КУБ работает на безопасность

Логотип компании
КУБ работает на безопасность
Рост компании, развитие ее инфраструктуры и автоматизация ее деятельности помимо плюсов рождает и новые проблемы
Рост компании, развитие ее инфраструктуры и автоматизация ее деятельности помимо плюсов рождает и новые проблемы. Как обеспечить  информационную безопасность?  Как оперативно и грамотно управлять доступом пользователей к ИТ-системам? Как снизить риски ошибочно предоставленного доступа? Ответы на эти и многие другие вопросы – в интервью с Сергеем Ступиным, менеджером по продукту компании «ТрастВерс» (входит в холдинг «Информзащита») http://www.cube-system.ru.  

Начнем с главного – в чем, по-вашему, корень проблемы ИБ?
Обеспечение информационной безопасности – задача номер один для большинства современных предприятий.  А вот комплексных решений
в этой области, которые готовы обеспечить информационную безопасность компании и дают возможность оперативно и результативно расследовать возникающие инциденты, на рынке очень мало.  Несмотря на то что бизнес охотно тратится на автоматизацию, бюджеты, выделяемые на безопасность, крайне малы. 

По данным аналитического центра InfoWatch, в 2011 году компании потратили на ликвидацию последствий утечек информации более 500 млн. долларов. Результаты хищения и распространения конфиденциальной информации могут привести как к огромным финансовым потерям, так и 
к полному банкротству. Чтобы снизить риск подобных потерь, необходимо эффективно управлять процессом предоставления доступа 
к информационным ресурсам организации. Учитывая многообразие этих ресурсов, а также огромное количество ежедневных кадровых операций, происходящих в крупных компаниях, где люди принимаются на работу, увольняются, перемещаются с места на место, болеют, ездят по командировкам, процесс управления доступом должен быть полностью автоматизирован. В противном случае получение сотрудником необходимых для работы прав может происходить в неприемлемо долгие сроки. Кстати, многие крупные организации до сих пор  используют бумажный документооборот для оформления заявок на доступ к ресурсам, разобраться в архивах которого практически невозможно. 

Какое решение предлагает компания "ТрастВерс"?
Наша компания предлагает кросс-функциональное решение КУБ, позволяющее одновременно автоматизировать процесс управления учетными записями и правами пользователей в информационных системах и при этом  контролировать соблюдение политики информационной безопасности в режиме реального времени . В отличие от типовой IDM, мы проектировали свое решение как инструмент для службы информационной безопасности. 

На практике руководители службы ИБ лишены инструментария для какого-либо контроля. Они создают правила, согласно которым следует выдавать те или иные права, но как проверить, что происходит на самом деле? В компаниях нередко возникают конфликты между службой ИБ, отделами автоматизации и обычными бизнес-пользователями. Бизнес-пользователям нужно быстро получить доступ к необходимым для работы ресурсам, администраторам требуется время на то, чтобы разобраться, чего от них хотят, поскольку пользователи систем и технические специалисты говорят абсолютно на разных языках, ну а сотрудники службы безопасности хотят быть уверены в том, что все, что происходит в компании, не идет вразрез с существующими правилами и политикой информационной безопасности.  

Каким образом КУБ разрешает подобные конфликты между упомянутыми выше группами? 
В основе КУБ используется электронный документооборот заявок. Любое изменение, происходящее в информационной системе, – это результат исполнения заявки, у которой есть автор, сроки исполнения и согласующие. Нужно отметить, что заявку на доступ может создать любой пользователь, подключенный к системе. Создавая заявку, он оперирует понятными ему терминами, такими как "сотрудник", "должность", "роль". По факту поступления заявки КУБ сам автоматически определит круг лиц и последовательность согласования, а затем построит соответствующий маршрут, учитывая доступность сотрудников и их ответственность за информационные ресурсы. Если кто-то из согласующих лиц в отпуске или болен, маршрут будет изменен согласно заложенной логике. Динамические маршруты согласования заявок на доступ – одно из конкурентных преимуществ КУБ. КУБ может формировать и исполнять заявку автоматически в ответ на событие, происходящее в системе кадрового учета (прием на работу, отпуск, увольнение). В процессе работы КУБ  синхронизируется с системой кадрового учета и получает из нее информацию об организационно-штатной структуре и статусе сотрудников. Иногда нашим клиентам необходимо управлять доступом вручную, например, потому, что это требование политики безопасности компании. В этом случае, после того как заявка на доступ согласована, КУБ генерирует инструкции, в которых содержатся определенные и однозначные указания в терминах соответствующих целевых систем, какие изменения необходимо в них произвести конкретным лицам. Далее исполнителям остается лишь выполнить эти инструкции, а КУБ проконтролирует результат работ.

Как убедиться в том, что заявка исполнена? 
КУБ непрерывно проверяет все изменения, совершенные в информационных системах. Любое изменение должно являться только результатом какого-либо запроса. КУБ сравнивает каждое изменение с пулом открытых инструкций и при совпадении соответствующая заявка получает статус исполненной. Если изменение не соответствует ни одной из открытых инструкций, оно трактуется несанкционированным. При любом несоответствии оповещается служба информационной безопасности. 

КУБ хранит полную историю всех изменений прав доступа – это дает службе безопасности возможности для оперативного расследования инцидентов, связанных с нарушениями политики ИБ. С помощью встроенного в КУБ инструментария всегда можно быстро установить, кто и когда выдал пользователю те или иные права и кто инициировал заявку. 

Резюмируйте, пожалуйста, в чем состоит уникальность КУБ?
На сегодня КУБ - единственная на отечественном рынке система, способная решать сразу три класса задач: 
Автоматизация процесса управления правами доступа сотрудников
к информационным ресурсам компании. Автоматизация позволяет нашим заказчикам оптимизировать технические ресурсы,снизить риски ошибочно предоставленных прав и ускорить процесс предоставления доступа. 
Обеспечение информационной безопасности. Благодаря встроенным в КУБ инструментам все инциденты, угрожающие информационной безопасности компании, обнаруживаются в режиме реального времени. КУБ контролирует соблюдение политики ИБ, оповещает группу заинтересованных лиц обо всех несанкционированных изменениях.  Хранение полной истории всех изменений дает возможность быстро и результативно расследовать все нарушения. 
Управление.  В КУБ заложены широкие возможности по ролевому управлению, включая анализ структуры ролей и ее оптимизацию. В КУБ также реализован ряд дополнительных уникальных возможностей: управление цифровыми сертификатами, программно-аппаратными конфигурациями, сетевым доступом и средствами защиты информации.

КУБ изначально спроектирован как инструмент для службы безопасности, и те возможности, которые в других решениях появляются после многомесячной работы команды программистов внедренческой компании, в КУБ заложены как базовый функционал. КУБ может быть интегрирован  с любыми прикладными системами.  Его гибкая архитектура обеспечивает возможности по расширению функциональности и интеграции с внешними системами, тем самым позволяя построить комплексную систему информационной безопасности в компании. 

Сколько времени потребуется на внедрение решения? 
Использование специальных методик позволяет существенно сократить сроки внедрения - в  два и более раз по сравнению с западными аналогами. Средний срок реализации пилотного проекта – около месяца. Тот факт, что «ТрастВерс» – российский вендор, означает, что мы рядом и всегда готовы оперативно решить любой вопрос, возникающий у клиента. В комплект поставки входит подробная документация на русском языке, работает горячая линия поддержки. Организовано обучение наших клиентов в специализированных учебных центрах компании.

Эффект внедрения системы КУБ? Чего ожидать заказчикам?
В результате внедрения решения в компании будет формализована политика информационной безопасности в части управления доступом, упорядочены информационные ресурсы, определены зоны ответственности сотрудников. Как я уже упомянул,  ускорятся процессы предоставления и изменения прав доступа. Любое изменение прав доступа будет происходить быстро и по заложенному сценарию, в результате чего снизятся риски утраты важной информации. При этом доступна полная история всех изменений прав. Бизнес-пользователи со своего рабочего места смогут оформлять и согласовывать заявки на доступ к необходимым информационным ресурсам. По факту происходящих в системе кадрового учета событий КУБ может сам генерировать заявки и создавать, удалять или блокировать учетные записи в соответствующих информационных системах. Служба ИБ будет контролировать политику информационной безопасности в режиме реального времени.

Какому кругу заказчиков вы адресуете свой продукт?
Нашими заказчиками являются организации, для которых вопросы информационной безопасности имеют особую важность. Среди них Центральный банк РФ, Федеральное казначейство РФ, ОАО «РЖД», АФК «Система», ФСБ России. Отраслевой специфики как таковой у нас нет, но  мы выделили  ряд областей, где КУБ будет наиболее востребован. Это финансовый сектор, телекоммуникационные компании, нефтегазовый комплекс, энергетика, государственные корпорации.

Каково будущее системы КУБ?
Мы планируем расширение функциональных возможностей решения в части управления безопасностью, будем создавать новые коннекторы под востребованные решения, интегрироваться с лидерами отраслей и многое другое. 

Звучит впечатляюще. Желаем КУБ новых успехов и новых клиентов! 

Опубликовано 26.04.2013

Похожие статьи