Андрей Конусов, генеральный директор компании Аванпост: "Какую бы эффективную и совершенную систему информационной безопасности ни внедрила у себя компания, не выстраивая четкий, автоматизированный и хорошо регламентированный процесс управления права

1. Андрей, как на самом деле устроен процесс контроля и управления доступом в среднестатистической российской компании?

Чаще всего в российских компаниях тема управления доступом рассматривается как задача исключительно подразделения Информационных технологий (ИТ). Основными критериями успешности этого процесса являются быстрота предоставления доступа и отсутствие перебоев в работе сотрудников, связанных с тем, что они не смогли куда-то оперативно войти. Крайне редко, когда в компании существуют регулярные процедуры оценки того, какими правами доступа обладают сотрудники, и еще реже встречается интеллектуальный анализ этих данных с целью понять, а все ли имеющиеся права доступа нужны сотрудникам для работы, и не содержат ли эти наборы прав потенциально опасных комбинаций, позволяющих сотруднику совершить злонамеренные действия против своей компании.

При таком подходе ИТ-специалистам проще всего по максимуму открывать доступ всем сотрудникам ко всем системам. Ведь в этом случае они полностью выполняют свои KPI с точки зрения быстроты и бесперебойности работы. И самое опасное, что ни Бизнес, ни ИТ, ни даже выделенное подразделение Информационной Безопасности (ИБ) не воспринимают деятельность по управлению доступом, как зону серьезных информационных рисков компании. И это огромная ошибка!

Ведь нужно четко осознавать, что какую бы эффективную и совершенную систему Информационной Безопасности ни внедрила у себя компания, не выстраивая четкий, автоматизированный и хорошо регламентированный процесс управления правами доступа, она оставляет огромную уязвимость, которой могут воспользоваться злоумышленники. Какими бы хорошими ни были внедренные системы безопасности, они не могут оградить от конфиденциальной информации сотрудников, с легитимным доступом. Т.е. проще говоря, тех сотрудников, которым эта информация нужна для работы. Но если Вы не контролируете, кому и какие права доступа открыты, то вполне резонно предположить, что легитимный доступ могут получить люди, которым информация нужна не для благих целей. Но поскольку доступ будет предоставлен корректно, то и средства защиты не сработают.

Вариантов того, как можно получить такой доступ, масса, начиная от подделки служебной записки в бумажном документообороте и заканчивая сговором с системным администратором, который по дружбе или за небольшое вознаграждение откроет нужный доступ, а после того, как данные будут получены, его же и закроет, подчистив все следы.

Андрей Конусов, генеральный директор компании Аванпост

2. Какие основные ошибки ручного управления доступом?

Главной системообразующей ошибкой является недооценка рисков ИБ в ручном управлении доступом.

Отсюда и проистекают следующие проблемы:

• Предоставление прав на основании разовых запросов, а не на основании продуманной и согласованной ролевой модели.
• Отсутствие в процессе согласования доступов подразделения информационной безопасности.
• Отсутствие регулярных аудитов прав доступа, позволяющих выявлять избыточные и не согласованные права у сотрудников.
• Отсутствие контроля за деятельностью системных администраторов, предоставляющих права доступа.
• Отсутствие регулярного процесса ресертификации ролей и выявления критических наборов прав, которые не должны появляться у одного сотрудника (SOD-Конфликтов – Segregation Of Duties).
• Отсутствие профессиональной системы автоматизации всего процесса управления доступом. Класс подобных систем называется IDM - Identity Management

3. Что такое "мертвые души" в терминологии специалистов по ИБ?

Это учетные записи сотрудников, уже не работающих в компании, но которые остались не заблокированными после увольнения. Это грубейший инцидент информационной безопасности. Т.к. сотрудник уже не связан со своим работодателем никакими юридическими обязательствами, но у него сохраняется техническая возможность получать доступ в информационные системы компании.

И эта проблема является не такой редкой, как можно было бы предположить. Согласно новому исследованию «Лаборатории Касперского», которое получило название «Цифровой бардак», у 20% россиян есть доступ к файлам и электронным документам с прошлого места работы. Также из этого исследования следует, что порядка 60% сотрудников работают с разного рода конфиденциальной информацией, а значит - сохраняют возможность пользоваться ей в личных целях и после завершения работы в компании. Я думаю эти цифры более чем красноречивы и говорят сами за себя.

4. Кто должен отвечать за реализацию управления доступом?

Ответственными за создание и функционирование процесса должны быть два подразделения компании: Информационные Технологии и Информационная Безопасность.

У этих подразделений совсем разные цели в рамках своей деятельности. Первому - необходима быстрота, удобство и свобода циркуляции информации, второму - важна безопасность. Именно поэтому разумные компромиссы этих двух сторон и дают правильную пропорцию удобства и защиты.

Ну и конечно, на стадии внедрения процессов управления доступом потребуется вовлечение и представителей бизнеса. Т.к. именно они являются носителями знаний о бизнесе компании и о том, какие права доступа необходимы тем или иным сотрудникам.

5. Как правильно автоматизировать процесс управления доступом? Насколько это сложно?

Как я уже сказал выше, для решения этой задачи существует целый класс систем, получивших название IDM. Первые подобные системы появились более 10 лет назад, и к настоящему моменту можно говорить о высоком уровне зрелости этого сегмента рынка. Главное - выбрать правильную систему и компанию, которая будет ее внедрять.

При этом нужно четко понимать, что создание процесса управления доступом - это не только внедрение информационной системы, это еще и серьезный объём организационной и процессной работы. Потребуется проанализировать все процессы компании, и на основе этого анализа составить ролевую модель, описывающую, какие права доступа необходимы каждой из категорий сотрудников для исполнения своих обязанностей.

Нужно разработать и внедрить целый ряд процессов, связанных с работой самой системы IDM, а также по поддержанию актуальности созданной ролевой модели. Ведь права доступа - это крайне динамичная субстанция, которая изменяется практически каждый день. И необходимы очень четкие правила, как отслеживать и корректно отрабатывать эти изменения.

Так что создание в рамках компании комплексного процесса управления доступом - это серьезная и не простая задача. Но с привлечением профессиональных компаний-консультантов, имеющих серьезный опыт подобных внедрений, она вполне решаема.

6. Ваши рекомендации компаниям, которые только задумываются внедрять систему управления доступом.

Очень внимательно подойти к выбору как системы IDM, так и компании, которая будет ее внедрять. Особое внимание нужно уделить успешному опыту внедрений. Не верьте красивым презентациям, их научились делать практически все. Настоятельно требуйте, чтобы вам организовали референс-визиты к тем закачкам, у которых уже внедрена данная система. И в рамках этих визитов постарайтесь разговорить представителей этих компаний о том, как реально проходил проект. Какие трудности возникали и как с ними справлялись.

После этого обязательно проверьте работоспособность предлагаемой системы в вашей инфраструктуре в рамках пилотного проекта. И оцените не только технические возможности продукта, но и удобство работы с компанией его предлагающей.

И если по итогам двух предыдущих этапов вы останетесь довольны и будете готовы идти дальше, обязательно двигайтесь небольшими этапами с понятными конечными результатами. И к выполнению этих этапов привязывайте ваши платежи подрядчику. Платите только за результат!