Найти в Дзене
Солар
479 подписчиков

УПРАВЛЕНИЕ ДОСТУПОМ. ВВОДНАЯ ЧАСТЬ.

7
3 мин
Оглавление

Вводная. Цели курса

Управление доступом – тема не самая простая. Множество сложных аббревиатур и понятий, разные технологии, методики и подходы. Мы решили разобраться в тематике управления доступом и поделиться знаниями и опытом с аудиторией, которой интересно это направление. Для этого мы создали курс обучения – будем раз в месяц делиться самой актуальной информацией по теме управления доступом, как в формате небольших заметок и статей с инфографикой, так и с видеоинтервью экспертов.

Мы всегда открыты к общению и будем ждать от вас обратной связи – как нам скорректировать свою работу, о чем рассказать, что нового обсудить.

Какие темы рассмотрим в курсе

Темы ближайших выпусков:

  • Как подготовиться к внедрению IGA
  • Как выбрать наиболее эффективный подход к внедрению IGA
  • Автоматизация. Что она даёт?
  • Управление привилегированным доступом

Управление доступом. Что это вообще такое?

Управление доступом делится на три основных составляющих:

  • Физический доступ на объект– обеспечение безопасности периметра компании;
  • Технический доступ – обеспечение безопасности при доступе к информационным ресурсам компании;
  • Административный доступ – разработка методологической базы в виде политик, процедур, инструкций и т.п.

Большая часть информации нашего курса относится к лучшим практикам в части управления учетными записями и доступом к информационным ресурсам. Компоненты – физический, технический и административный доступ, – неразрывно связаны между собой, и для нормальной работы компаниям нужен целый комплекс средств и процедур, который защищал бы организацию по всем трем направлениям.

Таким образом, получается, что управление учетными данными пользователей – это не чисто техническое внедрение какого-либо решения, а целый «комплекс подходов, практик, технологий и специальных программных средств для управления доступом».

Каждая организация сама решает, как ей наводить порядок в части управления доступом, и в первую очередь это зависит от размера компании.

Если в компании:

  1. Несколько сотен пользователей
  2. Несколько информационных систем
  3. Доступом к информационным системам управляют через группы AD

Решение:

  1. Оформить в штат ИТ-администратора для управления правами доступа и обработки заявок
  2. Разработать регламент основных процессов и определить ответственных за каждый этап
  3. Регулярно выгружать данные, проверять их актуальность и соответствие регламенту

Функции безопасности в таких компаниях не сильно развиты и, как правило, совмещаются сотрудниками ИТ-подразделений.

Но компании меняются: растет число пользователей, происходят слияния и поглощения, открываются новые филиалы, т. е. меняется организационная структура. Спецификой некоторых компаний является частая ротация кадров, это характерно для сферы ритейла или крупных финансовых организаций. Возникают простои из-за отсутствия доступа, процесс оформления и согласования прав становится непрозрачным и сложным.

Одновременно с кадровыми изменениями меняется информационная структура – в ней появляется множество гетерогенных сред, в каждой из которых своя архитектура и свои подходы к управлению доступом. Обслуживание пользователей в такой структуре становится непростой задачей и уровень сервиса падает: SLA по обработке заявок ИТ-отделом не соблюдается, бизнес теряет деньги и упускает выгоду. Администраторы тратят кучу времени на обработку заявок: даже если есть система для Service desk, то каждую заявку нужно открыть, понять, обработать, списать трудозатраты, принять по ней решение. Кроме того, требуется предоставить права в ИС, создать учетную запись, прописать ее в нескольких файлах, дающих те или иные разрешения, и при этом не сделать ошибки и не предоставить излишних прав.

У подросших компаний меняется уровень зрелости информационной безопасности: появляется отдельное подразделение, т.к. сотрудники ИТ уже не могут выполнять весь комплекс мероприятий по ИБ. Но когда средств контроля нет, сотрудники ИБ вынуждены идти в ИТ, чтобы получать выгрузки данных о пользователях и правах, обращаться к бизнес-владельцам за тем, чтобы понять достаточный уровень прав. Аудиты не проводятся по причине их трудоемкости и устаревания данных. Все это ведет к появлению инцидентов, причем известно о них становится постфактум, а средств, чтобы провести полноценное расследование, у ИБ нет. Все это приводит к финансовым и репутационным потерям.

Продолжение материала, доступно по ссылке в блоге на сайте компании.

Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Умные часы
Игровые консоли
Камеры и фототехника
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Фитнес-трекеры
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Системное администрирование
Гаджеты и электроника
5,73 млн интересуются