Ekaterina Danilina, 11.05.18
Автор: Александр Горшков, директор по развитию, ProSoft Biometrics
Система централизованного управления учетными записями и правами доступа позволяет снизить нагрузку на системных администраторов по созданию, изменению и блокированию учетных записей. В соответствии с правилами компании IDM позволяет автоматизировать управление доступом к информационным ресурсам, например автоматически генерировать для почтовой системы имена учетных записей по заданным правилам, вносить изменения в системе учета затрат в соответствии со штатным расписанием и т.д.
В процессе внедрения IDM выявляются никому не принадлежащие учетные записи, а также учетные записи с избыточными правами доступа. Автоматизация процессов приема на работу, увольнения или ухода в отпуск обеспечивает надежное соблюдение регламентных процедур по управлению правами доступа. Для этого осуществляется интеграция информационных систем с системой кадрового учета. Но если посмотреть на полное определение IDM (управление учетными данными), то это "комплекс подходов, практик, технологий и специальных программных средств для управления учетными данными пользователей, системами контроля и управления доступом (СКУД) с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач". При этом про интеграцию со СКУД почему-то часто забывают.
Есть достаточно много решений по интеграции СКУД с кадровыми системами, например с 1С или SAP. Такая интеграция позволяет автоматизировать учет отработанного сотрудниками времени. Но мало кто интегрирует СКУД с IDM-решениями. Странная ситуация, когда проход сотрудника не был зарегистрирован в СКУД, но под его логином был осуществлен вход в ИТ-систему.
Выбор способа биометрической идентификации в СКУД
К сожалению, традиционные решения по учету рабочего времени имеют один недостаток: регистрация сотрудников в СКУД происходит по RFID-картам, которыми могут воспользоваться другие сотрудники. Персональные карты могут быть потеряны, похищены, скопированы, в конце концов их добровольно передают другим сотрудникам для своевременной регистрации начала работы. Есть решения, которые используют карту регистрации учета рабочего времени в качестве второго фактора для двухфакторной идентификации. Но это все равно не исключает риск использования чужой карты другим сотрудником. Внедрение биометрической идентификации в СКУД позволяет не только исключить возможность фальсификации данных о рабочем времени, но еще выявить наличие "мертвых душ" и махинации в оплате услуг, предоставляемых внешними компаниями.
При выборе способа биометрической идентификации в СКУД надо учитывать несколько важных факторов. Во-первых, это точность идентификации. Затраты на разборки с ошибочным учетом могут оказаться больше полученной выгоды. Во-вторых, надежность метода биометрической идентификации. Регистрация со второй или пятой попытки приводит к потере времени и вызывает недоверие и негативное отношение к внедряемому решению. В-третьих, это безопасность. В данном случае речь не про использование чужих регистрационных карт и подсмотренные пароли, а про возможность фальсификации и несанкционированного использования биометрических данных пользователей.
Приведу пример для пояснения. Программа-шпион или вирус формирует несанкционированное действие. Пусть это будет внешний перевод значительной суммы денег. Требуется подтверждение данной операции, а потом и согласование этого перевода другим сотрудником (правило двух рук). Если подтверждение производится при помощи биометрической идентификации по лицу, то для подтверждения действий достаточно будет включить видеокамеру, т.к. ответственный пользователь уже находится перед ней. Можно этот процесс несколько усложнить. Например, попросить пользователя для подтверждения своих действий закрыть один глаз или повернуть голову. Но не надо забывать про удобство выполнения функциональных обязанностей. Более естественно и быстро будет для подтверждения своих действий приложить к считывающему устройству палец или поднести ладонь к сканеру идентификации по венам ладони. Если при управлении учетными данными будет учитываться информация из биометрической СКУД, то удастся не только упростить процесс администрирования, но и повысить информационную безопасность.
Читайте также:
