Современные предприятия все чаще сталкиваются с быстро меняющимися угрозами, недобросовестной конкуренцией, промышленным шпионажем. Обязательным элементом этих преступлений является получение несанкционированного доступа к конфиденциальной информации предприятия.
В этом году о своем выходе на рынок Казахстана объявила российская компания «Аванпост», предлагающая систему, которая, по заверениям ее представителей, способна обеспечить надежную аутентификацию и идентификацию пользователей, безошибочное автоматизированное управление их правами доступа, соблюдение корпоративной политики информационной безопасности, безопасное применение мобильных устройств.
На первый взгляд это стандартная деятельность. Но отсутствие систем, связанных с управлением доступа пользователей к информационным системам, таит в себе как серьезную неэффективность работы, так и серьезный риск для информационной безопасности компании.
Неэффективность заключается в том, что количество действий, связанных с открытием или закрытием доступа сотрудников к определенной информации, исчисляется сотнями действий в день, а в более крупных предприятиях – тысячами. Так как это связано не только с принятием новых сотрудников и уходом старых, но и миграцией сотрудников внутри компании. В результате достаточно много новых операций в день, которые необходимо выполнить службе IT попросту вручную.
Первый пробел – крайне неэффективное использование функций самих системных администраторов. С другой стороны, ни одна компания никогда не наймет столько специалистов, которые смогли бы изменить всю информацию мгновенно. В результате возникает затишье, причем его период может быть очень длинным. «В российской практике считается абсолютно нормальным, что для прибывшего в штат нового сотрудника будут подготавливать систему в течение недели», – рассказал Андрей Конусов, генеральный директор компании «Аванпост».
Второй пробел – информационные риски. Если компания не имеет информационной системы, которая централизованно контролируется, управляется, то руководство организации и команда, отвечающая за информационную безопасность, не могут знать, кто, кому и куда предоставил доступ.
Преодолеть все эти пробелы, по уверениям г-на Конусова, поможет Avanpost Role Management & Analistics. Эта новая российская разработка призвана существенно упростить создание ролевой модели и ее управление на предприятии.
Система состоит из трех модулей. Главным является модуль под названием Avanpost IDM – это система управления учетной записью. Avanpost IDM отвечает за три основные вещи. В первую очередь, она осуществляет внесение информации в каждую из конечных систем по правам доступа пользователя к определенной информации. Для этого создается ролевая матрица, в которой прописаны должность и право на какую информацию имеет человек, занимающий эту позицию. Программа интегрируется с кадровой системой организации, что позволяет в режиме реального времени получать информацию о штатной структуре, то есть кто на какой должности в компании работает, а также о всех передвижениях сотрудников по позициям.
Все это происходит автоматически. Например, когда компания принимает нового сотрудника, отдел персонала проводит приказ о его назначении – это сообщение мгновенно попадает в систему и открывает ему доступ к необходимой информации. Такой алгоритм действует и в обратном порядке. В случае если сотрудник увольняется и это заносится в систему, он автоматически теряет доступ к какой-либо информации.
Вторая, не менее значимая составляющая, – это постоянный аудит прав доступа. Система проверяет соответствие уровня доступа к информации и занимаемую должность с ролевой матрицей. Это необходимо, так как никто не может оградить конечную систему от изменений. Регулярный аудит ограждает от этой проблемы и гарантирует, что любые неправомерные изменения в конечной системе будут мгновенно обнаружены и устранены. Более того, система направит уведомление о нарушениях специалистам по безопасности, если обнаружит их.
И последняя составляющая этого модуля – согласование заявок на дополнительные права доступа. Пользователь в интерфейсе программы просит о дополнительных правах, а система рассматривает их. В ней уже заложен алгоритм согласования. Весь цикл, связанный с предоставлением прав доступа к информации, автоматизирован.
Второй модуль – Avanpost PKI, который позволяет создать систему двухфакторной идентификации. Классическая защита в виде логина и пароля не является очень надежной. В Аvanpost, кроме защиты в виде пароля, появляется некий физический носитель. Это могут быть флешки либо смарт-карты. Главный плюс данного подхода в том, что появляются два фактора, которые должны быть представлены одновременно, для того чтобы получить доступ к информации.
Третий модуль – Avanpost SSO – обеспечивает единый вход в систему. При этом пользователи осуществляют вход во все приложения с применением одного идентификатора, исключая необходимость запоминания множества логинов и паролей, что сокращает время доступа к приложениям. Работа Avanpost SSO основана на том, что при первом входе в систему пользователь вводит PIN-код. В дальнейшей работе система сама подставляет пароли при входе в различные программы.
Эти три модуля, по словам г-на Конусова, позволяют в полной мере покрывать весь объем работ, необходимый в управлении доступа пользователей к информации.