В среднестатистической организации на сегодняшний день используются иногда более десятка различных информационных ресурсов – бухгалтерская система, внутренний корпоративный сайт, почтовый сервер, файловый сервер, CRM-система и т.п. В идеале каждый из этих ресурсов «должен» требовать авторизации пользователя при попытке доступа. Понятно, что качественный, стойкий ко взлому пароль существенно отличается от распространенных «admin», «user» и «1,2,3…9», а значит держать в голове придётся до 10 сложных паролей и при этом пытаться не запутаться в них и не уступить соблазну всё же записать весь арсенал паролей на какой-нибудь стикер.

  Разумным компромиссом между безопасностью и удобством является использование аппаратной аутентификации на основе токенов в виде USB-ключей или смарт-карт. Они могут применяться для хранения многосимвольных сложных паролей, персональных данных пользователя, цифровых сертификатов и ключевой информации (допустим, при использовании сервисов, основанных на ЭЦП). Благодаря своей многофункциональности, токены снимают множество вопросов, связанных с корпоративной информационной безопасностью, но при этом порождают новые. Важнейшим из них является вопрос контроля над выдачей и использованием аппаратных аутентификаторов.

  Даже для 50-100 сотрудников отследить вручную имеющиеся права доступа у каждого пользователя весьма проблематично. А между тем это придётся делать каждый раз при вводе в эксплуатацию нового информационного ресурса (например, корпоративного портала или его раздела), переподчинении сотрудника, его повышении, увольнении и др. С точки зрения управляемости и прозрачности информационной инфраструктуры наличие нескольких администраторов (каждый для отдельного ресурса) не только не облегчит ситуацию, но, напротив, может обернуться дополнительными сложностями и накладками. При этом ситуаций, в которых сотрудник может получить больше привилегий, чем предполагает его позиция, великое множество.

  При крупномасштабных организационных изменениях в компании, высокой «текучке» кадров, распределенной филиальной структуре, да и просто при большом числе сотрудников - риск ошибки администратора, распределяющего права доступа, очень высок. Если добавить к этому ещё и отсутствие системы мониторинга действий пользователей и отслеживания попыток превышения полномочий, то стоит признать – создана благодатная почва для безнаказанной деятельности сотрудников, решивших улучшить своё материальное положение за счет компании-работодателя, но без её ведома.

Для эффективной профилактики несанкционированной инсайдерской деятельности необходимо создать максимально удобную, управляемую и масштабируемую систему для централизованного управления жизненным циклом смарт-карт, USB-ключей и используемых с ними приложений безопасности - инфраструктуру управления учетными данными и доступом пользователей (Identity and Access Management, IAM).

Компоненты инфраструктуры IAM

Средства двухфакторной аутентификации пользователей

• eToken USB-ключи / смарт-карты / One-Time-Password

Средства управления паролями

• eToken SSO / WSO/ Windows Logon

Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов)

• Microsoft, Linux, Oracle, IBM
• Продукты российских разработчиков
• Крипто-Про УЦ, Microsoft CA, RSA Keon

Управление учетными(аутентификационными) данными пользователя

• eToken TMS