Назначение и основные функции системы КУБ

Назначение и основные функции системы КУБ.

Современная организация, как  правило, использует большое количество различных информационных систем (ERP, CRM, СЭД, почта и т.п.), практически  каждая из которых содержит свои собственные  базы учетных записей и модели управления правами пользователей. Чем крупнее организация, тем  сложнее ее информационная система  и организационная структура. В  свою очередь каждый сотрудник организации  имеет свой набор учетных записей  в корпоративных системах и свой уровень доступа к ним, согласно своим должностным обязанностям и полномочиям. Появляется необходимость  предоставления доступа к ресурсам информационной системы внешним  пользователям: партнерам, клиентам и  т.п. На некотором этапе роста  информационной системы, чрезмерно  возросшая сложность системы  уже не позволяет контролировать безопасность и эффективность взаимодействия всех пользователей с информационной технологией инфраструктуры, адекватно оценить ее состояние на предмет соблюдения политики информационной безопасности, осуществлять ее эффективное администрирование.

Возникают проблемы непротиворечивой настройки отдельных компонентов  информационной системы и организации  доступа пользователей к многочисленным прикладным подсистемам, в соответствии с требованиями заявок и политики информационной безопасности. Такие  сложности в администрировании  сказываются на уровне безопасности информационной системы самым негативным образом. Остро возникает необходимость  в инструменте для реализации единой для всей информационной системы  политики информационной безопасности, не зависящем от сложности информационной системы или организационной  структуры. При этом использование  технических средств в отрыве от организационной структуры обессмысливает затраты и оставляет в итоге  инфраструктуру незащищенной.

Обеспечение информационной безопасности в современной организации - комплексный процесс, в котором  велика роль не только технической, но и организационной составляющей.

Для решения этих проблем  компания "Трастверс" предлагает не имеющую аналогов систему комплексного управления безопасностью (КУБ). Данное комплексное решение позволяет осуществить тесную интеграцию технологий, процессов и людей, одновременно повышая доступность сервиса службы автоматизации и эффективность деятельности службы информационной безопасности. Внедрение системы позволит реализовать механизм контролируемого и упорядоченного доступа к системам, в строгом соответствии с политикой информационной безопасности. Комплексный подход к решению проблем позволяет решать задачи самого широкого круга пользователей.

• С помощью системы КУБ руководитель бизнес подразделения может легко обеспечить своевременный и необходимый доступ сотрудников подразделения к ресурсам информационной системы, а также предоставить свои ресурсы другим подразделениям для совместной работы, сохраняя постоянный контроль доступа к ним.
• Сотрудникам службы автоматизации системы КУБ обеспечивает возможность своевременного внесения в информационную систему изменений, необходимых для решения подразделениями бизнес задач и соответствующих положениям политики безопасности организации. С помощью системы КУБ осуществляется единообразное стандартизованное управление доступом пользователей ко всем прикладным подсистемам информационной системы, снижающее до минимума вероятность конфликта со службой информационной безопасности.
• Сотрудники службы информационной безопасности получают инструментарий для мониторинга всех изменений в информационной системе и аудита функционирования. С помощью системы КУБ они могут осуществлять проверку и согласование предполагаемых изменений в информационной системе на соответствие требованиям политики безопасности.

Все эти возможности обеспечиваются использующейся в системе КУБ  новой революционной технологии управления изменениями в информационной системе с помощью специализированного документооборота заявок.

Система КУБ имеет удобные  и быстрые механизмы масштабируемости, развертывания и настройки, а также обладает достаточной гибкостью для перенастройки на специфические нужды или особенности информационной системы заказчика. Кроме того, система обеспечивает необходимый и достаточный уровень собственной безопасности.

Система выполняет следующие  основные функции:

• автоматическая инвентаризация системы - сбор сведений о состоянии ИС;
• автоматизированное создание модели ИС;
• создание заявок на внесение изменений в ИС (например, допуск сотрудника к ресурсам);
• автоматическое согласование заявки с заинтересованными подразделениями;
• автоматическое преобразование заявки в набор указаний администраторам- исполнителям по внесению изменений в ИС;
• автоматический контроль исполнения утвержденных заявок;
• автоматический контроль несанкционированных изменений в ИС;
• автоматическое сохранение истории заявок;
• формирование отчетов по запросам пользователей.

Принципы работы системы  КУБ.

Работа системы КУБ  осуществляется на следующих принципах:

• управление информационной системы производится на основе ее построенной модели (модель КУБ);
• внесение изменений в информационную систему осуществляется с помощью специализированного документооборота "заявка на внесение изменения  — согласование  — инструкции на изменения в системе";
• изменения, происходящие в информационной системе, постоянно контролируются на соответствие ранее сделанным заявкам.

Модель КУБ: принципы построения и использования.

Модель КУБ — "идеальная" модель информационной системы. Она объединяет сведения о бизнес - структуре организации и сведения о ресурсах информационной системы.

Для построения модели КУБ  необходимы следующие основные сведения:

• организационно-штатная структура предприятия, включая названия подразделений, должностей, фамилии и имена сотрудников, занимающих различные должности;
• учетные записи пользователей на различных серверах информационной системы и в прикладных программах;
• ресурсы информационной системы предприятия, права доступа к ним, принадлежность ресурса тому или иному подразделению предприятия.

Создание модели осуществляют на стадии внедрения системы КУБ. При создании модели система КУБ  выявляет противоречия и неточности, которые должны быть устранены ("потерянные" учетные записи и ресурсы; сотрудники, не допущенные к информационной системе; альтернативный доступ к ресурсам).

В результате построения модели формируется некая иерархия бизнес - ролей, предоставляющих тот или иной типовой доступ к ресурсам информационной системы.

На основании построенной  модели система КУБ в дальнейшем позволяет формировать заявки в терминах бизнес - ролей, а также автоматически определяет участников согласования заявок на внесение изменений в информационную систему.

Созданные пользователями заявки содержат операции по созданию, изменению  или удалению бизнес - объектов модели КУБ. Специализированные программные  модули (агенты), анализируя изменения  бизнес - модели, могут генерировать инструкции. Инструкции формулируются  в виде указаний администраторам системы. Затем ожидаются изменения в самой информационной системе.

Таким образом, сопоставляя  модель КУБ и текущее состояние  информационной системы, в любой  момент времени можно сделать  вывод о том, какие изменения  в системе являются легальными (санкционированными), а какие — нет.

Внесение изменений.

Внесение изменений в  информационную систему осуществляется с помощью специализированного  документооборота "заявка на внесение изменения  — согласование  — инструкции на изменения в системе". В этом документообороте участвуют бизнес - подразделения, служба информационной безопасности и служба автоматизации. Бизнес - подразделениями считаются все подразделения организации, имеющие доступ к информационной системе, но не уполномоченные самостоятельно вносить изменения в систему (бухгалтерия, кадровая служба, маркетинговая служба и пр.).

Инициаторами изменений  в информационной системе, как правило, выступают сотрудники бизнес - подразделений. Руководители подразделений или  уполномоченные ими сотрудники на языке  бизнес - ролей составляют заявки на изменение доступа своих сотрудников  к ресурсам информационной системы.

Различные стандартные формы  заявок, оформляемые на web-портале, упрощают процесс формулирования требований. После оформления заявку отправляют на исполнение.

Получая заявку, сервер КУБ  формирует алгоритм ее обработки  и направляет по электронной почте  уведомление о необходимости  согласования, если таковое требуется. Помимо фиксированных маршрутов  согласования, система автоматически  определят согласующих лиц, строит маршруты в зависимости от требований заявок, учитывая любые особенности  бизнес процессов и распределенной схемы согласования. Электронная  подпись при согласовании и других бизнес операциях позволяет обеспечить неотказуемость пользователей от принятых решений и необходимый уровень  доказательств. Сотрудник, получивший уведомление, с помощью веб - интерфейса или программы управления сервером КУБ выполняет необходимые действия для согласования или отклонения заявки. В случае если заявка отклонена, обработка заявки прекращается, а ее инициатору автоматически направляется сообщение об этом.

Служба информационной безопасности выступает в роли основного звена  для согласования заявок, так как  большинство изменений в информационной системе требует оценки с точки  зрения политики безопасности.

На практике согласование заявок может выполняться не только службой информационной безопасности, но и другими бизнес - подразделениями, которых затрагивают изменения. Например, если изменения касаются доступа к ресурсам, владельцами  которых являются эти бизнес - подразделения.

Технология управления безопасностью  предполагает, что все необходимые изменения в информационной системе осуществляют сотрудники службы автоматизации. Это упорядочивает и упрощает организацию процесса внесения и контроля изменений.

Если заявка была утверждена согласующими лицами, сервер КУБ генерирует инструкции по внесению изменений в информационной системе и направляет по электронной почте уведомление сотруднику службы автоматизации. На этом этапе заявка, созданная с использованием бизнес - терминов, интерпретируется и поступает исполнителю в виде инструкции, сформулированной в терминах информационной системы.

Состав системы КУБ.

• Сервер КУБ.

Сервер КУБ является ядром  системы, где выполняется централизованная обработка поступающей информации. Сервер координирует работу остальных  компонентов системы и обеспечивает обмен данными между ними. Функционирование документооборота заявок также обеспечивается сервером КУБ. Сервер принимает заявки, формирует алгоритмы их обработки, рассылает уведомления и контролирует исполнение.

Программная реализация сервера  КУБ выполнена с использованием технологии загружаемых модулей (plug- in). Загружаемые модули представляют собой динамические библиотеки DLL, которые  оперативно загружаются и выгружаются  в процессе работы сервера. Это обеспечивает максимальную гибкость архитектуры  и упрощает расширение функциональных возможностей системы.

Информация об объектах информационной системы и системы КУБ хранится в базе данных. Доступ к базе данных обеспечивается только централизованно  через сервер.

• Агенты.

Агент  — это программа, контролирующая предоставление доступа в информационной системе с учетом ее специфики, а также взаимодействующая с сервером КУБ по универсальному протоколу. Агент предназначен для контроля

изменений в данном компоненте информационной системы. Кроме того, некоторые агенты могут самостоятельно исполнять инструкции, если пользователем  системы КУБ разрешена соответствующая  функция. На основе информации, полученной от агента, сервер КУБ определяет легальность  изменений в информационной системе.

Агент состоит из 2-х взаимодействующих  между собой частей — серверной  и выносной. Серверная часть устанавливается  в составе сервера КУБ и  содержит в себе бизнес-логику управления доступом на данной платформе. Выносная часть устанавливается на контролируемом экземпляре платформы и предназначена  для сбора информации о доступе  и выполнения инструкций.