IdM/IGA система: что это такое, как работает и зачем нужно

IdM (Identity Management) или IGA (Identity Governance&Administration) решение обеспечивает централизованное управление правами доступа и учетными записями пользователей в различных информационных системах /приложениях, используемых компанией для работы. С его помощью:

·              Снижается нагрузка на системных администраторов. Работа с учетными записями (создание новых, временная блокировка, изменение прав доступа, удаление) занимает немалую часть времени сисадмина. Чем больше в компании решений, в которых есть учетные записи, тем больше временные затраты. Организовав централизованное управление ими через IdM, вы существенно снизите загрузку системного администратора.

·              Минимизируются риски информационной безопасности. Автоматизированное централизованное управление правами доступа со своевременными оповещениями существенно уменьшает вероятность возникновения инцидентов информационной безопасности, связанных с избыточными правами доступа.

·              Снижаются административные издержки на предоставление / изменение прав доступа. На это уходит меньше времени, уменьшается количество сопутствующих бумажных документов и обращений в службу поддержки.

·              Создается информационная база, повышающая эффективность расследования инцидентов в области информационной безопасности (далее — ИБ). Офицеры ИБ могут контролировать права доступа и получать информации о том, кто какими полномочиями обладал в конкретный момент времени.

·              Уменьшаются затраты на поддержку IT-инфраструктур. Вы сможете контролировать количество активных учетных записей и своевременно отключать неактивные, чтобы не платить за них (при использовании модели оплаты за каждую «учетку»).

Кроме того, Identity Management позволит компании выполнить ряд требований и рекомендаций руководящих документов / регуляторов. Например, таких как БР ИББС, PCI DSS или ISO 27001.

Как и в каких системах организуется централизованное управление учетными записями с помощью IdM/IGA

Решение класса Identity Management или Identity Governance&Administration может управлять учетными записями в различных информационных системах и программах. Например, наша IdM/IGA Solar inRights совместима с:

·              C популярными системами и инфраструктурами, в том числе построенными на базе SAP и 1C.

·              Со всеми широко используемыми СУБД. Прямой доступ к БД обеспечивается посредствам хранимых процедур, запросов и других инструментов.

·              Программами для электронного документооборота, CRM, ERP, почтовыми системами, организации кадрового учета и другими решениями с собственным API и без.

При отсутствии API интеграция с целевой системой возможна посредствам выгрузок в файл (например, Solar inRights поддерживает выгрузку excel, csv или xml).

Возможности современных IdM-решений позволяют создавать учетные записи в целевых ИС / программах, следить за их использованием и информировать системного администратора (специалиста по ИБ) о неактивных или неперсонализированных, изменять привилегии, назначать владельцев, производить временную и постоянную блокировку, в т.ч. с сохранением «учетки» в базе с возможностью дальнейшего восстановления. Построение ролевой модели, выявление отклонений и нарушений в правах, предотвращение критических сочетаний прав – все эти функции решений класса IdM/IGA позволяют существенно снижать риски возникновения инцидентов информационной безопасности за счёт проактивного подхода.

Работа IdM/IGA в комплексе с другими системами обеспечения информационный безопасности

IdM, как правило, не используются отдельно. Это — эффективные составляющие системы информационной безопасности компании, которые могут интегрироваться с другими решениями.

При интеграции IGA со СКУД вы сможете усилить защиту целевой системы и исключить, например, такие ситуации, как несанкционированное использование чужих учетных записей, в отсутствии владельца. Реализуется это относительно просто: пока сотрудник не вошел в охраняемый СКУД периметр, его «учетка» остается заблокированной и войти в нее не получится.

Интегрировав Identity Management или Identity Governance&Administration систему с SIEM, вы обеспечите защиту от несанкционированного добавления или изменения учетных записей. Злоумышленник может попытаться сделать это в обход Service Desk, совершив необходимые манипуляции прямо в целевой системе. IdM выявляет такие события и формирует оповещения для SIEM-системы. Это значительно ускоряет процесс выявления подобных инцидентов. Ведь без Identity Governance&Administration-решения в SIEM поступают только логи, которые еще нужно обработать, на что уходит время (а его при действиях злоумышленников может и не быть).

Кроме того, современные решения класса IdM/IGA могут интегрироваться и с другими элементами ИБ. Например, с ITSM, инфраструктурами открытых ключей (PKI), решениями, использующими SSO (технологию единого входа).

Взаимодействие с целевыми информационными системами (CRM, ERP, кадровыми и так далее) и другими элементами, обеспечивающими информационную безопасность компании, организуется посредствам коннекторов. Это — специальные программные компоненты, которые включаются в IdM «из коробки». В зависимости от того, с чем взаимодействует решение, коннекторы могут использовать API целевой системы, запросы, хранимые процедуры, выгрузки в файл другие средства. Если у вас в компании используется какой-то специфический программный продукт, для которого нет коннектора «из коробки», это не проблема. Например, мы в Solar inRights кастомизируем предлагаемое решение под нужды заказчика и при необходимости дорабатываем уже имеющиеся коннекторы или, в течение пары недель, создаем их с нуля под конкретный продукт. Все обсуждаемо. Поддержка стандарта Identity Connector Framework (ICF) без необходимости использования дополнительных адаптеров существенно облегчает процесс разработки коннектора и снижает сроки и ресурсы для интеграции с системой.

Кому стоит подумать об использовании IdM/IGA

Такое решение необходимо далеко не любой компании. Подумать о его внедрении есть смысл если:

·              системным администраторам и другим специалистам приходится обрабатывать большие потоки заявок на предоставление доступа, создание и изменение учетных записей в разных системах;

·              есть предпосылки к возникновению инцидентов, связанных с чрезмерным доступом и избыточными правами, или наоборот — с недостаточными полномочиями;

·              при большой текучке кадров и активной ротации сотрудников;

·              при использовании в компании большого количества различных IT-решений с возможностями управления правами доступа.

IGA можно рассматривать еще и как средство «усиления» используемых в организации решений для обеспечения информационной безопасности, для наведения порядка в процессах управления доступом и повышения прозрачности этих процессов. В зависимости от специфики компании могут быть и другие предпосылки к внедрению такой системы.

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах