Контакты
Подписка
МЕНЮ
Контакты
Подписка

Особенности формирования электронного профиля сотрудника

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Особенности формирования электронного профиля сотрудника

В основе любой корпоративной стратегии информационной безопасности – возможность аутентификации и авторизации пользователей, контроль их прав в рамках должностных обязанностей. При этом понятие "легитимный пользователь" включает в себя не только собственных сотрудников, но и внешних контрагентов, что заметно осложняет управление идентификационными данными
Евгений Зубов
Руководитель отдела поддержки продаж
компании "ЛАНИТ-Интеграция" (ГК "ЛАНИТ")

Совершенствование информационных систем, систем безопасности и механизмов корпоративной защиты в последние годы определило вектор развития технологий для управления жизненным циклом пользователя в период его работы на предприятии. Речь идет не просто об инструментах автоматизированного контроля, а о процедурах, регламентных документах и ответственности персонала.

Эффективное управление электронным представлением и доступом пользователя начинается не с инструментов и технологий, а с определения необходимых средств контроля и связанных процессов. Способны ли имеющиеся средства и политики безопасности контролировать весь жизненный цикл пользователя и правильно формировать его профиль в организации? Для уверенности в этом необходимо поддерживать непрерывный мониторинг, проводить аудит, анализировать периодическую отчетность о правах и, самое главное, действиях пользователей. Для этого требуется целый набор взаимосвязанных инструментов.

Как организуется доступ нового сотрудника?

Давайте рассмотрим процесс организации доступа нового сотрудника к ИТ-инфраструктуре компании (информационным системам, данным, корпоративным сервисам) без автоматизации. При приеме на работу данные сотрудника вносят в кадровую систему, например "Босс кадровик". На основе этой информации ИТ-отдел создает учетную запись в каталоге пользователей. Служба безопасности формирует профиль пользователя и добавляет его в систему контроля и управления доступом (СКУД). При этом контролировать доступ можно как при проходе на территорию предприятия, так и при посещении отдельных помещений с использованием различных методов идентификации (RFID, биометрической информации и др.) Доступ к папкам, информационным системам (документообороту, CRM, аналитической системе), сервисам (почтовой службе, службе печати, удаленному доступу) и данным (файловым шарам, порталам, НСИ) новый сотрудник получает по соответствующей заявке – при обращении к владельцу нужного ресурса или системному администратору. Стоит отметить, что обратная процедура – отзыв прав – никогда не будет инициирована самим сотрудником, даже если доступ ему больше не нужен. Такова реальность его жизненного цикла.

Почему действия пользователя непрозрачны?

Таким образом, электронный профиль одного сотрудника формируют несколько подразделений, коммуникация между которыми может быть затруднена или вовсе отсутствовать. Действия пользователя оказываются абсолютно непрозрачными во многом из-за того, что:

  • владельцы информационных систем не всегда вовлечены в процесс регистрации пользователей (чаще всего это делает ИТ-администратор);
  • права пользователям раздаются "как попало";
  • функции контроля ложатся на ИТ-администратора, а его никто не проверяет;
  • хранение конфиденциальной информации и доступ к ней не регламентированы;
  • доступ к "файловым помойкам" не контролируется;
  • переписка не контролируется.

Как минимизировать угрозу? IDM

Чем же грозит непрозрачность действий пользователя? Любое из наших предположений в определенной ситуации сможет стать реальностью. Есть ли инструменты, способные минимизировать угрозу? Безусловно. Эксперты в области безопасности выделили целый класс решений под названием Identity and Access Management (IDM), предназначенных для управления жизненным циклом пользователя в организации. Такие решения позволяют централизованно управлять учетными записями, правами доступа к ресурсам и данным, паролями и другими типами идентификационной информации. Благодаря появлению в организации единой точки управления базовыми инструментами защиты и благодаря возможности непрерывного контроля снижается нагрузка на ИТ-подразделение и увеличивается общий уровень защищенности инфраструктуры. Политика информационной безопасности формализуется, информационные ресурсы упорядочиваются, определяются зоны ответственности сотрудников. Любое изменение прав доступа фиксируется и требует подтверждения ответственных лиц.

Почему решений IDM недостаточно?

Вышеописанная картина внушает оптимизм, однако внедрять системы IDM, к сожалению, затруднительно. Дело в том, что в организации к моменту непосредственной инсталляции такой системы уже должны быть формализованы бизнес-процессы управления доступом к информации и информационным системам. Основное время уходит как раз на подготовительный этап, когда необходимо оптимизировать или описать действующие бизнес-процессы в области обеспечения информационной безопасности, сформулировать основные принципы безопасного управления доступом.

Идентификационная информация и права доступа, безусловно, являются ключевыми, но далеко не единственными атрибутами профиля пользователя. Эксперты предлагают рассматривать профиль пользователя организации как некоторую совокупность элементов, среди которых:

  • ресурсы, которыми он пользуется;
  • права доступа и роли, которые ему назначены;
  • внутренние политики и регламенты, которым он должен соответствовать.

Как автоматизировать сбор данных?

SIEM Очевидно, что одного инструмента (системы IDM) для формирования единого профиля пользователя недостаточно. Для создания полной картины неплохо было бы понимать:

  • как ведет себя пользователь в рабочее время (что происходит на его компьютере, какие приложения запущены);
  • какие интернет-ресурсы посещает;
  • кому и с каким содержанием отправляет письма;
  • какие помещения посещает (при наличии соответствующего инструментария);
  • какие действия производит пользователь с правами администратора;
  • использует ли мобильные устройства.

Чтобы ответить на все эти вопросы, чаще всего применяются специальные системы защиты, не пересекающиеся по функционалу. Администрирование этих систем – тяжелый труд, который берут на себя администраторы информационной безопасности. Однако еще больший труд – разобраться с событиями, которые фиксируют эти системы, и уж тем более сопоставить их между собой.

Для автоматизации этого процесса используют специализированные системы класса SIEM (Security Informational and Event Management). Инструменты, представленные в системах такого класса, позволяют централизованно собирать данные о событиях, связанных с конкретным пользователем (как с элементов корпоративной инфраструктуры – почтового сервера, прокси, DLP-системы, – так и с инженерных систем безопасности), и сопоставлять эти данные с полномочиями пользователя. Администратор безопасности получает возможность всестороннего контроля защищенности инфраструктуры фактически в рамках одной консоли. Ее эффективность зависит от того, насколько правильно была настроена система, в особенности насколько правильно были выстроены взаимосвязи между событиями с разных источников.

Пример работы SIEM-системы

В качестве простого и наглядного примера работы SIEM-системы можно рассмотреть следующую ситуацию. Пользователь проходит через СКУД, используя магнитную карту, поднимается на этаж и также с помощью магнитной карты входит в помещение, в котором располагается его рабочее место. Запускает ПК и, используя свои учетные данные, аутентифицируется на рабочем компьютере и на почтовом сервере, а в бухгалтерской системе – уже с использованием цифрового сертификата с правами администратора. Важный вопрос: пользователь, который аутентифицировался с правами администратора, – это тот же самый пользователь, что и прошел через КПП три минуты назад? Стоит ли считать этот вход в систему подозрительным?

В такой ситуации важно определить "классическую" модель поведения сотрудника, сопоставляя события из различных источников. Если появятся отклонения от этой модели, то система автоматически сгенерирует предупреждение. Тем не менее, вне зависимости от количества инструментов в руках службы безопасности важную роль в поддержании защищенности инфраструктуры играет соблюдение политик, инструкций, регламентов, а также осведомленность самих пользователей в вопросах информационной безопасности. Только удачная комбинация этих методов позволит осуществлять контроль должным образом и, возможно, оградить себя и организацию от неприятных сюрпризов.

Опубликовано: Журнал "Системы безопасности" #5, 2016
Посещений: 5261

  Автор

Евгений Зубов

Евгений Зубов

Руководитель отдела поддержки продаж ООО "ЛАНИТ-Интеграция"

Всего статей:  2

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций