Bezpiecznie jak w banku

W instytucjach finansowych szczególnego znaczenia nabierają uprawnienia pracowników. Pokazujemy, jak z tym problemem poradziły sobie Fortis Bank i Alior Bank.

Banki ściśle chronią tajemnice dotyczące tego, co się dzieje w serwerowniach oraz jak działają departamenty zapewniające bezpieczeństwo informacji, ale niektóre wspólne zasady obowiązują niemal wszędzie. W tak skomplikowanej strukturze, która wymaga bardzo precyzyjnie opisanych uprawnień, sprawdzić się może jedynie zarządzanie oparte na rolach. W przypadku Fortis Banku ustalono zestawy ról, dla każdej z nich opracowano standard uprawnień. Przypisanie użytkownikowi roli wiąże się z uruchomieniem odpowiedniego procesu, związanego z procedurą nadawania uprawnień.

W przypadku niektórych ról dodatkowym kryterium nadania dostępu jest sprawdzenie, czy osoba ukończyła odpowiednie szkolenie. "Dla wskazanych krytycznych systemów transakcyjnych wymagane jest zaliczenie szkolenia przed nadaniem dostępu. Dopiero po jego ukończeniu, pracownik uzyskuje pełne uprawnienia, zgodne z rolą, którą ma pełnić w związku z wykonywanymi obowiązkami. Proces jest rozdzielony, a więc akceptacja roli odbywa się przez inny departament, a uprawnienia zakładane są przez administratorów systemów IT" - mówi Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku.

Po zakończeniu całego procesu nadawania uprawnień, użytkownik posiada dostęp do wymaganych systemów na ściśle określonym poziomie, przy czym w systemach transakcyjnych określane są także limity i zasady wykonywania operacji.

Oddzielenie obowiązków

Zarządzanie tożsamością i uprawnieniami odbywa się na poziomie uprawnień elementarnych w każdym z systemów. Systemy funkcjonujące w banku mają szczegółowo zdefiniowane poziomy uprawnień, a wdrażanie nowych odbywa się na podstawie określonej przez bank specyfikacji wymagań odnośnie do bezpieczeństwa architektury oraz procesu zarządzania uprawnieniami. Dla każdej z ról opracowano macierze uprawnień w każdym z systemów, każdy ze standardów został sprawdzony pod kątem występowania ewentualnych konfliktów uprawnień. Dzięki temu wyeliminowano całkowicie możliwość elewacji uprawnień przez pracowników.

Jedną z procedur związanych z określaniem uprawnień użytkownika jest sprawdzenie powiązań konfliktowych. "Analiza powiązań uprawnień umożliwia sprawdzenie, czy dany poziom dostępu nie prowadzi do powiązań konfliktowych, które mogłyby spowodować, że pracownik - z wykorzystaniem różnych opcji - mógłby dokonać nieuprawnionej transakcji albo zrealizować od początku do końca transakcję bez autoryzacji. Każda z ról, stanowiących standard, została pod tym kątem drobiazgowo sprawdzona" - mówi Beata Neumann.