Аутентификация
по бесконтактным картам
и интеграция со СКУД

Решение на основе Indeed AM реализует подход единой карты доступа сотрудника и обеспечивает логический доступ в ОС и приложения с помощью карты СКУД

Запланировать демонстрацию

Описание решения

Задача

Чтобы обеспечивать информационную безопасность, необходимо принимать целый ряд организационных и технических мер по защите информации, а также физически защищать данные от различных угроз. Современные кибератаки носят комплексный характер, поэтому для борьбы с ними нужны комплексные системы.

Очевидно, что отдельно взятое средство защиты, каким бы продвинутым и эффективным оно ни было, не способно отразить все актуальные киберугрозы. Так, комплексная система защиты окажется уязвимой, если пользователи станут использовать слабые пароли, которые легко подобрать, например «123456». В таком случае информационные системы организации не получится защитить никакими современными средствами, поскольку критическая уязвимость находится в самом основании системы защиты.

Однако неверно предполагать, что все киберугрозы кроются только в области цифровых технологий и что комплексные меры технической защиты информации вполне обеспечивают безопасность корпоративных ресурсов.

Так, средства усиленной аутентификации пользователей чаще применяют для осуществления удаленного доступа, а локальный доступ защищают обычным паролем. Но когда при подключении к публичным ресурсам используют дополнительные факторы аутентификации, нередко оставляют без внимания главный вопрос: почему это необходимо? Усиленная аутентификация применяется как способ защиты удаленного доступа не только для того, чтобы злоумышленник не смог воспользоваться паролем в неконтролируемой точке подключения. Альтернативные, более защищенные факторы аутентификации, а также дополнительные способы защиты удаленного рабочего места и публичных ресурсов необходимы прежде всего потому, что в ситуациях, когда их используют, нельзя принять меры физической защиты информации (поставить контрольно-пропускной пункт, организовать видеонаблюдение, установить запираемые двери, сейфы и т. д.).

Таким образом, меры физической защиты информации не менее важны, чем технические средства защиты информации, помогающие сберечь данные, поэтому управлению физическим доступом и его защите нужно уделять не меньше внимания, чем защите логического доступа.

Оба этих процесса защиты доступа включают в себя одинаковые подпроцессы:

  • регистрацию пользователей;
  • идентификацию и аутентификацию пользователей;
  • разграничение доступа субъектов (сотрудников или пользователей) к объектам (помещениям или ИТ-ресурсам).

Учитывая схожесть основных составляющих, эти процессы вполне могут существовать в тесной связке, дополняя друг друга. Например, сотрудник не должен иметь права авторизоваться на рабочем месте и подключаться к корпоративным ресурсам, пока не зайдет в соответствующее помещение. Такая постановка задачи звучит слишком очевидно, и именно поэтому ей не уделяют должного внимания, зачастую упуская из виду то обстоятельство, что инсайдер, укравший логин и пароль легитимного пользователя, может попытаться авторизоваться на рабочем месте.

Если возможность авторизации на рабочем месте, которое защищено только паролем, ограничивается с учетом фактического местонахождения сотрудника, это можно назвать полноценной двухфакторной аутентификацией, поскольку для подтверждения подлинности используется как пароль, так и геолокация. При этом само помещение тоже защищено, а доступ в него предоставляется только сотруднику, обладающему таким правом. Зачастую для этого используется RFID-карта, позволяющая пройти через систему контроля и управления физическим доступом (СКУД).

Чтобы обеспечить двухфакторную аутентификацию с помощью пароля и геопозиционирования сотрудника, можно интегрировать СКУД с решением для контроля доступа на уровне рабочей станции. При этом упомянутое решение должно поддерживать использование бесконтактной карты RFID для авторизации как на рабочем месте в защищенном помещении, так и на иных, менее критичных рабочих местах в общедоступных помещениях (например, на терминалах в производственном цеху).

Решение

Используя специализированные решения для интеграции СКУД со средствами управления и защиты доступа, можно реализовать систему усиленной аутентификации с учетом геопозиции сотрудника в пределах помещения организации.

Платформа Indeed AM позволяет не только реализовать такую интеграцию, но и использовать бесконтактную карту RFID, служащую для доступа в помещение, с целью авторизации на рабочем месте в защищенном помещении либо на иных, менее критичных рабочих местах (таких как терминалы в производственном цеху). Следует отметить, что при авторизации на рабочем месте в защищенном помещении так же рекомендуется вводить пароль или PIN-код.

Схема применения RFID карт для доступа в ОС

Интеграция платформы Indeed AM со СКУД позволяет реализовать различные сценарии защиты доступа (в зависимости от требований к удобству, безопасности и финансовым затратам на содержание). Подразумеваются, в частности, следующие сценарии:

  • использование единой RFID-карты для доступа в помещения и для авторизации на рабочих станциях;
  • использование единой RFID-карты для доступа в помещения, а также для авторизации на рабочих местах, в корпоративных приложениях и веб-приложениях, установленных на рабочих станциях (с применением модуля Enterprise Single Sign-On);
  • использование биометрических данных для прохода через СКУД и для авторизации на рабочих местах;
  • использование RFID-карты или данных биометрии для прохода через СКУД и иных факторов аутентификации для авторизации на защищенном рабочем месте;
  • использование смарт-карт с RFID-меткой и защищенным хранилищем ключевой информации (реализация единого устройства для всех задач идентификации и аутентификации).

Таким образом, интеграция систем защиты физического и логического доступа не только повышает общую эффективность комплексной системы защиты информации, но обеспечивает удобство и способствует снижению затрат, поскольку для всех задач идентификации и аутентификации используется единый аппаратный носитель.

Технические характеристики

Поддерживаемые каталоги пользователей:

  • Active Directory

Поддерживаемые модели RFID-карт

  • EM-Marin
  • HID Prox
  • HID iClass
  • Mifare

Поддерживаемые технологии биометрической идентификации и аутентификации по статическим признакам

  • Отпечатки пальцев
  • Рисунок вен ладони
  • Геометрия лица (двухмерное и трехмерное изображение)

Поддерживаемые модели биометрических сканеров

  • PalmSecure компании Fujitsu (рисунок вен ладони)
  • RealSense компании Intel (трехмерное изображение лица)
  • PalmJet компании BioSmart (рисунок вен ладони)
  • FS-80 компании Futronic (отпечатки пальцев)
  • Веб-камеры любых производителей, обеспечивающие разрешение Full HD (двухмерное изображение лица)

Поддержка интеграции с техническими средствами

  • Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
  • Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
  • Средства контроля и управления доступом: «Бастион», АРМ «Орион» компании «Болид», СКУД марки TSS, разработанные компанией «Семь печатей»

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Биометрическая аутентификация сотрудников
Централизованное управление аутентификацией
Аутентификация по смарт-картам и цифровым сертификатам
Единая аутентификация для корпоративных приложений
Аутентификация по бесконтактным картам и интеграция со СКУД
Защита удаленного доступа
Единая аутентификация для корпоративных веб-ресурсов
Выполнение требований Приказов ФСТЭК России

отзывы клиентов

Татьяна Фомина

Директор по информационным технологиям и кибербезопасности HeadHunter

PAM от Индид стал оптимальным решением, которое способно защитить доступ к критически важным корпоративным данным и отвечает современным стандартам информационной безопасности, а также всем нашим требованиям — надежность, зрелость и эффективность.
Особенно хочется выделить прозрачность в плане развития продукта. На этапе пилота у нас были специфичные потребности, некоторые из которых не были реализованы в текущей версии продукта. Однако эти функции были включены уже в план следующего релиза, и, что особенно важно, они действительно появились в новой версии в обозначенные сроки

Подробнее
Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее