03.03.2014

Создания и оптимизация ролевой модели доступа. Экономический эффект от внедрения IDM-решения

image

Вопросы управления доступом – краеугольный камень для ИТ-департамента и службы информационной безопасности в любой организации.

Алексей Павлов, presale manager
ООО «ТрастВерс» ГК «Информзащита»

Вопросы управления доступом – краеугольный камень для ИТ-департамента и службы информационной безопасности в любой организации.

Предоставление, изъятие, инвентаризация прав доступа задействует значительные ресурсы отдела автоматизации и требует постоянного контроля со стороны офицеров информационной безопасности.

Давайте разберемся в процессе подробнее.

Типовой доступ сотрудника представляет собой набор прав доступа к информационным системам, ресурсам, интернету, корпоративной почте. Для выдачи таких прав ИТ-подразделение тратит от 15 минут (оптимистический прогноз) до нескольких часов в зависимости от запрашиваемых полномочий и сложности информационных систем (напр. АБС с атрибутной моделью доступа, SAP и даже в 1С все не так уж и просто).

Поэтому одной из основных проблем ИТ-департамента любой организации является управление учетными записями и правами доступа, а также последующий контроль полномочий сотрудников. Контроль прав необходим для обеспечения сотрудникам необходимых и достаточных прав доступа для работы, и, как следствие, минимизации рисков утечки информации.

Наверняка, в каждой организации рано или поздно возникает вопрос аудита, либо, как минимум, инвентаризации прав доступа отдельно взятого сотрудника. Сколько времени это может занять? По минимальным прикидкам от 20 минут до нескольких часов.

Как один из примеров аудита – выявление полномочий на файловых серверах, особенно если в компании практикуется индивидуальный доступ.

Наиболее оптимальным решением проблемы инвентаризации существующих прав доступа – использование ролевой модели и типового доступа. Давайте рассмотрим подробнее эти понятия.

Типовой доступ

Типовой доступ - это использование шаблонных групп, профилей, ролей в информационных системах для предоставления доступа. Например:

в 1С 8.2 – использование профиля «Менеджер», которые включает в себя определенный набор элементарных ролей и прав доступа к таблицам. Или управление членством группы в Active Directory «Доступ к папке «Текущие проекты» чтение» для предоставления прав доступа к разделяемому каталогу. Это позволит сократить время на предоставление и последующий аудит прав пользователя.

Ролевая модель

Ролевая модель (RBAC) – использование формализованных шаблонов на предприятии, которые содержат необходимые полномочия для осуществления определенной деятельности. Для решения большинства задач организации существуют ролевые полномочия, присваиваемые сотрудникам. Например:

В рамках ролевой модели доступа, на основе матрицы доступа, в разрезе подразделений и должностей используется такие сущности, как: бизнес-роли, должностной доступ и, в исключительных случаях, индивидуальный доступ

Должностной доступ

Должностной доступ представляет собой набор базовых прав, которые имеют сотрудники одного отдела на одной должности. Зачастую, это минимально необходимые привилегии для выполнения рабочих обязанностей. Например: создание учетной записи в AD для входа в домен, создание корпоративного почтового ящика, выделения доступа к корпоративной папке отдела на файлообменнике и регистрация в профильной информационной системе с базовыми правами (ERP, CRM, СЭД).

Бизнес-роли

Бизнес-роли включают в себя типовой доступ, который сотрудник запрашивает (либо ему выдается) для выполнения определенных функций – участия в проекте, выполнения поручений руководства, командировка.

Индивидуальный доступ

Индивидуальный доступ необходим для решения конкретных задач, поставленных руководителем, это дополнительные права, которые сотрудник запрашивает с помощью интерфейса самообслуживания: веб-портала, ITSM-системы и пр.

Данная схема позволяет значительно снизить объем производимой инвентаризации, так как есть права, характерные для должностей, которые априори присутствуют у сотрудника и в большинстве случаев достаточны для работы. Дополнительное использование бизнес-ролей, например, если сотрудник участвует в проекте на определенной роли, сокращает количество запросов уникальных прав (индивидуальных) до 5-10%.

Если подводить итог, то оптимизация ролевой модели значительно снижает нагрузку на службу ИТ и службу информационной безопасности, сокращает время аудита, но в корне не решает проблему:

  1. ИТ-департамент осуществляет все операции по выдаче и изъятию прав, а так же по созданию и удалению учетных записей вручную;
  2. Сотрудникам службы автоматизации (либо service desk) постоянно приходится уточнять требования заявки (права доступа, сроки выдачи полномочий) и помнить об изъятии привилегий через определенное время;
  3. Инвентаризация прав доступа осуществляется вручную по каждой информационной системе. Введение ролевой модели упрощает процедуру, но она по-прежнему занимает значительное время;
  4. Согласование выстраивается по стандартным маршрутам, редко с использованием владельцев ресурсов и ответственных за ИС;
  5. Расследование инцидентов (особенно с точки зрения связывания выданных полномочий с заявками и их согласующими) является очень трудоемкой задачей;
  6. Бизнес-подразделения вынуждены ожидать выдачи прав и заниматься согласованием заявок.

IDM – identity management

Одно из решений упомянутых выше проблем – внедрение IDM. Это единая система управления правами доступа и учетными записями информационных систем, которая включает в себя:

  • Модуль автоматизации управления правами доступа - автоматическое исполнение требований заявок на предоставление доступа, выдача должностного доступа, создание ролевой модели и оптимизация матрицы доступа. При появлении нового сотрудника в кадровой системе, информация автоматически попадает в IDM. В соответствии с настройками и политиками информационной безопасности, сотруднику автоматически выдаются базовые права, соответствующие его должности. При увольнении человека все его учетные записи автоматически блокируются. Это ускоряет процесс и устраняет проблему «мертвых душ».

  • Интерфейс самообслуживания для формализованного запроса и согласования прав доступа - пользователи смогут самостоятельно участвовать в запросе привилегий, в том числе создавать запросы на предоставление временного доступа. Данный модуль значительно снижает нагрузку как с ИТ-департамента, так и с рядовых пользователей на этапе создания, согласования и исполнения заявок на доступ, а так же формализует процесс запроса доступа.

  • Единую систему отчетов по всем событиям в информационных системах и сетевых ресурсах предприятия. IDM-решение позволяет создавать отчеты о состоянии ИС и доступе сотрудников, проводить ресертификацию назначенных прав (периодический пересмотр прав доступа), что значительно снижает риски утечки конфиденциальной информации – пользователь всегда имеет необходимые и достаточные привилегии для работы в каждый конкретный момент.
  • Реагирование на несанкционированные изменения прав доступа и учетных записей информационных систем в режиме онлайн – разработка, доступная в одном из IDM-решений (система «КУБ»). При создании заявки и последующем ее согласовании, автоматические изменения ИС происходят по легитимному сценарию. Если произошло изменение прав доступа без согласованной заявки (в обход заявочной системы), эта информация оперативно попадает ответственному сотруднику и он может откатить состояние информационной системы к прежнему. Данная схема позволяет оперативно расследовать инциденты, а также снижает риски.

Экономический эффект

Теперь, когда проблематика выявлена и преимущества IDM-решений освещены, давайте попробуем выразить данную выгоду в цифрах. Ниже приведены вводные данные в типовой компании.

Исходные данные:

Количество пользователей – 1000 человек

Допущения:

Текучка кадров на предприятии в год – 5%

Количество запрашиваемых прав доступа к ресурсам и системам в среднем для каждого сотрудника предприятия – 2 раза в год

Время согласования заявки без системы – 25 минут

Время согласования заявки с использованием IDM («КУБ»)– 10 минут

Время исполнения инструкций ответственными исполнителями без системы IDM– 30 минут

Экономия времени, автоматизация исполнения инструкций – автоматически, мгновенно - 0 минут

Количество согласующих лиц без системы – 4 человека

Количество согласующих лиц при использовании системы IDM – 3 человека

Выдача прав на основании должности новому сотруднику при устройстве на работу без использования системы «КУБ» – 3 часа (изъятие 1 час)

Выдача прав на основании должности новому сотруднику при устройстве на работу при использовании системы IDM – автоматически, мгновенно, 0 минут

Ежегодный комплексный аудит ИТ-инфраструктуры предприятия без использования системы IDM – 10 дней в год для двоих сотрудников (сотрудник отдела ИТ + сотрудник отдела ИБ)

Ежегодный комплексный аудит ИТ-инфраструктуры предприятия с использованием системы IDM – 2 для одного сотрудника – администратора системы КУБ

На основании этих данных и допущений была рассчитана выгода для предприятия при внедрении IDM-решения:

Оценка рисков

Выше была произведена оценка реальной экономии средств, теперь давайте поговорим о рисках. Этот фактор с каждым годом становится все более реальным и насущным, поэтому его оценка имеет значительный вес. При разговоре о рисках утечки конфиденциальной информации многие вспоминают SIEM-, DLP-, СЗИ-системы и абсолютно правы. Эти средства позволяют контролировать потоки информации, защищать ее и отслеживать утечки. При этом исследования показывают, что принимая превентивные меры, риски возможно снизить на 30-70 процентов, в зависимости от компании.

  • Контроль прав доступа
  • Согласование заявок на доступ
  • Ресертификация полномочий

За счет чего превентивные меры позволят снизить риски утечки информации?

Оценку рисков утечки информации найти достаточно сложно, поэтому в данном расчете мы воспользовались результатами западной компании Computer Economics. Ниже представлены вводные данные исходя из оценки рисков в общем и интерпретации этих данных на ежегодные статьи расходов:

Оценка Computer Economics:

Кол-во узлов

Экономический ущерб*

Экономический ущерб в случае отсутствия специализированного ПО, на один узел, в год
(12.3%) х (экономический ущерб) / (кол-во узлов)**

25

$31 085

$153

50

$61 589

$152

100

$109 684

$135

250

$239 401

$118

500

$430 614

$106

1 000

$812 897

$100

2 000

$1 554 229

$96

3 000

$2 399 057

$98

5 000

$4 113 023

$101

10 000

$6 878 684

$85

20 000

$11 555 918

$71

50 000

$25 251 408

$62

* По результатам исследования компании Computer Economics, при условии отсутствия защиты сетей; для компаний со средним уровнем использования технологий электронного бизнеса

** По результатам исследования компании Computer Economics распределение бюджета на ПО и прикладное ПО составляет 12,3% от общего бюджета

Как уже говорилось выше, IDM-решение способно сократить риски утечки на 30-70 процентов, давайте возьмем по минимуму. Получим оценку в размере одного миллиона рублей.

В расчете используется статистическое допущение, что система "КУБ" обеспечивает вклад в виде 30% на прямое обеспечение информационной безопасности от общего количества установленного для этих целей программного обеспечения. Распределение представлено в таблице.

Заключение

Оценка рисков вкупе с экономией на автоматизацию и инвентаризацию дает почти четыре миллиона рублей выгоды в год. Средний бюджет на внедрение в компании из 1000 человек (лицензии + работы по интеграции) IDM-решения* составляет эту сумму, и даже, зачастую, меньше ее. Таким образом, IDM-решение окупается за один год владения.

Если подводить итог, то внедрение IDM-решения значительно упрощает и ускоряет управление правами доступа и учетными записями, а также снижает риски информационной безопасности, что, несомненно, перевешивает экономический аспект, связанный с внедрением данной системы.

*- оценка производилась на основе данных компании ООО «ТрастВерс» по IDM-решению «КУБ»

Алексей Павлов,
менеджер поддержки продаж
ООО «Трастверс» ГК «Информзащита»
+7 (495) 980-2345, доб. 732
+7 (916) 178-98-90
http://www.trustverse.ru
a.pavlov@trustverse.ru

или введите имя

CAPTCHA
николай
04-03-2014 09:51:38
Слушал вебинар Вашей компании. Думаю, что приводить стоимостной показатель рисков ИБ, основываясь на данных аналитиков запада нецелесообразно ибо в российском законодательстве данное положение вещей не определено. Система IDM направлена в первую очередь на оптимизацию работы службы ИТ и ИБ предприятия и экономическая целесообразность внедрения данного решения в первую очередь может быть направлена на сокращение штата тех же служб ИТ/ИБ. На уменьшение рисков данная система не направлена ибо она лишь работает как "маркер". Здесь и обратная сторона медали - готовы ли российские компании к такому шагу - сократить 1 единицу состава ИБ либо внедрит IDM- решение. На такое готовы лишь крупные компании, для средних и мелких это нецелесообразно. Впринципе решение непплохое и автоматизацию рутинных задач она обеспечивает.
0 |
Алексей Павлов (ТрастВерс)
04-03-2014 15:23:48
Николай, спасибо за комментарий! Я согласен с Вами, что основная задача IDM - решит проблему автоматизации, но и снижение рисков утечек КИ, как следствие наведения порядка в области разграничения прав доступа,тоже имеет место быть. По поводу сокращения штата - это лишь один из вариантов, другой - перераспределение ресурсов на другие, не менее насущные проблемы. IDM - это фундамент для построения инфраструктуры предприятия в области разграничения доступа и, в силу развития технологий, данная задача возникает не только в крупных предприятиях, но и в компаниях 300-1000 человек, для которых компания "Трастверс" разработала специальное решение КУБ СМБ, с упрощенной процедурой внедрения и привлекательными ценами.
0 |
11-03-2014 13:48:38
IdM и IAM - старые (и дорогие) западные системы, раскрытые здесь недостаточно. В условиях Украины (думаю, и России) примеров успешных внедрений не имеют. Тем, кто хочет их покупать, рекомендую сначала поспрашивать о них у незавимимых экспертов. Тех же международных аудиторов, которые во времена кризиса рекомендовали отказываться именно от этих систем, как не имеющих (в наших условиях) примеров успешных внедрений.
0 |
Алексей Павлов (ТрастВерс)
11-03-2014 17:02:50
Александр, IdM и IAM не такие уж и "старые" западные системы, они появились давно (особенно у Oracle, IBM, Microsoft), но постоянно эволюционируют, "вбирая" в себя дополнительные модули, расширяя функционал, становясь более легковесными и уже более года назад "шагнули" в облако. По поводу дороговизны - тоже не совсем точное определение. Есть и очень бюджетные решения - например, Microsoft FIM, которые, правда, и внедряются сложнее. Понятие дорого каждый определяет самостоятельно. Отечественное IDM (хотя по функционалу ближе к IAG) КУБ изначально планировалось, как решение для SMB и low enterprise решение, причем, продукт для SMB настолько прост во внедрении, что у наших клиентов есть практика самостоятельного внедрения и разработки коннекторов под свои информационные системы. Что касается внедрения, думаю, имеет смысл скорее получить feedback от компаний, которые эксплуатируют продукт, нежели у независимых аудиторов. Компания ТрастВерс имеет большую практику организации референс-визитов в компании, где эксплуатируется IDM-решение КУБ. Спасибо большое за Ваше мнение!
0 |