IDM - система контроля и управления доступом

Avanpost IDM (ENG)

 

Системы управления правами доступа и учетными записями пользователей класса IDM (Identity Management) или как их еще называют IAM (Identity and Access Management) предназначены  для централизованного управления правами на доступ к информации, учетными записями, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить риски информационной безопасности и оптимизировать затраты на администрирование ИТ инфраструктуры.

IDM система существенно упрощает доступ к сетевым информационным ресурсам для сотрудников организации, при этом повышается уровень защиты корпоративных информационных систем. Централизованная система управления аккаунтами пользователей позволяет отслеживать все учетные записи в подключенных информационных системах. Помимо управления учетными записями пользователей, система контроля и управления доступом обеспечивает аудит прав в информационных ресурсах, сигнализируя о несанкционированных изменениях полномочий администратору безопасности.

IDM предоставляет консолидированную отчетность обо всех учетных записях и правах доступа пользователей компании в интегрированных с IDM информационных системах.

Основные задачи, которые решает IDM:

  • Автоматизация процесса управления идентификационными данными;
  • Унификация учетных данных пользователей;
  • Централизованное управление правами доступа;
  • Сокращение расходов на администрирование информационных систем и обслуживание пользователей;
  • Снижение рисков несанкционированного доступа к корпоративным информационным системам;
  • Сокращение временных затрат на предоставление, изменение и отзыв прав доступа пользователей;
  • Соответствие некоторым требованиям законодательных актов, в частности 152-ФЗ «О персональных данных», руководящих документов ФСТЭК и ФСБ, в частности Приказ ФСТЭК от 18 февраля 2013 г. № 21, отраслевых стандартов, в частности СТО БР ИББС-1.0-2014 и PCI DSS.

«Avanpost IDM» предназначен для централизованного управления учетными записями и правами доступа пользователей в различных информационных системах, подключаемых к ПК «Avanpost» посредством коннекторов.

«Avanpost IDM» построен по принципу обеспечения централизованного управления идентификационной информацией и доступом к информационным ресурсам с возможностью передачи административных полномочий по управлению теми или иными элементами системы. «Avanpost IDM» предоставляет web-интерфейс пользователю для создания заявок на доступ, согласования доступа, а так же иных пользовательских действий. Управление доступом к информационным ресурсам «Avanpost IDM» предусматривает возможность ее расширения без потери качества обслуживания и устойчивости, а также возможность тиражирования на новые информационные системы для централизованного управления доступом к ним.

«Avanpost IDM» содержит в своем составе:

  • Серверный компонент;
  • Консоль администратора (Web интерфейс);
  • Коннекторы к кадровым системам (Босс Кадровик, 1С, Диасофт, SAP HR и т.д.):
  • Коннекторы к информационным системам (SAP, Lotus, 1C, AD, Oracle и т.д.).

Схема взаимодействия компонентов «Avanpost IDM»

 

Возможности «Avanpost IDM»

  • Интеграция с информационными системами, в которых необходимо централизованное управление доступом, посредством коннекторов;
  • Автоматизированное управление учетными записями на основе кадровых событий или «ручных» команд администратора, в том числе: создание или изменение учетных записей пользователей по заданным (настраиваемым) алгоритмам,  на основе данных полученных из системы кадрового учета;
  • Блокирование учетных записей с возможностью последующего автоматического разблокирования в указанный срок или по событию;
  • Одновременная работа с несколькими доменами;
  • Реализованы интерфейсы самообслуживания пользователя для автоматического выполнения заявок на модификацию и дезактивацию учетной записи в информационной системе;
  • Управление доступом, в том числе идентификация, авторизация и аутентификация;
  • Полноценное управление парольными политиками (проверка надежности пароля и соответствие его заданным правилам, ограничение срока действия, условия не повторяемости и т.д.).
  • Автоматизированное (как с участием согласующих лиц, так и без таковых) предоставление пользователям предопределенного набора полномочий в информационных системах, связанных с их должностными обязанностями, на базе настраиваемых бизнес-ролей;
  • Автоматическое блокирование доступа к информационным ресурсам на основании данных, получаемых из системы кадрового учета, при увольнении сотрудника или временное приостановление доступа при отпуске или болезни и других изменениях статуса сотрудника;
  • Автоматическое изменение набора прав пользователя при переводе на другую должность;
  • Ролевое разграничение доступа к функциям и средствам модуля;
  • Электронное согласование заявок с простой электронной подписью для пользователей;
  • Возможность пересмотра полномочий доступа пользователей через регулярные промежутки времени;
  • Проведения аудита предоставленных привилегий через регулярные промежутки времени для недопущения получения пользователями несанкционированных привилегий;
  • Возможность самостоятельного создания заявок пользователями на предоставление прав доступа к информационным системам;
  • Возможность контроля статуса заявки пользователями, при помощи web-интерфейса и/или электронной почты;
  • Автоматизированное назначение сотрудникам «заместителей» для участия в процедурах согласования заявок на время отсутствия основного сотрудника (отпуск, болезнь) на основе данных доверенной системы кадрового учета;
  • Создание и изменение маршрутов согласования заявок и обработки событий с использованием интерфейса администратора;
  • Возможность использования в маршруте согласования как последовательного, так и параллельного согласования на любом этапе согласования;
  • Аудит различных событий по предоставлению доступа пользователю.

Для оптимизации работ по созданию ролевой модели компания Аванпост предлагает специализированный инструментарий Avanpost Role Manager в виде надстройки над основным модулем Avanpost IDM. В основу этой разработки заложен математический аппарат на базе статистического анализа. По результатам работы Avanpost Role Manager в автоматическом режиме, без необходимости какого-либо консалтинга, компания сможет за считанные минуты получить актуальную матрицу доступа.

Avanpost Role Manager

Role Manager– новая разработка, призванная существенно упростить создание и управление ролевой моделью на предприятии любого масштаба. Автоматизированный механизм аналитического сравнения существующих прав для пользователей, занимающих одинаковую должность согласно структуре штатного расписания либо имеющих похожие ИТ-роли, позволяет сократить время внедрения IDM-системы в несколько раз. 

Проблематика

Ни для кого не секрет, что любое внедрение IDM-решения обречено на провал, если в процессе реализации системы не проводится корректное формирование матрицы доступа и ролевой модели. Обычно поставщики IDM-решений предлагают своим клиентам реализовать консалтинговый проект и создать ролевую модель непосредственно перед внедрением самой системы. На первый взгляд этот шаг выглядит вполне логично и обоснованно, но на практике все оказывается не так просто.

Дело в том, что ручная разработка такого документа в крупной компании может занять не один месяц, но, даже пройдя этот сложный путь и потратив на его реализацию немалые деньги, ИТ- и ИБ-службы компании сталкиваются с еще более сложной задачей – согласовать данную модель со всеми заинтересованными руководителями. Процесс согласования очень часто становится камнем преткновения, так как почти каждый из его участников вносит свои предложения, пытаясь тем самым оптимизировать и улучшить, как ему кажется, предложенную ролевую модель. В итоге процесс может затянуться на многие месяцы. Но, даже получив согласованную ролевую модель, компания может столкнуться с проблемой ее устаревания, что затрудняет использование модели в реальной инфраструктуре. И это понятно, ведь права доступа со временем постоянно меняются.

Решение

Для оптимизации работ по созданию ролевой модели компания Аванпост предлагает специализированный инструментарий Avanpost Role Manager в виде надстройки над основным модулем Avanpost IDM. В основу этой разработки заложен математический аппарат на базе статистического анализа. По результатам работы Avanpost Role Manager в автоматическом режиме, без необходимости какого-либо консалтинга, компания сможет за считанные минуты получить актуальную матрицу доступа.

 

 


Принцип работы
Классический цикл внедрения IDM-системы выглядит так:

Шаг 1. Устанавливается ядро IDM-системы;
Шаг 2. Осуществляется интеграция IDM-системы с кадровой базой и со всеми целевыми ИТ-системами с помощью коннекторов.
Шаг 3. В IDM-систему закладывается Ролевая модель, в случае необходимости проводятся работы по ее созданию.
Шаг 4. IDM-cистема запускается в работу.

При использовании Avanpost Role Manager Analytics порядок действий меняется следующим образом:
Шаг 1. Устанавливается ядро IDM-системы с функционалом Avanpost Role Manager;
Шаг 2. Осуществляется интеграция IDM-системы с кадровой базой и со всеми целевыми ИТ-системами с помощью коннекторов.
Шаг 3. Cистема включается в режим сбора информации об имеющихся в целевых системах реальных правах доступа и формируется единая база всех имеющихся учетных записей и прав доступа.
Шаг 4. Запускается аналитическая обработка полученной базы функционалом Avanpost Role Manager и формируется базовая ролевая модель и набор исключений, имеющих место на практике.
Шаг 5. Cистема переводится в нормальный рабочий режим на основании созданной ролевой модели.
Шаг 6. Все оставленные исключения анализируются в удобном режиме, и в случае необходимости дорабатывается базовая ролевая модель.

С точки зрения основного принципа работы шаги №3 и №4 наиболее интересны. Разберем на примере, как  формируется базовая матрица доступа:

Представим, что в компании «X» работает 7 менеджеров по продажам и используется 10 ИТ-систем. У каждого из менеджеров  свой набор прав доступа к этим ИТ-системам.

Таким образом, в рамках шага №3 мы получим следующую информацию:

  • 100% сотрудников имеют доступ к ИТ-системам 1 и 7;
  • 90% сотрудников имеют доступ к ИТ-системе 2;
  • 70% сотрудников имеют доступ к ИТ-системам 4 и 9;
  • 50% сотрудников имеют доступ к ИТ-системе 3;

 Дополнительно у некоторых сотрудников присутствуют отдельные доступы к ИТ-системам, не упомянутым выше.

 

После получения этой информации нам необходимо задать так называемый «порог чувствительности». То есть принять решение, например, что мы будем считать «базовой ролью» доступ в ИТ-системы, который встречается у данной категории сотрудников не реже, чем в 70% случаев.

В нашем примере это будет доступ к ИТ-системам 1, 2, 4, 7 и 9.

 

С остальными правами доступа, не вошедшими в «базовую роль», можно поступить двумя способами:

  • перекрыть «избыточные права» и посмотреть, за какими из них сотрудники оперативно обратятся. Такой запрос будет служить подтверждением, что этот вид доступа действительно используется.
  • добавить «избыточные права» в исключение к базовой роли. А когда позволит время, проанализировать эти исключения и устранить те из них, которые не требуются для производственной деятельности.

Таким образом, применение модуля Avanpost Role Manager
значительно упрощает и облегчает процесс создания ролевой модели,
что позволяет существенно сократить сроки внедрения IDM-решения.

Документация Avanpost IDM

Инструкция

Описание программы

Описание применения





7-8 июня 2017 - прошло 8-й Международный ПЛАС-Форум "Дистанционные сервисы, мобильные решения, карты и платежи 2017
подробнее

30-31.05.2017 - прошло V Международная научно-практическая конференция «Управление информационной безопасностью в современном обществе»
подробнее

Карта сайта
info@avanpost.ru +7 (495) 641-8080

109129, Россия, Москва,
ул. 8-я Текстильщиков, д. 11, стр. 2