУБ состоит в централизации всех информационных ресурсов компании и эффективном управлении ими. После внедрения системы на предприятии довольно быстро возникает стройная и упорядоченная структура предоставления доступа, где каждое изменение прав доступа имеет своего автора. Это особенно полезно в случае возникновения инцидентов, связанных с недобросовестностью сотрудников. После беглого взгляда на КУБ остается вопрос: это действительно серьезное и единственное в своей нише решение или "пятое колесо" в инфраструктуре компании?

Говоря о различиях между системами класса IDM и платформой КУБ, Сергей Ступин уточняет, что целевая аудитория систем класса IDM - это администраторы, управляющие настройками информационных систем. Но задача управления доступом затрагивает гораздо больше вопросов. Прежде всего, необходимо формировать и согласовывать заявки на предоставление прав доступа с учетом структуры предприятия. Нужно также непрерывно контролировать доступ и выявлять несанкционированные изменения учетных записей. Дополнительно следует обеспечить и согласованное управление логическим и сетевым доступом. Это далеко не все вопросы, которые необходимо решать компаниям. Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом.

Процесс создания заявки в системе

Увеличить


Источник: "ТрастВерс", 2012

Таким образом, механизм управления доступом, реализованный в системе КУБ, включает в себя функциональность IDM систем, существенно расширяя ее в области согласования, определения требуемых изменений и оперативного контроля настроек доступа в целевых системах. Именно эти задачи являются ключевыми для комплексного управления доступом. КУБ — платформа нового поколения. Она решает задачу управления доступа сразу для трех основных участников процесса: бизнес-пользователей, работников ИТ-служб и сотрудников служб информационной безопасности.

Как это работает?

У всех решений, связанных с информационной безопасностью, существует слабое место, а именно — человеческий фактор. Можно сколь угодно долго отстраивать политики, распределять роли и совершенствовать аутентификацию — один злоумышленник, получивший достаточно прав, может свести все усилия на нет. Особенно если по каким-то причинам у него высокий уровень доступа. Любая заявка на изменение прав должна иметь инициатора, имеющего необходимые для этого права, и пройти ряд установленных правилами согласований. Когда процесс согласования заявки автоматизирован и полностью соответствует политике информационной безопасности и действующим в компании бизнес-процессам, возможно предотвратить ошибки человеческого фактора за счет автоматизации. Если, несмотря на все предосторожности, инцидент все-таки произошел, очень важно иметь перед глазами всю историю изменений настроек прав доступа. Только так можно идентифицировать "нарушителя".

При использовании КУБ часть "возможностей" недобросовестных сотрудников отсекаются уже на уровне архитектуры.

В процессе управления доступом КУБ создает так называемую "модель", отражающую текущие настройки всех информационных систем. После согласования заявки КУБ может спрогнозировать, как должны измениться настройки информационных систем, и перевести модель в новое состояние.

Благодаря такой модели процедура контроля становится по-настоящему эффективной, потому что все совершенные изменения в системе в тот же момент сопоставляются с утвержденной моделью доступа и политикой информационной безопасности. Более того, изменения считаются успешно завершенными, только если реальное состояние информационной системы совпадет с моделью. В противном случае сразу же станет понятным, что кто-то из сотрудников не выполнил всех необходимых действий или умышленно сделал что-то не так, например, дал лишний доступ к определенным информационным ресурсам.

Кому необходим КУБ, и чего ждать от внедрения?

Прежде чем приступить к разработке системы КУБ специалисты компании "ТрастВерс" тщательно проанализировали потребности рынка и нашли никем не занятую нишу, востребованную предприятиями крупного бизнеса, для которых принципиально важны вопросы информационной безопасности при управлении доступом.

Согласование заявки

Увеличить


Источник: "ТрастВерс", 2012

Сейчас "ТрастВерс" внедряет КУБ в ЦБ РФ, Федеральном Казначействе, РЖД, ФСБ и прочих крупных корпорациях. "Отраслевой специфики как таковой у нас нет, - поясняет Сергей Ступин, - мы наработали типовые решения в зависимости от организационной структуры и политики безопасности в компании. Для того чтобы начать внедрять КУБ, нужно формализовать политику безопасности".

Целевым потребителем КУБ являются крупные компании с разветвленной структурой, имеющие большое количество ежедневных кадровых операций и высокую цену любых ошибок, связанных с правами доступа к информационным ресурсам.

К сожалению, классическое IDM-решение не в состоянии решить проблему контроля доступа и соблюдения политики информационной безопасности. На сегодняшний день – КУБ единственное комплексное решение, представленное на российском рынке.

Сергей Ступин отмечает, что срок внедрения КУБ относительно небольшой. Средний проект на 1000 рабочих мест занимает около двух месяцев. Основное время затрачивается на подготовительный этап, когда необходимо оптимизировать или описать действующие бизнес-процессы в области обеспечения информационной безопасности и помочь компании сформулировать основные принципы безопасного управления доступом. После выполнения выше описанных действий вовлечение заказчика в реализацию проекта минимально. Несмотря на то, что крупные компании уделяют достаточно много внимания информационной безопасности, их политика в области доступа и распределения ролей сотрудников часто далека от идеальной. В КУБ встроены средства анализа и оптимизации структуры ролей, которые помогут навести порядок.

Что же происходит после внедрения КУБ? Возможно ли каким-то образом оценить эффект? Безусловно. В результате запуска решения в компании будет формализована политика информационной безопасности, упорядочены информационные ресурсы и определены зоны ответственности сотрудников. Любое изменение прав доступа происходит без задержек по заложенному сценарию, в результате чего снижены риски утраты важной информации. Сетевой доступ неразрывно связан с логическим, и доступна полная история всех изменений прав. Бизнес-пользователи со своего рабочего места оформляют и согласовывают заявки на доступ к необходимым информационным ресурсам. ИТ-администраторы получают четкие инструкции в понятной им терминологии. Наконец, служба информационной безопасности получает действенный и удобный инструмент контроля нарушений политики безопасности.

Василий Прозоровский / CNews