Новый взгляд на управление правами доступа

Решение КУБ (Комплексное Управление Безопасностью), десять лет назад, когда разрабатывалось специально для Центробанка РФ, вовсе не задумывалось как IDM система. Решение не имело никакого отношения к информационной безопасности компании.

Первоначальная задача состояла в автоматизации документооборота заявок на доступ к информационным ресурсам банка — бумажный архив заявок с трудом вмещался в выделенное помещение. По мере реализации проекта задача усложнялась и в итоге изменилась настолько, что разработка превратилась в полноценное IDM-решение, расширенное уникальным функционалом для обеспечения информационной безопасности компании.

В 2003 г. ЦБ РФ инициировал проект по автоматизации документооборота заявок на доступ к информационным ресурсам. Проблема была очевидной: на выяснения, кем, когда и на каком основании сотруднику был предоставлен доступ к информационному ресурсу, уходили дни. Разработка продукта началась, и вскоре требования к будущей системе начали меняться.

Сначала возникла дополнительная задача проверять факт выполнения заявки: решение должно было автоматически, без участия человека, контролировать ход согласования и реализацию заявок. Организация подобного мониторинга радикально повлияла на архитектуру решения. Следующей возникла задача учитывать многообразие и разнородность подключаемых к продукту информационных систем. То есть нужно было разработать механизм, с помощью которого создаваемое решение получало бы информацию о том, что происходит во внешних системах. В конце концов, разработка превратилась в кроссфункциональное IDM-решение с расширенным функционалом.

Какие задачи решает КУБ сегодня

Современный КУБ решает ряд актуальных задач, связанных с управлением доступом и обеспечением безопасности. Чего ждут наши клиенты от подобных решений? Конечно, решения собственных проблем, минимизации рисков, оптимизации затрат.

Главная задача, возникающая перед службой ИТ в любой компании с большим количеством сотрудников и информационных ресурсов, – автоматизация управления учетными записями. КУБ синхронизирован с системой (системами) кадрового учета предприятия и умеет в ответ на происходящее в ней событие, такое как, прием на работу, увольнение, отпуск, создавать, удалять или блокировать учетные записи в информационных системах.

Автоматизация управления учетными записями и согласования заявок: синхронизация с СКУ, генерация инструкций, непрерывный контроль

Другая задача – эффективное управление доступом вручную. Когда бизнес-пользователь запрашивает доступ к информационной системе, КУБ согласует его заявку с определенным кругом ответственных лиц и по факту согласования вырабатывает инструкции для исполнителей в понятной им терминологии, в которых говорится, какие действия необходимо произвести в информационных системах. Если политика ИБ предприятия допускает полностью автоматизированное управление доступом, все инструкции выполняются автоматически.

Еще одна не менее важная задача – проверка фактов и сроков исполнения заявки. КУБ мониторит все изменения, происходящие в информационных системах, сопоставляя их с пулом открытых инструкций. При совпадении соответствующая заявка получает статус исполненной. Если заявка по какой-либо причине не выполнена в положенный срок, ее автор получает уведомление о задержке. Другая сторона этой же задачи – убедиться в том, что все произошедшие в информационных системах изменения являются результатом выполнения заявок. Как только КУБ обнаруживает изменение, не соответствующее какой-либо открытой инструкции, он фиксирует несанкционированные изменения и оповещает заинтересованных лиц.

Основные принципы работы

В основе КУБ лежит электронный управляющий документооборот заявок. Он позволяет пользователям управлять своими заявками на доступ к информационным ресурсам через согласование. Под документооборотом понимается последовательный процесс движения заявок, каждая из которых проходит следующие этапы: создание, согласование, актуализация, выполнение, контроль. Участниками документооборота могут быть все сотрудники организации, которые создают, согласуют или реализуют заявки.

Заявка – это электронный документ, где пользователь формулирует свои требования к доступу или другие изменения модели. Все изменения, происходящие в информационных системах – это результаты выполнения заявок. Заявки автоматически преобразуются в инструкции, указывающие, что конкретно нужно изменить в информационных системах, чтобы пользователи получили требуемый доступ к ресурсам. Автоматической генерации инструкций нет ни в одной из существующих сегодня IDM-системы, как нет и возможности выбрать режим автоматического или ручного исполнения инструкций.

До исполнения инструкции могут быть актуализированы специалистом, ответственным за целевую систему, т.е. он имеет право скорректировать некоторые ее параметры, например, заменить исполнителя инструкции или изменить имя создаваемой учетной записи.

Все заявки в КУБ обязательно согласовываются. Маршруты согласования определяются автоматически, на основании заявки, учитывая доступность согласующих, организационно-штатную структуру организации и ответственность сотрудников за информационные ресурсы. Наличие динамических маршрутов согласования отличает КУБ от представленных на рынке IDM- и ЭДО-решений. КУБ хранит не только все заявки на доступ, но и информацию о происходящих с ними действиях: кто и когда согласовал, на основании чего, кто выполнил и т.д. В типовой IDM-системе не учитывается история изменений прав доступа, что значительно затрудняет расследование инцидентов.

Заявку на доступ может создать любой пользователь системы через удобный веб-интерфейс, что снимает нагрузку с администраторов. При создании заявки автор выбирает сотрудников и роли, которые им нужны для получения доступа к определенным ресурсам. Поиск подходящих ролей можно осуществлять по названию, категории, соответствию определенному информационному ресурсу или просто выбирать из полного списка. При этом нет необходимости углубляться в технические подробности. Например, при запросе прав доступа к 1С, пользователю не требуется указывать имя, название рабочего каталога, набора прав пользователя и прочие детали. На основе заложенных правил КУБ сам транслирует требования заявки в термины целевых систем. Возможность перевода требований пользователей в терминологию целевых систем позволяет обычным сотрудникам не вникать в технические подробности и экономить свое время, исполнителям инструкций – сокращать риски ошибок, связанных с неправильной трактовкой заявок, а руководству компании – экономить деньги на обслуживании информационных ресурсов.

Заявки и все действия по их согласованию можно защищать электронной подписью. Для поддержки электронной подписи могут использоваться любые сертификаты, в том числе предназначенные для создания квалифицированной юридически значимой подписи.

Безопасность: соответствие политике ИБ, непрерывный контроль, логический и сетевой доступ

При создании заявки есть много дополнительных возможностей. Например, пользователь может сам указывать конкретных согласующих лиц, задавать желаемое время выполнения заявки или дату, в которую ее нужно рассмотреть. Можно так же определить период, по истечению которого будет создана другая заявка, отзывающая полученные права обратно. Возможности предоставить временный доступ к информационному ресурсу нет сегодня ни в одном другом решении.

КУБ – IDM-решение нового поколения

Сегодняшний КУБ – это бесшовное решение в области контроля и управления логическим и сетевым доступом, контроля целостности программно-аппаратных конфигураций, обеспечивающим в полной мере интересы ИБ компании.

КУБ необходим не только руководителю службы ИТ для управления правами доступа но и службе информационной безопасности, позволяя непрерывно контролировать соблюдение политики ИБ, выявлять и предотвращать любые несанкционированные изменения целевых систем за счет разграничения доступа. Кроме того, КУБ – удобное решение и для бизнес-пользователей: они самостоятельно могут запрашивать доступ к необходимым ресурсам, а руководители бизнес-подразделений могут видеть текущие права доступа своих сотрудников и при необходимости отобрать лишние или добавить недостающие.

Безусловно, поскольку КУБ не является средством защиты информации, система сигнализирует не о фактах проникновения пользователя к ресурсу, а о появлении у пользователя прав, которых у него быть не должно, даже если этот пользователь – сам администратор. Речь идет скорее не о защите, а о предотвращении несанкционированного доступа.

Для того чтобы организовать эффективное управление доступом на предприятии, обеспечить его информационную безопасность, минимизировать риски, связанные с ошибочно предоставленным доступом, просто поставки любого программного решения недостаточно. Требуется провести ряд подготовительных работ.

Прежде всего, нужно определить актуальный список информационных ресурсов и целевых систем, затем разбить их по категориям и определить ответственных за каждый ресурс. Затем нужно построить ролевую модель и подробно описать права и возможности для каждой роли, то есть формализовать политику информационной безопасности. Затем все эта информация вносится в КУБ, и на основании разработанной ролевой модели осуществляется управление доступом к информационным ресурсам предприятия.

Стоит отметить, что в КУБ хранится полная история изменений всех прав доступа и любому изменению должна предшествовать заявка, согласованная в определенные сроки определенными лицами. Наличие подобной информации дает службе безопасности широкие возможности для оперативного расследования инцидентов. С помощью встроенных в КУБ отчетов всегда можно быстро установить, кто и когда выдал пользователю определенные права, и кто инициировал заявку.

Дополнительные возможности

В КУБ реализованы также некоторые дополнительные возможности, важные для обеспечения информационной безопасности компании. Во-первых, это управление сетевым доступом и средствами защиты информации. В большинстве крупных организаций доступом к информационным системам управляют одни специалисты, а сетевым доступом – другие, и часто они совершают несвязанные действия. КУБ позволяет выполнять эти два процесса одновременно. Например, если сотруднику необходимо получить доступ к удаленному ресурсу из дома, и между ним и ресурсом находится межсетевой экран (МСЭ), заявкой генерируются инструкции и администратору ресурса, и специалисту, отвечающему за настройку МСЭ. И, что самое важное, процесс работает и в обратную сторону, при ограничении прав или блокировке пользователей. Администратор системы блокирует доступ или удаляет учетную запись, а администратор МСЭ закрывает соответствующий маршрут.

Для обеспечения комплексности КУБ интегрирован с некоторыми СЗИ, например, Secret Net. Через КУБ осуществляется управление настройками СЗИ и настройками прав доступа к приложениям.

Во-вторых, дополнительной возможностью можно считать управление цифровыми сертификатами. Цифровые сертификаты используются для аутентификации пользователей, то есть проверки сотрудника, который хочет получить доступ к ресурсу. Путем выдачи сертификатов централизовано, через КУБ, обеспечивается комплексность решения.Сегодня КУБ управляет только сертификатами без цифровых носителей, но в ближайшей перспективе будет подключено решение по управлению токенами. Выпуск устройства с сертификатом будет инициироваться в КУБ.

Наконец, решение делает возможным управление программно-аппаратными конфигурациями. В КУБ содержатся сведения о конфигурации компьютеров и установленном на них программном обеспечении. Если сотруднику необходимо установить для работы дополнительные программы, он отправляет в КУБ заявку, она точно так же согласовывается и генерирует инструкции исполнителям. Если КУБ обнаруживает, что конфигурация компьютера неожиданно изменилась, например, объем памяти стал меньше, поменялся процессор или пропала звуковая карта , следуют оповещения соответствующим лицам.

Процесс внедрения

КУБ разрабатывался для компаний среднего и крупного бизнеса, заинтересованных в управлении доступом на основе единой политики информационной безопасности. Это те компании, в которых цена риска ошибочно предоставленных прав довольно высока.

Процесс внедрения КУБ по-своему уникален. При внедрении используются типовые методики и регламенты эксплуатации системы, за счет которых удается реализовать проект в относительно небольшие сроки (по сравнению с типовыми IDM-системами). Приобретая типовую IDM, заказчик фактически покупает конструктор, из которого внедряющая компания будет собирать и дорабатывать решение исключительно под свои нужды. Такой подход требует очень много времени и существенных дополнительных расходов. При этом нет никакой возможности использовать дописанный функционал под новых заказчиков.

КУБ использует совсем другой подход. Все доработки, выполненные под конкретных заказчиков, переносятся в базовый функционал. КУБ – это цельное решение, которое постоянно эволюционирует. В этом заключается– его преимущество.

В КУБ используется специальная технология поддержки произвольных информационных систем с типовой моделью разграничения доступа, что так же положительно влияет на скорость внедрения.

Планы развития

В ближайших планах – добавление функционала управления доступом на основе политик (например, политики разделения полномочий, когда человек с одними правами, не может иметь другие). Это позволит более плотно интегрировать КУБ в бизнес-процессы заказчика.

Сейчас у КУБ нет возможности учитывать приоритеты обнаруженных несоответствий и выдавать рекомендации относительно порядка их отработки. Разумеется, все инциденты могут иметь разные последствия для безопасности бизнеса. Одни могут быть абсолютно безболезненными, а другие – составлять реальную угрозу. Есть уверенность, что данный функционал будет востребован руководителями бизнеса. Кроме этого, планируется совершенствование инструментария по формализации политики информационной безопасности.

В разных отраслях есть ряд нормативных документов, диктующих требования к построению процесса управления доступом. Требования этих документов можно заложить в систему, что позволит анализировать соответствие текущей политики ИБ законодательству и отраслевым нормативам.

В планах — расширение спектра технологических партнеров. Будет добавляться смежная функциональность и интегрироваться со специализированными и отраслевыми решениями.