При этом избавиться от проблемного сотрудника не означает, что он теряет возможность что-то украсть или напакостить уже после увольнения. Ведь очень часто учетные записи уволенных сотрудников еще довольно долгое время остаются в системе. Причем счет идет на месяцы, а иногда и на годы. И чем больше организация, тем больше вероятность столкнуться с такой ситуацией. И особенно опасны в этом отношении учетные записи сотрудников ИТ-служб, которые имеют права привилегированных пользователей. Серьезную проблему могут доставить и так называемые инженерные учетные записи и пароли по умолчанию, которые далеко не всегда отключают. Но именно их часто используют внешние злоумышленники.
Так что наведение порядка с правами доступа — весьма насущная задача, решение которой избавит ИТ и ИБ службы от многих потенциально опасных мест и рисков. К тому же целый ряд нормативов, например, американский SoX, который необходимо соблюдать всем, чьи ценные бумаги торгуются на американских площадках, требует в обязательном порядке внедрять соответствующие технические решения.
На рынке существует целый ряд систем упорядочивания прав доступа, или IDM. Современные системы не ограничиваются назначением прав доступа. Это возможно осуществить и штатными средствами операционной системы, СУБД или бизнес-приложения, пусть и с большим уровнем трудозатрат. IDM последнего поколения позволяют обеспечивать детализированный доступ к отдельным разделам информационных систем. В результате можно закрыть доступ даже на уровне отдельных страниц или разделов офисных документов или записей в базе данных. Кроме того, системы последнего поколения допускают ту ситуацию, когда один сотрудник может выполнять несколько бизнес-ролей. Раньше такая ситуация приводила к серьезным проблемам, которые далеко не всегда имели легкое решение.
Интегратор RedSys имеет большой опыт внедрения IDM-систем. Как отметил Даниил Казаков, директор департамента технологий управления доступом, эти проекты довольно сложные. Доля консалтинга при внедрении IDM-системы составляет не менее 30%. Также обязательным условием успеха проекта является взаимодействие разных служб внутри компании: как минимум ИТ, ИБ, кадровой. Требуется также интеграция с разными элементами инфраструктуры.
Однако эффект того стоит. Так, например, одна производственная компания тратила на подготовку документации, необходимой в рамках обеспечения соответствия требованиям нормативов SoX, две недели. После внедрения IDM те же самые процедуры стали занимать считанные часы. Вновь принятый сотрудник получает все нужные права доступа за час-два, а раньше на это требовалось до недели. Существенно ускоряются процессы, связанные с отзывом и назначением прав доступа при переводе персонала. Также в ходе таких проектов можно выявить узкие места в бизнес-процессах, которые подвержены разного рода рискам. А без такой информации их закрыть или хотя бы минимизировать невозможно.
Поддержка IDM-системы после завершения проекта предусматривает ежеквартальную актуализацию ролевых моделей и постоянную адаптацию системы под динамично изменяющиеся бизнес-процессы компаний. И поступления по этой статье не снижаются, хотя выручка от новых проектов за последний год и упала на 25-30%. Этому способствовало как снижение спроса, так и существенное, до 90%, снижение цен со стороны зарубежных вендоров.
Однако в текущем году в RedSys ожидают как минимум стабилизации, а возможно и роста. Намечается тенденция к росту спроса. Есть даже планы выпустить на рынок собственное IDM-решение. Благо места на рынке хватит. Проникновение IDM-систем в России составляет лишь около 40%, что вдвое ниже, чем на развитых рынках.
Точка зрения автора может не совпадать с позицией редакции.