Учет сотрудников предприятия и централизованная аутентификация

В учете сотрудников нуждается любое предприятие, даже если в нем трудоустроен всего один человек. От того, насколько хорошо организована система кадрового учета, во многом зависит успешность организации, в том числе с точки зрения информационной безопасности. В этом материале мы рассмотрим основные аспекты учета сотрудников, а также разберем, что такое централизованная аутентификация и зачем она нужна каждому бизнесу.

Углубимся в теорию.

Информационная безопасность (далее ИБ) — состояние информационной системы предприятия, при котором данные защищены от несанкционированного доступа, использования, нарушения, изменения или уничтожения.

Политика безопасности (ПБ) —  это комплексный документ, определяющий основу обеспечения защиты данных внутри организации.

Цели и задачи учета сотрудников на предприятии

Главная цель учета сотрудников на предприятии — систематизация информации о численности персонала, его структуре, квалификации и полномочиях. Если система кадрового учета хорошо отлажена, предприятие может значительно сократить издержки, избежать штрафов от регуляторов, снизить текучку кадров, повысить эффективность и качество работы исполнителей.

Помимо этого, учет сотрудников может решать следующие бизнес-задачи.

Задача #1: анализ загруженности сотрудников

В рамках кадрового учета необходимо проводить анализ загруженности персонала — он помогает выявлять возможные проблемы с нагрузкой на подразделения и отдельных сотрудников, а также устанавливать потребности в дополнительных ресурсах или перераспределении рабочих задач.

Задача #2: выявление рисков с точки зрения информационной безопасности

Централизованное хранение и управление сведениями обо всех исполнителях и руководителях предприятия позволяет существенно сокращать риски информационной безопасности, а именно выявлять и контролировать потенциально опасных сотрудников: нелояльных к организации, алко- и наркозависимых, агрессивных, имеющих проблемы с законом, большие долги перед банками, микрофинансовыми организациями, игорными заведениями и проч.

Развертывание DLP-системы SecureTower Falcongaze в значительной степени упрощает эту задачу. Система непрерывно мониторит активность сотрудников за рабочими станциями и оповещает офицера безопасности о нарушениях: использовании стороннего ПО, отправке коммерческой информации на подозрительные e-mail, попытках сделать копии документов с грифами конфиденциальности или распечатать их на принтере и проч. В случае если какой-либо сотрудник регулярно нарушает правила ИБ, установленные в системе, вы можете завести на него дело в модуле «Риски», чтобы фиксировать все связанные с ним инциденты — для проведения расследований и установления сопричастных лиц.

Важно! Если для выполнения трудовых задач сотрудникам нужно использовать сведения ограниченного доступа, необходимо ввести на предприятии режим коммерческой тайны и урегулировать в договорах порядок доступа к охраняемой информации, установить ответственность за ее разглашение и проч.

Задача #3: формирование лояльной команды

Как уже говорилось выше, учет сотрудников помогает выявлять проблемы с чрезмерной нагрузкой на отдельных специалистов, которая может привести к снижению их мотивации, усталости и даже профессиональному выгоранию. Внимательное отношение к ресурсности состояния команды способствует повышению ее лояльности к бренду и компании в целом.

Задача #4: минимизация рисков от ошибок, связанных с человеческим фактором

Кадровый учет подразумевает проработку должностных инструкций с четким указанием прав, обязанностей и ответственности для каждого специалиста. Проще говоря, должностные инструкции определяют, кто и чем должен заниматься в организации.

Кроме того, кадровый учет содержит информацию о трудовых договорах, должностных инструкциях и правилах внутреннего распорядка, что помогает разрешать конфликты между сотрудниками и работодателем при возникновении спорных ситуаций.

Задача #5: обеспечение осведомленности сотрудников об угрозах и проблемах, связанных с информационной безопасностью

Меры по организации обучения персонала основам безопасного обращения с информацией называются секьюритизацией сотрудников. Каждая организация самостоятельно устанавливает порядок мер в соответствии с собственными потребностями и возможностями.

Как правило, методы секьюритизации сотрудников включают:

• проведение инструктажа, использование методичек, брошюр, листовок, плакатов;
• регулярные рассылки об актуальных угрозах ИБ через любой удобный мессенджер или почтовый сервис;
• проведение так называемых киберучений с целью проверить устойчивость команды к потенциально возможным злоумышленным действиям со стороны киберпреступников.

Инструктаж сотрудников должен проводиться под подпись в журнале учета.

Важно: подход к обеспечению осведомленности персонала в вопросах ИБ должен быть своевременным и комплексным, а также включать разные методики донесения информации. Сведения, которые вы предлагаете сотрудникам, должны быть актуальными, то есть должны содержать информацию о новейших киберугрозах.

Задача #6: контроль за соблюдением политики безопасности

Внедрение даже самой совершенной политики безопасности предприятия не принесет результат, если сотрудники не соблюдают установленные правила.

Осуществлять контроль за соблюдением политики безопасности можно с помощью DLP-системы SecureTower. Система автоматически мониторит любую активность сотрудников за компьютерами и мгновенно оповещает офицера безопасности о нарушениях каких-либо правил — умышленно или по ошибке.

В случае если какой-либо сотрудник систематически нарушает правила безопасности, целесообразно привлечь его к дисциплинарной ответственности.

Изучите тему подробнее в нашей статье «Политика информационной безопасности».

Кадровый учет в целях соответствия требованиям информационной безопасности

Кадровый учет играет важную роль в обеспечении ИБ компании по следующим причинам.

Обеспечивает безопасность данных сотрудников	Полное следование правилам кадрового учета помогает обеспечивать безопасность персональных данных сотрудников.
Выявляет потенциально опасных сотрудников	Может использоваться для анализа рисков, связанных с сотрудниками, например, при оценке вероятности их участия в мошеннических схемах или разглашения конфиденциальной информации, передачи ее третьим лицам с целью получения выгоды или из личных побуждений.
Позволяет соответствовать законодательству	Обеспечивает соблюдение требований трудового законодательства, включая защиту персональных данных сотрудников. Это снижает риски наложения штрафов от регуляторов и судебных разбирательств, связанных с нарушением прав исполнителей.
Дает возможность внедрения централизованной аутентификации сотрудников через службы каталогов	Содержит информацию о должностях и обязанностях сотрудников, что позволяет определять, кто имеет доступ к конфиденциальной информации и какие операции может выполнять. Это помогает минимизировать риски несанкционированного доступа к секретным данным.

Далее мы рассмотрим особенности внедрения системы централизованной аутентификации, ее преимущества и возможности.

Централизованная аутентификация (далее ЦА) — это процесс проверки подлинности пользователей, при котором все учетные данные хранятся в одном месте. Это может быть сервер аутентификации или специализированное ПО, которое управляет доступом к различным ресурсам и приложениям.

При централизованной аутентификации пользователь один раз входит в систему с помощью своих учетных данных (логина и пароля), а затем получает доступ ко всем ресурсам, которые подключены к этой системе аутентификации. Это упрощает управление учетными данными и обеспечивает более высокий уровень безопасности по сравнению с децентрализованной аутентификацией, когда каждый ресурс имеет свою собственную систему проверки подлинности.

Преимущества централизованной аутентификации

Преимущества централизованной аутентификации очевидны — число паролей, которые нужно контролировать руководителям и помнить сотрудникам, значительно уменьшается. Это позволяет минимизировать риски забывания или утечки данных для доступа к ценным информационным ресурсам предприятия: документам, приложениям, сервисам.

Помимо прочих можно выделить следующие преимущества ЦА.

Упрощение доступа к приложениям и снижение нагрузки на службы IT и информационной безопасности

Внедрение ЦА в работу информационной системы предприятия позволяет существенно разгрузить специалистов отдела ИБ. Благодаря централизации управления доступами сотрудники могут использовать одни учетные данные для авторизации сразу в нескольких сервисах и приложениях: CRM-системах, почтовых службах, внутренних порталах и проч. Помимо этого, значительно упрощаются и ускоряются процессы добавления или удаления пользователей и назначения привилегий.

Технология централизованной аутентификации позволяет более эффективно контролировать доступ к информационным активам предприятия, при этом сотрудникам больше не нужно запоминать десятки паролей, специалистам отдела безопасности — контролировать каждую отдельную учетную запись.

Возможность мгновенной блокировки доступа сразу во все системы

При подозрительном поведении и нехарактерной активности одного или нескольких сотрудников, различных инцидентах, а также при разрыве трудовых отношений до истечения срока действия договора целесообразно как можно быстрее заблокировать доступы сразу ко всем системам и информационным ресурсам предприятия.

Использование систем ЦА позволяет мгновенно ограничивать доступ к чувствительным данным во всех подключенных приложениях и сервисах.

Обеспечение автоматического исполнения регламентов доступа к ИТ-системам предприятия

Еще одно преимущество централизованной аутентификации пользователей — она позволяет систематизировать, контролировать и ограничивать доступ сотрудников к информационным ресурсам предприятия в соответствии с их должностными обязанностями и уровнем допустимых привилегий.

Основные задачи обеспечения автоматического исполнения регламентов:

• Обеспечение безопасности информации. Автоматическое исполнение регламентов предоставляет доступ к конфиденциальной информации только тем сотрудникам, которым она необходима для выполнения рабочих задач. Это снижает риски несанкционированного доступа, утечки, уничтожения или нарушения целостности охраняемых сведений.
• Оптимизация процессов. Автоматизация позволяет быстро и эффективно предоставлять или ограничивать доступ к необходимым информационным ресурсам организации.
• Соблюдение законодательства. Автоматическое исполнение регламентов обеспечивает соблюдение требований регуляторов о защите персональных данных.

Для эффективного обеспечения автоматического исполнения необходимо регулярно проводить аудит и анализ данных о доступе сотрудников к ИТ-ресурсам, а также своевременно обновлять и корректировать правила доступа в соответствии с изменениями в кадровом составе, структуре компании и законодательстве.

Минимизация шагов в предоставлении и получении доступа

Существенное преимущество ЦА — возможность оптимизировать процессы, связанные с управлением доступами к информационным ресурсам компании.

• Повышение эффективности и скорости работы. Упрощение процессов предоставления и получения доступов позволяет сотрудникам быстрее получать доступ к необходимым ресурсам, что способствует повышению производительности труда и снижению нагрузки на ит-подразделения компании или отделы ИБ.
• Снижение рисков совершения ошибок. Минимизация шагов уменьшает вероятность совершения ошибок при настройке прав, что снижает риски утечек данных.
• Улучшение пользовательского опыта. Упрощение процесса предоставления доступа повышает комфорт при выполнении рутинных задач.

Возможности и особенности службы каталогов Microsoft Active Directory

Active Directory — это служба каталогов, работающая на Microsoft Windows Server. Она используется для управления идентификацией и организации системы доступов, хранит и систематизирует информацию о пользователях, устройствах и службах, подключенных к корпоративной сети. Огромное число организаций, от маленьких компаний до крупных корпораций, используют Active Directory для решения бизнес-задач — в том числе в области информационной безопасности.

Данная служба каталогов предоставляет следующие возможности.

Управление сотрудниками предприятия и разграничение их прав доступа к ресурсам компании

Active Directory позволяет системным администраторам эффективно и безопасно контролировать доступы пользователей сети к ресурсам компании, таким как электронная почта, рабочие станции, документы, файлы, устройства и проч. 

Интеграция с Active Directory может дать компании три основных преимущества:

• Снижение рисков ИБ.  Интеграция с Active Directory позволяет добавлять или отзывать доступы пользователей мгновенно — по всей сети. Простота и скорость, с которой можно настраивать и отзывать доступы, значительно повышают гибкость в борьбе с угрозами информационной безопасности. 
• Масштабирование. Active Directory может быть развернута на огромное число объектов, при этом поддерживается возможность масштабирования — это удобно по мере роста бизнеса.
• Оптимизация процесса администрирования сети.  Интеграция позволяет эффективнее управлять пользователями, группами и ресурсами компании.

Создание групповых политик безопасности

Active Directory поддерживает возможность создания групповых политик, которые позволяют централизованно управлять настройками безопасности, параметрами рабочего стола и другими аспектами работы пользователей и рабочих станций внутри корпоративной сети.

Среди прочих можно настроить такие политики по группам пользователей:

• пароли и парольная политика;
• права доступа к файлам, документам, а также папкам;
• настройки рабочего стола (например, фон экрана);
• параметры безопасности;
• сетевые настройки (например, брандмауэр).

Выстраивание иерархичной структуры управления коллективом

Иерархичная структура позволяет эффективно управлять большим количеством пользователей и ресурсов внутри корпоративной сети, обеспечивая при этом высокий уровень безопасности и контроля над данными.

Иерархия строится на основе доменов и организационных единиц (OU), где домен — основная единица администрирования, а OU — контейнеры внутри домена, которые позволяют группировать объекты (пользователей, рабочие станции, устройства) для упрощения процесса администрирования.

Выделение групп пользователей

Группы безопасности необходимы для поддержания соответствующих прав доступа к конфиденциальным данным. Возможность группировать пользователей для назначения уровней разрешений также будет полезна для поддержания политики минимальных привилегий.

Например, вы можете использовать группы безопасности Active Directory для назначения руководителям подразделений разрешений высокого уровня, чтобы они могли использовать в рамках выполнения рабочих задач. Вы также можете использовать группы пользователей для назначения разрешений более низкого уровня новым сотрудникам.

Интеграция с оборудованием и приложениями компании

Для интеграции Active Directory с конкретным оборудованием или приложением необходимо выполнить настройку соответствующих параметров и конфигураций.

Как уже было сказано выше, интеграция открывает следующие возможности:

• Централизованная аутентификация в системах и сервисах предприятия. Active Directory может использоваться для аутентификации пользователей при доступе к оборудованию и приложениям. Это обеспечивает единый вход (SSO) и упрощает управление учетными данными.
• Возможность настройки групповых политик, которые могут быть применены к оборудованию и приложениям для настройки параметров безопасности, прав доступа и других аспектов работы.
• Мониторинг и аудит. Active Directory включает инструменты для мониторинга и аудита событий в корпоративной сети, что помогает обнаруживать и предотвращать несанкционированный доступ и другие угрозы безопасности оборудования и приложений.

Предоставление мобильного доступа к корпоративным ресурсам

Позволяет сотрудникам работать с корпоративными ресурсами из любой точки мира, используя свои мобильные устройства. Это повышает эффективность работы компании и улучшает качество обслуживания клиентов.

Российские альтернативы Active Directory

Active Directory была широко распространена в российских компаниях, поскольку это решение от Microsoft, предустановленное на Windows Server. Большинство организаций выбирали именно эту службу каталогов.

Однако геополитическая ситуация повлияла на рынок — и в 2022 году произошли изменения. Microsoft прекратила продажи и техническую поддержку пользователей. В связи с этим вырос спрос на службы каталогов российской разработки.

Далее мы рассмотрим наиболее популярные службы каталогов отечественного производства.

Avanpost Directory Service

Avanpost Directory Service — это решение, которое предоставляет функции централизованной авторизации, аутентификации и идентификации, а также хранит информацию о ресурсах корпоративной сети. По своему функционалу оно схоже с Windows Active Directory.

Реализованный функционал позволяет решать такие задачи:

• отказоустойчивое хранение данных;
• контроль доступа на основе групп;
• поддержка возможности централизованной аутентификации;
• централизованное управление пользователями и рабочими станциями внутри сети;
• иерархическое хранение данных о компьютерах, сервисах и проч.

Поддерживается возможность интеграции с инфраструктурными сервисами.

ЭЛЛЕС — Служба Каталогов

«ЭЛЛЕС — Служба Каталогов» представляет собой решение, которое может быть использовано в качестве альтернативы импортным продуктам. Оно внесено в Единый реестр российских программ для электронных вычислительных машин и баз данных, отвечает актуальным правовым нормам и требованиям (№ 149-ФЗ, 187-ФЗ).

Решение обладает рядом функциональных особенностей, которые делают его привлекательным для организаций, стремящихся к импортозамещению. В частности, оно быстро развертывается на информационную систему и включает компоненты с возможностью сохранения состояния, что обеспечивает непрерывность работы предприятия даже при сбоях. Кроме того, поддерживается репликация данных на несколько узлов, что повышает надежность и доступность информации. Также реализованы механизмы автоматического восстановления, позволяющие минимизировать время простоя после сбоев.

Производитель предлагает компаниям возможность опробовать пилотную версию продукта.

Система управления инфраструктурой «РЕД АДМ»

«РЕД АДМ» от компании «РЕД Софт» представляет собой отечественный аналог Microsoft Active Directory. Продукт имеет две редакции: стандартную и промышленную, что позволяет выбрать наиболее подходящий вариант в зависимости от потребностей организации.

«РЕД АДМ» включает в себя контроллер домена, файловое хранилище и предоставляет возможность установки операционной системы по сети и проч. Поддерживается возможность администрирования всей инфраструктурой сети из единого веб-сервиса. «РЕД АДМ» надежна благодаря механизму репликации данных, а также может быть развернута на информационные системы любого масштаба. Это делает ее эффективным инструментом для управления доступом к ресурсам и обеспечения безопасности корпоративной информации.

Какая функциональность службы каталогов нужна бизнесу?

Служба каталогов нужна бизнесу для обеспечения централизованного управления учетными записями и доступом к ресурсам. Она позволяет автоматизировать процессы аутентификации, авторизации и идентификации пользователей, а также предоставляет информацию о ресурсах корпоративной сети.

Служба каталогов помогает бизнесу повысить уровень безопасности, упростить управление пользователями и ресурсами, сократить время на решение административных задач и обеспечить соответствие требованиям законодательства в области защиты персональных данных.

В заключение

Использование системы централизованной аутентификации позволяет в существенной степени сократить риски информационной безопасности. При этом важно понимать: внедрение ЦА целесообразно проводить только после систематизации сведений о сотрудниках предприятия через проведение кадрового учета.