Людмила Севастьянова, 16/09/19
Представьте себе ситуацию: вы с семьей пришли пообедать в кафе и с удивлением обнаружили, что в нем нет меню. Услужливый официант сообщает, что в заведении готовы выполнить любой ваш каприз – повар приготовит любое блюдо по вашему желанию. Вы пытаетесь сосредоточиться и учесть пожелания и взрослых, и детей. Если кто-то из ваших домочадцев еще и вегетарианец, значит надо иметь ввиду и этот нюанс. И вот, наконец, заказ сделан, вы расслабились…
Но, как оказалось, рано! У повара нет под рукой готовых рецептов блюд под ваш заказ, приходится импровизировать и додумывать
его. Что же получится в итоге? Слишком длительное ожидание, в детском салате перебор лука, а из вегетарианских блюд– какие-нибудь
огурцы в растительном масле. Наверняка вы не останетесь голодными, но полученный результат не принесет удовольствия, настроение будет испорчено, и вы вряд ли вернетесь в это кафе.
Сплошная неразбериха
Эта ситуация напоминает хаос, поглощающий организацию, в которой серьезно увеличился штат сотрудников и разрослась инфраструктура, а системы централизованного управления доступом к информационным ресурсам нет и в помине. Выполнение заявки на предоставление доступа затягивается на несколько недель. Администратор, не имея ролевой модели, по несколько раз возвращает заявку сотруднику, уточняя, какие же права и зачем ему нужны, консультируется с коллегами. Не найдя правильного решения и пытаясь поскорее закрыть вопрос, он предоставляет права на свое усмотрение. Результат не соответствует ожиданиям сотрудника: он не получает доступ в часть необходимых для работы систем, зато имеет избыточный доступ туда, куда не нужно, – в итоге возрастают риски информационной безопасности…
Но вернемся в кафе. Если в заведении есть вдумчиво разработанное меню, учитывающее разные категории заказчиков, а каждое блюдо
готовится по утвержденному заранее рецепту, в который входят полезные ингредиенты и свежие продукты, технологический процесс описан и ему четко следуют все повара, то результат будет вкусным, красивым и быстрым!
Проводя аналогию с управлением доступом (IdM), мы видим, что при отсутствии системы централизованного и автоматизированного
управления доступом к информационным системам (ИС) в крупной компании может возникнуть множество проблем. Так зачем же компании нужна система управления доступом? Правильно: для их решения.
Типичные проблемы, связанные с правами доступа
Первый блок проблем, грозящих крупным предприятиям, связан с непрозрачным процессом подачи заявок на доступ к ИС организации
и длительным, тернистым путем согласования выполнения заявок. В компании с большим количеством информационных систем и разветвленной штатной структурой заявки на доступ могут оформляться разными способами (на бумаге, через СЭД, почтовую систему и т.д.) и проходить разные маршруты согласования. На это тратится очень много времени и ресурсов, а сотрудники, не получая своевременно доступ, не могут полноценно выполнять свои обязанности. Встречались случаи, когда работники ожидали необходимого доступа до двух недель, что является критичным, тем более когда в организации много сотрудников невысокой квалификации и высокая текучка кадров.
Второе "отягчающее обстоятельство" – трудозатратность предоставления доступа вручную, тяжким бременем ложащаяся на плечи сотрудников ИТ-подразделений. Когда информационных систем в компании много, подход к управлению правами доступа в них может существенно различаться. В ряде систем для выполнения бизнес-задач сотрудникам нужны широкие права доступа к различным библиотекам, каталогам, функциям, да еще и в разном режиме (чтение/модификация). Как правило, формализованные шаблоны для предоставления этих прав отсутствуют. Администратору приходится каждый раз решать заново, как предоставить требуемый доступ, и брать на себя ответственность за принятое решение. На уточнения потребностей заказчика уходит слишком много времени, запросы копятся и выстраиваются в очередь. Руководство ИТ-служб вынуждено расширять штат администраторов, которые смогут решить проблемы доступа в срок, чтобы не нарушать SLA. В результате большая часть ресурсов ИТ уходит на выполнение рутинных задач по выполнению заявок.
И третий, наиболее "вредоносный" блок проблем – это излишние, несанкционированные права доступа, которые порождают разнообразные риски информационной безопасности:
- сотрудник уволен или ушел в длительный отпуск, а его учетные записи остаются незаблокированными;
- работнику временно были предоставлены расширенные права, которые забыли отозвать;
- сотрудник перешел на новую штатную позицию в другое подразделение, а его доступ в информационных системах не изменился.
Этот список можно продолжать и продолжать. Представьте себе ситуацию: в компании произошел инцидент информационной безопасности, но известно о нем стало лишь спустя длительное время и виновный сотрудник уже успел уволиться. Для проведения расследования нужно поднять архивную информацию: какими правами и привилегиями в информационных системах этот сотрудник обладал в определенный момент. И тут выясняется, что системные
логи хранятся совсем недолго, почтовое сообщение с запросом и согласованием доступа найти не удалось. То есть кто, когда, на основании чего предоставил доступ, выяснить невозможно. В результате налицо потери для компании, а провести полноценное расследование для выяснения причин и деталей происшедшего не представляется возможным.
Как эти проблемы решаются с помощью IdM
Схема работы IdM-системы
Развитые IdM-системы помогают выстроить в организации эффективные процедуры управления правами доступа. На выходе компания получает формализованный, автоматизированный процесс, который будет удобен всем задействованным подразделениям. С одной стороны, система интегрируется с кадровыми источниками, получая полную информацию о работающих сотрудниках, а с другой – с целевыми информационными системами организации для управления правами доступа в них.
Что получают сотрудники бизнес-подразделений?
Прежде всего, внедрение IdM обеспечивает работникам бизнес-подразделений оперативное предоставление доступа в необходимые
для работы информационные системы предприятия, а также, при необходимости, быстрое изменение прав при смене должности. Автоматизация процесса выдачи, аннулирования и приостановки прав осуществляется на основании кадровых событий (прием на работу, перевод, увольнение, отпуск). Кроме того, в зависимости от функций, выполняемых подразделением, его сотрудники могут автоматически получать те или иные базовые роли.
Карточка пользователя с просмотром доступных ролей
Удобной точкой входа является единый портал для оформления заявок пользователей на дополнительный доступ ко всем информационным системам. А понятная система согласования заявок, учитывающая утвержденные в компании правила выдачи и контроля полномочий, позволяет оперативно получить подтверждения руководства или других ответственных подразделений. Руководители бизнес-департаментов оценят возможность оформления доступа для своих сотрудников на определенное время без необходимости подавать дополнительную заявку на отзыв прав по истечении этого периода. Чтобы не плодить множество заявок, руководитель может сделать один запрос прав для нескольких сотрудников одновременно. В IdMсистеме сотрудник всегда может быстро узнать статус своей заявки. Автоматическая эскалация при тайм-ауте решает вопрос перенаправления заявки другому ответственному лицу.
Заявка на предоставление дополнительных прав и история согласования
Кроме того, IdM-система по сути является удобным единым справочником сотрудников и их трудоустройств в компании, включая информацию о совмещаемых должностях, внештатном оформлении, участии в проектной деятельности и др. В случае изменения данных любого сотрудника в кадровой системе эта информация автоматически актуализируется в информационных системах, подключенных к IdM.
Карточка пользователя с просмотром нескольких трудоустройств
Руководители и владельцы ресурсов, используя встроенные механизмы формирования отчетности, могут оперативно получать консолидированную информацию о доступе пользователей для проведения анализа и ресертификации (пересмотра прав доступа), а также для предоставления контролирующим органам.
Что получает ИТ-персонал?
Очевидным преимуществом внедрения развитой системы управления доступом для ИТ-подразделения компании является сокращение ручного труда по управлению правами доступа. С этого момента на всех этапах процесс осуществляется автоматически. Кроме того, IdM-система значительно снижает трудозатраты ИТ-специалистов на подготовку данных для отчетов, предоставляемых по требованию аудиторов. В продвинутых системах есть как готовые формы отчетов, в которых можно запросить информацию о правах доступа всех пользователей на любую дату, так и возможность создать собственную форму отчетов.
Форма выбора параметров отчета по заявкам
Существенно облегчит жизнь ИТ-специалистам и наличие в некоторых IdM-решениях справочной системы, благодаря которой сокращается время на консультации пользователей по оформлению, согласованию и выполнению заявок. Такой "портал самообслуживания" предоставляет пользователям всю необходимую информацию о статусе заявок и доступе к ИС организации в формализованном виде.
Что получают специалисты ИБ-служб?
Главное преимущество внедрения IdM для подразделений ИБ – это возможность немедленно получить исчерпывающую информацию о том, кто и на каком основании имеет доступ к определенной системе. ИБ-специалист может быстро формировать отчеты о статусе прав
пользователей за любой период, видя полную картину: когда получено то или иное право, на основании каких событий и согласований, кем согласовано, и т.д.
Запрос прав пользователей на конкретную дату
Если при возникновении инцидента информационной безопасности требуется оперативная блокировка пользователя в одной или нескольких ИС организации, сотрудник ИБ-службы может сделать это в течение нескольких секунд.
Карточка пользователя с возможностью блокировки учетных записей
Автоматическое изменение и прекращение неактуального доступа на основании кадровых событий исключает риск несанкционированного доступа к данным при увольнении сотрудников или изменении их штатной позиции. Для прав, по которым требуется пересмотр при изменении штатной позиции, формируется соответствующая заявка.
Заявка на пересмотр ролей
Заранее определенные роли позволяют предоставить доступ в соответствии с функционалом сотрудника и таким образом избежать избыточных прав доступа персонала в информационных системах организации. Функционал IdMсистемы также станет хорошим подспорьем для ИБ-специалистов в решении задачи контроля доступа на основании периодической ресертификации с учетом изменяющейся структуры и функциональной модели организации.
Карточка пользователя со списком доступных ролей
Дисциплина и порядок
Крупным предприятиям с многочисленным штатом сотрудников и "зоопарком" различных информационных систем внедрение развитой
системы управления доступом дает множество преимуществ, повышая эффективность как бизнес-процессов, так и работы ИТ- и ИБ-служб. Подобные системы с развитой функциональностью существенно сокращают трудозатраты персонала на все работы, связанные с организацией доступа к информационным ресурсам, и, соответственно, высвобождают рабочее время сотрудников для решения других важных задач, до которых раньше просто не доходили
руки. Российскому бизнесу постоянно пеняют на низкий уровень производительности труда. Современная IdM-система, помимо всех перечисленных плюсов, может стать хорошим вспомогательным инструментом для решения и этой задачи.
