Управление доступом на основе ролей

Для минимизации рисков утечек ценной для компании информации необходимо контролировать права доступа сотрудников к информационным ресурсам.

Одной из первостепенных задач службы информационной безопасности является инвентаризация прав доступа сотрудников к целевым системам и файловым ресурсам. Ролевое управление доступом и использование типовых моделей доступа упрощает процесс инвентаризации.

Типовой доступ - это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа. Например:

Рис. 1. Типовой доступ (группы, роли, профили).

При ролевом управлении доступа используются шаблоны с набором прав и полномочий, необходимых сотрудникам для выполнения своих должностных обязанностей, то есть на основании вхождения сотрудника в определенное подразделение и его принадлежность к конкретной должности ему положены определенные права к информационным ресурсам. В большинстве случаев этих прав достаточно. В качестве исключения, у сотрудника могут возникать дополнительные индивидуальные права доступа, необходимые для выполнения каких-то временных задач или поручений руководства, например участия в проекте, замещение коллеги на время отпуска и т.п.

Для обеспечения информационной безопасности компании создания или оптимизации ролевой модели, на основании которой будет производиться аудит прав доступа - недостаточно, хотя ролевое управление доступом снижает нагрузку на службы автоматизации и информационной безопасности.

Нерешенными остаются следующие проблемы:

• Риски человеческого фактора при создании, удалении, изменении прав доступа вручную;
• Задержка сроков выдачи прав из-за уточнений требований заявок;
• Существенные временные затраты на инвентаризацию прав доступа, поскольку она делается для каждой информационной системы вручную;
• Нерациональные схемы согласования заявок на доступ;
• Трудоемкое расследование инцидентов, поскольку история изменения прав, как правило, не сохраняется;

Внедрение IDM-системы «КУБ», при котором в обязательном порядке осуществляется оптимизация ролевой модели, решает перечисленные выше задачи и позволяет сделать управление доступом и управление информационной безопасностью в целом более эффективным.

Согласно аналитическим исследованиям компании Infowatch примерно в 70% случаях утечек конфиденциальной информации виноваты собственные сотрудники. Как правило, каждый сотрудник имеет в компании не одну, а несколько ролей и очень важно при организации управления доступом обеспечить ему необходимые и достаточные права для выполнения своих обязанностей.

IDM-система является превентивной мерой предотвращения утечек информации, позволяющей управлять доступом на основе ролей, контролировать действующие права сотрудников, выстраивать матрицу доступа на основе действующей политики ИБ и мониторить все изменения целевых систем.

Управление информационной безопасностью в организациях среднего и крупного бизнеса.

Задача построения эффективной системы управления информационной безопасностью сегодня актуальна не только для крупнейших государственных, промышленных и нефтяных холдингов, но и для относительно небольших организаций, имеющих высокий уровень автоматизации, работающих с персональными данными или имеющих информацию, составляющую коммерческую тайну. При выстраивании такой системы управления информационной безопасностью важно объединить организационные и программные меры в единый управляемый блок, который позволит:

• максимально предотвращать угрозы информационной безопасности;
• своевременно обнаруживать и блокировать возникающие угрозы;
• оперативно и эффективно расследовать возникающие инциденты;
• снижать риски ошибочно предоставленного доступа к коммерчески ценным информационным ресурсам;
• систематизировать процессы обеспечения ИБ и верно расставить приоритеты;
• обеспечить для руководителей бизнеса прозрачность в управлении ИБ;
• соответствовать отраслевым стандартам и требованиям регуляторов в части обеспечения ИБ;
• сэкономить технические ресурсы, снизить стоимость эксплуатации целевых систем;

Неотъемлемой частью системы управления информационной безопасностью является политика доступа к защищаемым информационным ресурсам. В целях обеспечения конфиденциальности, доступности и целостности информационных ресурсов доступ к ним должен предоставляться только авторизованным пользователям в объеме, необходимом для выполнения ими своих должностных обязанностей. Политика доступа определяет:

• требования к организации процесса управления доступом к информационным ресурсам и контролю использования предоставленного доступа;
• правовые, организационные и технические меры, необходимые для создания и обеспечения функционирования разрешительной системы доступа;
• ответственность сотрудников за невыполнение требований политики доступа;
• порядок изменений политики доступа, реализующие ее процедуры и описывающие ее документы;

Целью Политики является минимизация угроз нарушения информационной безопасности, направленных на предоставление неправомерного доступа к информационным ресурсам организации, с учетом требований нормативно-правовых актов РФ в области защиты информации.

Система «КУБ» позволяет решить ряд задач, возникающих при построении системы управления информационной безопасностью:

• создать собственный инструмент контроля конфигурации подсистемы; информационной безопасности.
• минимизировать привилегии и неизбыточность полномочий пользователей.
• контролировать исполнение заявок на предоставление доступа.
• в любой момент узнавать кто, когда и почему получил доступ к информационному ресурсу и соответствует ли это политике безопасности.