Дмитрий Бондарь, Ростелеком-Solar
Дмитрий Костров, SAP
Открытие доступа к важным или даже критическим системам без контроля и единой системы хранения исторической информации приводит к печальным последствиям. Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ставила им уровень "низкий". Но ИБ-подразделение, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обрабатываются персональные данные, с приоритетом "критический"
Дмитрий Бондарь, Ростелеком-Solar
Прежде всего, это риски избыточного и неправомерного доступа к информационным ресурсам со стороны как внутренних сотрудников предприятия, так и внешних подрядчиков. Наличие в организации избыточного доступа
порождает самые разные риски информационной безопасности. Например, вспоминается случай, когда компьютер сотрудника предприятия был заражен извне вирусом-шифровальщиком, а благодаря наличию у данного сотрудника избыточного доступа в некоторые информационные системы этот вирус смог на несколько дней парализовать работу всей организации.
В целом риски ИБ, связанные с избыточным доступом, могут быть самыми разными в зависимости от информационной системы и отрасли. Для СМИ избыточный доступ может нести
серьезные репутационные риски, для банковской сферы – значительные финансовые потери и т.д
Дмитрий Костров, SAP
По моему мнению, это ошибки при предоставлении доступа. Открытие доступа к важным или даже критическим системам без контроля и единой системы хранения исторической информации (сразу вспоминаем расследования в случае утечки информации) приводит к печальным последствиям.
Есть карта рисков, в которой организация оценивает, какие риски важны, а какие нет. Есть понятие "аппетит рисков". Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ставила им уровень "низкий". Но ИБ-подразделение, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обрабатываются персональные данные, с приоритетом "критический".
Надо понимать, какие риски для организации в приоритете: обычно это или утечка данных (маркетинговых, финансовых планов/отчетов и др.), или живучесть/устойчивость самой системы (АБС для банков). Внедрение IdM для КВО (КИИ) – разговор отдельный и уже в области не IT Security, а ОТ Security.
Дмитрий Бондарь, Ростелеком-Solar
У Ростелеком-Solar имеется ряд успешно реализованных
проектов в сфере IdM, о них есть информация на нашем
сайте.
Что касается метрик, то проект успешен, если:
То есть система показала результативность, заказчик увидел пользу для бизнеса и готов развивать проект дальше. Для меня это важнейшие показатели.
Дмитрий Бондарь, Ростелеком-Solar
Знаете, это как у классика: "…каждая несчастливая семья несчастлива посвоему". Иногда причиной неудачи являются объективные внешние обстоятельства, например санкции, препятствующие внедрению зарубежных систем. Если решение уже выбрано, такие события застают компанию врасплох, и приходится сворачивать проект.
Бывают случаи, когда проект внедрения IdM заканчивается тем, что заказчик приходит к необходимости смены платформы по причине незрелости ПО и неготовности подрядчика оперативно решать сложности, возникающие при внедрении. Когда проект сильно затягивается и даже в такие затянувшиеся сроки результат показать не получается, становится очевидным, что проект не будет успешным. Несколько подобных примеров на рынке есть.
Дмитрий Костров, SAP
А вот когда ты дорос до уровня эксперта и тебе надо ввести новый регламент, а он у тебя отсутствует, вот это беда. Я в своей машине тоже не использую 100% возможностей, потому что
в городе катаюсь. Но иногда (редко) бываю за городом, где нет дорог, и тогда мне очень помогает это "ненужное расширение".
Дмитрий Бондарь, Ростелеком-Solar
Уже много лет работаю с IdM, и все это время заказчики периодически спрашивают, может ли IdM показать, какие права сотрудники компании действительно используют в работе, а
какие права, образно говоря, простаивают. Возможно, с технологической точки зрения это нецелевая задача IdM-систем, но с точки зрения бизнеса такая потребность у заказчиков есть.
Дмитрий Бондарь, Ростелеком-Solar
Таких характеристик на самом деле много. Перечислю лежащие на поверхности действия:
И наконец, самые зрелые компании могут посчитать экономию времени, затрачиваемого на регулярный пересмотр прав доступа. Без системы IdM эта процедура настолько трудоемкая, что ее стараются не проводить вообще или проводить лишь по одной критичной информационной системе. IdM-решение автоматизирует процесс пересмотра прав доступа, и с его помощью можно, к примеру, оценить количество прав, которые были отмечены как неактуальные.
Дмитрий Костров, SAP
Возможно, критерием эффективности будет снижение числа Separation of Duties (Segregation of Duties, или SoD) либо количества сотрудников ИТ- и ИБ-подразделения, которые занимаются данной работой (без IdM).
Опубликовано в журнале "Системы безопасности" №3/2019
Обзоры оборудования, исследования, советы экспертов на Secuteck.Ru