Управление надежностью и идентичностью:
актуальные проблемы

Способность организации открывать только авторизованный доступ к своим системам и данным (и доказывать органам власти и общественности, что это происходит именно так) – это важнейшее условие защиты систем и информации; это облегчает составление отчетности по соблюдению стандартов безопасности, усиливает контролируемость и упорядочивает регулярные операции. Контроль доступа, в свою очередь, сильно зависит от процессов обеспечения безопасности, применяемых для менеджмента идентификации – для определения идентичности клиента, установления связи его личности с верительными данными, передачи этих верительных данных в надежные руки и долговременного управления верительными данными. Организации, которые управляют идентификацией безопасным и эффективным образом, могут больше доверять надежности своих бизнес-процессов, - и этим организациям соответственно будет больше доверия со стороны их клиентов, партнеров и головных офисов. В противоположность этому организации, где не налажен эффективный менеджмент идентификации, могут оказаться в ситуации серьезного риска для системы безопасности из-за плохо проводимой политики, из-за одинаковых паролей, и из-за наличия пользователей, предъявляющих свои привилегии, которых на самом деле у них нет. Менеджмент идентификации включает в себя несколько бизнес-процессов, которые требуют продуманности и особого дизайна. Вот вопросы, которые организации должны включить в рассмотрение:

Читать далее

  1. Чья идентичность нуждается в управлении (или идентичность каких приборов)? Возможно, организации нужно проверять идентичность, привязанную к сотрудникам, клиентам, горожанам, электронным устройствам, программным приложениям или к сетевым или облачным сервисам. Управление верительными данными, связанное с установление идентичности этих субъектов, может оказаться непростой и неоднозначной задачей. Определенные верительные данные могут быть одними и теми же для множества субъектов; например, если это верительные данные, которыми пользуется любой администратор для входа в системы ИТ, - а это потенциально снижает контролируемость
  2. Насколько сильной и безопасной должна быть идентичность, чтобы она удовлетворяла требованиям бизнеса? Приемлемый уровень надежности при определении идентичности может определяться многочисленными факторами; среди них ценность данных, к которым кто-то пытается получить доступ, риск и негативное влияние каких-либо непредвиденных факторов, и внешние постановления или стандарты, и это далеко не полный список.. Но при наличии тенденции к совместному пользованию инфраструктурой, сервисами и персоналом, будет важно согласиться на общие уровни надежности, которые удовлетворяют большинству требований.
  3. Какой тип верительных данных используется для удостоверения идентичности? То, что паролями в целях аутентификации со временем перестанут использоваться, - это предсказание встречается часто; и все-таки пароли все еще повсеместно применяются. Существуют многочисленные методы для установления более надежных верительных данных, но все они упираются в рост оперативных расходов и повышение уровня сложности. Опции включают смарт-карты, метки OTP, цифровые сертификаты, мобильные телефоны или хост-сервер соответствующих схем.
  4. На установление какой идентичности должны быть в наибольшей степени нацелены процессы менеджмента? Организации сталкиваются с необходимостью выпускать верительные данные и привязывать к ним соответствующие им идентичности, проверять их подлинность и периодически их заменять, - но если организации хотят установить доверие, этого недостаточно; они должны рассматривать весь жизненный цикл цифровых верительных данных. Трудность в том, что это может касаться нескольких сотрудничающих между собой бизнес-систем, у каждой из которых могут быть свои требования к безопасности – потенциально это ведет к конфликту интересов и к непоследовательности в выполнении программ безопасности.
  5. Насколько защищены сами процессы управления идентичностью? Можно ли доверять тому, что верительные данные однозначно указывают идентичность? - это зависит от того, насколько можно доверять процессам, используемым для управления идентичностью. Кража верительных данных может стать невероятно ценным приобретением для взломщика. Но кража пароля системного администратора может дать доступ к гораздо большему массиву данных, чем кража верительных данных одного человека или группы людей. Организации должны принимать меры к обеспечению того, чтобы их процессы управления идентичностью были особенно защищены, или чтобы эти процессы не могли стать слабым звеном в общей стратегии компании по защите данных.
  6. Выполняет ли этот процесс требования, предъявляемые к аудиту и соблюдению нормативов и стандартов? Вашей организации не только нужно выполнять эффективные процессы, но также и доказывать, что каждый из этих процессов выполняется согласно предписаниям. Важно выявить зависимости между отдельными бизнес-процессами. Например, организации ИТ могут подвергнуться отсоединению от процессов HR, которые требуют аннулирования (отмены предоставления) верительных данных, когда сотрудник покидает организацию.

Организации сталкиваются с многочисленными трудностями, когда пытаются внедрить эффективные процессы управления идентичностью. Изменяющаяся численность персонала, многочисленные места ведения бизнеса, факты слияния и приобретения и смена политики бизнеса – все эти факторы делают чрезвычайно важной (и трудной!) задачу детального, а не поверхностного управления идентичностью. В то время как вышестоящие органы подталкивают организации к повышению их уровня безопасности и надежности, экономические императивы подталкивают их к вхождению в высоко интегрированные, сервис-ориентированные системы, которые создают особые проблемы для управления идентичностью.

Скрыть раздел

Риски

  • Неэффективное управление идентичностью может оставить организации уязвимыми к атакам многочисленных типов и прямым образом негативно сказаться на способности организации соблюдать внешние нормативы и постановления, направленные на обеспечение конфиденциальности.
  • Взломщики могут направлять атаки на сами процессы установления идентичности и этим путем получать доступ к верительным данным. Эти бреши в системе безопасности потенциально могут оставаться незамеченными в течение длительных периодов времени, что дает взломщикам возможность красть чувствительную информацию или контролировать важные процессы.
  • Инвестиции в высоко надежные технологии аутентификации, такие как применение меток и смарт-карт, может привести к обманчивому ощущению безопасности, если не обезопасить процессы выпуска верительных данных и управления идентичностью.
  • Организации могут пренебрегать установлением идентичности систем и устройств. В мире автоматизированных систем, находящихся на далеком расстоянии друг от друга, ненадежные верительные данные устройств и бизнес-приложений могут подвергать организацию даже еще более высокому риску, чем ненадежные верительные данные реальных людей.
  • Уровень надежности цифровых идентификационных данных (ID), особенно, когда дело касается цифровых подписей, может иметь серьезные юридические последствия, если этот уровень надежности присваивается электронным документам или контрактам.

Управление надежностью и идентичностью: решения компании Thales e-Security

Продукты и сервисы, предлагаемые компанией Thales e-Security и ее партнерами, могут помочь вашей организации внедрить безопасные и эффективные процессы управления идентичностью, которые улучшат вашу способность контролировать доступ к информации и системам, усилят политику бизнеса, будут быстро и эффективно восстанавливаться после атак и облегчат проведение аудита и составление отчетности о соблюдении постановлений и стандартов безопасности. Поскольку организации все больше стремятся управлять идентичностью на более высоком уровне надежности, компания Thales может облегчить переход к строгой аутентификации с помощью решений, разработанных для ряда приложений. Имеете ли вы дело с трудностями управления идентификацией для упорядочивания доступа работников предприятия, или для выпуска кредитных карт, или для обработки мобильных платежей, которые должны соответствовать специфическим для индустрии указам, постановлениям и стандартам, - решения, предлагаемые компанией Thales и ее партнерами, помогут вам поддерживать безопасные процессы, которые усилят политику бизнеса и в то же время максимизируют эффективность бизнес-операций. 

Помимо содействия становлению высоконадежного управления идентичностью широкого ряда пользователей и ИТ, продукты и услуги компании Thales могут также помочь вам справляться с трудностями, связанными с установлением идентичности и проверкой верительных данных устройств. Продукты и услуги компании Thales можно использовать для облегчения выполнения высоко секретных производственных процессов – с их помощью возможно осуществлять выпуск безопасных верительных данных устройств и управление ими даже в менее надежных средах - оффшорах или даже во враждебной среде<b>.</b>

Преимущества:

  • Воспользуйтесь преимуществами упрочненных, стойких к вмешательству модулей, которые защитят важнейшие процессы управления верительными данными от атак.
  • Поддерживайте эффективное управление идентичностью, несмотря на рост числа высоко интегрированных автоматизированных и сервис-ориентированных систем.
  • Облегчите переход к более строгим формам аутентификации для широкого ряда бизнес-процессов – включая специализированные процессы обеспечения безопасности.
  • Примените решения, разработанные для производства, где применяются устройства, безопасно устанавливающие свою идентичность, даже в менее надежных производственных условиях.
  • Вы сможете избежать неприятной необходимости искать компромиссы между уровнями надежности, с одной стороны, и эффективностью, производительностью и гибкостью, с другой стороны.
  • Вы сможете ускорить применение средств обеспечения безопасности – продукты, разработанные компанией Thales функционально совместимы с приложениями и устройствами, разработанными ведущими компаниями, продающими решения безопасности.
  • Вы сможете поработать с экспертами в области актуальных на сегодняшний день нормативов и стандартов безопасности, принятых как на уровне страны или штата, так и в рамках конкретной отрасли хозяйства.