Права доступа к информационным системам: унификация неизбежна

В любой корпоративной информационной системе (КИС) имеются свои инструменты для управления пользователями. Однако обилие программных продуктов, применяемых сегодня в работе, заставляет компании обращаться к интеграторам за унифицированными системами управления доступом и его контроля.

Большой вклад в усложнение информационной инфраструктуры компании вносит рост и развитие бизнеса, а также повышение степени автоматизации деловых процессов. Чем больше инструментов используют сотрудники в повседневной работе, тем больше проблем в области идентификации пользователей испытывает ИТ-персонал. Многократный ручной ввод, неавтоматизированный контроль и разрозненная инфраструктура — всё это может привести к ошибкам в предоставлении доступа и к угрозам информационной безопасности.

Проблемы доступа

С первой проблемой доступа сталкиваются многие сотрудники, приходящие на новое рабочее место или меняющие должность (так называемая zero day problem). При недостаточной организации идентификационной политики нередко бывает так, что сотруднику приходится несколько дней добиваться возможности работать в новой информационной системе, которая необходима ему для решения повседневных задач. Хуже всего, когда доступ к информации является критически важным элементом — скажем, он необходим для ведения переговоров с клиентом, а специалист попросту не может войти в систему.

Другая неприятность заключается в сохранении доступа к тем системам, которые давно должны быть закрыты для пользователя по тем или иным причинам. В связи с переводом на другую должность или в удаленный офис, а также просто при уходе в отпуск или увольнении у сотрудника сразу пропадает необходимость работы с определенными КИС, но на практике процедура исключения его реквизитов из реестра доступа может занимать несколько дней, а то и месяцев. А учетная запись тем временем продолжает быть активной и может быть использована как самим сотрудником для доступа к конфиденциальной информации, так и злоумышленниками для проникновения в сеть.

Отсутствие централизованных средств контроля и управления доступом также не позволяет формировать консолидированную отчетность о том, какой доступ сотрудники имеют сейчас в разных системах, а уж тем более — какими его видами они обладали определенное время назад. В случае возникновения инцидентов бывает невозможно разобраться в разумные сроки, кто предоставил или отозвал доступ и на каком основании. Например, пользователю, который должен просматривать только отчеты об оплате поставок товаров, может быть открыт доступ ко всем финансовым системам организации. Такие избыточные права нередко влекут за собой неприятные последствия: недостаточно защищенный компьютер рядового сотрудника может быть заражен вирусом, а если недовольный работодателем специалист окажется инсайдером, то излишняя разрешительная политика дает ему все карты в руки. Надо сказать, что одним из обязательных элементов проекта в Банке России было именно создание единой системы отчетности и контроля над учетными записями и правами доступа.

Впрочем, даже если серьезных проблем не возникает, такие неприятные аспекты, как повышенная нагрузка на службу поддержки, избыточные затраты на администрирование и отсутствие оперативности в реализации политик, в конечном счете ведут к прямым финансовым потерям, включая рабочее время персонала, которое может стоить очень дорого.

Четкие регламенты

Внедрение единой системы контроля доступа всегда начинается с анализа имеющихся регламентов и политик аутентификации и безопасности в целом. Как мы часто видим на примере реальных компаний, те, кто не использовал автоматизированных решений для управления доступом, обнаруживают противоречащие друг другу политики, а также целые аспекты проблем, которые вообще никак не регулируются. Именно поэтому любой проект начинается с консалтинга, который включает в себя аудит политик разграничения доступа и создание рабочей модели политик безопасности. В процессе обсуждения потребностей пользователей в тех или иных информационных системах с директорами департаментов удается создать более реалистичную картину нормального формирования учетных записей сотрудников и приступить к интеграции средств управления доступом с различными элементами КИС.

Дополнительное укрепление безопасности достигается за счет реализации автоматических систем подачи и обработки заявок на изменение прав пользователей. Сотрудник в любое время может запросить доступ к определенному ресурсу или информационной системе, заполнив простую форму на внутреннем портале. В зависимости от имеющихся полномочий его заявка будет рассмотрена автоматически либо согласована ответственным менеджером. Принцип обработки заявок позволяет лимитировать время работы сотрудников с важными данными, автоматически закрывая доступ после того, как специалист решит стоящие перед ним задачи.

Упрощение и ускорение

Внедряя новые программные средства, мы предлагаем клиентам воспользоваться такими современными инструментами, как порталы самообслуживания, системы регистрации, согласования и исполнения заявок на предоставление доступа, а также средства консолидации данных о действиях пользователей и администраторов для дальнейшего их анализа.

В большинстве случаев заказчики выступают за внедрение такого функционала, так как он позволяет снять нагрузку с администраторов, сделать процессы предоставления и прекращения доступа более прозрачными, упростить формирование отчетности, а также предоставлять краткосрочный доступ по требованию при наличии таких регламентов в политике безопасности. Например, в компании “Вимм-Билль-Данн” удалось значительно сократить время и стоимость обработки запросов за счет предоставления всем пользователям возможности самостоятельного создания заявок на доступ к шести корпоративным системам и их автоматического исполнения по результатам согласования..

Как это работает

Классическая инфраструктура подобных систем включает в себя централизованный репозитарий данных сотрудников, для которого источником является кадровая служба, а все учетные записи каждого конкретного пользователя во всех интегрированных КИС однозначно сопоставлены с этим сотрудником. В случае приема в штат нового сотрудника, поступления заявки на предоставление доступа или, например, перевода специалиста автоматически исполняются необходимые действия: создание учетных записей, предоставление или отзыв доступа, назначение базового доступа в соответствии с ролевой моделью.

В современных организациях все чаще применяются ролевые модели управления доступом. Так, в компании “Аэрофлот” права сотрудникам предоставляются на базе той роли, которую выполняет каждый отдельно взятый специалист, при этом каждая роль содержит права доступа к множеству КИС. Это позволило интегрировать доступ для десяти основных информационных систем компании, автоматически разрешая работать в них тем сотрудникам, которым они нужны, например, бухгалтерам — в бухгалтерской системе и файловом хранилище, а менеджерам по продажам — в CRM-системе и системе электронного документооборота. При переводе сотрудника на другую должность предыдущая роль автоматически отзывается, а новая назначается в соответствии с полученной должностью.

Ну и, конечно, большим удобством для сотрудников оборачивается использование концепции единого входа (eSSO), когда при однократном прохождении аутентификации он может обратиться к любой из нужных ему информационных систем без повторного ввода логина и пароля.

Автор статьи — начальник отдела интеграционных систем безопасности R-Style.