Утечки информации по вине сотрудников являются одной из важнейших угроз, с которыми приходится бороться службам информационной безопасности любой компании. Любые избыточные права доступа сотрудников ведут к увеличению риска утечки информации. В статье рассказывается о ролевой модели прав доступа, процессе инвентаризации выданных прав доступа и выявлении несоответствий на примере системы управления и контроля доступа «КУБ».
2. Инвентаризация прав доступа
Введение
Рост компании = ужесточение контроля
Недопущение утечек информации является одной из важнейших задач службы информационной безопасности любой компании. Если есть конфиденциальная информация (государственная, коммерческая тайна, персональные данные), то существует задача ее защиты. С ростом организации, увеличивается опасность хищения информации, в том числе сотрудниками, возрастают финансовые и репутационные риски, это приводит к ужесточению политик и систем контроля.
Любые избыточные права доступа сотрудников ведут к увеличению риска утечки информации. Наверняка, каждый из вас сталкивался со следующей ситуацией: сотрудник решает уволиться и перед уходом копирует на флэшку всю ту информацию, к которой имеет доступ (авось, пригодится!). Если сотрудник в организации достаточно давно, то за время работы, скорее всего, у него накопилось огромное количество привилегий доступа к различным информационным ресурсам компании, которые он получал, участвуя в проектах, выполняя поручения руководства и свои ежедневные обязанности. Риск потери конфиденциальной информации очень велик и последствия могут быть различными - начиная от потери репутации компании и заканчивая уголовным преследованием. Поэтому большинство компаний с ростом численности сотрудников усиливают меры по контролю за правами их доступа. Происходит ужесточение политики ИБ, так как увеличиваются риски утечки информации.
Одним из первых этапов по упорядочиванию процесса выдачи прав к информационным системам – ввод системы согласования заявок.
Рисунок 1. Ввод системы согласования заявок
Далее обычно принимаются меры по уменьшению полномочий сотрудников, такие как запрет создания ресурсов и изменения прав доступа к тем ресурсам, где пользователь владелец, блокировка прав локального администратора и так далее.
Следующим этапом, как правило, вводится периодическая инвентаризация и ресертификация существующих прав доступа, то есть пересмотр прав пользователей к информационным ресурсам компании.
Инвентаризация прав доступа
Давайте остановимся подробнее на последних операциях.
Представьте, что нужно узнать, к каким ресурсам имеет доступ сотрудник, работающий в организации пять лет. Сколько это займет времени? 15-20 минут? А если необходимо провести проверку 50 сотрудников?
Информационные системы:
- Active Directory
- Файловые ресурсы
- ERP-системы (1С, SAP, IBM, Microsoft)
- CRM (Microsoft, IBM, amoCRM, SugarCRM)
- СЭД (БОСС-референт, IBM lotus, Directum)
Рисунок 2. Типовой доступ сотрудника к информационным системам предприятия
Для чего же необходимо производить инвентаризацию доступа? Основная задача – обеспечение сотрудникам необходимых и достаточных прав доступа для работы. Это права доступа строго необходимые для выполнения должностных обязанностей на текущий момент. Инвентаризация позволяет выявить привилегии, которые на данный момент исполнения обязанностей сотрудника не являются необходимыми.
Чтобы понять всю сложность инвентаризации, давайте посмотрим как обычно осуществляется предоставление доступа в организации?
Чаще всего запрос и согласование доступа осуществляется в системе электронного документооборота, с помощью корпоративной почты или веб-портала, либо просто по телефону. После того, как запрос согласован, доступ выдан, заявка отправляется в архив, если таковой существует. При этом механизме оперативного отслеживания существующих полномочий сотрудника чаще всего нет. В таких ситуациях единственная возможность выявить текущие права доступа сотрудников – проведение оперативной или плановой инвентаризации.
Рисунок 3. Пример отчета «Инвентаризация прав доступа», предоставляемый системой управления и контроля доступа «КУБ»
Наиболее оптимальным решением проблемы инвентаризации существующих прав доступа – использование ролевой модели и типового доступа. Давайте рассмотрим подробнее эти понятия.
Типовой доступ
Типовой доступ – это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа. Например, в 1С 8.2 – использование профиля «Менеджер», который включает в себя определенный набор элементарных ролей и прав доступа к таблицам. Или управление членством группы в Active Directory «Доступ к папке «Текущие проекты» чтение» для предоставления прав доступа к разделяемому каталогу. Использование шаблонов позволяет сократить время на аудит прав пользователя и формализует процедуру их предоставления.
Рисунок 4. Использование шаблонных групп, ролей и профилей
Ролевая модель
Ролевая модель (RBAC) – использование формализованных шаблонов на предприятии, которые содержат необходимые полномочия для осуществления определенной деятельности. Для решения большинства задач организации существуют ролевые полномочия, присваиваемые сотрудникам. Например:
В рамках ролевой модели доступа на основе матрицы доступа в разрезе подразделений и должностей используется такие сущности, как: бизнес-роли, должностной доступ и, в исключительных случаях, индивидуальный доступ
Должностной доступ представляет собой набор базовых прав, которые имеют сотрудники одного отдела на одной должности. Зачастую, это минимально необходимые привилегии для выполнения рабочих обязанностей.
Рисунок 5. Использование шаблонов должностного доступа
Например: создание учетной записи в AD для входа в домен, создание корпоративного почтового ящика, выделения доступа к корпоративной папке отдела на файлообменнике и регистрация в профильной информационной системе с базовыми правами (ERP, CRM, СЭД).
Бизнес-роль
Бизнес-роли включают в себя типовой доступ, который сотрудник запрашивает (либо ему выдается) для выполнения определенных функций – участия в проекте, выполнения поручений руководства, командировка.
Рисунок 6. Использование шаблонов бизнес-ролей
Индивидуальный доступ
Индивидуальный доступ необходим для решения конкретных задач, поставленных руководителем, это дополнительные права, которые сотрудник запрашивает с помощью интерфейса самообслуживания: веб-портала, ITSM-системы и пр.
При применении ролевой модели доступа, количество индивидуальных прав обычно составляет 5-10% от общего количества привилегий.
Данная схема позволяет значительно снизить объем производимой инвентаризации, так как есть права, характерные для должностей, которые априори присутствуют у сотрудника и в большинстве случаев достаточны для работы. Так же есть типовые права, если сотрудник участвует в проекте на определенной роли.
Рисунок 7. Процесс предоставления индивидуальных прав доступа
Сертификация доступа
Для контроля за состоянием индивидуальных прав доступа сотрудников многие организации ввели процедуру сертификации доступа, в процессе которой непосредственные руководители или ответственные лица проводят периодическую переаттестацию индивидуальных привилегий сотрудника.
С помощью IDM-системы, например, «КУБ» эту процедуру можно автоматизировать. Руководитель будет периодически получать уведомления со списком индивидуальных привилегий его подчиненных, которые он может продлить на расчетный период или отобрать.
Есть другой вид переаттестации, когда доступ подтверждается не руководителем, а согласующими лицами, которые утверждали первоначальный доступ.
Рисунок 8. Утверждение индивидуальных прав доступа
Работа с несоответствиями
Как правило, в IDM-решении присутствуют механизмы отслеживания, так называемых, несоответствий. Несоответствие – это изменение прав доступа сотрудников, изменение атрибутов ресурсов и информационных систем в обход процедуры согласования и без уведомления сотрудников службы ИБ.
Рисунок 9. Отслеживание несоответствий в правах доступа
IDM-решения производят мониторинг информационных систем на предмет изменения состояний, после чего соотносят эти изменения с заявками, созданными в IDM.
Рисунок 10. Мониторинг изменений доступа в информационных системах
Если соответствующих запросов на доступ нет, то событие считается нелегитимным. По данному факту оповещается ответственный за информационную систему. По результатам расследования инцидента может приниматься решение об отклонении изменений (тогда IDM автоматически «откатывает» состояние системы) либо об их утверждении.
Рисунок 11. Несоответствие прав доступа фиксируются системой
Заключение
По статистике около 70% утечек конфиденциальной информации происходит по вине сотрудников организации. Любые меры по противодействию утечкам информации делятся на два типа: превентивные меры и защитные.
Защитные меры – использование:
- DLP
- SIEM
- СЗИ
Превентивные меры – инвентаризация, ресертификация и мониторинг прав доступа сотрудника. Основная задача - обеспечение сотрудникам необходимых и достаточных прав доступа для работы. Это позволяет минимизировать риски по утечке информации.
- Контроль существующих прав доступа
- Построение матрицы доступа
- Мониторинг изменений ИС
Использование матрицы доступа, ролевой модели и механизмов работы с несоответствиями позволит реализовать политики информационной безопасности, направленные на предотвращение утечек информации в организации.
