Книга: Обеспечение информационной безопасности бизнеса
Недостатки традиционного подхода к управлению доступом
Недостатки традиционного подхода к управлению доступом
Одна из особенностей традиционного управления доступом заключается в том, что для бизнеса информационная система является в значительной степени «черным ящиком»: сотрудники бизнес-подразделений не могут проконтролировать, какие права доступа назначаются администраторами систем сотрудникам и какие привилегии они в результате имеют.
Усугубляет ситуацию и то, что ИТ-инфрастуктура организации, как правило, состоит из множества различных информационных систем, большинство из которых имеет свое собственное хранилище учетных записей и связанных с ними привилегий. Эти политики могут значительно различаться, а управление учетными записями становится трудоемкой задачей. В результате невозможно представить полную картину прав доступа сотрудников и тем более получать такую информацию оперативно и регулярно.
Выполнение операций с учетными записями является по большей части механической работой, которая может быть автоматизирована. Традиционное ручное управление учетными записями, особенно в случае неподконтрольности результата, чревато как случайными, так и умышленными ошибками, которые могут быть выявлены лишь спустя значительное время или не выявлены совсем. Также ручное управление доступом приводит к задержкам предоставления или изменения доступа, вследствие чего увеличивается время вынужденного простоя, если сотрудник не может выполнять свои служебные обязанности или риски безопасности, если по каким-то причинам права доступа сотрудника в данный момент являются избыточными.
На практике реализация единой политики доступа к информационным ресурсам затрудняет поиск компромисса между удобством и безопасностью. В частности, если пользователь имеет доступ к пяти информационным системам, он вынужден помнить различные пароли, отвечающие всем требованиям сложности. А если сделать смену пароля обязательной хотя бы раз в три месяца, то самой частой задачей отдела системного администрирования, вероятно, будет восстановление забытых паролей, а пользователи будут записывать пароли на стикерах в текстовых файлах.
Средства предотвращения утечек информации (Data Leak Prevention — DLP) также значительно снижают удобство использования информационных ресурсов. Так, например, стандартными мерами по предотвращению распространения конфиденциальной информации являются запрет на использование USB-носителей и контентная фильтрация исходящего почтового трафика. Эти меры затрудняют обмен информацией даже в том случае, когда ее передача легитимна (например, в случае отправки конфиденциальных документов контрагентам), и не позволяют управлять доступом к служебной информации за пределами периметра. Впрочем, и внутри периметра отследить и предотвратить доступ к конфиденциальной информации на уровне файлов с помощью стандартных DLP-решений крайне сложно или даже невозможно.
- Достоинства и недостатки потоков
- 1.3.3. Достоинства и недостатки анонимных прокси-серверов
- Преимущества и недостатки директ-маркетинга
- 5.4.3. Недостатки xinetd
- Мотивация персонала в рамках подхода «управление по целям»
- 1.4.4. Использование нетрадиционного синтаксиса на диаграммах функциональной модели
- Представление дискуссионной группы по управлению проектами
- Недостатки
- Сила системного подхода
- Приложение Критика логистического подхода
- 4.2.4. Преимущества и недостатки ролевой игры
- Старательное осуществление неправильного подхода