В учете сотрудников нуждается любое предприятие, даже если в нем трудоустроен всего один человек. От того, насколько хорошо организована система кадрового учета, во многом зависит успешность организации, в том числе с точки зрения информационной безопасности. В этом материале мы рассмотрим основные аспекты учета сотрудников, а также разберем, что такое централизованная аутентификация и зачем она нужна каждому бизнесу.
Углубимся в теорию.
Информационная безопасность (далее ИБ) — состояние информационной системы предприятия, при котором данные защищены от несанкционированного доступа, использования, нарушения, изменения или уничтожения.
Политика безопасности (ПБ) — это комплексный документ, определяющий основу обеспечения защиты данных внутри организации.
Главная цель учета сотрудников на предприятии — систематизация информации о численности персонала, его структуре, квалификации и полномочиях. Если система кадрового учета хорошо отлажена, предприятие может значительно сократить издержки, избежать штрафов от регуляторов, снизить текучку кадров, повысить эффективность и качество работы исполнителей.
Помимо этого, учет сотрудников может решать следующие бизнес-задачи.
В рамках кадрового учета необходимо проводить анализ загруженности персонала — он помогает выявлять возможные проблемы с нагрузкой на подразделения и отдельных сотрудников, а также устанавливать потребности в дополнительных ресурсах или перераспределении рабочих задач.
Централизованное хранение и управление сведениями обо всех исполнителях и руководителях предприятия позволяет существенно сокращать риски информационной безопасности, а именно выявлять и контролировать потенциально опасных сотрудников: нелояльных к организации, алко- и наркозависимых, агрессивных, имеющих проблемы с законом, большие долги перед банками, микрофинансовыми организациями, игорными заведениями и проч.
Развертывание DLP-системы SecureTower Falcongaze в значительной степени упрощает эту задачу. Система непрерывно мониторит активность сотрудников за рабочими станциями и оповещает офицера безопасности о нарушениях: использовании стороннего ПО, отправке коммерческой информации на подозрительные e-mail, попытках сделать копии документов с грифами конфиденциальности или распечатать их на принтере и проч. В случае если какой-либо сотрудник регулярно нарушает правила ИБ, установленные в системе, вы можете завести на него дело в модуле «Риски», чтобы фиксировать все связанные с ним инциденты — для проведения расследований и установления сопричастных лиц.
Важно! Если для выполнения трудовых задач сотрудникам нужно использовать сведения ограниченного доступа, необходимо ввести на предприятии режим коммерческой тайны и урегулировать в договорах порядок доступа к охраняемой информации, установить ответственность за ее разглашение и проч.
Как уже говорилось выше, учет сотрудников помогает выявлять проблемы с чрезмерной нагрузкой на отдельных специалистов, которая может привести к снижению их мотивации, усталости и даже профессиональному выгоранию. Внимательное отношение к ресурсности состояния команды способствует повышению ее лояльности к бренду и компании в целом.
Кадровый учет подразумевает проработку должностных инструкций с четким указанием прав, обязанностей и ответственности для каждого специалиста. Проще говоря, должностные инструкции определяют, кто и чем должен заниматься в организации.
Кроме того, кадровый учет содержит информацию о трудовых договорах, должностных инструкциях и правилах внутреннего распорядка, что помогает разрешать конфликты между сотрудниками и работодателем при возникновении спорных ситуаций.
Меры по организации обучения персонала основам безопасного обращения с информацией называются секьюритизацией сотрудников. Каждая организация самостоятельно устанавливает порядок мер в соответствии с собственными потребностями и возможностями.
Как правило, методы секьюритизации сотрудников включают:
Инструктаж сотрудников должен проводиться под подпись в журнале учета.
Важно: подход к обеспечению осведомленности персонала в вопросах ИБ должен быть своевременным и комплексным, а также включать разные методики донесения информации. Сведения, которые вы предлагаете сотрудникам, должны быть актуальными, то есть должны содержать информацию о новейших киберугрозах.
Внедрение даже самой совершенной политики безопасности предприятия не принесет результат, если сотрудники не соблюдают установленные правила.
Осуществлять контроль за соблюдением политики безопасности можно с помощью DLP-системы SecureTower. Система автоматически мониторит любую активность сотрудников за компьютерами и мгновенно оповещает офицера безопасности о нарушениях каких-либо правил — умышленно или по ошибке.
В случае если какой-либо сотрудник систематически нарушает правила безопасности, целесообразно привлечь его к дисциплинарной ответственности.
Изучите тему подробнее в нашей статье «Политика информационной безопасности».
Кадровый учет играет важную роль в обеспечении ИБ компании по следующим причинам.
Обеспечивает безопасность данных сотрудников | Полное следование правилам кадрового учета помогает обеспечивать безопасность персональных данных сотрудников. |
Выявляет потенциально опасных сотрудников | Может использоваться для анализа рисков, связанных с сотрудниками, например, при оценке вероятности их участия в мошеннических схемах или разглашения конфиденциальной информации, передачи ее третьим лицам с целью получения выгоды или из личных побуждений. |
Позволяет соответствовать законодательству | Обеспечивает соблюдение требований трудового законодательства, включая защиту персональных данных сотрудников. Это снижает риски наложения штрафов от регуляторов и судебных разбирательств, связанных с нарушением прав исполнителей. |
Дает возможность внедрения централизованной аутентификации сотрудников через службы каталогов | Содержит информацию о должностях и обязанностях сотрудников, что позволяет определять, кто имеет доступ к конфиденциальной информации и какие операции может выполнять. Это помогает минимизировать риски несанкционированного доступа к секретным данным. |
Далее мы рассмотрим особенности внедрения системы централизованной аутентификации, ее преимущества и возможности.
Централизованная аутентификация (далее ЦА) — это процесс проверки подлинности пользователей, при котором все учетные данные хранятся в одном месте. Это может быть сервер аутентификации или специализированное ПО, которое управляет доступом к различным ресурсам и приложениям.
При централизованной аутентификации пользователь один раз входит в систему с помощью своих учетных данных (логина и пароля), а затем получает доступ ко всем ресурсам, которые подключены к этой системе аутентификации. Это упрощает управление учетными данными и обеспечивает более высокий уровень безопасности по сравнению с децентрализованной аутентификацией, когда каждый ресурс имеет свою собственную систему проверки подлинности.
Преимущества централизованной аутентификации очевидны — число паролей, которые нужно контролировать руководителям и помнить сотрудникам, значительно уменьшается. Это позволяет минимизировать риски забывания или утечки данных для доступа к ценным информационным ресурсам предприятия: документам, приложениям, сервисам.
Помимо прочих можно выделить следующие преимущества ЦА.
Внедрение ЦА в работу информационной системы предприятия позволяет существенно разгрузить специалистов отдела ИБ. Благодаря централизации управления доступами сотрудники могут использовать одни учетные данные для авторизации сразу в нескольких сервисах и приложениях: CRM-системах, почтовых службах, внутренних порталах и проч. Помимо этого, значительно упрощаются и ускоряются процессы добавления или удаления пользователей и назначения привилегий.
Технология централизованной аутентификации позволяет более эффективно контролировать доступ к информационным активам предприятия, при этом сотрудникам больше не нужно запоминать десятки паролей, специалистам отдела безопасности — контролировать каждую отдельную учетную запись.
При подозрительном поведении и нехарактерной активности одного или нескольких сотрудников, различных инцидентах, а также при разрыве трудовых отношений до истечения срока действия договора целесообразно как можно быстрее заблокировать доступы сразу ко всем системам и информационным ресурсам предприятия.
Использование систем ЦА позволяет мгновенно ограничивать доступ к чувствительным данным во всех подключенных приложениях и сервисах.
Еще одно преимущество централизованной аутентификации пользователей — она позволяет систематизировать, контролировать и ограничивать доступ сотрудников к информационным ресурсам предприятия в соответствии с их должностными обязанностями и уровнем допустимых привилегий.
Основные задачи обеспечения автоматического исполнения регламентов
Для эффективного обеспечения автоматического исполнения необходимо регулярно проводить аудит и анализ данных о доступе сотрудников к ИТ-ресурсам, а также своевременно обновлять и корректировать правила доступа в соответствии с изменениями в кадровом составе, структуре компании и законодательстве.
Существенное преимущество ЦА — возможность оптимизировать процессы, связанные с управлением доступами к информационным ресурсам компании.
Active Directory — это служба каталогов, работающая на Microsoft Windows Server. Она используется для управления идентификацией и организации системы доступов, хранит и систематизирует информацию о пользователях, устройствах и службах, подключенных к корпоративной сети. Огромное число организаций, от маленьких компаний до крупных корпораций, используют Active Directory для решения бизнес-задач — в том числе в области информационной безопасности.
Данная служба каталогов предоставляет следующие возможности.
Active Directory позволяет системным администраторам эффективно и безопасно контролировать доступы пользователей сети к ресурсам компании, таким как электронная почта, рабочие станции, документы, файлы, устройства и проч.
Интеграция с Active Directory может дать компании три основных преимущества:
Active Directory поддерживает возможность создания групповых политик, которые позволяют централизованно управлять настройками безопасности, параметрами рабочего стола и другими аспектами работы пользователей и рабочих станций внутри корпоративной сети.
Среди прочих можно настроить такие политики по группам пользователей:
Иерархичная структура позволяет эффективно управлять большим количеством пользователей и ресурсов внутри корпоративной сети, обеспечивая при этом высокий уровень безопасности и контроля над данными.
Иерархия строится на основе доменов и организационных единиц (OU), где домен — основная единица администрирования, а OU — контейнеры внутри домена, которые позволяют группировать объекты (пользователей, рабочие станции, устройства) для упрощения процесса администрирования.
Группы безопасности необходимы для поддержания соответствующих прав доступа к конфиденциальным данным. Возможность группировать пользователей для назначения уровней разрешений также будет полезна для поддержания политики минимальных привилегий.
Например, вы можете использовать группы безопасности Active Directory для назначения руководителям подразделений разрешений высокого уровня, чтобы они могли использовать их в рамках выполнения рабочих задач. Вы также можете использовать группы пользователей для назначения разрешений более низкого уровня новым сотрудникам.
Для интеграции Active Directory с конкретным оборудованием или приложением необходимо выполнить настройку соответствующих параметров и конфигураций.
Как уже было сказано выше, интеграция открывает следующие возможности:
Позволяет сотрудникам работать с корпоративными ресурсами из любой точки мира, используя свои мобильные устройства. Это повышает эффективность работы компании и улучшает качество обслуживания клиентов.
Active Directory была широко распространена в российских компаниях, поскольку это решение от Microsoft, предустановленное на Windows Server. Большинство организаций выбирали именно эту службу каталогов.
Однако геополитическая ситуация повлияла на рынок — и в 2022 году произошли изменения. Microsoft прекратила продажи и техническую поддержку пользователей. В связи с этим вырос спрос на службы каталогов российской разработки.
Далее мы рассмотрим наиболее популярные службы каталогов отечественного производства.
Avanpost Directory Service — это решение, которое предоставляет функции централизованной авторизации, аутентификации и идентификации, а также хранит информацию о ресурсах корпоративной сети. По своему функционалу оно схоже с Windows Active Directory.
Реализованный функционал позволяет решать такие задачи:
Поддерживается возможность интеграции с инфраструктурными сервисами.
«ЭЛЛЕС — Служба Каталогов» представляет собой решение, которое может быть использовано в качестве альтернативы импортным продуктам. Оно внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных, отвечает актуальным правовым нормам и требованиям (№ 149-ФЗ, 187-ФЗ).
Решение обладает рядом функциональных особенностей, которые делают его привлекательным для организаций, стремящихся к импортозамещению. В частности, оно быстро развертывается на информационную систему и включает компоненты с возможностью сохранения состояния, что обеспечивает непрерывность работы предприятия даже при сбоях. Кроме того, поддерживается репликация данных на несколько узлов, что повышает надежность и доступность информации. Также реализованы механизмы автоматического восстановления, позволяющие минимизировать время простоя после сбоев.
Производитель предлагает компаниям возможность опробовать пилотную версию продукта.
«РЕД АДМ» от компании «РЕД Софт» представляет собой отечественный аналог Microsoft Active Directory. Продукт имеет две редакции: стандартную и промышленную, что позволяет выбрать наиболее подходящий вариант в зависимости от потребностей организации.
«РЕД АДМ» включает в себя контроллер домена, файловое хранилище и предоставляет возможность установки операционной системы по сети и проч. Поддерживается возможность администрирования всей инфраструктурой сети из единого веб-сервиса. «РЕД АДМ» надежна благодаря механизму репликации данных, а также может быть развернута на информационные системы любого масштаба. Это делает ее эффективным инструментом для управления доступом к ресурсам и обеспечения безопасности корпоративной информации.
Служба каталогов нужна бизнесу для обеспечения централизованного управления учетными записями и доступом к ресурсам. Она позволяет автоматизировать процессы аутентификации, авторизации и идентификации пользователей, а также предоставляет информацию о ресурсах корпоративной сети.
Служба каталогов помогает бизнесу повысить уровень безопасности, упростить управление пользователями и ресурсами, сократить время на решение административных задач и обеспечить соответствие требованиям законодательства в области защиты персональных данных.
Использование системы централизованной аутентификации позволяет в существенной степени сократить риски информационной безопасности. При этом важно понимать: внедрение ЦА целесообразно проводить только после систематизации сведений о сотрудниках предприятия через проведение кадрового учета.