Спецпроекты

Посторонним вход воспрещен: как обезопасить корпоративные данные?

Безопасность Стратегия безопасности
Кто поспорит с тем, что доступ сотрудников к информации предприятия должен быть не только удобным, но и безопасным? На первый взгляд это кажется очевидным. Однако практика показывает, что в российских компаниях о второй составляющей часто забывают. О том, как защититься от кражи корпоративных данных и что такое управление доступом к информационным ресурсам предприятия, читайте далее.

Много лет ИТ- и ИБ-подразделения большинства крупных и средних российских компаний искали ответ на вопрос, как, предоставляя доступ сотрудников к информационным ресурсам компании, максимально защититься от охотников за секретными корпоративными сведениями. Но, несмотря на титанические усилия, пока проблема не только далека от разрешения, но и сама траектория развития рынка ИБ в последние годы, как ни странно, все дальше уводит предприятия от возможности найти ответ на этот ключевой вопрос.

Причин тому несколько. С одной стороны, бизнес-процессы объективно усложненяются, уровень их автоматизации повышается. В современных организациях увеличиваются объемы информации, обрабатываемой в электронном виде, информационные системы становятся сложнее, растет число приложений и информационных ресурсов, которые нужны пользователю для выполнения своих обязанностей. Кроме того, стремительно развиваются мобильные и облачные технологии и расширяются зоны их применения в бизнесе. С другой стороны, эти изменения происходят на фоне значительного роста количества и уровня компьютерных преступлений, а также все более активного использования бизнесом приемов конкурентной разведки, многие из которых заимствованы из арсенала злоумышленников.

Мобильные и облачные технологии стремительно развиваются
Мобильные и облачные технологии стремительно развиваются

Как же реагирует на эти изменения отрасль ИБ? Можно выделить три направления таких изменений. Первое – это, конечно, появление встроенных механизмов защиты данных и аутентификации пользователей практически в любом прикладном ПО и во всех строительных блоках ИТ-инфраструктуры. Несомненно, это позитивный процесс. Но такие механизмы — лишь инструменты, которым надо как-то пользоваться.

Компании не остаются в стороне от этих изменений. Наиболее заметными и универсальными трендами являются попытки внедрять все более жесткие требования к стойкости паролей и использовать ролевые модели доступа и формализованные корпоративные политики ИБ. Эти изменения также не могут не радовать. Однако, как показывает практика, этим изменениям активно сопротивляются пользователи, которые просто не могут держать в памяти постоянно меняющиеся и ничего не выражающие длинные последовательности букв и цифр. Да и отделы ИБ просто не в состоянии вручную перенастраивать механизмы доступа прикладных и инфраструктурных элементов ИС при каждом изменении статуса пользователя: приеме на работу, изменении должности, увольнении, включении в те или иные временные рабочие группы, пребывании в командировках и отпусках, оформлении больничных и др.

Чтобы смягчить эту проблему, был разработан ряд технологий и специализированных ИБ-продуктов, которые со временем сформировали в три класса ИБ-решений: IDM, PKI, SSO.

Системы класса IDM (Identity management) автоматизируют создание учетных записей пользователей в ИС организации на основе ролевых моделей доступа, а впоследствии контролируют соответствие реальной ситуации с доступом и заданной эталонной модели.

Системы класса PKI (Public Key Infrastructure) обеспечивают двухфакторную аутентификацию пользователей, при которой для доступа к ИТ-приложениям пользователь должен не только знать пароль, но и предъявить некоторый физический ключ (токен, смарт-карту).

Системы класса SSO (Single Sign-On) дают пользователю, прошедшему аутентификацию с использованием единого идентификатора (ключевого носителя или пароля), удобный доступ сразу к большому числу информационных систем (в идеале, ко всем ИТ-ресурсам, необходимым для выполнения должностных обязанностей).

Казалось бы, все прекрасно: изменения позитивны и гармонизированы. Но серьезные проблемы существуют. Чтобы выявить их корни и увидеть решения, надо разобраться, насколько эти системы актуальны для предприятий, в каких случаях они действительно способны снизить риск совершения компьютерных преступлений против предприятия. Для этого нужно несколько глубже разобраться в принципах работы систем IDM, PKI и SSO.

Системы класса IDM (Identity management)

Основная функция любой системы этого типа состоит в том, чтобы в режиме реального времени анализировать данные о движении персонала (прием, увольнение, переводы, отпуска и т. д.) и незамедлительно производить соответствующие корректировки прав доступа. Поэтому необходима интеграция систем IDM с кадровой системой организации. Важно подчеркнуть, что корректировка прав доступа – это реальное изменение учетных записей в конечных системах, которое становится возможным из-за того, что IDM-система при внедрении стыкуется со всеми ИТ-ресурсами с помощью соответствующих коннекторов.

Взгляд месяца

На хайпе часто можно построить только фейк

Сергей Мацоцкий

основатель и член совета директоров IBS

Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS