Система управления доступом к ресурсам «СКАУТ - Доступ»

Современной организации, растущей и развивающейся, увеличивающей в связи с требованиями бизнеса количество используемых программных продуктов, важно обеспечить порядок и полный контроль в защите доступа к информационным активам.

Для решения задач управления доступом авторизованных пользователей к IT-ресурсам – различным информационным системам, программным приложениям, почте и прочим корпоративным данным, а также для централизованного управления персональными данными, учетными записями и идентификацией пользователей, компанией «Деловые консультации, Санкт-Петербург»была разработана Система управления доступом.

Система управления доступом рекомендована для применения в банковской системе Российской Федерации, соответствует Стандарту ЦБР СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением ЦБР от 21 июня 2010 г. N Р-705).

Система управления доступом позволяет обеспечить эффективное взаимодействие таких важных органов в крупной компании (к примеру, в крупном банке со сложной, разветвленной структурой подразделений), как служба информационной безопасности, IT-служба, а также отдел кадров. Этот программный инструмент отвечает за согласованность действий сотрудников данных служб, что в свою очередь ведет к усилению безопасности всей IT-инфраструктуры компании, сокращает затраты на обеспечение доступа и позволяет оптимизировать штат сотрудников данных служб.

Базовые функциональные возможности системы

Решение задачи учета выдаваемых сотрудникам прав в Системе управления доступом обеспечивается посредством:

1. Ведения справочной информации:

   • Ведение организационной структуры и справочника сотрудников.

Справочник организационной структуры представляет из себя древовидный многоуровневый классификатор. На основе этого справочника ведется вся информация о подразделениях банка, о работниках, которым выдается доступ, и о работниках - пользователях системы.

У каждого работника есть как привязка к организационной структуре (юридическая подчиненность), так и привязка к фактическому подразделению, в котором он исполняет свои обязанности. В общем случае работник может быть привязан юридически к одному подразделению, а фактически к другому. Например, сотрудники ДИТ юридически привязаны к головному офису, но тем не менее фактически располагаются в филиалах.

• Ведение справочника должностей сотрудников банка.
• Ведение справочника подписей со списком уполномоченных лиц для согласования заявок.
• Ведение справочника владельцев ресурсов со списком уполномоченных лиц – исполнителей заявок.
• Ведение справочника ресурсов, доступ к которым может быть регламентирован.

Ресурсы в Системе управления доступом описываются четырьмя уровнями детализации:

1) Класс ресурса

Все ресурсы для удобства работы с заявками объединены в классы. Каждый класс подразумевает отдельное направление деятельности в организации, отдельный вид программного обеспечения.

2) Информационный Ресурс

Для каждого ресурса определяется:

• принадлежность к подразделению,
• группы владельцев ресурса,
• цепочка согласования (для согласования подключения или отключения ролей ресурсов), может содержать одну или несколько групп согласующих, которые настраиваются в строго определенном порядке согласования.

В зависимости от сочетания вида ресурса (локальный/общебанковский) и размещения локального ресурса в филиале работника, используется одна из цепочек согласования:

• Если ресурс локальный, и работник относится к тому же филиалу, где располагается ресурс, то используется локальная цепочка согласования.
• Если ресурс общебанковский, или работник не относится к тому же филиалу, где располагается ресурс, то используется глобальная цепочка согласования.

Для каждого ресурса и для каждого филиала настраивается своя отдельная цепочка согласования. Полный перечень пользователей, являющихся согласующими для каждой конкретной элементарной заявки, формируется автоматически путем пересечения цепочек согласования ресурса и филиала.

• цепочка исполнения (для выполнения работ по подключению или отключению ролей доступа к ресурсам), настраивается в строго определенном порядке исполнения.
• периоды согласования и исполнение и др.

  3) Группа ролей ресурса

Содержит название группы ролей и объединяет роли в группу для более удобного использования.

В системе предусмотрена настройка нескольких видов групп ролей ресурса:

• Альтернативный – допускает выбор только одной роли из имеющихся вариантов.
• Множественный – допускает выбор нескольких ролей из группы одновременно.
• Мультироль – признак возможности многократного ввода одинаковой роли или набора ролей в одной заявке.

4) Роль ресурса

Содержит название роли и прикладное описание её возможностей.

2. Работа с Заявками (ввод, просмотр, модификация, согласование и исполнение):

Ведение журналов Заявок на подключение/отключение ресурсов работникам организации.

В системе можно создавать срочные и бессрочные заявки. После согласования срочной заявки, в системе автоматически порождается заявка исполнителю на противоположное действие. Если заявка была на подключение к ресурсам, то заблаговременно перед сроком окончания действия, автоматически порождается заявка на отключение ресурса и наоборот.

Новая заявка, создаваемая Создателем и подписываемая Инициатором, содержит в себе набор ресурсов и выдаваемые работнику роли на каждый из ресурсов. Такая заявка определена в системе как глобальная.

В журнал Согласующему и Исполнителю поступает заявка, содержащая в себе только один ресурс и набор ролей этого ресурса, подключаемых/отключаемых работнику. Такая заявка определена в системе как элементарная. Каждая элементарная заявка согласовывается и исполняется независимо от других элементарных заявок.

3. Система оповещения сотрудников о необходимости согласования или исполнения Заявки

При добавлении роли пользователю, по умолчанию он включается в одноименную роль для посылки сообщений. Это означает, что ему автоматически будут посылаться сообщения, настроенные для той роли, к которой он привязан. При этом администратор может исключить конкретного пользователя из роли для посылки сообщений.

На системном уровне настраивается перечень событий, в результате которых возможна отправка сообщений, такие как:

• Переходы заявок,
• Наступление даты просрочки согласования или исполнения,
• Административные действия.

4. Формирования сводных отчетов о выделенном доступе по субъекту или ресурсу

В отчете "Матрица доступа" – показываются все остатки на конкретную дату по всем пользователям системы, по всем задействованным ресурсам.

В отчете "Матрица доступа по работнику" – показываются выданные ранее права доступа на роли, на указанную дату по конкретному работнику.

В отчете "Матрица доступа по ресурсу" – показываются все остатки на конкретную дату по определенному ресурсу в разрезе работников, которым даны права на данный ресурс.

Управление доступом (Access Management)

В Системе управления доступом ведется полный перечень всех информационных ресурсов организации и учета выдаваемых персоналу прав на эти ресурсы.

Система предписывает неуклонное соблюдение правил подачи заявок и согласования на применение полномочий. Соблюдение этих требований распространяется одинаково на все подразделения организации.

Система обеспечивает полный цикл работы с заявками на доступ к информационным ресурсам:

• Инициализация заявки;
• Согласование заявки уполномоченными лицами. Перечень уполномоченных лиц формируется автоматически в соответствии с настроенными правилами для выделяемого сотруднику ресурса;
• Исполнение заявки, в том числе многоуровневое, с назначением подчиненных исполнителей;
• Формирование сводных отчетов.

В системе предусмотрены контроль данных о том, кто и когда принял и утвердил то или иное решение, ведется история прохождения всех этапов согласования и исполнения. Постоянно отслеживается актуальность согласования и исполнения заявок на выдачу/прекращение доступа к ресурсам.

Система не дает возможности работникам службы безопасности “забыть” ограничить доступ к ресурсам временным сотрудникам или временно исполняющим обязанности. При приближении к сроку окончания действия заявки, производится автоматическая генерация заявки на прекращение доступа.

Управление идентификацией (Identity Management)

В системе ведется древовидный справочник структуры подразделений организации, с принадлежностью сотрудников к подразделениям. В учетных записях сотрудников ведутся персональные данные, такие как имена, должности, почтовые адреса и прочие атрибуты. Непосредственное взаимодействие со службой Active Directory, позволяет поддерживать актуальность учетных записей.

Отслеживается история жизненного цикла пользователя в системах предприятия с момента приема сотрудника на работу до его увольнения. Система позволяет увидеть полную, непротиворечивую информацию о сотруднике – когда, какие права и на какие именно ресурсы выдавались пользователю за период его существования.

Чтобы увидеть полную картину доступа к IT-ресурсам по одному пользователю, не нужно анализировать множество разных источников информации, достаточно напечатать аналитический отчет в системе «СКАУТ-Доступ». При этом администраторы системы, обладающие полноценными правами, могут увидеть матрицу доступа по всем сотрудникам подразделения или по организации в целом.

Многоуровневый контроль доступа

В Системе управления доступом используется многоуровневый контроль доступа к самой системе, а также разграничение областей видимости в зависимости от уровня ответственности пользователя:

1-й уровень - СуперАдминистратор

2-й уровень - Администраторы подразделений

3-й уровень - Остальные пользователи системы

1. Пользователь, обладающий правами СуперАдминистратора, имеет возможность настройки всех справочников системы, полный доступ к просмотру и контролю состояния всех объектов системы, а также имеет неограниченную область видимости, не имеет ограничений на действия в системе.

Одними из основных функций СуперАдминистратора являются:

• поддержка ключевых справочников системы (Оргструктуры организации, Сотрудников, Информационных ресурсов и т.д.),
• заведение, изменение, удаление пользователей Администраторов,
• распределение областей видимости для пользователей с ролью Администратор.
• формирование полной отчетности, формирование матриц доступа для всех подразделений организации.

2. Администраторы подразделений имеют ограниченную область видимости в системе, могут работать только с теми областями справочной и настроечной информации, на которую у них открыт доступ.

Основные функции Администраторов те же, что и у СуперАдминистратора, но с ограничением на “свою” область видимости:

• поддержка доступных справочников на уровне “своего” подразделения (Оргструктура, Сотрудники),
• заведение, изменение, удаление записей о сотрудниках организации,
• распределение областей видимости для пользователей с ролями Инициатор, Согласующий и Исполнитель заявок,
• формирование сводной отчетности, формирование матриц доступа для “своего” подразделения.

3. Остальные пользователи системы не имеют доступа к справочной и настроечной информации.

Доступ к объектам системы ограничивается правами, которые определяются ролью пользователя в системе, областью видимости пользователя и текущим состоянием самих объектов. Для каждой роли определен набор возможных действий, работа ведется только в доступных модулях и журналах.

Эффект от внедрения системы «СКАУТ – Доступ»

Положительный эффект от внедрения Системы управления доступом может быть оценен практически сразу после внедрения всеми участниками процесса регламентации прав доступа к ресурсам:

Для службы Информационной Безопасности :

• Стандартизация описания ресурсов - обеспечивается централизованным (по всем подразделениям) ведением перечня всех информационных ресурсов организации.
• Упрощение и ускорение процесса согласования заявок за счет уменьшения бумажного документооборота и жесткой стандартизации информационных ресурсов.
• Упрощение контроля над своевременностью и точностью исполнения заявок на подключение/отключение ресурсов, благодаря различным механизмам информирования исполнителей, а также методам контроля просроченности согласования и исполнения.
• Актуальная сводная информация о сотрудниках, имеющих доступ к ресурсам в любой момент времени, а также полная история прав доступа сотрудников к ресурсам;
• Регламентация прав доступа к ресурсам не только на уровне конкретного сотрудника, но и на уровне подразделений, ролей, должностей и т.д.
• Эффективное и оперативное управление любыми информационными ресурсами независимо от их сложности и объема, благодаря гибкости и высокой степени масштабируемости системы.

  Для отдела Информационных Технологий:

• Вся работа ведется в web -интерфейсе , что дает возможность работы в Системе через интернет-ресурсы любому уполномоченному сотруднику банка, где бы он ни находился.
• Улучшение защиты данных приложений , благодаря четкому и своевременному отключению прав доступа к конфиденциальным данным, отслеживание сроков выдачи прав и автопорождение заявок на отключение, автоформирование в заявке полного перечня выданных ранее ресурсов при увольнении или временной нетрудоспособности работника.
• Возможность интеграции с основными информационными системами банка (например, АБС) в части, касающейся реализации заявок на доступ к ресурсам (выдача прав в рамках АБС).

  Для руководителей функциональных подразделений :

• Значительное сокращение ошибок при формировании заявок на доступ, благодаря полной структуризации и удобной классификации информационных ресурсов организации.
• Своевременная сигнализация исполнения заявок , благодаря возможности контроля жизненного цикла заявок, в том числе с использованием различных видов информирования руководителей подразделений (e-mail и др.), что в результате позволяет оперативно без задержек использовать выделенные ресурсы.