Как с минимумом усилий создать и поддерживать ролевую модель организации?

Рынок систем идентификации и управления доступом (IDM — Identity management) переживает в последние три года очень активный рост. Причем локомотивами внедрения данной технологии часто становятся не только ИТ-подразделения, но и службы информационной безопасности (ИБ). К руководству ИБ-подразделений приходит осознание того, что невозможно обеспечить приемлемый уровень безопасности информации, не имея централизованной базы учетных записей и прав доступа, а также механизма ее автоматического аудита. Ведь какие бы сложные и передовые системы безопасности не были развернуты в организации, ни одна из них не ограничит доступ к информации легитимного пользователя. А значит, злоумышленник без труда сможет обойти все системы защиты, если сможет выдать себя за легитимного пользователя, воспользовавшись чужой учетной записью или получив не положенные права для своей учетной записи. Таким образом, отсутствие постоянного и автоматизированного аудита за правами доступа является универсальной уязвимостью, предотвратить которую позволяют IDM-системы.

С другой стороны, IDM-системы значительно облегчают жизнь ИТ-подразделений, поскольку позволяют полностью автоматизировать процесс предоставления и последующего сопровождения прав доступа пользователей. Как только сотрудник отдела персонала проведет в своей HR-системе приказ о приеме, переводе или увольнении работника, IDM-система сама отследит это событие и, на основании заложенной в нее ролевой модели, настроит всю совокупность прав доступа сотрудника: назначит, изменит или отзовет его права во всех инфраструктурных и прикладных элементах информационной системы, интегрированных с IDM. ИТ-специалисту останется лишь подтвердить это действие одним нажатием клавиши. Подобный подход не только позволяет кардинально снизить загрузку системных администраторов, но и радикально сокращает время простоя сотрудников бизнес-подразделений в ожидании предоставления/изменения прав, необходимых им для выполнения своих рабочих обязанностей.

Это лишь самые основные плюсы, которые организация получает от внедрения систем класса IDM. Список можно было бы значительно расширить, но сказанного достаточно, чтобы увидеть главное — очевидную ценность IDM для любых достаточно крупных организаций. И это понимание в той или иной степени в организациях уже есть.
При всем понимании их пользы, тем нем менее, уровень распространенности IDM на российском рынке в 2014 г. остается очень скромным. Ключевая причина — закрепившийся в сознании многих ИТ- и ИБ-руководителей стереотип: внедрение и последующее сопровождение IDM-систем — это очень не простая задача, причем самые большие сложности связаны с созданием ролевой модели доступа и последующим поддержанием ее в актуальном состоянии. Сегодня именно этот стереотип является основной проблемой и для всего рынка IDM, и для самих организаций, которые отсекают себя от возможности значительно повысить уровень противодействия наиболее актуальным угрозам ИБ. Хотя этот стереотип уже не соответствует действительности.

Как распределить роли?

Ролевая модель доступа — это основополагающий документ, четко определяющий необходимый набор прав доступа ко всем элементам корпоративной ИС для каждой должности в организации. Именно на основании данных, заложенных в ролевую модель, IDM может автоматически назначать права доступа новым сотрудникам или проводить аудит прав доступа, выявляя отличия реальных наборов прав в конечных ИТ-системах с эталонными наборами, заложенными в ролевой модели.

Казалось бы, как вообще распределять права без ролевой модели? Однако даже сегодня в подавляющем большинстве российских организаций до начала внедрения систем IDM такие документы, как ролевая модель или матрица доступа, просто отсутствуют. А права доступа назначаются «по ситуации» — на основании запросов непосредственного руководителя или по аналогии с набором прав сотрудника, уже работающего на такой же должности. Естественно, это быстро выводит ситуацию из-под контроля: сотрудники постепенно обрастают всевозможными правами, многие из которых им давно не нужны, так как соответствуют ранее занимаемым должностям, а то и вовсе никогда не требовались, но почему-то были назначены. Даже учетные записи уволенных сотрудников зачастую остаются активными. Трудно представить ситуацию более благоприятную для злоумышленника.

Именно поэтому создание ролевой модели — это первый этап любого IDM-проекта. Долгое время такие модели создавали вручную, интервьюируя руководителей и ключевых сотрудников и объединяя полученные результаты. Ясно, что этот подход крайне неэффективен. На сбор и систематизацию исходной информации в крупной организации с тысячами сотрудников и сотнями должностей могли уйти многие месяцы, а иногда и годы, не говоря уже о стоимости человеческих ресурсов, которые необходимо задействовать для выполнения этой задачи.
Но даже пройдя этот сложный и долгий путь и создав подробную ролевую модель, команда проекта сталкивалась со второй, не менее сложной задачей — ее утверждением у ключевых руководителей организации. Именно на этом шаге во всей красе проявляются классические противостояния между различными подразделениями организации и разрыв в понимании бизнес-процессов между руководством и подчиненными. И дело не только в демонстрации своего влияния, хотя и этот фактор присутствует. Типична ситуация, когда высокопоставленные начальники крайне слабо представляют себе, как организованы реальные рабочие процессы, но при этом не могут отказаться от соблазна попробовать оптимизировать и улучшить принесенный им на утверждение документ. В итоге утверждение ролевой модели или вполне сопоставимо по срокам с ее созданием, или занимает даже больше времени.

Но вот светлый день настал: последняя подпись на документе поставлена, и в организации есть, наконец, утвержденная ролевая модель. Но тут выясняется, что пока над ней работали, права доступа для большинства сотрудников изменились, процессы поменялись, информационная система изменилась. И утвержденный документ, созданный с таким трудом, можно смело отправлять в мусорное ведро. Очень неприятная ситуация, но, увы, распространенная. Поэтому именно опасения «провалить» создание корректной ролевой модели стали причиной отказа многих и многих организаций от запуска IDM-проектов.

К счастью, в последние годы ведущие IDM-вендоры реализовали и предложили заказчикам промышленное решение этой серьезной задачи. Таким решением стал специальный модуль (IDM Role Manager), позволяющий автоматизировать весь процесс создания ролевой модели. Не уходя глубоко в технические детали, суть работы этого модуля можно описать так: сначала автоматическое извлечение информации из конечных систем обо всех имеющихся в организации учетных записях и закрепленных за ними правах доступа, затем выгрузка из кадровой системы информации обо всех сотрудниках и их должностях. Затем выявление взаимосвязи собранных учетных записей с конкретными сотрудниками и их должностями и математический анализ реальных наборов прав доступа сотрудников, занимающих одинаковые должности. Цель — выявить наиболее часто встречающиеся у них прав, которые войдут в так называемую базовую роль для данной должности. Все не вошедшие в нее права каждого сотрудника оформляются в виде исключений. И, наконец, сравнение полученных базовых ролей между собой, позволяющее выявить полные совпадения и объединить такие роли в одну, назначаемую сразу нескольким категориям сотрудников.

Результат поразительный: с помощью модуля IDM Role Manager организация за считанные часы получает готовую для утверждения ролевую модель, основанную на реальных правах доступа, и абсолютно актуальную, так как временной разрыв между моментом сбора информации и готовностью документа практически отсутствует. Да и процесс согласования такой модели не занимает много времени, так как при ее создании отсутствовал какой-либо субъективизм исполнителя, система автоматически обобщила те права, которые уже были у сотрудников к настоящему моменту, и не имеет смысла их оспаривать.

Однако нужно понимать, что после запуска IDM-системы с базовыми ролями работа с ролевой моделью не заканчивается. Теперь, когда IDM-система нормально работает и приносит пользу, можно спокойно и постепенно оптимизировать ролевую модель, а начинать эту работу лучше всего с анализа всех тех прав, которые были оставлены в ролевой модели как исключения. Если их необходимость подтверждается, их можно включить в базовые роли, а если нет, — заблокировать.

Как поддерживать актуальность ролевой модели?

После того, как все исключения проанализированы и отработаны (или одновременно с этой деятельностью), необходимо выстроить непрерывный процесс, поддерживающий ролевую модель в актуальном состоянии. Ведь жизнь не стоит на месте, права доступа крайне динамичны, и эту изменчивость надо своевременно учитывать. Желательно, с минимальными усилиями.

Реализовать отдельные разовые изменения прав доступа можно с помощью заложенного в систему цикла Workflow, в рамках которого сотрудники или их руководители могут запросить дополнительное право или дополнительную роль, которые не были им изначально положены. После появления такого запроса IDM-система определяет цикл его согласования, в зависимости от того, что именно запросили, а затем проводит заявку по этому циклу, направляя необходимые запросы на утверждение соответствующим ответственным лицам. При этом в рамках цикла согласования возможна масса различных опций, начиная от возможности приложить сопроводительные документы или задать уточняющие вопросы любому участнику согласования, до делегирования права утверждения другому лицу или определения нового согласующего, в случае недоступности первоначально выбранного лица. Когда все согласования будут получены, то запрашиваемое право/роль будут назначены автоматически, а вся история согласования сохранится в архиве IDM-системы. Если же заявка будет отклонена, ее отправитель автоматически получит соответствующее сообщение с необходимыми пояснениями.
Надежная и удобная реализация Workflow — это штатный функционал качественных IDM-систем. Но если на момент внедрения IDM в организации уже функционирует система электронного документооборота (СЭД), и сотрудники уже привыкли к ней, то технически возможно интегрировать IDM c СЭД в части согласования заявок, чтобы процесс утверждения проходил в привычной для пользователей системе, а его результаты автоматически обрабатывались IDM.

Все бы хорошо, но вышеописанный цикл согласований позволяет добавлять новые права в качестве исключений. Однако для качественного функционирования IDM и предотвращения «расползания» ролевой модели необходимо с определенной периодичностью (обычно 1−2 раза в год) проводить ресертификацию ролей, т. е. процесс актуализации ролевой модели.

Цель ресертификации — оценка актуальности ролей, существующих в компании, удаление из них устаревших и избыточных прав, включение новых прав, которые стали востребованы, а также, возможно, создание новых ролей, позволяющих более гибко управлять правами доступа.
Современные IDM-системы предлагают следующий функционал для организации процесса ресертификации. Во-первых, заявки на создание, изменение или удаление роли в рамках Workflow.
В отличие от классического сценария работы Workflow, когда любой сотрудник или руководитель запрашивает себе или подчиненному некое право или роль из ранее созданного перечня, в рамках процесса ресертификации определенный круг лиц получает возможность создавать новые роли, которые после их утверждения пополнят перечень ролей. Также возможна корректировка уже существующих ролей или их полное удаление.
Само собой, такие полномочия менять ролевую модель организации предоставляются далеко не всем ее сотрудникам, а только узкому кругу лиц из бизнеса и ИТ. Более того, ни одно изменение роли не может быть внесено кем-либо единолично. Допущенный к этой работе сотрудник лишь формирует предложение о создании новой или изменении существующей роли, а дальше IDM определяет перечень согласующих лиц (владельцев вошедших в роль ресурсов, руководителя подразделения, в рамках которого предполагается назначение этой роли, ответственных от ИТ- и ИБ-подразделений и др.) и запускает цикл согласования. А дальше все идет, как и в обычном Workflow.

Во-вторых, матрица конфликтных прав / ролей. При проведении ресертификации очень важно проводить с ней сверку изменений.

Матрица конфликтных прав / ролей — это документ, описывающий комбинации прав, которые ни в коем случае не должны оказаться у одного и того же сотрудника, так как это может создать особый риск злоупотреблений или недружественных действий в адрес компании. Например, в банковских структурах всегда разделяют функцию проведения платежа и подтверждение этого платежа. Действует правило двух рук, так как дело касается денег и зачастую — денег клиента. Очевидно, что если человек может осуществлять платежи бесконтрольно — это резко снизит уровень безопасности и может привести к краже. Матрица конфликтных прав / ролей составляется уже при внедрении IDM-системы, которая в дальнейшем автоматически сверяет с ней все предложения по изменению или назначению ролей. Выявив конфликт, IDM-система отклоняет изменение.

В-третьих, аналитическая оценка запрашиваемых исключений. Качественные IDM-системы в рамках процесса ресертификации предлагают также возможность оценивать частоту запросов на предоставление тех или иных дополнительных прав в рамках цикла Workflow и могут выдавать систематизированные рекомендации по дополнению базовых ролей часто запрашиваемыми правами.

Скажем, в компании работают 15 руководителей проектов. В базовой роли «Руководитель проекта» доступ в CRM-систему организации не предусмотрен, однако за год, прошедший с момента предыдущей Ресертификации, 12 из 15 руководителей проектов обратились с заявками предоставить им доступ в CRM и получили его в формате исключений. В этом случае система сама предоставит вам информацию об этом в удобном для восприятия виде и предложит добавить доступ в CRM в базовую роль «Руководитель проекта». На первый взгляд, это кажется таким очевидным. Кажется, что все это можно сделать и без какой-либо системы автоматизации. Однако в крупных организациях с тысячами сотрудников и сотнями должностей, отследить взаимосвязи между большим потоком разрозненных заявок вручную очень и очень не просто, если вообще возможно.

В-четвертых, оценка частоты использования предоставленных прав доступа. Высшим пилотажем при проведении ресертификации ролей является возможность не только анализировать запрашиваемые исключения, но и оценивать насколько часто сотрудники фактически используют права доступа, предоставленные им в рамках их роли. Как показывает практика, при проведении такого анализа всегда обнаруживается множество избыточных прав доступа, которые входят в базовые роли сотрудников, но им не нужны. Избыточные права необходимо своевременно выявлять и блокировать. Это очень актуально для обеспечения высокого уровня информационной безопасности.

Чтобы оценивать частоту использования прав доступа, в компании нужно развернуть систему инвентаризации программного обеспечения, которая и будет анализировать, в какие информационные системы и с какой частотой заходит пользователь. В настоящее время такие возможности не входят в функционал IDM. Обе системы надо интегрировать, причем это не очень простая задача. Но если она будет решена, можно добиться очень глубокого анализа в ходе процесса ресертификации ролей.

Рассмотренные подходы и инструменты четко показывают, что на современном уровне развития передовых IDM-систем вопросы, казавшиеся неразрешимыми, уже далеко не являются таковыми. Технологии не стоят на месте, и безумная сложность внедрения систем класса IDM — это миф, который постепенно уходит в прошлое. Для большинства организаций безошибочное и полностью автоматизированное управление учетными записями и правами доступа действительно актуально.

ДРУГИЕ НОВОСТИ

    Форма
    контакты
    Телефон
    E-mail
    129 085, г. Москва
    ул. Годовикова, д. 9, стр. 17
    Адрес
    Все права защищены © Avanpost 2024