«Проблема управления доступом не в сложных технологиях, а в рутинных процессах: выдаче прав, их пересмотре и отзыве. Эти действия кажутся простыми, пока не сталкиваешься с реальностью, где ответственность размазана между отделами. Результат — ‘зомби-доступы’, которые остаются активными годами после увольнения или смены должности сотрудника.»
Жизненный цикл доступа
Когда процессы управления доступом ломаются на стыке ответственности.
Ввод в эксплуатацию (Onboarding)
Жизненный цикл доступа начинается в момент подписания трудового договора, а не в первый рабочий день. Распространённая ошибка — предоставить новому сотруднику широкий набор прав «по умолчанию» с планом уточнить их позже. Такой подход сразу нарушает принцип минимальных привилегий и создаёт избыточные риски.
Правильная модель работает от задачи: доступ формируется под конкретную роль. Разработчик получает ключи к репозиториям и тестовым контурам, бухгалтер — к финансовому модулю ERP-системы. «Может пригодиться» — не аргумент для выдачи прав.
Это требует подготовленных шаблонов ролей и скоординированных действий между HR, руководителем подразделения и службой информационной безопасности.
⚠️ Реальный инцидент
Сотрудник DevOps-команды при трудоустройстве получил доступ к средам разработки, тестирования и частично к продуктивным аккаунтам в облаке. При его увольнении системный администратор корректно деактивировал учётную запись в корпоративном каталоге (например, Active Directory), однако доступ через сохранённые в браузере ключи API к облачной платформе (AWS CLI) остался активным. Инцидент был обнаружен только через несколько месяцев при плановом аудите.
Вывод: жизненный цикл должен учитывать не только централизованные учётные записи, но и все возможные точки входа, включая локальные токены, ключи SSH и доступы к API.
Перемещение (Role Change)
Смена должности или обязанностей сотрудника — критическая точка для пересмотра прав. Формально процесс должен включать полный цикл: инвентаризацию текущих доступов, отзыв устаревших привилегий и выдачу нового, минимально необходимого набора. На практике же часто происходит простое добавление новых прав поверх старых.
Например, когда системный администратор переходит в отдел безопасности на позицию аналитика, он должен лишиться прав на изменение конфигураций серверов, но получить доступ к системам мониторинга и журналам аудита. Если старые административные права не отозвать, он формально сохранит возможность вносить изменения в инфраструктуру, что противоречит принципу разделения обязанностей.
Вывод из эксплуатации (Offboarding)
Это наиболее уязвимый этап, где сбои происходят чаще всего. Скорость здесь критична — задержка даже в несколько часов может быть использована.
🚨 Критические шаги при увольнении
- Немедленная блокировка всех учётных записей: корпоративные каталоги, облачные сервисы, CRM, ERP, базы данных.
- Полная инвентаризация: возврат физических носителей, токенов, отзыв всех выданных цифровых сертификатов и ключей (SSH, API, GPG).
- Физическое сопровождение при увольнении. Это технический, а не карательный протокол, исключающий возможность импульсивных действий.
- Анализ активности за последние дни перед увольнением для выявления аномалий.
💡 Почему сопровождение обязательно
Даже при самом благополучном расставании остаётся человеческий фактор. Сотрудник может решить сохранить «на память» базу контактов или архив проектной документации. Процедура сопровождения, выполняемая корректно, минимизирует этот риск, не позволяя совершить такие действия в последние минуты на рабочем месте.
Подрядчики и аутсорсинг
Каждый внешний исполнитель расширяет периметр безопасности. Его инфраструктура находится вне вашего прямого контроля, но имеет доступ к вашим активам. Юридические условия в договоре должны дублироваться техническими контролями.
📋 Обязательные технические пункты в договоре с подрядчиком
- Согласованные SLA по реакции на инциденты информационной безопасности.
- Право на проведение аудита систем подрядчика, имеющих доступ к вашим данным.
- Требования к методам шифрования данных при передаче и хранении.
- Чётко прописанный и технически реализуемый процесс отзыва доступа (например, интеграция через SCIM или заранее согласованные скрипты).
- Обязательство уведомлять об инцидентах, затрагивающих ваши данные, в предельно сжатые сроки (например, в течение часа с момента обнаружения).
Соответствие требованиям и приватность
⚖️ Compliance как инструмент, а не бюрократия
Требования стандартов (ISO 27001, PCI DSS) или законодательства (как 152-ФЗ о персональных данных) формализуют процессы управления доступом. Аудиторы проверяют не абстрактную «безопасность», а наличие задокументированных процедур и доказательства их выполнения. Таким образом, compliance становится каркасом, который не даёт процессам рассыпаться.
🔐 PII сотрудников как защищаемый актив
Персональные данные самих сотрудников — резюме, сканы документов, результаты оценок — также подпадают под регулирование. Хранение досье уволенных сотрудников «в архиве» без правового основания и срока является типичным нарушением. Сроки хранения таких данных должны быть определены и соответствовать не только политике компании, но и трудовому законодательству.
Ключевая проблема: разрыв на стыке ответственности
Основная сложность жизненного цикла доступа лежит не в технологической плоскости, а в организационной. Процесс рвётся там, где заканчивается зона ответственности одного отдела и начинается зона другого. HR оформляет увольнение, но не обладает информацией о доступе сотрудника к GitLab или облачным панелям. Системный администратор блокирует учётную запись в AD, но может не знать о выданных ранее статичных ключах AWS.
Без единой оркестровки (например, через систему управления жизненным циклом идентификации — Identity Lifecycle Management, ILM) каждый этап становится потенциальной точкой сбоя. Решение начинается с создания и поддержания детальной карты ответственности (RACI-матрицы), где для каждого действия в цикле чётко определено: кто исполняет, кто согласует, кто информируется и кто несёт итоговую ответственность за завершение этапа.
Именно эта рутина, а не сложные системы шифрования, чаще всего становится причиной реальных инцидентов.