|
|
@@ -0,0 +1,49 @@
|
|
|
+# Управление доступом
|
|
|
+
|
|
|
+Управление доступом — подход, подразумевающий контроль использования ИС, определенных ресурсов и данных, своевременную выдачу релевантных полномочий для работы с теми или иными объектами инфраструктуры. Если все эти процессы реализуются вручную, зачастую происходят сбои и ошибки под влиянием человеческого фактора, которые приводят к росту рисков инцидентов информационной безопасности (ИБ).
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+С какими угрозами в части управления доступом могут столкнуться предприятия:
|
|
|
+- Несанкционированный вход в ИС под учетными записями сотрудников, которые уже не работают в компании. Иногда после увольнения работников их учетки остаются активными, поскольку заявки на отзыв доступа вручную выполняются долго. Случается и такое, что про учетные записи просто забывают, чем могут воспользоваться злоумышленники.
|
|
|
+- Накопление чрезмерных полномочий. Например, права могут вовремя не отзываться после перевода работников на новые штатные позиции, назначаться для выполнения временных задач и долгое время оставаться активными. Не факт, что сотрудники в таких случаях будут злоупотреблять полномочиями намеренно — иногда они делают это по ошибке, забывая о специфике работы в системах.
|
|
|
+- Ненадежные пароли, в связи с чем сильно возрастает вероятность взлома учетных записей. Особенно опасно, если злоумышленники завладеют доступом к привилегированным учеткам с широкими полномочиями для работы в ИС, используемых компанией.
|
|
|
+- Наличие забытых учетных записей, которые не принадлежат никому из сотрудников и были созданы для тестовых запусков систем. Ими могут воспользоваться злоумышленники или кто-то из персонала компании. Если учетки имеют расширенные полномочия, их несанкционированное использование с большой долей вероятности приведет к инцидентам ИБ.
|
|
|
+
|
|
|
+Чтобы минимизировать перечисленные риски и повысить общий уровень информационной безопасности, предприятия должны выстраивать управление доступом на базе передовых технологий и практик, с применением специальных систем, позволяющих автоматизировать большинство рутинных процессов, связанных с учетными записями, предоставлением, изменением, прекращением и контролем полномочий.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Зачем компаниям нужны системы управления доступом
|
|
|
+На IdM/IGA-платформы возлагаются следующие задачи:
|
|
|
+
|
|
|
+Защита информационных активов, которые обрабатываются компанией.
|
|
|
+Оптимизация процессов назначения и отзыва прав доступа сотрудников к рабочим ресурсам согласно внутренним политикам компании.
|
|
|
+Управление жизненным циклом всех учетных записей, которые есть в ИС компании: регистрация, блокировка и разблокировка, прекращение доступа для учеток при изменении штатных позиций или увольнении сотрудников, аудит действий, связанных с учетными записями.
|
|
|
+Обеспечение соответствия внутренним регламентам, отраслевым и законодательным нормам.
|
|
|
+Управление паролями: автоматическая генерация в соответствии с положениями парольной политики, возможность самостоятельной установки и сброса, гибкое применение парольных политик для разных ИС, используемых компанией.
|
|
|
+Аудит доступа: выявление несоответствий в полномочиях, снижение рисков инцидентов ИБ, связанных с несанкционированным использованием прав, обнаружение SoD-конфликтов (назначения несовместимых полномочий одному сотруднику).
|
|
|
+
|
|
|
+Также IdM/IGA-платформы предоставляют широкие возможности для работы с пользовательскими заявками на дополнительные права доступа к ИС и отдельным ресурсам — они упрощают процедуры оформления, согласования и исполнения этих заявок, позволяют хранить историю пользовательских запросов. Системы формируют оптимальные маршруты согласования в соответствии с внутренними регламентами и автоматически направляют заявки по этим маршрутам. Также платформы позволяют настраивать функции тайм-аута и эскалации, с помощью которых можно реализовывать оптимальные сценарии реагирования на приостановку процессов согласования, например, отклонять не рассмотренную в отведенный период заявку, автоматически одобрять ее или перенаправлять на согласование другому ответственному сотруднику.
|
|
|
+
|
|
|
+
|
|
|
+Подходы к управлению доступом
|
|
|
+Организации преимущественно используют четыре модели управления доступом: ролевую, мандатную, дискреционную и модель на основе атрибутов. Рассмотрим специфику и особенности каждого подхода.
|
|
|
+Ролевая схема
|
|
|
+Одной из самых эффективных и безопасных схем управления доступом называют ролевой подход Role-based access control (далее — RBAC). Он подразумевает формирование ролей, каждой из которых назначается свой набор полномочий в зависимости от должностей и задач сотрудников, которым будет присвоена та или иная роль.
|
|
|
+
|
|
|
+Модель удобна тем, что не нужно выдавать права доступа отдельным работникам — достаточно присвоить определенные роли с уже привязанными к ним привилегиями. Если прав будет недостаточно для выполнения конкретных задач, сотрудники могут запросить их дополнительно по заявке.
|
|
|
+Мандатный принцип
|
|
|
+Mandatory Access Control (MAC) — подход, диктующий разграничение доступа к объектам (конкретным ресурсам, данным) информационной инфраструктуры на основании служебных меток конфиденциальности, назначенных этим объектам и дозволенного уровня доступа для того или иного субъекта (пользователя). Например, каким-то сотрудникам будет разрешено работать со строго конфиденциальными данными, каким-то — исключительно с информацией, которая не представляет особой тайны.
|
|
|
+Дискреционный подход
|
|
|
+Подход Discretionary Access Control (DAC) подразумевает, что доступ к целевым ИС и внутренним ресурсам будет вручную предоставлять администратор или владелец ресурсов. Ответственное лицо создает списки сотрудников с указанием их прав в отношении того или иного компонента информационной инфраструктуры предприятия.
|
|
|
+Модель управления доступом на основе атрибутов
|
|
|
+Этот подход получил название Attribute-based Access Control (ABAC) и подразумевает предоставление доступа с опорой на правила, привязанные к субъектам (сотрудникам) и объектам (ИС и определенным ресурсам). Предоставленные атрибуты автоматически оцениваются и сверяются с действующими регламентами доступа, после чего назначаются полномочия, достаточные для работы того или иного специалиста.
|
|
|
+
|
|
|
+Эту модель управления часто выбирают крупные предприятия с многотысячным штатом сотрудников, когда нужно обеспечить гибкость в предоставлении прав. Но такой подход хорошо работает в комплексе с ролевым, который считается более универсальным.
|
|
|
+Методы контроля доступа
|
|
|
+К ключевым методам относят идентификацию и аутентификацию. Первая процедура подразумевает распознавание пользователя в ИС, подтверждение его существования. Аутентификация позволяет системе убедиться, что пользователь тот, за кого себя выдает и имеет права на использование учетной записи, под которой осуществляется вход. Для критически важных ресурсов аутентификация чаще всего бывает многофакторной, то есть при попытке подключения нужно не только ввести пароль от учетки, но и предъявить еще какое-то доказательство, например, код с телефона, токен или биометрическую характеристику.
|
|
|
+
|
|
|
+Управление доступом подразумевает обязательное журналирование всех операций и аудит действий сотрудников. В этом помогут IdM/IGA-платформы, которые предоставляют актуальные сведения о доступе к ресурсам для подготовки текущей отчетности для офицеров службы информационной безопасности и исторические данные для расследований.
|
|
|
+Источники
|
|
|
+- https://www.officemag.ru/info/guide/index.php?ID=14538167
|
