Иван Чернокнижников рассказал о внедрении строгой аутентификации по отпечатку пальца на основе решений Indeed ID
http://www.accesscontrol.groteck.ru/newstext.php?news_id=105407
 |
Потребность в усиленной аутентификации в "Газпром сера", пожалуй, как во многих современных компаниях, возникла из-за недостатков парольной аутентификации, говорить о которых, думаю, излишне. В последние годы эти недостатки многократно обсуждались и сегодня очевидны для подавляющего большинства компаний. Отмечу лишь, что проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны.
Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации, где влияние человеческого фактора сведено к минимуму. В качестве такого метода мы выбрали биометрическую аутентификацию по отпечатку пальца. Главными факторами в пользу выбора этой технологии для нас стали неотделимость аутентификатора (пальца) от пользователя и простота процедуры аутентификации.
Проект по внедрению новой технологии аутентификации мы реализовали на основе решений Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On. Indeed Enterprise Authentication обеспечивает возможность использования технологий строгой аутентификации пользователей при доступе к ресурсам, а Indeed Enterprise Single Sign-On реализует технологию единого входа в масштабах предприятия.
Какие ключевые требования к системе вы предъявляли?
Иван Чернокнижников: Выбирая систему для реализации нашего проекта, мы изучили решения нескольких производителей в тестовом режиме. Перед нами стояла задача построения единой системы аутентификации при доступе к информационным ресурсам компании на основе отпечатка пальца. Поэтому в первую очередь мы, естественно, выбирали систему, поддерживающую данную технологию аутентификации. Однако с учетом постоянного развития информационной системы нашей компании, мы также учитывали возможность поддержки других технологий на тот случай, если это потребуется в дальнейшем.
Обращали внимание на простоту и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.
Помимо качества работы и функциональности самого программного обеспечения, немаловажным критерием для нас было наличие полноценной технической поддержки, что позволило бы оперативно решать вопросы, возникающие в ходе внедрения и эксплуатации системы. В результате мы пришли к выводу, что решения Indeed ID удовлетворяют почти всем нашим требованиям и являются для нашей компании наиболее оптимальным вариантом.
Что изменилось в работе сотрудников после внедрения системы? Как теперь происходит аутентификация сотрудников?
С точки зрения получения доступа к приложениям и информационным системам, в работе сотрудников практически не произошло изменений. На каждое рабочее место были установлены считыватели отпечатков пальцев Futronic и вместо привычного ввода пароля теперь нужно просто приложить палец к считывателю.
С точки зрения исполнения регламентов и требований информационной безопасности, жизнь пользователей стала значительно проще. Теперь им не нужно придумывать сложные пароли, регулярно их изменять и запоминать. Вход на ПК сейчас строго ограничен и осуществляется только тем пользователем, которому предоставлен доступ к ресурсам. Соответственно, и сам пользователь получает доступ только к "своим" ресурсам. Таким образом, сотрудники теперь не опасаются компрометации своих учетных данных.
Как сотрудники восприняли новую технологию? Насколько быстро прошла адаптация к "новшеству"?
Вопрос нововведений в области обеспечения информационной безопасности всегда воспринимается сотрудниками достаточно остро, поскольку увеличение уровня безопасности обычно ассоциируется с уменьшением удобства работы.
Между тем, результат внедрения во многом зависит от лояльного отношения пользователей. Нам удалось добиться такого отношения. Во-первых, мы объяснили сотрудникам, для чего все это нужно. Во-вторых, немаловажную роль сыграла простота использования системы, которой мы уделяли внимание при изначальном выборе системы. Пользователи быстро привыкли к новой технологии аутентификации.
Много ли времени заняло внедрение системы? Потребовались ли какие-то кардинальные доработки системы?
В общей сложности, процесс внедрения - от пилотного внедрения системы до ее полного ввода в промышленную эксплуатацию - занял около 6 месяцев. Внедрение системы состояло из установки и первоначальной настройки серверной части и последующего централизованного распространения клиентских частей на рабочие места пользователей. Возникающие в ходе реализации проекта вопросы касательно функционирования системы мы оперативно решали совместно со специалистами Indeed ID в рамках технической поддержки.
Кардинальных доработок системы со стороны разработчика не потребовалось, а вот в механизме формирования отчетов у нас возникла необходимость индивидуальных доработок. Эту адаптацию мы выполнили самостоятельно.
Что изменилось после внедрения строгой аутентификации? Как проект в целом повлиял на информационную безопасность?
Естественно, есть процессы, которые никуда не исчезают из администрирования, но можно с уверенность сказать, что уровень информационной безопасности стал выше, а защита от несанкционированного доступа надежнее. Ушли проблемы и риски, связанные с парольным доступом. Внедрение аутентификации по отпечатку пальца исключило возможность отказа от выполненных действий, что упростило процесс расследования инцидентов в случае такой необходимости.
Ряд требований информационной безопасности и регламентов доступа к информационным системам теперь выполняются автоматически.
"Плюсы" выбранного решения очевидны. Удалось ли выявить какие-то "минусы"?
Для решения наших задач оказалось недостаточно реализованного в системе механизма аудита и журналирования событий. Поэтому для нас основной недостаток – это отсутствие записи событий системы Indeed ID в online-режиме в базу Microsoft SQL.
Какие рекомендации Вы можете дать компаниям, которые находятся в процессе выбора системы для строгой аутентификации или только начинают внедрять такое решение?
В любом проекте важно понимание целей и реальных потребностей компании. Выбирая технологии и средства аутентификации, а также соответствующие решения, необходимо проанализировать важность обрабатываемой информации, актуальные угрозы информационной безопасности и риски возможного ущерба (финансового, репутационного характера). Эти данные в совокупности с полномочиями пользователей и администраторов компании позволят определить необходимые требования к надежности аутентификации, что в свою очередь, позволит внедрить систему, оптимально подходящую под конкретные задачи и условия работы компании.