Контроль прав доступа

В крупных компаниях используется множество автоматизированных систем (АС), и процедура предоставления сотрудникам необходимых прав так или иначе уже реализована.

Но зачастую нерешенной остается обратная задача – своевременный отзыв у сотрудника тех прав, которые стали ему не нужны (избыточны). Классическим подходом к решению проблемы избыточных прав доступа является регулярный пересмотр текущего набора прав сотрудника. Этот принцип лежит в основе одного из требований закона SOX (Sarbanes Oxley Act).

Описание решения

Система контроля прав доступа, разработанная экспертами CSM, решает обе перечисленные выше задачи.

Система включает в себя две функциональные подсистемы:

  • Подсистема контроля избыточности (ПКИ) – автоматизирует периодический пересмотр прав сотрудников их руководителями;
  • Подсистема контроля за разделением полномочий – автоматизирует оперативный контроль за соответствием прав пользователей системы правилам SoD (ограничениям, обеспечивающим соблюдение принципа SoD). 

ПКИ автоматизирует запуск и проведение процесса контроля избыточности прав, предоставленных сотрудникам, а также обеспечивает построение отчетов по результатам проведенного контроля.

Подсистема контроля избыточности прав обеспечивает:

  • проведение периодического контроля услуг сотрудников, а также внепланового контроля в случае перевода сотрудника на другую должность;
  • автоматическое оповещение руководителей о необходимости контроля прав доступа подчиненных сотрудников;
  • автоматизацию создания заявок на отзыв избыточных прав в системе обработке заявок на доступ;
  • построение отчетов по результатам проведения процесса контроля прав.

Система гарантирует удобные инструменты для различных категорий сотрудников:

  • руководителям – средства контроля прав доступа подчиненных сотрудников (web-интерфейс), а также возможность настроить временное делегирование своих функций другому сотруднику;
  • региональным сотрудникам ИБ – средства перезапуска процесса  контроля  для  своего  региона  и  средства наблюдения за ходом процесса;
  • рядовым сотрудникам – средства отзыва услуг, назначенных для него.

Подсистема контроля за разделением полномочий осуществляет ежедневную автоматическую проверку полномочий пользователей на предмет нарушения правил SoD. В случае обнаружения новых нарушений руководители сотрудников оповещаются по электронной почте о необходимости выполнить контроль.

Подсистема обеспечивает:

  • руководителя – средствами контроля обнаруженных нарушений (web-интерфейс). Руководитель либо помечает нарушение как «приемлемое», либо отзывает, по крайней мере, одно из полномочий, входящих в правило SoD, которое вызвало нарушение;
  • аудиторов – средствами наблюдения за текущим состоянием процесса контроля и результатами проведенного контроля.

Преимущества решения

  • Подсистемы предоставляют всем участникам процесса удобный web-интерфейс пользователя. Интерфейс для сотрудников и руководителей создан максимально интуитивно понятным. 
  • Логика работы подсистем корректно реагирует на нестандартные ситуации, такие, как перевод сотрудника на другую должность, отпуск и подобные.  
  • Вся информация хранится в SQL-совместимой СУБД и может быть легко использована внешними средствами построения отчетов. 
  • Предоставляемая подсистемами информация обеспечивает успешное прохождение процедуры внешнего и внутреннего аудита на соответствие требованиям SoX. 

Пример внедрения

Система контроля прав доступа внедрена и находится в промышленной эксплуатации в ПАО «Вымпелком». Внедрение системы дало следующие результаты:

  • оперативный контроль избыточности доступа для более чем 35 тыс. сотрудников к более чем 70 корпоративным АС;
  • ежедневный контроль более чем 150 000 назначенных полномочий в ключевой бизнес-критичной системе (финансовой) на соответствие правилам SoD;
  • оперативное получение информации, необходимой для успешного прохождения внешнего аудита на соответствие требованиям SoX.