Кaк утвeрждaют спeциaлисты в oблaсти инфoрмaциoннoй бeзoпaснoсти (ИБ), oкoлo 67% кибeринцидeнтoв сeгoдня приxoдится нa внутрeнниe угрoзы, причeм сoтрудники чaщe вызывaют иx нe сo злым умыслoм, a пo нeoстoрoжнoсти. Близ этoм внeшниe aтaки чaстo рeaлизуются чeрeз кoнтрaгeнтoв и пoдрядчикoв, имeющиx дoступ к пeримeтру кoмпaнии. Цeнa oшибки стaнoвится вышe, eсли у нaрушитeля был дoступ к критичeским дaнным.Дилeммa пользу кого бизнeсaБaзoвaя мeрa зaщиты в укaзaнныx случaяx – рeглaмeнтирoвaннaя пoлитикa упрaвлeния дoступoм, кoгдa в oргaнизaции испoльзуeтся нaдeжнaя систeмa aутeнтификaции всex пoльзoвaтeлeй, a урoвeнь прав варьируется в зависимости ото функций и компетенций сотрудника. К сожалению, для практике регламент управления доступом в компаниях может расстраиваться ради упрощения и скорости решения дело-задач, говорят специалисты.Они указывают чреда типичных ошибок в области управления доступом, которые увеличивают объективная возможность успеха злоумышленников быть проведении атак. Возьмем, в некоторых организациях дозволяется использование общих учетных записей. В свой черед избыточный доступ может проступать, если права маловыгодный отзываются при переводе сотрудника бери другую должность другими словами увольнении, или если нет используется сценарий выдачи прав «что у другого сотрудника». Сызнова одна проблема – бесконтрольное работа технологических учетных записей, необходимых чтобы функционирования автоматизированных систем.Таким образом, за некоторое время до крупными компаниями то и дело стоит дилемма: фол регламента ставит подо удар безопасность данных, так его неукоснительное следование. Ant. нарушение грозит простоями и издержками, когда, к примеру, новый река переведенный сотрудник безлюдный (=малолюдный) может оперативно ударить к своим обязанностям. Другой раз в компании свыше тысячи сотрудников, риски становятся опять более осязаемыми, а церемония управления правами доступа избыток ресурсозатратным и неэффективным, затем) чтоб(ы) выполнять его автоматизированный.Автоматизированные системы доступаАвтоматизировать контора учетными записями сотрудников получай всех этапах карьерного пути, через найма до увольнения, позволяет ввод систем класса IdM/IGA (Identity Management/Identity Governance and Administration; системы, обеспечивающие церемониал с правами доступа к информационным ресурсам организации). В эту пору российский рынок таких решений темпераментно развивается, в том числе в рамках политики импортозамещения. По части оценкам аналитиков, кубатура отечественного рынка систем управления доступом — 4,2 млрд рублей, IdM-системы занимают долю что-то около 40%.Системы IdM – сие программные решения, которые, с одной стороны, интегрируются с доверенными источниками данных о сотрудниках (кадровыми системами), с дело (другое – с управляемыми информационными системами. Сие могут быть инфраструктурные решения, предпринимательство приложения, веб-сервисы. Примерно сказать, 1С, офисные программы, облака интересах обмена файлами, корпоративные мессенджеры и многое другое. В IdM системе происходит форма заявок, управление и надзор доступа. Как статут, управляют этими процессами сотрудники подразделений ИБ и ИТ, оно может быть предусмотрено передача принятия решения, за примером далеко ходить не нужно, если руководитель может утвердить более компетентное ответ в рамках своего подразделения. В системе запускаются автоматизированные процессы управления доступом в рамках ряда сценариев: улавливание на работу, глосса по должности и т.д.В масштабах крупного бизнеса (точка Enterprise – сложная оргструктура, высокие киберриски, цифра сотрудников достигает сотен тысяч) концепция IdM может строиться малость лет и должна прекословить ряду специфических требований. Об особенностях ее построения рассказывает начальник департамента inRights ГК Солар Митяй Бондарь.Много данных и без) (счету контролейПроцессы обмена данными посредь информационными системами, их стремительность и время выполнения напрямую зависят ото объема данных. В случае крупной компании, на случай если система работает не торопясь, есть риск, будто она не успеет (за)кончить предыдущий цикл синхронизации данных перед начала следующего цикла, ровно мешает поддерживать консистентность данных. Старшие объемы данных диктуют высокие запросы к времени доступности системы: ограниченные временные граница для установки обновлений, быстрое освежение в случае сбоев.»В адски крупной компании часть процессов, которые происходят в системе, полноте огромным: управление ролями, информационными ресурсами, учетными записями, а как и, что особенно мирово, различные исключительные случаи в рамках сих процессов. Например, унич определенный набор прав доступа пользу кого сотрудников подразделения, же для тех, кто такой постоянно работает удаленно, возлюбленный чуть отличается ото стандартного. Чем более всего проект, тем побольше будет уникальных правил и нелинейных взаимосвязей», – поясняет мастер своего дела.Следующий фактор – мириады различных контролей у сотрудников ИБ и ИТ и проводимых проверок, множество уровней полномочий пользователей. Якобы правило, регулируются они большим счетом локальных нормативных документов в области управлению правами доступа. Коль (скоро) организация состоит с нескольких компаний, ведь очень часто иногда, что в каждой отдельной структуре сии нормативы свои. Конец это должно учитываться близ построении IdM системы, с тем чтоб она выполняла задачу автоматизации и контроля исполнения регламентов.В конечном счете, масштабный проект – сие большое количество заинтересованных сторон, ровно сказывается на его организационной динамике. Сверху стороне подрядчика как и нужна большая банда, способная построить слаженное согласование с заказчиком, указывает Бочар.Российская спецификаВ подписка с политикой импортозамещения перемены в сфере ИТ и ИБ происходят очень быстротечно. Управляемые системы, ради которых внедряются IdM-решения, заменяются получи новые – отечественного производства. Таким образом, сеяние этого нового Соответственно происходит параллельно внедрению IdM.»Отечественные разработчики, подобно ((тому) как) правило, предлагают готовые модули интеграции IdM решения с информационными системами российского производства. Хотя еще важнее, с тем чтобы функциональные возможности продукта изначально опирались в те особенности российских организаций, которые единично хорошо поддерживаются иностранными решениями», – подчеркивает Бочар.Так, для российского бизнеса типичны подвод и согласование заявок возьми доступ, например, согласно сценарию «доступ ни дать ни взять у другого сотрудника», отличаются как небо и земля вариации замещения и делегирования. Конструкция должна предусматривать слабее. Ant. более очевидные варианты кадровых событий, включительно перевод через отпущение или перевод посреди юрлицами. Необходимо сообразиться формальные требования, (пред)положим, техническую возможность прикрепления сканов к заявкам. К тому же одна российская редкость: когда фактическая устройство организации может кричать от формальной, а отсюда следует, и полномочия требуется п иначе.В силу всех сих особенностей, крупнейшие игроки выбирают теточка продукты класса IdM/IGA, которые учитывают их специфические потребности. Тетя системные решения, которые помогают прочитать текущие задачи и работают сверху перспективу, доминируют согласно количеству интеграций в российском сегменте Enterprise.»Егда речь идет о масштабах Enterprise, клиенты тщательно готовятся к внедрению, и критика команды подрядчика играет большое существенность на всех этапах, особенно в процессе планирования проекта и выбора решения. В каждом проекте большого масштаба необходимо в той или не тот. Ant. похожий степени адаптировать функциональные внутренние резервы продукта под клиента, вследствие того IdM-система должна существовать гибкой, должна обновляться сверх необходимости заново настраивая по сей день расширенные функции», – заключил Бочар.
«Солар»: российскому бизнесу нужны гибкие системы управления доступом
6 декабря, 2023 adminGWP