КУБ: новый взгляд на управление доступом
Любопытно: Решение КУБ (Комплексное Управление Безопасностью) компании «ТрастВерс», входящей в холдинг «Информзащита», десять лет назад, когда разрабатывалось специально для Центробанка РФ, вовсе не задумывалось как IDM (Identity Management) система или решение, имеющее хоть какое-то отношение к информационной безопасности компании. Первоначальная задача состояла в автоматизации документооборота заявок на доступ к информационным ресурсам банка — бумажный архив заявок с трудом вмещался в выделенное помещение. По мере реализации проекта задача усложнялась и в итоге изменилась настолько, что разработка превратилась в полноценное IDM-решение, расширенное уникальным функционалом для обеспечения информационной безопасности компании.В 2003 г. ЦБ РФ инициировал проект по автоматизации документооборота заявок на доступ к информационным ресурсам. Проблема была очевидной: на выяснения, кем, когда и на каком основании сотруднику был предоставлен доступ к информационному ресурсу, уходили дни. Разработка продукта началась, и вскоре требования к будущей системе начали меняться.
Сначала возникла дополнительная задача проверять факт выполнения заявки: решение должно было автоматически, без участия человека, контролировать ход согласования и реализацию заявок. Организация подобного мониторинга радикально повлияла на архитектуру решения. Следующей возникла задача учитывать многообразие и разнородность подключаемых к продукту информационных систем. То есть нужно было разработать механизм, с помощью которого создаваемое решение получало бы информацию о том, что происходит во внешних системах. В конце концов, разработка превратилась в кроссфункциональное IDM-решение с расширенным функционалом.
Какие задачи решает КУБ сегодня
Современный КУБ решает ряд актуальных задач, связанных с управлением доступом и обеспечением безопасности. Чего ждут наши клиенты от подобных решений? Конечно, решения собственных проблем, минимизации рисков, оптимизации затрат.
Главная задача, возникающая перед службой ИТ в любой компании с большим количеством сотрудников и информационных ресурсов, – автоматизация управления учетными записями. КУБ синхронизирован с системой (системами) кадрового учета предприятия и умеет в ответ на происходящее в ней событие, такое как, прием на работу, увольнение, отпуск, создавать, удалять или блокировать учетные записи в информационных системах.
Автоматизация управления учетными записями и согласования заявок: синхронизация с СКУ, генерация инструкций, непрерывный контроль
Источник: «ТрастВерс», 2011
Другая задача – эффективное управление доступом вручную. Когда бизнес-пользователь запрашивает доступ к информационной системе, КУБ согласует его заявку с определенным кругом ответственных лиц и по факту согласования вырабатывает инструкции для исполнителей в понятной им терминологии, в которых говорится, какие действия необходимо произвести в информационных системах. Если политика ИБ предприятия допускает полностью автоматизированное управление доступом, все инструкции выполняются автоматически.
Еще одна не менее важная задача – проверка фактов и сроков исполнения заявки. КУБ мониторит все изменения, происходящие в информационных системах, сопоставляя их с пулом открытых инструкций. При совпадении соответствующая заявка получает статус исполненной. Если заявка по какой-либо причине не выполнена в положенный срок, ее автор получает уведомление о задержке. Другая сторона этой же задачи – убедиться в том, что все произошедшие в информационных системах изменения являются результатом выполнения заявок. Как только КУБ обнаруживает изменение, не соответствующее какой-либо открытой инструкции, он фиксирует несанкционированные изменения и оповещает заинтересованных лиц.
Основные принципы работы
В основе КУБ лежит электронный управляющий документооборот заявок. Он позволяет пользователям управлять своими заявками на доступ к информационным ресурсам через согласование. Под документооборотом понимается последовательный процесс движения заявок, каждая из которых проходит следующие этапы: создание, согласование, актуализация, выполнение, контроль. Участниками документооборота могут быть все сотрудники организации, которые создают, согласуют или реализуют заявки.
Заявка – это электронный документ, где пользователь формулирует свои требования к доступу или другие изменения модели. Все изменения, происходящие в информационных системах – это результаты выполнения заявок. Заявки автоматически преобразуются в инструкции, указывающие, что конкретно нужно изменить в информационных системах, чтобы пользователи получили требуемый доступ к ресурсам. Автоматической генерации инструкций нет ни в одной из существующих сегодня IDM-системы, как нет и возможности выбрать режим автоматического или ручного исполнения инструкций.
До исполнения инструкции могут быть актуализированы специалистом, ответственным за целевую систему, т.е. он имеет право скорректировать некоторые ее параметры, например, заменить исполнителя инструкции или изменить имя создаваемой учетной записи.
Все заявки в КУБ обязательно согласовываются. Маршруты согласования определяются автоматически, на основании заявки, учитывая доступность согласующих, организационно-штатную структуру организации и ответственность сотрудников за информационные ресурсы. Наличие динамических маршрутов согласования отличает КУБ от представленных на рынке IDM- и ЭДО-решений. КУБ хранит не только все заявки на доступ, но и информацию о происходящих с ними действиях: кто и когда согласовал, на основании чего, кто выполнил и т.д. В типовой IDM-системе не учитывается история изменений прав доступа, что значительно затрудняет расследование инцидентов.
Заявку на доступ может создать любой пользователь системы через удобный веб-интерфейс, что снимает нагрузку с администраторов. При создании заявки автор выбирает сотрудников и роли, которые им нужны для получения доступа к определенным ресурсам. Поиск подходящих ролей можно осуществлять по названию, категории, соответствию определенному информационному ресурсу или просто выбирать из полного списка. При этом нет необходимости углубляться в технические подробности. Например, при запросе прав доступа к 1С, пользователю не требуется указывать имя, название рабочего каталога, набора прав пользователя и прочие детали. На основе заложенных правил КУБ сам транслирует требования заявки в термины целевых систем. Возможность перевода требований пользователей в терминологию целевых систем позволяет обычным сотрудникам не вникать в технические подробности и экономить свое время, исполнителям инструкций – сокращать риски ошибок, связанных с неправильной трактовкой заявок, а руководству компании – экономить деньги на обслуживании информационных ресурсов.
Заявки и все действия по их согласованию можно защищать электронной подписью. Для поддержки электронной подписи могут использоваться любые сертификаты, в том числе предназначенные для создания квалифицированной юридически значимой подписи.
Безопасность: соответствие политике ИБ, непрерывный контроль, логический и сетевой доступ
Источник: «ТрастВерс», 2011
При создании заявки есть много дополнительных возможностей. Например, пользователь может сам указывать конкретных согласующих лиц, задавать желаемое время выполнения заявки или дату, в которую ее нужно рассмотреть. Можно так же определить период, по истечению которого будет создана другая заявка, отзывающая полученные права обратно. Возможности предоставить временный доступ к информационному ресурсу нет сегодня ни в одном другом решении.
КУБ – IDM-решение нового поколения
Сегодняшний КУБ – это бесшовное решение в области контроля и управления логическим и сетевым доступом, контроля целостности программно-аппаратных конфигураций, обеспечивающим в полной мере интересы ИБ компании.
КУБ необходим не только руководителю службы ИТ для управления правами доступа но и службе информационной безопасности, позволяя непрерывно контролировать соблюдение политики ИБ, выявлять и предотвращать любые несанкционированные изменения целевых систем за счет разграничения доступа. Кроме того, КУБ – удобное решение и для бизнес-пользователей: они самостоятельно могут запрашивать доступ к необходимым ресурсам, а руководители бизнес-подразделений могут видеть текущие права доступа своих сотрудников и при необходимости отобрать лишние или добавить недостающие.