В журнале «Банковское обозрение» (№7/2016) опубликовано интервью с Петром Марголисом, нашим архитектором приложений, о том, как в части разграничения прав пользователя обеспечить баланс между надежной защитой конфиденциальных данных и оперативной реакцией на задачи бизнеса. Почему важно повышать эффективность управления правами доступа? Какие сложности возникают при распределении и контроле прав доступа сотрудников к информационным ресурсам банка? Как модель управления, предложенная CUSTIS, помогает решить данные проблемы? Об этом — в материале «Управление правами доступа должно быть централизованным и гибким» на сайте и в бумажной версии издания.

Главное в информационной безопасности банка — баланс между надежной защитой конфиденциальных данных, с одной стороны, и гибкой, оперативной реакцией на задачи бизнеса, с другой. Как обеспечить этот баланс в части разграничения прав доступа пользователей, «Б. О» рассказал Петр Марголис, архитектор решений группы компаний CUSTIS

 В банковской сфере вопросы информационной безопасности приоритетны. Какое место среди них занимает управление правами доступа?

Исследования показывают, что львиная доля всех утечек информации в банках происходит именно из-за внутренних нарушителей и не сопровождается внешними атаками[1]. Это же касается и различных схем мошенничества. Поэтому важность эффективного управления правами доступа внутри финансовой организации сложно переоценить. Однако, в отличие от других областей информационной безопасности, которые сегодня активно развиваются, в области управления правами мы наблюдаем стагнацию. Безусловно, и в этом сегменте есть предложения (например, системы класса Identity Management — IdM), но практически повсеместно управление правами базируется на ролевой модели, которая получила вполне заслуженное распространение в начале 90-х годов, однако во многом уже не отвечает современным вызовам.

— В чем заключается сложность распределения и контроля прав доступа сотрудников к информационным ресурсам банка?

Система распределения прав должна предоставлять каждому сотруднику именно тот набор привилегий в ИT-системах, который ему необходим в текущий момент для выполнения своих служебных обязанностей. Как принцип это звучит просто, однако наличие такой системы в масштабах крупного банка — большая редкость.

Сложностей немало. Во-первых, количество пользователей ИT-систем может исчисляться тысячами, количество самих систем — десятками. При этом каждая система предоставляет до нескольких сотен элементарных привилегий, которые можно выдать тому или иному сотруднику. При таком многообразии комбинаций даже единожды спроектировать распределение прав доступа — весьма нетривиальная задача, а ведь нужно еще поддерживать их в актуальном состоянии, проводить аудит, оперативно реагировать на преобразования в организационной и функциональной структуре бизнеса, поддерживать изменения в самом ИT-ландшафте.

Обычно для удобства управления элементарные привилегии объединяют в группы, а пользователей — в роли, соответствующие их должностным позициям. Это и есть суть ролевой модели доступа. Однако, например, операционист в филиале должен иметь доступ к данным только своего филиала, поэтому приходится создавать отдельную роль «операционист филиала N» для каждого филиала. Это лишь один пример, но из-за подобных факторов со временем происходит так называемый «комбинаторный взрыв» количества ролей (role explosion). Иногда для уменьшения числа ролей приходится их укрупнять, давая тем самым сотрудникам «лишний» доступ к данным и функциям ИT-систем.

Есть также проблема централизации управления правами доступа, и системы IdM призваны решить прежде всего именно ее, однако заложенная в них ролевая модель зачастую оказывается менее гибкой, чем возможности разделения прав доступа внутри каждой из ИT-систем.

— Как подход CUSTIS к управлению правами доступа позволяет решить эти проблемы?

В основе нашего решения лежит атрибутная модель Attribute-Based Access Control (ABAC). Если в ролевой модели доступ пользователя к тому или иному информационному ресурсу определяется наличием у него конкретной роли, то в атрибутной модели у каждого пользователя и информационного ресурса есть набор признаков (атрибутов), а права доступа настраиваются в виде правил, в которых указывается ресурс, возможное действие над ним и некоторое логическое выражение с использованием их атрибутов. В результате в этой модели можно достаточно лаконично записывать весьма нетривиальные и гибкие правила доступа, например: «Сотрудник бухгалтерии филиала, проработавший в компании более трех месяцев, имеет доступ к формированию отчета о прибыли и убытках по своему филиалу в период отпуска своего руководителя».

Важно, что это правило будет вычислено динамически, то есть в момент, когда пользователь попытается сформировать указанный отчет. И если отпуск руководителя уже закончился, то отчета он не увидит. Кроме того, атрибутный подход позволяет избежать проблемы комбинаторного взрыва количества ролей, а проектирование настроек прав доступа существенно упрощается. Количество правил обычно оказывается значительно меньше, чем количество ролей, и, как следствие, система становится более управляемой.

— Но атрибутная модель давно известна на рынке. Чем компания дополнила этот подход?

Безусловно, атрибутная модель придумана не вчера. Так, консорциум OASIS с 2003 года поддерживает и развивает основанный на ней стандарт XACML 3.0. Наше решение использует форматы описания правил и основные элементы архитектуры, заданные этим стандартом, мы также используем ряд Open Source библиотек и наработок, реализующих XACML. Все это позволяет нам задействовать огромный опыт, накопленный сообществом за последние годы.

Однако идея внедрения централизованного решения на основе ABAC на практике упирается в серьезную проблему: все существующие ИT-системы должны быть доработаны, чтобы запрашивать доступ через сервис ABAC. В ситуации большинства банков, в ИT-ландшафте которых обычно есть как вендорские, так и уникальные ИT-системы разных поколений, эта задача становится практически невыполнимой. Поэтому в решении CUSTIS, помимо стандартного подхода Attribute-Based Access Control, предусмотрен гибридный режим работы, в котором правила, заданные в атрибутной модели, трансформируются в локальные настройки прав доступа ИT-систем, в том числе при необходимости в ролевую модель. В этой гибкости гибридной системы и заключается существенное преимущество нашего решения.

— Как происходит процесс внедрения в ИT-ландшафт и систему безопасности банка?

Заказчик может использовать наше решение либо в качестве централизованного сервиса авторизации, либо как систему управления существующими настройками прав доступа. В первом случае можно получить все обозначенные выше преимущества атрибутного подхода, во втором придется частично пожертвовать гибкостью настроек, но внедрение пройдет существенно проще и быстрее. Возможна также комбинация этих подходов, при которой часть ИT-систем работают по первому принципу, а другая часть — по второму.

— Каким финансовым организациям в первую очередь будет интересна предложенная CUSTIS модель управления правами доступа?

Предлагаемая нами система универсальна, она может быть использована практически в любых компаниях. Но есть определенные характеристики организаций, в которых внедрение нашего решения способно существенно повысить качество управления правами доступа. Речь идет о компаниях с большим количеством пользователей (сотнями или тысячами) с разнородными служебными обязанностями; в которых используется множество ИT-систем и существуют сквозные процессы, «протекающие» через несколько систем; а также об организациях с большой динамикой изменений в организационной структуре и ИT-ландшафте и высокой ценой последствий реализации риска утечки информации.

Можно с уверенностью сказать, что сегодня все средние и крупные финансовые организации соответствуют этому профилю.
  1. Исследование InfoWatch «Утечки данных. Банки. Мир, Россия», июнь 2016 года.