КУБ: новый взгляд на управление доступом
Любопытно: Решение КУБ (Комплексное Управление Безопасностью) компании «ТрастВерс», входящей в холдинг «Информзащита», десять лет назад, когда разрабатывалось специально для Центробанка РФ, вовсе не задумывалось как IDM (Identity Management) система или решение, имеющее хоть какое-то отношение к информационной безопасности компании. Первоначальная задача состояла в автоматизации документооборота заявок на доступ к информационным ресурсам банка — бумажный архив заявок с трудом вмещался в выделенное помещение. По мере реализации проекта задача усложнялась и в итоге изменилась настолько, что разработка превратилась в полноценное IDM-решение, расширенное уникальным функционалом для обеспечения информационной безопасности компании.Безусловно, поскольку КУБ не является средством защиты информации, система сигнализирует не о фактах проникновения пользователя к ресурсу, а о появлении у пользователя прав, которых у него быть не должно, даже если этот пользователь – сам администратор. Речь идет скорее не о защите, а о предотвращении несанкционированного доступа.
Для того чтобы организовать эффективное управление доступом на предприятии, обеспечить его информационную безопасность, минимизировать риски, связанные с ошибочно предоставленным доступом, просто поставки любого программного решения недостаточно. Требуется провести ряд подготовительных работ.
Прежде всего, нужно определить актуальный список информационных ресурсов и целевых систем, затем разбить их по категориям и определить ответственных за каждый ресурс. Затем нужно построить ролевую модель и подробно описать права и возможности для каждой роли, то есть формализовать политику информационной безопасности. Затем все эта информация вносится в КУБ, и на основании разработанной ролевой модели осуществляется управление доступом к информационным ресурсам предприятия.
Стоит отметить, что в КУБ хранится полная история изменений всех прав доступа и любому изменению должна предшествовать заявка, согласованная в определенные сроки определенными лицами. Наличие подобной информации дает службе безопасности широкие возможности для оперативного расследования инцидентов. С помощью встроенных в КУБ отчетов всегда можно быстро установить, кто и когда выдал пользователю определенные права, и кто инициировал заявку.
Дополнительные возможности
В КУБ реализованы также некоторые дополнительные возможности, важные для обеспечения информационной безопасности компании. Во-первых, это управление сетевым доступом и средствами защиты информации. В большинстве крупных организаций доступом к информационным системам управляют одни специалисты, а сетевым доступом – другие, и часто они совершают несвязанные действия. КУБ позволяет выполнять эти два процесса одновременно. Например, если сотруднику необходимо получить доступ к удаленному ресурсу из дома, и между ним и ресурсом находится межсетевой экран (МСЭ), заявкой генерируются инструкции и администратору ресурса, и специалисту, отвечающему за настройку МСЭ. И, что самое важное, процесс работает и в обратную сторону, при ограничении прав или блокировке пользователей. Администратор системы блокирует доступ или удаляет учетную запись, а администратор МСЭ закрывает соответствующий маршрут.
Для обеспечения комплексности КУБ интегрирован с некоторыми СЗИ, например, Secret Net. Через КУБ осуществляется управление настройками СЗИ и настройками прав доступа к приложениям.
Во-вторых, дополнительной возможностью можно считать управление цифровыми сертификатами. Цифровые сертификаты используются для аутентификации пользователей, то есть проверки сотрудника, который хочет получить доступ к ресурсу. Путем выдачи сертификатов централизовано, через КУБ, обеспечивается комплексность решения.Сегодня КУБ управляет только сертификатами без цифровых носителей, но в ближайшей перспективе будет подключено решение по управлению токенами. Выпуск устройства с сертификатом будет инициироваться в КУБ.
Наконец, решение делает возможным управление программно-аппаратными конфигурациями. В КУБ содержатся сведения о конфигурации компьютеров и установленном на них программном обеспечении. Если сотруднику необходимо установить для работы дополнительные программы, он отправляет в КУБ заявку, она точно так же согласовывается и генерирует инструкции исполнителям. Если КУБ обнаруживает, что конфигурация компьютера неожиданно изменилась, например, объем памяти стал меньше, поменялся процессор или пропала звуковая карта , следуют оповещения соответствующим лицам.
Процесс внедрения
КУБ разрабатывался для компаний среднего и крупного бизнеса, заинтересованных в управлении доступом на основе единой политики информационной безопасности. Это те компании, в которых цена риска ошибочно предоставленных прав довольно высока.
Процесс внедрения КУБ по-своему уникален. При внедрении используются типовые методики и регламенты эксплуатации системы, за счет которых удается реализовать проект в относительно небольшие сроки (по сравнению с типовыми IDM-системами). Приобретая типовую IDM, заказчик фактически покупает конструктор, из которого внедряющая компания будет собирать и дорабатывать решение исключительно под свои нужды. Такой подход требует очень много времени и существенных дополнительных расходов. При этом нет никакой возможности использовать дописанный функционал под новых заказчиков.
КУБ использует совсем другой подход. Все доработки, выполненные под конкретных заказчиков, переносятся в базовый функционал. КУБ – это цельное решение, которое постоянно эволюционирует. В этом заключается– его преимущество.
В КУБ используется специальная технология поддержки произвольных информационных систем с типовой моделью разграничения доступа, что так же положительно влияет на скорость внедрения.
«ТрастВерс» – российский вендор, поэтому клиенты могут рассчитывать на оперативную, качественную и круглосуточную техническую поддержку, подробную русскоязычную документацию и обучение специалистов заказчика в специализированных учебных центрах. В случае необходимости возможны доработки и расширение функциональности КУБ, а так же интеграция с другими используемыми заказчиком системами.
Планы развития
В ближайших планах – добавление функционала управления доступом на основе политик (например, политики разделения полномочий, когда человек с одними правами, не может иметь другие). Это позволит более плотно интегрировать КУБ в бизнес-процессы заказчика.
Сейчас у КУБ нет возможности учитывать приоритеты обнаруженных несоответствий и выдавать рекомендации относительно порядка их отработки. Разумеется, все инциденты могут иметь разные последствия для безопасности бизнеса. Одни могут быть абсолютно безболезненными, а другие – составлять реальную угрозу. Есть уверенность, что данный функционал будет востребован руководителями бизнеса. Кроме этого, планируется совершенствование инструментария по формализации политики информационной безопасности.
В разных отраслях есть ряд нормативных документов, диктующих требования к построению процесса управления доступом. Требования этих документов можно заложить в систему, что позволит анализировать соответствие текущей политики ИБ законодательству и отраслевым нормативам.
В планах — расширение спектра технологических партнеров. Будет добавляться смежная функциональность и интегрироваться со специализированными и отраслевыми решениями.
Татьяна Малявина, руководитель отдела маркетинга компании «ТрастВерс»