Стратегическая задача, напрямую связанная с безопасностью государства
Ушли в прошлое методы ведения войн с использованием прямых столкновений с противником. Появление глобального информационного пространства, разрастание интернет-сетей, цифровизация – все это привело к возникновению гибридных методов воздействия на противника. Неотъемлемой частью этих методов сегодня является создание информационного хаоса и получение доступа к ценной информации путем выявления слабых мест в управлении информационными потоками данных и информационно-психологического воздействия на людей.
Главными мишенями противника становятся военнослужащие, имеющие доступ к каналам передачи данных, автоматизированным системам управления и работающие в информационном поле, связанном с закрытой информацией и секретной аппаратурой. Можно себе представить, доступ какого уровня значимости имеют военнослужащие на объектах ракетно-космических войск или военно-морских сил.
Использование информационных систем. |
Источник: www.vpk-news.ru |
На заседании коллегии Министерства обороны в декабре 2018 года президент России Владимир Путин одним из приоритетных вопросов, которые предстоит решить в 2019 году, обозначил совершенствование системы управления и связи, разведки и радиоэлектронной борьбы.
В частности, он сказал, что необходимо завершить переход на новые стандарты в области сбора, передачи и обработки данных, а также подчеркнул, что цифровые технологии и искусственный интеллект, роботизация, беспилотные системы – все это должно быть в повестке качественного развития наших Вооруженных Сил.
В этой связи правильное использование информационных систем (ИС) предприятий ОПК и управление доступом к этим системам становится важной, приоритетной задачей, входящей в цепочку мероприятий безопасности, направленных на повышение обороноспособности страны.
В каждой развивающейся организации увеличивается количество лиц, которые должны иметь доступ к информационным системам, разрастается ландшафт самих ИС, число которых может быть несколько десятков или даже сотен. Возникает потребность в более качественном, автоматизированном подходе к управлению правами. Основными требованиями, которые предъявляются к процессам регламентации прав доступа, являются:
– сокращение рисков информационной безопасности в части доступа сотрудников к ИС;
– автоматизация регламентов управления правами доступа пользователей к ИС;
– повышение эффективности процессов управления и контроля прав доступа сотрудников к ИС;
– сокращение срока предоставления сотрудникам доступа к ИС;
– сокращение потребности в увеличении штата специалистов, отвечающих за предоставление сотрудникам доступа к ИС;
– сокращение сроков сбора и повышение качества информации о процессе управления правами доступа сотрудников к ИС с целью выявления и расследования инцидентов информационной безопасности;
– сокращение избыточных прав доступа сотрудников к ИС.
Не стоит сбрасывать со счетов и использование программного обеспечения и оборудования. При отсутствии должного контроля над данными ресурсами возрастают риски потерь через несанкционированный удаленный доступ либо внедрение вредоносного кода, который позволит противнику нанести ущерб или получить доступ к закрытой информации. Поэтому разработка и внедрение надежных сертифицированных систем отечественного производства играет немалую роль в защите информации в Вооруженных Силах страны.
Подобно тому, как любой организм проходит эволюцию с течением времени, появляются и новые технологии, которые направлены на повышение и развитие стратегического потенциала и на защиту от угроз информационного характера.
Все описанные выше задачи можно успешно решить с помощью развитых систем автоматизированного управления доступом или IdM (Identity Management). Мы расскажем о решении подобных задач на предприятиях ОПК на примере продукта российской разработки Solar inRights компании "Ростелеком-Солар".
Solar inRights является эффективной платформой для повышения уровня информационной безопасности в части контроля доступа и оптимизации работы пользователей в информационных системах. Этот продукт обеспечивает автоматическое исполнение утвержденных на предприятии регламентов управления доступом, снижает риски, связанные с избыточными полномочиями, и повышает контроль за доступом пользователей к различным ресурсам сети предприятия.
Схема работы
В упрощенном виде схема работы IdM выглядит следующим образом: на предприятие приходит новый сотрудник, информация о нем заводится в кадровой системе. IdM-система автоматически получает данные о нем из кадрового источника и создает учетные записи в подключенных к IdM информационных системах. Затем в зависимости от того, в какое подразделение принят сотрудник, система IdM привязывает к учетным записям набор базовых прав в ИС, определенных для этого подразделения и должности сотрудника.
В течение нескольких часов после оформления на работу сотрудник получает необходимый ему доступ и может приступить к выполнению своих обязанностей.
Если по какой-либо причине работнику необходимы дополнительные права в информационной системе, то используя модуль оформления заявок, он может оперативно оформить, согласовать и получить нестандартные права на определенный срок. Сотрудники ИТ- и ИБ-подразделений могут использовать удобные модули администрирования и контроля прав доступа.
Настройка управления доступом и контроль нарушений на предприятии ОПК
К нам обратились специалисты службы безопасности одного из предприятий ОПК. Необходимо было автоматизировать операции по предоставлению и изменению доступа в информационные системы согласно политике информационной безопасности предприятия. А также контролировать соответствие предоставленных полномочий установленным правилам. При выявлении нарушений IdM-система должна была реагировать по одному из заданных заказчиком сценариев.
Например, если пользователю в обход IdM назначены дополнительные полномочия уровня бизнес-подразделений, система должна была автоматически формировать заявку владельцу ресурса на сертификацию этих прав. Если же несанкционированно предоставлены привилегированные права высокого административного уровня (генеральный директор, главный бухгалтер и т. п.), требовалось автоматически приводить доступ в исходное состояние и направлять уведомление о данном событии в службу безопасности компании для дальнейшего расследования.
Как был решен этот вопрос? С помощью Solar inRights специалисты настроили процесс управления доступом на основании кадровых событий. В частности, учетные записи и базовые полномочия стали предоставляться сотрудникам автоматически при приеме на работу. При изменении должности сотрудников система самостоятельно изменяла их полномочия на доступ к ИС. При увольнении сотрудника доступ к ресурсам корпоративной сети стал автоматически блокироваться.
Отдельно стоит упомянуть о том, что управление доступом сотрудников к данным информационных систем было реализовано на основании ролевой модели. Роль – это минимальный набор доступов, необходимых сотруднику для выполнения трудовых обязанностей в рамках своей должности. Ролевое управление доступом позволило исключить участие ИТ-администратора в процедуре назначения и изменения базовых прав и привести доступ в соответствие с функциональной моделью предприятия. С использованием IdM стало возможно:
– легко и быстро назначать одинаковые права большому количеству сотрудников;
– оперативно менять доступ сотрудников, обладающих одинаковым набором прав;
– избавиться от избыточных прав и несовместимых полномочий работников.
Аудит прав доступа
Доступ личного состава Вооруженных Сил и сотрудников оборонных предприятий к информационным ресурсам должен всегда быть на особом контроле и регулярно актуализироваться. Ведь многие из них обладают привилегированными правами и владеют сверхсекретной информацией. Для решения этой задачи не обойтись без проведения периодических аудитов текущего состояния прав доступа в организации.
С помощью какого инструментария IdM-систем, в частности решения Solar inRights, можно провести подобный аудит? Система формирует отчеты на основании регистрации действий сотрудников. С ее помощью можно построить отчет о текущих правах сотрудника и правах на любую дату в прошлом, об изменении состава этих прав. Можно получить сводку по всем данным пользователей и подключенных к IdM информационных систем, в том числе по событиям входа в систему и прекращения работы в ней. Информацию можно получить как из интерфейса системы, так и в виде файла отчета в удобном формате.
IdM-системы также помогают службам информационной безопасности быстро расследовать инциденты и мгновенно реагировать на нарушения информационной безопасности. Представьте ситуацию, когда неожиданно стало известно о контакте сотрудника закрытого военного предприятия с представителем одной из компаний потенциального противника. И есть основание предполагать возможность нарушения этим работником правил информационной безопасности (копирование и передача конфиденциальной информации, диверсионные действия и т. п.) Используя IdM-систему, сотрудник службы безопасности экстренно, в один клик может заблокировать учетные записи работника во всех информационных системах, таким образом лишая его возможности произвести какие-либо вредоносные действия в ИТ-инфраструктуре предприятия.
Немаловажный аспект защиты ИС от внешних посягательств – аутентификация пользователей. Интеграция системы IdM с решением SSO (Single Sign-On) позволяет автоматизировать жизненный цикл паролей пользователей. Например, на объектах Космических войск или ядерных установках должны использоваться очень стойкие пароли, чтобы исключить их компрометацию. А если таких систем десяток и более? Запомнить сложные пароли достаточно проблематично, а хранить – небезопасно. Интеграция IdM с системой единого входа (Single Sign-on – SSO) позволяет автоматически создавать и менять пароли во всех подключенных информационных системах организации. При этом пользователю не требуется запоминать множество сложных паролей во все системы: сотрудник проходит идентификацию и аутентификацию лишь один раз в приложении SSO. А решение SSO централизованно хранит пароли пользователя от всех приложений, требующих аутентификации, и автоматически подставляет по запросу от этих приложений.
На закрытых военных объектах крайне востребована услуга интеграции IdM с системой контроля и управления доступом на объекты (СКУД), позволяющая обеспечивать доступ к информационным ресурсам только тех сотрудников, которые находятся в физическом периметре организации. Сотрудник, войдя на объект, фиксирует вход электронной картой доступа (пропуском) и только после получения уведомления об этом событии IdM автоматически разблокирует его учетные записи в информационных системах организации. При выходе сотрудника с территории доступ автоматически блокируется.
Автоматизация сложных схем согласования доступа в ОПК
Организация доступа в информационные системы на предприятиях ОПК имеет свою специфику. С одной стороны, здесь должны действовать гибкие и оперативные процессы выдачи и изменения прав в связи с быстро меняющейся геополитической обстановкой и периодической реорганизацией Вооруженных Сил. А с другой – любые права должны быть строго санкционированы, необходимы их регистрация и контроль сроков действия. Решить подобные сложные задачи можно только автоматизированными средствами.
Развитые системы автоматизации доступа позволяют единовременно запрашивать любое число прав любому количеству сотрудников, предусматривают частичное согласование, делегирование согласования и эскалацию при отсутствии ответа на запрос в течение установленного времени. Вся история по оформленным заявкам хранится в архиве. В любой момент можно получить информацию, по какой заявке были предоставлены права, на какой период и кем были согласованы.
Приведем пример. В одном из оборонных ведомств остро встала задача по внедрению автоматизированной системы управления доступом. Предпосылками к этому стали появившиеся в организации многочисленные процессы, которые требовали согласования и санкционирования предоставляемых прав. Процессы росли и расширялись на протяжении нескольких лет, и настал момент, когда в ручном режиме осуществлять регламентацию прав стало невозможно. Нужно было определить владельцев для каждого ресурса и выстроить цепочки согласований, на основании которых автоматизировать процедуру предоставления доступа.
С помощью IdM-решения Solar inRights организация смогла выстроить большой стек процессов согласования. Конструктор маршрутов по согласованию заявок позволил создать новые маршруты на основании утвержденных в компании правил выдачи и контроля прав доступа или изменить текущие с учетом дополнительных требований. Система учла специфику деятельности предприятия – необходимость предоставления отдельным сотрудникам особо критичных прав доступа и соответственно повышенного контроля к таким привилегированным пользователям. Все эти мероприятия позволили минимизировать риски потерь и обеспечить соблюдение политики безопасности при работе с информационными ресурсами.
Конфиденциальность и целостность передаваемых данных
Помните советские фильмы про войну, где мчится солдат с донесением к командиру и прижимает к груди конверт с секретной информацией, на котором стоит сургучная печать? Как давно это было… В современном мире тоже востребована гарантия сохранения подлинности и неизменности передаваемых данных. Только сейчас документы по большей части существуют в электронном виде и передаются по электронным каналам связи.
Для обеспечения защищенного процесса регламентации прав доступа функционально развитые IdM-системы позволяют использовать средства электронной подписи (ЭП). В соответствии с нормами федерального закона России "Об электронной подписи" электронные документы, подписанные квалифицированной ЭП, всегда признаются равнозначными документам, подписанным собственноручно. Программа криптографического шифрования обеспечивает максимальную защиту и неподвластна проискам злоумышленников, что крайне важно для предприятий ОПК. Также система поддерживает возможность приложить к заявкам на доступ любой отсканированный бумажный документ, если это требуется для подтверждения или согласования запрашиваемых прав.
Резюмируем сказанное
На предприятиях ОПК много секретной информации, доступ к которой нужно жестко контролировать. Одновременно эти предприятия, как правило, имеют очень разветвленную инфраструктуру, включающую множество систем, сложные организационные схемы и процедуры согласования, многочисленный кадровый состав. Вручную осуществлять управление и контроль доступа в таких структурах невозможно. Чтобы обеспечить гарантированное исполнение регламентов управления доступом, в том числе процедур контроля, аудита и расследования инцидентов, и чтобы все эти процессы были реализованы удобно и гибко, стоит взять на вооружение IdM-технологии. Решения этого класса появились на свет в начале 2000-х и к настоящему времени достигли высокой технологической зрелости.
Автоматизированное управление доступом помогает обеспечить конфиденциальность, целостность и доступность активов за счет того, что только авторизованные пользователи имеют возможность получить доступ к информации конфиденциального характера. Благодаря использованию IdM снижается число инцидентов, связанных с избыточными полномочиями и несанкционированными правами в информационных системах, за счет автоматизации снижаются трудозатраты и повышается производительность труда ИТ- и ИБ-служб.
Управление доступом к информационным ресурсам в подразделениях и организациях Вооруженных Сил страны является стратегической и приоритетной задачей, так как напрямую связано с безопасностью государства и его граждан.
Людмила Севастьянова, менеджер по продвижению Solar inRights
Газета "Военно-промышленный курьер",