Интеграция IdM с другими системами ИБ
Узнать большеПервые IdM-системы появились в начале 2000-х. Предназначались они для автоматизации управления доступом, в том числе:
-
создания учетных записей пользователей в разных корпоративных системах;
-
управления ими;
-
предоставления/отзыва прав доступа, полномочий;
-
временного изменения наборов прав, а также полномочий пользователей.
И сейчас компании идут на внедрение IdM по большей части именно из-за этих функций системы. Но решения этого класса дают больше, чем автоматизация перечисленных выше процессов. Это прежде всего важный, эффективный механизм с богатым функционалом, обеспечивающий информационную безопасность компании.
Выбор IdM: какой должна быть система
Сегодня, спустя почти 20-летие после появления решений этого класса, уже сформировались понятные, четкие требования к ним. На рынке представлено немало зарубежных, а также российских IdM/IGA систем. Конечно же, у всех есть свои особенности и нюансы, в которых можно запутаться. Одни имеют избыточный функционал, за который вам придется фактически переплачивать. В других же, наоборот, может не быть какого-то важного компонента или функции, которая нужна бизнесу с учетом его специфики. Но есть своеобразный must have возможностей и функций, которые должны быть реализованы в системах управления учетными данными и доступом. При разработке Solar inRights мы придерживались именно этого принципа.
Итак, для современных IGA-систем важны такие функциональные возможности, как:
-
Автоматизация всех базовых операций. К ним относятся: создание учетных записей для новых, только что принятых на работу пользователей, изменение полномочий сотрудников, их прав доступа к ИС компании, блокировка «учеток» при увольнении.
-
Реализация ролевой модели управления правами доступа. Она подразумевает создание перечня ролей и полномочий для организационно-штатных единиц компании (подразделений). Эти роли назначаются сотрудникам автоматически или по заявкам.
-
Реконсиляция, ресертификация прав доступа. Решение этого класса автоматически анализирует учетные записи / полномочия, сравнивает их с созданными через него же. При обнаружении несоответствующих требованиям «учеток» специалисты по информационной безопасности оповещаются о том, что профиль, возможно, создан в обход IdM. Можно настроить и автоматическую блокировку таких учетных записей. Ресертификация также позволяет своевременно обнаруживать бесхозные профили, которые теоретически могут использоваться злоумышленниками при совершении правонарушений в сфере информационной безопасности.
-
Учет «технологических» профилей и учетных записей. Они используются для настройки, тестирования целевых информационных систем, управления ими, а также других операций. Система управления правами доступа должна уметь отличать такие «учетки» от бесхозных. В противном случае после внедрения IdM придется постоянно сталкиваться с ложными срабатываниями и тратить время на ручные проверки оповещений.
-
Управление SoD-конфликтами. При внедрении IGA обращайте внимание на возможность реализации с ее помощью принципа разделения ответственности для критически важных для бизнеса операций. SoD позволяет исключить наделение сотрудников полномочиями, позволяющими им единолично принимать решения и выполнять операции, критичные для бизнеса.
-
Скоринг рисков. Такой функционал позволяет реализовать, помимо ролевой, также риск-ориентированную модель управления правами доступа. Для каждой роли с учетом предоставленных полномочий рассчитываются риски, которые могут возникать при злоупотреблении пользователем своим аккаунтом. Причем важно, чтобы скоринг производился автоматически, параллельно с каждым случаем ресертификации прав доступа.
Что получает бизнес от внедрения системы IdM/IGA
Эффекты от внедрения такой системы очевидны: автоматизация процессов управления правами доступа, снижение временных затрат на них. Но помимо этого бизнес получает и другие полезные преимущества.
Например, повышается уровень защиты информационных систем от вредоносного ПО. Довольно частое явление, когда заражение вирусами-шифровальщиками и прочими вредоносами происходит через сотрудников, у которых есть доступ к файловой системе, а фактически такому специалисту он не требуется. С помощью IdM такие ситуации легко обнаруживаются, и бизнес может принимать соответствующие меры.
Также внедрение IdM позволит исключить инциденты в сфере ИБ, связанные с деперсонализированными профилями и учетными записями «общего доступа». Многие компании в целях экономии времени создают «учетки», которые передаются специалистами друг другу от смены к смене. Такой подход почти гарантированно ведет к возникновению инцидентов в сфере ИБ, утечек через такие профили, превышение полномочий и так далее.
Внедрив систему управления правами доступа, компании с большой текучестью кадров минимизируют простои новых сотрудников. Чем с большим количеством информационных систем приходится работать бизнесу, тем больше времени тратится на регистрацию в них каждого нового сотрудника. Иногда на это уходит немало времени (до 3, даже 5 и более дней): новый работник не может приступить к выполнению обязанностей, пока ему не создадут необходимые профили. В компаниях с большой текучкой, где средняя продолжительность работы сотрудников небольшая, это серьезная проблема. А внедрение решения класса IdM помогает с ней справиться.
Что нужно для внедрения
Чтобы внедрить IdM/IGA в компании, кардинально менять ее IT-инфраструктуру или бизнес-процессы не потребуется. Внедрение решений этого класса включает:
-
Анализ и оптимизацию кадровых процессов в компании.
-
Работу с целевыми информационными системами (в которых будут создаваться и управляться учетные записи). Опять же, это анализ, оптимизация и актуализация способов/механизмов управления доступом.
-
Организационные процессы по внедрению системы, правил/политик по ее использованию.
Взаимодействие IdM с целевыми системами происходит при помощи коннекторов. Его организация – важный и один из самых трудоемких процессов. Где-то достаточно наладить взаимодействие по API, где-то все будет происходить напрямую через базу данных. В некоторых случаях придется адаптировать стандартные коннекторы или писать их с нуля. Но в любом случае не IT-инфраструктура компании адаптируется под IGA, а наоборот. За счет этого внедрение таких систем происходит для IT-инфраструктуры компании «безболезненно».
