Перейти к основному содержанию
ИТарктика
09.11.2018

Доступ под контролем

За последние годы ИТ-инфраструктура существенно усложнилась, количество систем возросло, в крупных компаниях их десятки, если не сотни, да и число вариантов предоставления доступа тоже увеличилось. А потому неслучайно возникает целый ряд вопросов, связанных с тем, кто имеет доступ, куда и на каком основании, нет ли у кого-то излишних прав. Нередко происходит так, что пользователю был предоставлен временный доступ, который системные администраторы затем забыли отключить. Если не решить эти вопросы своевременно, начинается хаос и серьезные проблемы с безопасностью.

Вместе с тем бизнес требует от ИТ скорости и гибкости, в том числе и предоставления прав доступа пользователям без излишних и долгих согласований. Иногда согласование осуществляется в устной форме, с намерением внести изменения в систему «потом».

Но не будем забывать о том, что существуют требования регулятора, в первую очередь это всем известный Закон о персональных данных 152-ФЗ, нормативы ФСТЭК, касающиеся защиты и контроля данных, а также европейский регламент GDPR, нарушение которых влечет за собой огромные штрафы. Таким образом, ликвидация хаоса и контроль в области предоставления прав доступа к информационным системам становится острой необходимостью для бизнеса.

Наведем порядок

Устаревшие способы управления правами доступа, вроде электронной таблицы в Excel, сегодня уже не годятся. К примеру, в средней по российским масштабам компании работает тысяча сотрудников и внедрено 30 информационных систем. Системному администратору просто не под силу поддерживать вручную в актуальном состоянии такой документ. Но и сами администраторы являются серьезным риском безопасности прав доступа. Они могут предоставлять права любому человеку по устной просьбе и самостоятельно заносить информацию об этом в файл. Подобный процесс необходимо контролировать с учетом всей необходимой цепочки согласований. Наконец, это можно и вовсе автоматизировать, предоставив пользователям возможность самим запрашивать необходимые им права через систему HelpDesk с ограничением доступных ресурсов в соответствии с уровнем допуска. Затем такой запрос проходит всю цепочку согласований, которые можно реализовать как с помощью простой ЭЦП, так и с применением ключа, токена и других аппаратных средств.

Прежде чем навести порядок в процессах управления доступом, эти процессы необходимо формализовать и упорядочить. Иными словами, нужно понять, кто запрашивает права, каким образом они сейчас проходят согласование, насколько оптимален этот процесс для бизнеса и т. д. Когда будут определены слабые места, можно заняться выработкой модели с учетом вероятных рисков. Как мы должны подходить к нестандартным запросам и нестандартным моделям запросов? Возможно, это отдельный процесс, который тоже необходимо описать и регламентировать. Сотрудники должны осознавать не только свои права и возможности, но и ответственность за их получение и применение. Кто должен взять на себя организационно-методологическую работу по упорядочению процессов управления правами доступа в организации? Лучше всего поручить такую задачу внешним подрядчикам – консалтинговым компаниям или системным интеграторам. Дело в том, что данные процессы затрагивают практически все без исключения подразделения заказчика, владельцев ресурсов, ИТ- и ИБ-департаменты. Как правило, менеджмент компании не имеет возможности собрать всех вместе и дать нужный вектор для обсуждения. Каждый будет продвигать свою точку зрения и «тянуть одеяло на себя». Необходим экспертный взгляд со стороны, который поможет увидеть все недостатки и дать рекомендации по их устранению. Ведь если автоматизировать «как есть» – другими словами, хаос, мы в итоге и получим автоматизированный хаос. Поэтому консалтинг, разработка методологии и регламентов – неотъемлемая часть внедрения системы управления доступом.

Решение по росту

При выборе технической платформы для системы управления доступом следует обратить внимание, прежде всего, на ее возможности, на реализацию комплексного подхода. Не менее важно выбрать решение, соответствующее масштабу бизнеса заказчика. Существует немало тяжеловесных зарубежных продуктов, ориентированных на крупные компании и холдинги. Стоимость лицензии и эксплуатации таких систем достаточно высока, процесс внедрения занимает длительное время, а окупаемости можно и не дождаться. Кроме того, российская специфика управления доступом далеко не всегда поддерживается западными продуктами. Например, в российских организациях широко распространен такой сценарий работы, как совместительство. Его реализация требует серьезной поддержки на уровне технологической платформы.

Источник - IT News

Фото - unsplash.com