Выбор и внедрение IdM/IGA-системы

Первые IdM-системы появились в начале 2000-х. Предназначались они для автоматизации управления доступом, в том числе:

·            создания учетных записей пользователей в разных корпоративных системах;

·            управления ими;

·            предоставления/отзыва прав доступа, полномочий;

·            временного изменения наборов прав, а также полномочий пользователей.

И сейчас компании идут на внедрение IdM по большей части именно из-за этих функций системы. Но решения этого класса дают больше, чем автоматизация перечисленных выше процессов. Это прежде всего важный, эффективный механизм с богатым функционалом, обеспечивающий информационную безопасность компании.

Выбор IdM: какой должна быть система

Сегодня, спустя почти 20-летие после появления решений этого класса, уже сформировались понятные, четкие требования к ним. На рынке представлено немало зарубежных, а также российских IdM/IGA систем. Конечно же, у всех есть свои особенности и нюансы, в которых можно запутаться. Одни имеют избыточный функционал, за который вам придется фактически переплачивать. В других же, наоборот, может не быть какого-то важного компонента или функции, которая нужна бизнесу с учетом его специфики. Но есть своеобразный must have возможностей и функций, которые должны быть реализованы в системах управления учетными данными и доступом. При разработке Solar inRights мы придерживались именно этого принципа.

Итак, для современных IGA-систем важны такие функциональные возможности, как:

·            Автоматизация всех базовых операций. К ним относятся: создание учетных записей для новых, только что принятых на работу пользователей, изменение полномочий сотрудников, их прав доступа к ИС компании, блокировка «учеток» при увольнении.

·            Реализация ролевой модели управления правами доступа. Она подразумевает создание перечня ролей и полномочий для организационно-штатных единиц компании (подразделений). Эти роли назначаются сотрудникам автоматически или по заявкам.

·            Реконсиляция, ресертификация прав доступа. Решение этого класса автоматически анализирует учетные записи / полномочия, сравнивает их с созданными через него же. При обнаружении несоответствующих требованиям «учеток» специалисты по информационной безопасности оповещаются о том, что профиль, возможно, создан в обход IdM. Можно настроить и автоматическую блокировку таких учетных записей. Ресертификация также позволяет своевременно обнаруживать бесхозные профили, которые теоретически могут использоваться злоумышленниками при совершении правонарушений в сфере информационной безопасности.

·            Учет «технологических» профилей и учетных записей. Они используются для настройки, тестирования целевых информационных систем, управления ими, а также других операций. Система управления правами доступа должна уметь отличать такие «учетки» от бесхозных. В противном случае после внедрения IdM придется постоянно сталкиваться с ложными срабатываниями и тратить время на ручные проверки оповещений.

·            Управление SoD-конфликтами. При внедрении IGA обращайте внимание на возможность реализации с ее помощью принципа разделения ответственности для критически важных для бизнеса операций. SoD позволяет исключить наделение сотрудников полномочиями, позволяющими им единолично принимать решения и выполнять операции, критичные для бизнеса.

·            Скоринг рисков. Такой функционал позволяет реализовать, помимо ролевой, также риск-ориентированную модель управления правами доступа. Для каждой роли с учетом предоставленных полномочий рассчитываются риски, которые могут возникать при злоупотреблении пользователем своим аккаунтом. Причем важно, чтобы скоринг производился автоматически, параллельно с каждым случаем ресертификации прав доступа.

Что получает бизнес от внедрения системы IdM/IGA

Эффекты от внедрения такой системы очевидны: автоматизация процессов управления правами доступа, снижение временных затрат на них. Но помимо этого бизнес получает и другие полезные преимущества.

Например, повышается уровень защиты информационных систем от вредоносного ПО. Довольно частое явление, когда заражение вирусами-шифровальщиками и прочими вредоносами происходит через сотрудников, у которых есть доступ к файловой системе, а фактически такому специалисту он не требуется. С помощью IdM такие ситуации легко обнаруживаются, и бизнес может принимать соответствующие меры.

Также внедрение IdM позволит исключить инциденты в сфере ИБ, связанные с деперсонализированными профилями и учетными записями «общего доступа». Многие компании в целях экономии времени создают «учетки», которые передаются специалистами друг другу от смены к смене. Такой подход почти гарантированно ведет к возникновению инцидентов в сфере ИБ, утечек через такие профили, превышение полномочий и так далее.

Внедрив систему управления правами доступа, компании с большой текучестью кадров минимизируют простои новых сотрудников. Чем с большим количеством информационных систем приходится работать бизнесу, тем больше времени тратится на регистрацию в них каждого нового сотрудника. Иногда на это уходит немало времени (до 3, даже 5 и более дней): новый работник не может приступить к выполнению обязанностей, пока ему не создадут необходимые профили. В компаниях с большой текучкой, где средняя продолжительность работы сотрудников небольшая, это серьезная проблема. А внедрение решения класса IdM помогает с ней справиться.

Что нужно для внедрения

Чтобы внедрить IdM/IGA в компании, кардинально менять ее IT-инфраструктуру или бизнес-процессы не потребуется. Внедрение решений этого класса включает:

·            Анализ и оптимизацию кадровых процессов в компании.

·            Работу с целевыми информационными системами (в которых будут создаваться и управляться учетные записи). Опять же, это анализ, оптимизация и актуализация способов/механизмов управления доступом.

·            Организационные процессы по внедрению системы, правил/политик по ее использованию.

Взаимодействие IdM с целевыми системами происходит при помощи коннекторов. Его организация – важный и один из самых трудоемких процессов. Где-то достаточно наладить взаимодействие по API, где-то все будет происходить напрямую через базу данных. В некоторых случаях придется адаптировать стандартные коннекторы или писать их с нуля. Но в любом случае не IT-инфраструктура компании адаптируется под IGA, а наоборот. За счет этого внедрение таких систем происходит для IT-инфраструктуры компании «безболезненно».

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах