— В банковской сфере вопросы информационной безопасности приоритетны. Какое место среди них занимает управление правами доступа?

— Исследования показывают, что львиная доля всех утечек информации в банках происходит именно из-за внутренних нарушителей и не сопровождается внешними атаками¹. Это же касается и различных схем мошенничества. Поэтому важность эффективного управления правами доступа внутри финансовой организации сложно переоценить. Однако, в отличие от других областей информационной безопасности, которые сегодня активно развиваются, в области управления правами мы наблюдаем стагнацию. Безусловно, и в этом сегменте есть предложения (например, системы класса Identity Management — IdM), но практически повсеместно управление правами базируется на ролевой модели, которая получила вполне заслуженное распространение в начале 90-х годов, но во многом уже не отвечает современным вызовам.

— В чем заключается сложность распределения и контроля прав доступа сотрудников к информационным ресурсам банка?

— Система распределения прав должна предоставлять каждому сотруднику именно тот набор привилегий в IT-системах, который ему необходим в текущий момент для выполнения своих служебных обязанностей. Как принцип это звучит просто, однако наличие такой системы в масштабах крупного банка — большая редкость.

Сложностей немало. Во-первых, количество пользователей IT-систем может исчисляться тысячами, количество самих систем — десятками. При этом каждая система предоставляет до нескольких сотен элементарных привилегий, которые можно выдать тому или иному сотруднику. При таком многообразии комбинаций даже единожды спроектировать распределение прав доступа — весьма нетривиальная задача, а ведь нужно еще поддерживать их в актуальном состоянии, проводить аудит, оперативно реагировать на преобразования в организационной и функциональной структурах бизнеса, поддерживать изменения в самом IT-ландшафте.

Обычно для удобства управления элементарные привилегии объединяют в группы, а пользователей — в роли, соответствующие их должностным позициям. Это и есть суть ролевой модели доступа. Однако, например, операционист в филиале должен иметь доступ к данным только своего филиала, поэтому приходится создавать отдельную роль «операционист филиала N» для каждого филиала. Это лишь один пример, но из-за подобных факторов со временем происходит так называемый комбинаторный взрыв количества ролей (role explosion). Иногда для уменьшения числа ролей приходится их укрупнять, давая тем самым сотрудникам «лишний» доступ к данным и функциям IT-систем.

Есть также проблема централизации управления правами доступа, и системы IdM призваны решать прежде всего именно ее, однако заложенная в них ролевая модель зачастую оказывается менее гибкой, чем возможности разделения прав доступа внутри каждой из IT-систем.

— Как подход CUSTIS к управлению правами доступа позволяет решить эти проблемы?

— В основе нашего решения лежит атрибутная модель Attribute-Based Access Control (ABAC). Если в ролевой модели доступ пользователя к тому или иному информационному ресурсу определяется наличием у него конкретной роли, то в атрибутной модели у каждого пользователя и информационного ресурса есть набор признаков (атрибутов), а права доступа настраиваются в виде правил, в которых указываются ресурс, возможное действие над ним и некоторое логическое выражение с использованием их атрибутов. В результате в этой модели можно достаточно лаконично записывать весьма нетривиальные и гибкие правила доступа, например: «Сотрудник бухгалтерии филиала, проработавший в компании более трех месяцев, имеет доступ к формированию отчета о прибыли и убытках по своему филиалу в период отпуска своего руководителя».

Важно, что это правило будет вычислено динамически, то есть в момент, когда пользователь попытается сформировать указанный отчет, и, когда отпуск руководителя закончится, отчета он не увидит. Кроме того, атрибутный подход позволяет избежать проблемы комбинаторного взрыва количества ролей, а проектирование настроек прав доступа существенно упрощается. Количество правил обычно оказывается значительно меньше, чем количество ролей, и, как следствие, система становится более управляемой.

— Но атрибутная модель давно известна на рынке. Чем компания дополнила этот подход?

— Безусловно, атрибутная модель придумана не вчера. Так, консорциум OASIS с 2003 года поддерживает и развивает основанный на ней стандарт XACML 3.0. Наше решение использует форматы описания правил и основные элементы архитектуры, заданные этим стандартом, мы также применяем ряд Open Source библиотек и наработок, реализующих XACML. Все это позволяет нам задействовать огромный опыт, накопленный сообществом за последние годы.

Однако идея внедрения централизованного решения на основе ABAC на практике упирается в серьезную проблему: все существующие IT-системы должны быть доработаны, чтобы запрашивать доступ через сервис ABAC. В ситуации большинства банков, в IT-ландшафте которых обычно есть как вендорские, так и уникальные IT-системы разных поколений, эта задача становится практически невыполнимой. Поэтому в решении CUSTIS помимо стандартного подхода Attribute-Based Access Control предусмотрен гибридный режим работы, в котором правила, заданные в атрибутной модели, трансформируются в локальные настройки прав доступа IT-систем, в том числе при необходимости в ролевую модель. В этой гибкости гибридной системы и заключается существенное преимущество нашего решения.

— Как происходит процесс внедрения в IT-ландшафт и систему безопасности банка?

— Заказчик может использовать наше решение либо в качестве централизованного сервиса авторизации, либо как систему управления существующими настройками прав доступа. В первом случае можно получить все обозначенные выше преимущества атрибутного подхода, во втором придется частично пожертвовать гибкостью настроек, но внедрение пройдет существенно проще и быстрее. Возможна также комбинация этих подходов, при которой часть IT-систем работает по первому принципу, а другая часть — по второму.

— Каким финансовым организациям в первую очередь будет интересна предложенная CUSTIS модель управления правами доступа?

— Предлагаемая нами система универсальна, она может быть использована практически в любых компаниях. Но есть определенные характеристики организаций, в которых внедрение нашего решения способно существенно повысить качество управления правами доступа. Речь идет о компаниях с большим количеством пользователей (сотнями или тысячами) с разнородными служебными обязанностями, в которых используется множество IT-систем и существуют сквозные процессы, «протекающие» через несколько систем, а также об организациях с высокой динамикой изменений в организационной структуре и IT-ландшафте и высокой ценой последствий реализации риска утечки информации.

Можно с уверенностью сказать, что сегодня все средние и крупные финансовые организации соответствуют этому профилю.

1. Исследование InfoWatch «Утечки данных. Банки. Мир, Россия», июнь 2016 года.

Реклама