Войти

Автоматизация управления доступом на предприятиях ОПК

1772
0
0

Стратегическая задача, напрямую связанная с безопасностью государства

Ушли в прошлое методы ведения войн с использованием прямых столкновений с противником. Появление глобального информационного пространства, разрастание интернет-сетей, цифровизация – все это привело к возникновению гибридных методов воздействия на противника. Неотъемлемой частью этих методов сегодня является создание информационного хаоса и получение доступа к ценной информации путем выявления слабых мест в управлении информационными потоками данных и информационно-психологического воздействия на людей.

Главными мишенями противника становятся военнослужащие, имеющие доступ к каналам передачи данных, автоматизированным системам управления и работающие в информационном поле, связанном с закрытой информацией и секретной аппаратурой. Можно себе представить, доступ какого уровня значимости имеют военнослужащие на объектах ракетно-космических войск или военно-морских сил.


Использование информационных систем.
Источник: www.vpk-news.ru

 

На заседании коллегии Министерства обороны в декабре 2018 года президент России Владимир Путин одним из приоритетных вопросов, которые предстоит решить в 2019 году, обозначил совершенствование системы управления и связи, разведки и радиоэлектронной борьбы.


В частности, он сказал, что необходимо завершить переход на новые стандарты в области сбора, передачи и обработки данных, а также подчеркнул, что цифровые технологии и искусственный интеллект, роботизация, беспилотные системы – все это должно быть в повестке качественного развития наших Вооруженных Сил.

В этой связи правильное использование информационных систем (ИС) предприятий ОПК и управление доступом к этим системам становится важной, приоритетной задачей, входящей в цепочку мероприятий безопасности, направленных на повышение обороноспособности страны.

В каждой развивающейся организации увеличивается количество лиц, которые должны иметь доступ к информационным системам, разрастается ландшафт самих ИС, число которых может быть несколько десятков или даже сотен. Возникает потребность в более качественном, автоматизированном подходе к управлению правами. Основными требованиями, которые предъявляются к процессам регламентации прав доступа, являются:

– сокращение рисков информационной безопасности в части доступа сотрудников к ИС;

– автоматизация регламентов управления правами доступа пользователей к ИС;

– повышение эффективности процессов управления и контроля прав доступа сотрудников к ИС;

– сокращение срока предоставления сотрудникам доступа к ИС;

– сокращение потребности в увеличении штата специалистов, отвечающих за предоставление сотрудникам доступа к ИС;

– сокращение сроков сбора и повышение качества информации о процессе управления правами доступа сотрудников к ИС с целью выявления и расследования инцидентов информационной безопасности;

– сокращение избыточных прав доступа сотрудников к ИС.

Не стоит сбрасывать со счетов и использование программного обеспечения и оборудования. При отсутствии должного контроля над данными ресурсами возрастают риски потерь через несанкционированный удаленный доступ либо внедрение вредоносного кода, который позволит противнику нанести ущерб или получить доступ к закрытой информации. Поэтому разработка и внедрение надежных сертифицированных систем отечественного производства играет немалую роль в защите информации в Вооруженных Силах страны.

Подобно тому, как любой организм проходит эволюцию с течением времени, появляются и новые технологии, которые направлены на повышение и развитие стратегического потенциала и на защиту от угроз информационного характера.

Все описанные выше задачи можно успешно решить с помощью развитых систем автоматизированного управления доступом или IdM (Identity Management). Мы расскажем о решении подобных задач на предприятиях ОПК на примере продукта российской разработки Solar inRights компании "Ростелеком-Солар".

Solar inRights является эффективной платформой для повышения уровня информационной безопасности в части контроля доступа и оптимизации работы пользователей в информационных системах. Этот продукт обеспечивает автоматическое исполнение утвержденных на предприятии регламентов управления доступом, снижает риски, связанные с избыточными полномочиями, и повышает контроль за доступом пользователей к различным ресурсам сети предприятия.

Схема работы

В упрощенном виде схема работы IdM выглядит следующим образом: на предприятие приходит новый сотрудник, информация о нем заводится в кадровой системе. IdM-система автоматически получает данные о нем из кадрового источника и создает учетные записи в подключенных к IdM информационных системах. Затем в зависимости от того, в какое подразделение принят сотрудник, система IdM привязывает к учетным записям набор базовых прав в ИС, определенных для этого подразделения и должности сотрудника.



В течение нескольких часов после оформления на работу сотрудник получает необходимый ему доступ и может приступить к выполнению своих обязанностей.

Если по какой-либо причине работнику необходимы дополнительные права в информационной системе, то используя модуль оформления заявок, он может оперативно оформить, согласовать и получить нестандартные права на определенный срок. Сотрудники ИТ- и ИБ-подразделений могут использовать удобные модули администрирования и контроля прав доступа.

Настройка управления доступом и контроль нарушений на предприятии ОПК

К нам обратились специалисты службы безопасности одного из предприятий ОПК. Необходимо было автоматизировать операции по предоставлению и изменению доступа в информационные системы согласно политике информационной безопасности предприятия. А также контролировать соответствие предоставленных полномочий установленным правилам. При выявлении нарушений IdM-система должна была реагировать по одному из заданных заказчиком сценариев.

Например, если пользователю в обход IdM назначены дополнительные полномочия уровня бизнес-подразделений, система должна была автоматически формировать заявку владельцу ресурса на сертификацию этих прав. Если же несанкционированно предоставлены привилегированные права высокого административного уровня (генеральный директор, главный бухгалтер и т. п.), требовалось автоматически приводить доступ в исходное состояние и направлять уведомление о данном событии в службу безопасности компании для дальнейшего расследования.

Как был решен этот вопрос? С помощью Solar inRights специалисты настроили процесс управления доступом на основании кадровых событий. В частности, учетные записи и базовые полномочия стали предоставляться сотрудникам автоматически при приеме на работу. При изменении должности сотрудников система самостоятельно изменяла их полномочия на доступ к ИС. При увольнении сотрудника доступ к ресурсам корпоративной сети стал автоматически блокироваться.

Отдельно стоит упомянуть о том, что управление доступом сотрудников к данным информационных систем было реализовано на основании ролевой модели. Роль – это минимальный набор доступов, необходимых сотруднику для выполнения трудовых обязанностей в рамках своей должности. Ролевое управление доступом позволило исключить участие ИТ-администратора в процедуре назначения и изменения базовых прав и привести доступ в соответствие с функциональной моделью предприятия. С использованием IdM стало возможно:

– легко и быстро назначать одинаковые права большому количеству сотрудников;

– оперативно менять доступ сотрудников, обладающих одинаковым набором прав;

– избавиться от избыточных прав и несовместимых полномочий работников.

Аудит прав доступа

Доступ личного состава Вооруженных Сил и сотрудников оборонных предприятий к информационным ресурсам должен всегда быть на особом контроле и регулярно актуализироваться. Ведь многие из них обладают привилегированными правами и владеют сверхсекретной информацией. Для решения этой задачи не обойтись без проведения периодических аудитов текущего состояния прав доступа в организации.

С помощью какого инструментария IdM-систем, в частности решения Solar inRights, можно провести подобный аудит? Система формирует отчеты на основании регистрации действий сотрудников. С ее помощью можно построить отчет о текущих правах сотрудника и правах на любую дату в прошлом, об изменении состава этих прав. Можно получить сводку по всем данным пользователей и подключенных к IdM информационных систем, в том числе по событиям входа в систему и прекращения работы в ней. Информацию можно получить как из интерфейса системы, так и в виде файла отчета в удобном формате.

IdM-системы также помогают службам информационной безопасности быстро расследовать инциденты и мгновенно реагировать на нарушения информационной безопасности. Представьте ситуацию, когда неожиданно стало известно о контакте сотрудника закрытого военного предприятия с представителем одной из компаний потенциального противника. И есть основание предполагать возможность нарушения этим работником правил информационной безопасности (копирование и передача конфиденциальной информации, диверсионные действия и т. п.) Используя IdM-систему, сотрудник службы безопасности экстренно, в один клик может заблокировать учетные записи работника во всех информационных системах, таким образом лишая его возможности произвести какие-либо вредоносные действия в ИТ-инфраструктуре предприятия.

Немаловажный аспект защиты ИС от внешних посягательств – аутентификация пользователей. Интеграция системы IdM с решением SSO (Single Sign-On) позволяет автоматизировать жизненный цикл паролей пользователей. Например, на объектах Космических войск или ядерных установках должны использоваться очень стойкие пароли, чтобы исключить их компрометацию. А если таких систем десяток и более? Запомнить сложные пароли достаточно проблематично, а хранить – небезопасно. Интеграция IdM с системой единого входа (Single Sign-on – SSO) позволяет автоматически создавать и менять пароли во всех подключенных информационных системах организации. При этом пользователю не требуется запоминать множество сложных паролей во все системы: сотрудник проходит идентификацию и аутентификацию лишь один раз в приложении SSO. А решение SSO централизованно хранит пароли пользователя от всех приложений, требующих аутентификации, и автоматически подставляет по запросу от этих приложений.

На закрытых военных объектах крайне востребована услуга интеграции IdM с системой контроля и управления доступом на объекты (СКУД), позволяющая обеспечивать доступ к информационным ресурсам только тех сотрудников, которые находятся в физическом периметре организации. Сотрудник, войдя на объект, фиксирует вход электронной картой доступа (пропуском) и только после получения уведомления об этом событии IdM автоматически разблокирует его учетные записи в информационных системах организации. При выходе сотрудника с территории доступ автоматически блокируется.

Автоматизация сложных схем согласования доступа в ОПК

Организация доступа в информационные системы на предприятиях ОПК имеет свою специфику. С одной стороны, здесь должны действовать гибкие и оперативные процессы выдачи и изменения прав в связи с быстро меняющейся геополитической обстановкой и периодической реорганизацией Вооруженных Сил. А с другой – любые права должны быть строго санкционированы, необходимы их регистрация и контроль сроков действия. Решить подобные сложные задачи можно только автоматизированными средствами.

Развитые системы автоматизации доступа позволяют единовременно запрашивать любое число прав любому количеству сотрудников, предусматривают частичное согласование, делегирование согласования и эскалацию при отсутствии ответа на запрос в течение установленного времени. Вся история по оформленным заявкам хранится в архиве. В любой момент можно получить информацию, по какой заявке были предоставлены права, на какой период и кем были согласованы.

Приведем пример. В одном из оборонных ведомств остро встала задача по внедрению автоматизированной системы управления доступом. Предпосылками к этому стали появившиеся в организации многочисленные процессы, которые требовали согласования и санкционирования предоставляемых прав. Процессы росли и расширялись на протяжении нескольких лет, и настал момент, когда в ручном режиме осуществлять регламентацию прав стало невозможно. Нужно было определить владельцев для каждого ресурса и выстроить цепочки согласований, на основании которых автоматизировать процедуру предоставления доступа.

С помощью IdM-решения Solar inRights организация смогла выстроить большой стек процессов согласования. Конструктор маршрутов по согласованию заявок позволил создать новые маршруты на основании утвержденных в компании правил выдачи и контроля прав доступа или изменить текущие с учетом дополнительных требований. Система учла специфику деятельности предприятия – необходимость предоставления отдельным сотрудникам особо критичных прав доступа и соответственно повышенного контроля к таким привилегированным пользователям. Все эти мероприятия позволили минимизировать риски потерь и обеспечить соблюдение политики безопасности при работе с информационными ресурсами.

Конфиденциальность и целостность передаваемых данных

Помните советские фильмы про войну, где мчится солдат с донесением к командиру и прижимает к груди конверт с секретной информацией, на котором стоит сургучная печать? Как давно это было… В современном мире тоже востребована гарантия сохранения подлинности и неизменности передаваемых данных. Только сейчас документы по большей части существуют в электронном виде и передаются по электронным каналам связи.

Для обеспечения защищенного процесса регламентации прав доступа функционально развитые IdM-системы позволяют использовать средства электронной подписи (ЭП). В соответствии с нормами федерального закона России "Об электронной подписи" электронные документы, подписанные квалифицированной ЭП, всегда признаются равнозначными документам, подписанным собственноручно. Программа криптографического шифрования обеспечивает максимальную защиту и неподвластна проискам злоумышленников, что крайне важно для предприятий ОПК. Также система поддерживает возможность приложить к заявкам на доступ любой отсканированный бумажный документ, если это требуется для подтверждения или согласования запрашиваемых прав.

Резюмируем сказанное

На предприятиях ОПК много секретной информации, доступ к которой нужно жестко контролировать. Одновременно эти предприятия, как правило, имеют очень разветвленную инфраструктуру, включающую множество систем, сложные организационные схемы и процедуры согласования, многочисленный кадровый состав. Вручную осуществлять управление и контроль доступа в таких структурах невозможно. Чтобы обеспечить гарантированное исполнение регламентов управления доступом, в том числе процедур контроля, аудита и расследования инцидентов, и чтобы все эти процессы были реализованы удобно и гибко, стоит взять на вооружение IdM-технологии. Решения этого класса появились на свет в начале 2000-х и к настоящему времени достигли высокой технологической зрелости.

Автоматизированное управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ к информации конфиденциального характера. Благодаря использованию IdM снижается число инцидентов, связанных с избыточными полномочиями и несанкционированными правами в информационных системах, за счет автоматизации снижаются трудозатраты и повышается производительность труда ИТ- и ИБ-служб.

Управление доступом к информационным ресурсам в подразделениях и организациях Вооруженных Сил страны является стратегической и приоритетной задачей, так как напрямую связано с безопасностью государства и его граждан.

Людмила Севастьянова, менеджер по продвижению Solar inRights

Газета "Военно-промышленный курьер",

Права на данный материал принадлежат
Материал размещён правообладателем в открытом доступе
  • В новости упоминаются
Хотите оставить комментарий? Зарегистрируйтесь и/или Войдите и общайтесь!
ПОДПИСКА НА НОВОСТИ
Ежедневная рассылка новостей ВПК на электронный почтовый ящик
  • Разделы новостей
  • Обсуждаемое
    Обновить
  • 18.12 03:45
  • 6464
Без кнута и пряника. Россия лишила Америку привычных рычагов влияния
  • 18.12 03:12
  • 0
Разделение Запада по "традиционной" линии Франция-Германия?
  • 18.12 00:09
  • 8531
Минобороны: Все авиаудары в Сирии пришлись по позициям боевиков
  • 17.12 22:54
  • 0
Ответ на "«Главное – это попадание в цель»: для усиления ВСУ танки Leopard 1 получили новую башню C3105"
  • 17.12 19:31
  • 0
Ответ на "Госсекретарь Блинкен отправился в Турцию, чтобы обсудить передачу огромных сирийских арсеналов Украине (Military Watch Magazine, США)"
  • 17.12 18:47
  • 1
Госкомвоенпром Республики Беларусь передал инозаказчику подвижные пункты управления
  • 17.12 18:35
  • 1
Госсекретарь Блинкен отправился в Турцию, чтобы обсудить передачу огромных сирийских арсеналов Украине (Military Watch Magazine, США)
  • 17.12 18:26
  • 1
Белоусов: избыточные процедуры в Минобороны можно сократить в 5-10 раз
  • 17.12 16:01
  • 0
«Агрессоры» и «соагрессоры» – тонкости западной диалектики
  • 17.12 15:38
  • 0
НАТО готовит ввод войск на Украину
  • 17.12 05:56
  • 0
Ответ на "Нидерланды не исключают отправку миротворцев на Украину без единогласного решения"
  • 17.12 05:12
  • 6
«Снизит тягу, но улучшит малозаметность»: в прессе США заметили новейший российский истребитель Су-57 с «плоским» соплом
  • 17.12 04:13
  • 3
Продажа Украиной тайн СССР: противоракетные "Дрозды" на Т-84 уплыли в США
  • 17.12 01:33
  • 1
Путин назвал вторжение ВСУ в Курскую область авантюрой
  • 16.12 04:41
  • 0
Ответ на "Ловушка для российской авиации. Битва на море выходит на новый уровень"