Большинство инцидентов, связанных с утечкой конфиденциальной информации, происходит с участием работников, уровень лояльности которых к компании или руководству неожиданно и резко снизился, а уровень допуска к чувствительным данным остался прежним.
Согласно модели нарушителя информационной безопасности Центрального банка РФ, к ним можно отнести привилегированных пользователей (руководителей профильных подразделений с расширенным относительно базовых набором прав), сотрудников ИТ-подразделений (администраторов, аналитиков больших данных или прикладных технологов), экспертов блока физической и экономической безопасности, представителей надзорных органов и аудиторских компаний. В этот список попадают и представители подрядных организацией и аутсорсеров, работающие удаленно, занятые при эксплуатации компонентов инфраструктуры или разработке новых решений. В век высоких технологий и низких окладов ценность чувствительной информации на черном рынке определяется только сложностью ее предоставлению заказчику. Стеганография, фотосъемка, запись с экрана и другие способы бесконтрольного выноса информации за периметр защиты случаются все чаще. Тем важнее применение современных, ранее не востребованных методов и средств защиты информации. Прозрачные для пользователей, но эффективные для специалистов по защите информации агентские технологии класса Privileged Access Management (в других источниках Privileged Identity Management, Privileged User Management) применяются в тех случаях, когда решение о доступе к чувствительной информации со стороны владельца данных или лица, принимающего решение, уже принято или является вынужденным, при этом риск нарушения конфиденциальности ни организационно, ни технически не закрыт иными способами.
В представленном обзоре содержатся вероятные аргументы и примеры сценариев применения PAM-технологий. Мой экспертный опыт говорит о том, что в арсенале специалиста по защите информации коммерческое решение класса PAM или его бесплатный аналог Open Source всегда должен быть наготове.
Алексей Плешков
Редактор рубрики "Управление идентификацией",
независимый эксперт по информационной безопасности