

Управление рисками в IGA-решениях всегда было той самой "темной стороной", на которую предпочитали не заходить российские пользователи. Даже для крупных компаний этот функционал казался чем-то космическим.
Отчасти так сложилось по той причине, что за комплаенс, которому, как правило, принадлежит функция управления рисками в крупных организациях, отвечают подразделения, не близкие к ИБ и уж тем более ИТ, а контролирующие их. В такой конъюнктуре посягать на зону ответственности вышестоящего органа владельцы систем управления доступом, как правило, не решались. Подразделения и руководители, ответственные за управление рисками, в большинстве своем о подобных функциях информационных систем не знали и не проявляли к ним интерес в качестве внутреннего заказчика. В настоящий момент мне известно лишь одно по-настоящему эффективное внедрение на территории РФ, в котором модель управления рисками продумана и выстроена по требованиям внутреннего аудита.
В данной статье я рассмотрю риски, которые может оценивать и компенсировать система управления доступом к информационным ресурсам, а также расскажу про "легкий" и при этом достаточно эффективный сценарий использования модели управления рисками, реализуемый без привлечения дополнительных владельцев требований.
Какими рисками может управлять IdM
Для того чтобы понять, какими рисками может управлять IdM, нужно рассмотреть, какими данными он обладает и какие инциденты умеет выявлять. Уровень качества данных и, соответственно, оценки сильно зависят от стадии внедрения и организации базовых процессов управления доступом. Рассмотрим качество и полноту данных на разных этапах внедрения системы:
Итак, IdM-система, в которой выполнена первичная реконсиляция, знает:
2. IdM, в котором выполнена первичная сертификация прав доступа и учетных записей, а также настроен аудит, дополнительно обладает сведениями:
3. IdM, в котором настроены процессы самообслуживания или проведена интеграция с ITSM, знает:
4. IdM, в котором построены процессы аттестации прав по расписанию и событиям, знает, когда в последний раз пересматривался доступ.
5. IdM, в котором построена ролевая модель, знает:
Приведенного перечня знаний достаточно, как минимум для определения следующих рисков:
Управление рисками – это сложно?
Сложность модели оценки рисков сильно зависит от сценариев использования, в которых планируется применять данные оценки. Давайте рассмотрим, какие переменные и по какой причине могут быть использованы в модели оценки:
Построение модели, правильно учитывающей все вышеперечисленные аспекты - достаточно сложная задача, кроме того, не нужно забывать, что эта модель будет требовать поддержки, поэтому подойдут к этому не многие "избранные" организации с высоким уровнем корпоративной культуры.
Использование уровня риска как индикатора привилегированных пользователей
Однако, чтобы функция оценки риска в IdM начала приносить пользу, далеко не обязательно делать сложную модель и согласовывать ее внутри организации.
Для того, чтобы знать привилегированных пользователей и их учетные записи, в простейшем случае достаточно задать оценку для критичных прав доступа и обозначить граничные показатели суммарного уровня риска. Данных мероприятий хватит для того, чтобы получить от IdM отчет по привилегированным сотрудникам и учетным записям. Это уже не маленькое подспорье для ИБ в задаче контроля администраторов, но если немного развить эту простейшую модель, можно получить гораздо больше пользы без особых вложений.
Базовая модель определения уровня риска
Базовая модель оценки риска предполагает наличие следующих правил:
Этих правил будет достаточно для относительно точной индикации пользователей с повышенными привилегиями и, соответственно, усиления контроля за ними. С задачами контроля IdM-решения также могут помочь.
Компенсация рисков
Компенсация риска – это комплекс мероприятий, направленных на предотвращение наступления рискового события или снижение вероятности его наступления.
Применительно к рассматриваемым рискам это могут быть:
Кроме мер, которые можно предпринять в самой системе управления доступом, можно значительно повысить эффективность контроля в смежных системах, таких как SIEM. Например, попытка подбора пароля к привилегированной учетной записи, да и любая нетипичная активность этой записи, заслуживают гораздо более пристального внимания, нежели действия любой другой.
Функция оценки и управления рисками в IdM не так страшна и сложна, как ее представляет большинство текущих владельцев систем или будущих заказчиков. С минимальными вложениями трудозатрат она поможет определить и взять под контроль привилегированных пользователей.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных