Проблемы в реализации систем управления доступом к информации на предприятии стары как мир.
Любой эксперт в области информационной безопасности вам скажет, что процесс управления доступом является фундаментальным, базисным для любой компании, в которой циркулирует хоть сколько-нибудь конфиденциальная информация. Если не выстроен нормальный процесс управления доступом, то что уж говорить о других процессах ИБ?
В начале года Лаборатория Касперского провела очередное исследование под названием «Цифровой бардак» («DigitalClutter»), и результаты его не утешительны. По результатам исследования выяснилось, что у 20% сотрудников компаний в России есть доступ к файлам и электронным документам с прошлого места работы. Более половины из этих сотрудников работали с конфиденциальной информацией, и продолжали иметь к ней доступ после увольнения.
Как организовать правильный процесс управления доступом к информации
Мы в компании Аванпост уже много лет занимаемся как раз вопросами организации правильного процесса управления доступом на предприятиях разного масштаба, от компаний в 200-300 сотрудников, до огромных госкорпораций с более чем сотнями тысяч сотрудников. В ходе нашей работы мы непосредственно сталкиваемся с тем, как же на самом деле устроен процесс управления доступом в компании. И я могу сказать, что статистика Лаборатории Касперского по меньшей мере занижена вдвое, а то и втрое… И тому есть две простые причины.
- Во-первых, далеко не все участвующие в опросе люди вообще проверяли, остался ли у них доступ к ресурсам предыдущего работодателя, и они могли бы быть «приятно удивлены», если бы проверили.
- Во-вторых, не все участвующие в опросе представители работодателей (если таковые были опрошены), смогли бы честно ответить о том, как на их предприятии устроен процесс управления доступом.
В рамках наших проектов, а их за прошедшие годы было больше сотни, мы практически на каждом предприятии сталкивались с проблемой «мертвых душ» — т.е. с незаблокированными учетными записями уволенных сотрудников. Это такой своеобразный бич, практически любой крупной инфраструктуры. Причем чем крупнее инфраструктура, тем ярче выражена эта проблема. И тому есть простое объяснение – в масштабах крупной компании, когда ежедневно приходится сталкиваться с текучкой кадров, очень легко пропустить какой-нибудь доступ сотрудника, тем более, если весь процесс делается в ручном режиме. Представьте, что на специалиста ИТ- или ИБ-отдела за день пришло 5 заявок на отзыв доступа по уволенным сотрудникам, которые имели доступ к 10-15 информационным ресурсам…
Это еще хорошо, если такие заявки вообще пришли. И это просто отлично, если ответственный сотрудник четко знает, какой доступ в принципе нужно отозвать. На практике, зачастую, все гораздо печальнее — и отдел кадров может «забыть» сообщить, да и плюс к этому вообще может не существовать никакой учетной системы, где хранились бы все актуальные доступы по сотруднику. Всё вышеописанное и приводит к ситуации, когда давно уволенный сотрудник в один прекрасный день берет и сливает гигабайты конфиденциальной информации куда-то на сторону.
Борьба с этой проблемой ведется очень давно. Она ведется как в нормативном поле, так и в рамках автоматизированных решений. Так, к примеру, Центральный Банк России, очень неплохо регулирует данные вопросы, вводя для организаций кредитно- финансовой сферы различные стандарты и ГОСТы. Из более-менее свежих нормативных актов отличный пример — ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», введенный в действие 1 января 2018 года. Данный документ достаточно подробно описывает то, какие вещи должны контролироваться на предприятии во избежание появления пресловутых «мертвых душ».
Интересно: Способы оптимизация системы управления на предприятии от экспертов.
С точки же зрения специализированных решений и систем, позволяющих упростить построение правильного процесса управления доступом, то выбор на рынке очень большой. Тут в достаточном изобилии присутствуют как отечественные, так и западные решения. К неоспоримым плюсам от внедрения такого решения можно отнести то, что они действительно помогают раз и навсегда избавиться от проблемы мертвых душ, и более того, они позволяют специалистам ИТ- и ИБ-служб экономить массу времени, освобождая их от рутинных каждодневных операций. Смысл работы специализированных решений в области управления доступом сводится к тому, что такая система сама в автоматическом режиме отслеживает изменения в базе кадровой системы, и обладая полной картиной того, кто куда имеет доступ, сама же автоматически этот доступ отзывает. Т.о. сокращает участие человека в данном процессе до минимума. Можно почитать про современные возможности таких решений по запросу IDM (Identitymanagement) или IAM (Identityandaccessmanagement).
