IT ManagerБезопасностьУправление ИБ

Права под контролем

Даниил Казаков | 07.11.2018

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Права под контролем

Информационные системы с контролем доступа и разграничением прав пользователей появились не вчера, и даже не позавчера. Однако за последние годы ИТ-инфраструктура существенно усложнилась, количество систем значительно возросло, в крупных компаниях их десятки, если не сотни, да и число вариантов предоставления доступа тоже увеличилось. А потому неслучайно возникает целый ряд вопросов, связанных с тем, кто имеет доступ, куда и на каком основании, нет ли у кого-то излишних прав доступа и т. д. Нередко происходит так, что пользователю был предоставлен временный доступ, который системные администраторы затем забыли отключить. Если не решить эти вопросы своевременно, начинается «зоопарк», впоследствии неизбежно вызывающий хаос и серьезные проблемы с безопасностью.

Вместе с тем бизнес требует от ИТ скорости и гибкости, в том числе и предоставления прав доступа пользователям без излишних и долгих согласований. Иногда согласование осуществляется в устной форме, с намерением внести изменения в систему «потом».

Но не будем забывать о том, что существуют требования регулятора, в первую очередь это всем известный Закон о персональных данных 152-ФЗ, нормативы ФСТЭК, касающиеся защиты и контроля данных, а также европейский регламент GDPR, нарушение которых влечет за собой огромные штрафы. Таким образом, ликвидация хаоса и контроль в области предоставления прав доступа к информационным системам становится острой необходимостью для бизнеса.

Первым делом наведем порядок

Устаревшие способы управления правами доступа, вроде электронной таблицы в Excel, сегодня уже не годятся. К примеру, в средней по российским масштабам компании работает тысяча сотрудников и внедрено 30 информационных систем. Системному администратору просто не под силу поддерживать вручную в актуальном состоянии такой документ. Но и сами администраторы являются серьезным риском безопасности прав доступа. Они могут предоставлять права любому человеку по устной просьбе и самостоятельно заносить информацию об этом в файл. Подобный процесс необходимо контролировать с учетом всей необходимой цепочки согласований. Наконец, это можно и вовсе автоматизировать, предоставив пользователям возможность самим запрашивать необходимые им права через систему HelpDesk с ограничением доступных ресурсов в соответствии с уровнем допуска. Затем такой запрос проходит всю цепочку согласований, которые можно реализовать как с помощью простой ЭЦП, так и с применением ключа, токена и других аппаратных средств.

Прежде чем навести порядок в процессах управления доступом, эти процессы необходимо формализовать и упорядочить. Иными словами, нужно понять, кто запрашивает права, каким образом они сейчас проходят согласование, насколько оптимален этот процесс для бизнеса и т. д. Когда будут определены слабые места, можно заняться выработкой модели с учетом вероятных рисков. Как мы должны подходить к нестандартным запросам и нестандартным моделям запросов? Возможно, это отдельный процесс, который тоже необходимо описать и регламентировать. Сотрудники должны осознавать не только свои права и возможности, но и ответственность за их получение и применение. Кто должен взять на себя организационно-методологическую работу по упорядочению процессов управления правами доступа в организации? Лучше всего поручить такую задачу внешним подрядчикам – консалтинговым компаниям или системным интеграторам. Дело в том, что данные процессы затрагивают практически все без исключения подразделения заказчика, владельцев ресурсов, ИТ- и ИБ-департаменты. Как правило, менеджмент компании не имеет возможности собрать всех вместе и дать нужный вектор для обсуждения. Каждый будет продвигать свою точку зрения и «тянуть одеяло на себя». Необходим экспертный взгляд со стороны, который поможет увидеть все недостатки и дать рекомендации по их устранению. Ведь если автоматизировать «как есть» – другими словами, хаос, мы в итоге и получим автоматизированный хаос. Поэтому консалтинг, разработка методологии и регламентов – неотъемлемая часть внедрения системы управления доступом.

Решение по росту

При выборе технической платформы для системы управления доступом следует обратить внимание, прежде всего, на ее возможности, на реализацию комплексного подхода. Не менее важно выбрать решение, соответствующее масштабу бизнеса заказчика. Существует немало тяжеловесных зарубежных продуктов, ориентированных на крупные компании и холдинги. Стоимость лицензии и эксплуатации таких систем достаточно высока, процесс внедрения занимает длительное время, а окупаемости можно и не дождаться. Кроме того, российская специфика управления доступом далеко не всегда поддерживается западными продуктами. Например, в российских организациях широко распространен такой сценарий работы, как совместительство. Его реализация требует серьезной поддержки на уровне технологической платформы.

Одним из таких продуктов является система «RS: Управление доступом», разработанная российской компанией RedSys. Благодаря модульной архитектуре ее можно установить у любого заказчика, внедрив лишь те модули, которые соответствуют его задачам и потребностям. Базовый модуль «Ядро» отвечает за процесс предоставления прав и их согласования, с него можно начинать внедрение. Модуль «Автоматизация» обеспечивает интеграцию с другими системами, работающими у заказчика, посредством специальных штатных коннекторов. Благодаря открытой архитектуре, такие коннекторы можно создавать и самостоятельно. Модуль «Аутентификация» предоставляет возможность однократного входа пользователя во все системы, без необходимости запоминания множества логинов и паролей. В следующем году разработчики обещают выпустить модуль, предназначенный для управления рисками и анализа существующих пользовательских ролей.

Система «RS: Управление доступом» полностью написана с нуля, язык разработки – Java. В качестве СУБД можно использовать свободную PostgreSQL. Продукт размещен в Реестре российских программ и уже внедрен в ряде госструктур. Ведутся переговоры и с коммерческими заказчиками, в первую очередь с представителями банковского сектора. 

Ключевые слова: безопасность

Журнал IT-Manager № 10/2018

Компания: RedSys

Об авторах

Даниил Казаков

Даниил Казаков

директор департамента технологий управления доступом, RedSys

 


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Компании сообщают

Мероприятия

20.11.2018
Intel® Innovation Day – Осень 2018

Москва, Россия, г.Москва, Новинский бульвар, 8, стр.2 Лотте Отель Москва

20.11.2018
Oracle Cloud Day 2018

Москва, Технопарк «Сколково» Большой бульвар, д. 42, стр.1.

22.11.2018
Передача Audio, Video и KVM по IP: решения, опыт, истории успеха

Казань, пр. Фатыха Амирхана, 1A, комплекс «Казанская Ривьера».