Центр управления жизненным циклом
учетных записей и правами доступа
в информационных системах организации
в информационных системах организации
Identity Governance & Administration (IGA)
Легкая интеграция
Кроссплатформенность: Windows, Linux и Docker
60 успешных внедрений
Avanpost IDM предоставляет функциональность в 2 областях:
Быстрая синхронизация изменений
свойств из источников данных
в учетные записи пользователей;
User Administration and Provisioning (UAP)
Identity and Access Governance (IAG)
Комплекс и автоматизация процессов сокращения рисков.
Ролевая модель позволяет
определить учетные записи и права
доступа, предоставляемые
по умолчанию или по запросу
для разных групп пользователей,
определяемых на основании
значений атрибутов;
Правила разграничения полномочий
(SOD) для контроля совмещения
критичных функций пользователем;
Оценка рисков компрометации
учетных записей и злонамеренных
действий сотрудников;
Какие задачи решает Avanpost IDM?
Выявление несанкционированных
изменений прав доступа
и атрибутов с возможностью
определения реакции;
Создание, блокировка,
разблокировка и удаление
учетных записей на основании кадровых событий и заявок;
Сертификация доступов:
первичная и в процессе
жизненного цикла;
Позволяет получить информацию
о текущем доступе пользователя,
произвести ретроспективный анализ;
произвести ретроспективный анализ;
Плановый пересмотр и пересмотр
доступов по событиям;
Гибкая настройка автоматической
обработки кадровых событий
для различных групп работников;
При изменении атрибутов
пользователей доступы
пользователя могут
изменяться как автоматически,
так и с подтверждением;
Автоматизация управления доступом и жизненным циклом учетных записей пользователей.
Возможность кастомизации
бизнес-процессов обработки
кадровых событий;
Компенсация рисков и конфликтов;
Avanpost IDM применим в следующих ключевых группах сценариев:
Область применения решения
Управление доступом сотрудников
Управление технологическими учетными записями
Управление доступом внешних клиентов
Управление привилегированными
и административными УЗ
Стандартные учетные записи пользователей
Полный цикл автоматизации управления доступом
на основе данных из доверенных источников;
Полноценный комплекс в области управления
пользовательским доступом;
Управление доступом от лица администраторов
информационных систем.
Самообслуживание и процессы автоматизации
управления доступом с участием
бизнес-пользователей.
Учетные записи, используемые системами и сервисами
Учет технологических УЗ;
Контроль прав доступа и атрибутов;
Учетные записи подрядчиков и контрагентов
Регистрация и саморегистрация пользователей;
Контроль сроков действия договоров;
Запросы и подтверждение доступа ответственными
лицами от организации.
Дополнительные учетные записи сотрудников,
используемые для выполнения задач
администрирования, получения доступа к данным и др.
Запросы на получение и управление доступом ПУЗ;
Контроль прав доступа и оценка рисков;
Контроль разделения ответственности (SoD).
Рутинные задачи
При использовании IDM Avanpost
Получение доступа к папкам, приложениям,
время на согласование руководителя
или владельца ресурса
Выдается доступ на основе атрибутов
пользователя (должность и отдел пр.) и групп.
Создаются учетные записи в соответствии
с ролевой моделью и политиками. Удобный
и быстрый процесс согласования
при необходимости.
Изменения должности, контакты,
фамилии и др.
фамилии и др.
При изменениях достаточно внести их в одном месте — автоматически будут отражены во всех подключенных системах.
Увольнение сотрудника
При переводе или увольнении сотрудника система отбирает доступ во всех системах практически мгновенно, блокирует доступ к системам.
Нерешенный вопрос с парольной
безопасностью — основной источник
уязвимости крупной компании
безопасностью — основной источник
уязвимости крупной компании
Расширенный функционал централизованного
управления паролями в нескольких
информационных системах.
управления паролями в нескольких
информационных системах.
User Administration and Provisioning (UAP)
User Administration and Provisioning
и администрирования
доступа пользователей
Система обеспечения
Система обеспечения
и администрирования
доступа пользователей
UAP
Автоматизация процесса работы с учетными записями, жизненного цикла учетных записей для исключения ошибок, рисков ИБ, финансовых потерь
Решение рутинных задач отделов IT
по администрированию пользователей
и ресурсов
После появления учетной записи в кадровой
системе автоматически создаются учетные
записи в подключенных системах.
Прием на работу: HR вносит информацию
в кадровую систему, IT-отдел создает
учетную запись в Службе каталогов
Identity and Access Governance (IAG)
Определяет какие полномочия пользователя являются легитимными, а какие избыточными.
После согласования заявки IDM исполняет ее, «легитимизируя» доступ,
имеющийся у пользователя.
Далее автоматически на каждого пользователя создается заявка, в которую включаются все его
выявленные права доступа и проходит по маршруту согласования (руководитель/владельцем ресурса, пр.).
Они отмечают в заявке те права, которые являются избыточными для пользователя.
После связывания в IDM пользователей с их учетными записями в информационных системах
запускается аудит, который выявляет все полномочия пользователей в каждом ресурсе.
Аттестация полномочий запускается по расписанию, обычно один раз в год для типовых пользователей.
В рамках аттестации на каждого пользователя создается заявка сего текущими полномочиями,
которая проходит по маршруту согласования.
Повышение частоты аттестации используется как компенсационная мера для пользователей,
обладающих привилегированными или конфликтными полномочиями, либо попавших под внимание
офицеров ИБ или IDM-системы по какой-то другой причине.
В IDM для каждого права целевой системы в зависимости от степени
его критичности определяется риск;
Далее, для каждой учетной записи пользователя и в целом по пользователю автоматически
в зависимости от совокупности полномочий осуществляется оценка рисков
в соответствии с принятой моделью;
Если совокупное значения рисков выше допустимого уровня и пользователь или его учетная
запись подпадает под понятие привилегированного доступа, они могут компенсироваться
за счет настройки и выполнения дополнительных мер, например: дополнительные этапы
согласования, отказ в выдаче доступа, отзыв прав при сертификации и т. д.
и управления доступом
Система контроля
Identity and Access Governance
и управления доступом
Система контроля
IAG
Система построена на принципе минимально
необходимых полномочий. Наличие избыточных
полномочий значительно повышает риски утечек
корпоративных данных и др. злонамеренных
действий. Автоматизация процессов
«легитимизации» и «аттестации» обеспечивает
поддержку этого принципа.
Составляющей процесса управления
ролями являются политики Segregation of Duties (SoD)
или разделение полномочий, запрещая совмещение
определенных ролей.
Данное решение оперирует ролями
и атрибутами ролей, которые связаны
с организационной структурой предприятия;
Сертификация: узаконивание полномочий учетных записей
Аттестация
Процесс, который предполагает плановый пересмотр доступов пользователя
Функционал в IDM-системе позволяет обеспечить дополнительные меры по защите доступа
к информационным ресурсам на основании риск-ориентированной модели
Оценка и управление рисками
Когда бизнесу нужен IDM
Количество сотрудников 1 000 человек
и более, гетерогенная ИТ-инфраструктура
с разнородными информационными системами.
и более, гетерогенная ИТ-инфраструктура
с разнородными информационными системами.
Частая ротация сотрудников (найм, увольнение,
перемещение), как следствие, большая нагрузка
на ИТ-персонал, неконтролируемый поток заявок.
перемещение), как следствие, большая нагрузка
на ИТ-персонал, неконтролируемый поток заявок.
Организация желает создать фундамент
для обеспечения целостного подхода
информационной безопасности предприятия.
для обеспечения целостного подхода
информационной безопасности предприятия.
Большая филиальная структура,
где управление доступом
осуществляется разрознено.
где управление доступом
осуществляется разрознено.
Повышенные требования к соблюдению нормативов
и стандартов (финансовые учреждения, медицинские
организации, государственные учреждения, пр.).
и стандартов (финансовые учреждения, медицинские
организации, государственные учреждения, пр.).
Когда бизнесу нужен IDM
Большая филиальная структура,
где управление доступом
осуществляется разрознено.
где управление доступом
осуществляется разрознено.
Организация желает создать фундамент для обеспечения целостного подхода информационной безопасности предприятия.
Частая ротация сотрудников (найм, увольнение, перемещение), как следствие, большая нагрузка на ИТ персонал, неконтролируемый поток заявок.
Количество сотрудников 1 000 человек и более, гетерогенная ИТ-инфраструктура с разнородными информационными системами.
Повышенные требования к соблюдению нормативов
и стандартов (финансовые учреждения, медицинские
организации, государственные учреждения, пр.).
и стандартов (финансовые учреждения, медицинские
организации, государственные учреждения, пр.).
Что получает бизнес применяя IDM-системы
Быстрый онбординг сотрудников
Новый сотрудник получает базовый набор
полномочий при выходе на работу, может
быстро оформить запрос и получить
доступ к необходимой им информации.
Снижение и предупреждение рисков в крупной компании с большим числом сотрудников
Поддерживает полномочия на минимально достаточном
уровне, что значительно сокращает перечень лиц,
имеющих доступ к чувствительным данным и потенциально
опасным операциям в определенный момент времени.
Контроль изменений прав доступа
Сканирует управляемые системы,
создает инциденты и процессы
их обработки.
Соответствие требованиям аудиторов
Учитывает все доступы с основаниями
предоставления за исторический период.
Позволяет определять произвольных
субъектов авторизации (владельцев доступа)
и их процессы, например, систему,
подразделение или проект.
Конкурентные преимущества IDM
Конструктор форм позволяет добавлять
пользовательские запросы и изменять стандартные.
Кроссплатформенность (Windows, Linux, Docker).
ABAC в основе ролевой модели, политик
управления доступом и разделением
полномочий.
Логика обработки запросов и событий
определена через схемы бизнес-процессов
и легко настраивается в графическом редакторе.
Полное горизонтальное масштабирование
всех компонентов, отказоустойчивость
включая возможности георезервирования.
Легкая интеграция со смежными системами
классов ITSM, SIEM, PAM, Vault.
Высокотехнологичный движок управления бизнес-процессами с графическим редактором
Гибкая настройка логики работы системы
с учетом специфики бизнес-процессов
заказчика (кадровые события, оформление
заявок, аудит, аттестация, сертификация).
Автоматизация сложных кастомизированных
бизнес-процессов (запуск по расписанию
или по преднастроенному событию, полученному
из HR/ сгенерированному в IDM).
Возможность настройки параллельных
и последовательных согласований в жизненном
цикле заявки (обработка заявки
группой согласующих).
Производительность, позволяющая управлять
миллионами учетных записей, что особенно
актуально при внедрении в крупные
инфраструктуры.
Крупнейшие IDM проекты
Россельхозбанк
Социальный фонд России
35 000 пользователей
Почта России
350 000 пользователей
150 000 пользователей
Федеральная
налоговая служба
налоговая служба
Центральный банк
Российской Федерации
10 000 пользователей
40 000 пользователей
Нефтегазовые и промышленные корпорации
Государственные учреждения, министерства и ведомства
Ритейл и другие отрасли
Финансово — кредитные организации
ПАО «МОЭК»
60 успешных внедрений
ОДК
KazTransOil
АО АСЭ Росатом
«БАШХИМ»
Почта России
ДИТ
Минцифры России
Счетная палата РФ
Росреестр
Социальный фонд России
Россотрудничество
Мосводоканал
ГОЗНАК
Служба спасения
Московской области
Московской области
ASKONA
FixPrice
СберМаркет
Rubytech
СБ Девелопмент
HeadHunter
Фармстандарт
БАЗЭЛ АЭРО
«Шереметьево-Карго»
Lamoda
БК «Лига Ставок»
ПАО «МОЭК»
Новороссийский
Морской
торговый порт
Морской
торговый порт
Kazatomprom
КЫРГЫЗ БАНКЫ
БЕЛАРУСБАНК
Мультикарта
НСПК
ВЭБ РФ
НБКИ
РоссельхозБанк
Национальный банк
Республики Беларусь
Республики Беларусь
УК «Первая»