IGA функции, IdM/IGA: какие функции она выполняет

Все компании используют компьютерные системы, сервисы и приложения, следовательно, в информационной инфраструктуре присутствует немалое количество учетных записей, наделенных различными полномочиями. Непродуманное управление ими неизменно приведет к хаосу: слабому контролю, долгим процессам назначения и отзыва прав, появлению бесхозных аккаунтов, которые могут быть захвачены злоумышленниками и т.д. К тому же, если правами доступа будут заведовать администраторы (как это часто бывает при децентрализованном управлении), в системе появится больше привилегированных учетных записей, компрометация которых может привести к серьезным негативным последствиям. Подобные риски снижаются благодаря управлению учетными записями посредством продуктов класса Identity Governance and Administration (далее — IGA). Разберемся, что это за решения, какие функции они выполняют, каким образом позволяют прийти к порядку в разрозненных информационных системах.

Что такое IGA, функции продуктов этого класса

IGA-системами называют решения программного формата, позволяющие выстроить организованное управление всеми учетными записями в используемых предприятиями информационных системах (ИС). Такие платформы облегчают работу с учетками, обеспечивают исполнение внутренних регламентов, связанных с доступом к объектам ИС, минимизируют проблему избыточных полномочий и в целом способствуют повышению уровня информационной безопасности.

Функции IGA-системы эффективно выполняются благодаря тому, что платформа с помощью коннекторов интегрируется с доверенными системами (например, кадровыми), откуда получает актуальную и полную информацию о сотрудниках и организационной структуре. Далее платформа IGA управляет правами доступа в целевых информационных системах компании, которые используют сотрудники для выполнения своих обязанностей. Как только в кадровых источниках появляются новые сведения или дополнения, они сразу же обрабатываются IGA-решением. Затем в автоматическом режиме производятся изменения в подключенных информационных системах по утвержденному сценарию или автоматически формируются определенные заявки, которые направляются на согласование ответственным лицам (офицерам службы информационной безопасности, руководителям подразделений, владельцам ресурсов).

Какие задачи решают IGA-системы, в частности, платформа Solar inRights, которая располагает эффективными инструментами для управления доступом:

Управляют доступом на базе ролевого подхода (в рамках которого каждому сотруднику назначается определенная роль в соответствии с должностью и рабочими обязанностями) и внутренних регламентов компании.
Управляют жизненным циклом всех учеток, зарегистрированных в ИС предприятия.
Хранят сведения о доступах к объектам целевых ИС и генерируют детализированную отчетность.
Оптимизируют процессы назначения полномочий благодаря модулю обработки заявок.
Предоставляют руководителям организации, офицерам службы безопасности и владельцам целевых систем инструменты для эффективного контроля доступа.
Обеспечивают исполнение соглашений Service Level Agreement (SLA) и непрерывность бизнеса.

Также среди функций IGA-систем управление паролями: автоматическая генерация надежных комбинаций и их использование в соответствии с требованиями политики безопасности, применение парольных политик как комплексно для всех систем, так и для отдельных.

Разница между подходами и функциями систем IGA и IdM

Платформы управления доступом и учетными записями часто обозначаются двойной аббревиатурой — IdM/IGA, поэтому многие уверены, что продукты Identity Management (далее — IdM) тождественны продуктам класса IGA. Это не совсем верное утверждение. Системы действительно выполняют практически идентичные задачи, но у них разный фокус, например, в функциях IGA-платформ больше аналитики, и они направлены на управление доступом в крупных компаниях уровня Enterprise, где главной задачей является исполнение различных политик, касающихся регламентации доступа и снижения рисков ИБ. IdM-решения могут применяться в компаниях любого масштаба, и основной фокус их работы направлен на автоматизацию жизненного цикла учетных записей и управления правами пользователей.

Фактически платформы класса IGA — это модернизированные IdM-решения, позволяющие эффективнее работать с ролевой моделью управления доступом, с учетом скоринга рисков применять расширенные инструменты управления объектами доступа, реализовывать гибкий подход к выдаче прав и администрированию. Компании все чаще используют именно их, но от использования двойного названия еще не ушли.

Функции IGA-систем, которые отсутствуют в IdM-платформах

Функции решений IGA, которые мотивируют предприятия переходить на новую, более продуманную модель управления доступом:

Гибкий подход к сертификации и ресертификации доступа, то есть проверке и «узакониванию» назначенных сотруднику прав. Эти процессы касаются в основном тех полномочий, которые существовали еще до внедрения IGA-системы и были внесены в матрицу ролевой модели управления доступом. Важно провести проверку таких прав, чтобы выяснить, какие актуальны и действительно нужны сотруднику, согласовать их. Этот процесс будет называться сертификацией доступа. Ресертификация подразумевает аналогичные операции, но реализуется при смене условий, например, изменении функций сотрудников или реорганизации подразделений. Благодаря функциям IGA-решения процесс валидации полномочий проходит быстро и четко, в соответствии с внутренними регламентами.
Выявление и минимизация SOD-конфликтов — ситуаций, когда один сотрудник наделен несовместимыми полномочиями. Примеры конфликтующих прав: регистрация/авторизация, регистрация/хранение, хранение/проверка и т.д. Такие операции не должны выполняться одним человеком, если есть возможность поручить задачу двум и более сотрудникам. Также конфликтовать могут не только отдельные полномочия, но и целые роли. IGA-решения помогают выявлять такие ситуации и реализовывать принцип разделения ответственности согласно заданному сценарию. Например, система может попросить отредактировать заявку на предоставление тех или иных прав или направить ее ответственным лицам на дополнительное согласование.
Скоринг рисков для всех ролей и прав. Эта функция IGA-решения позволяет присваивать правам доступа и учетным записям ту или иную степень риска. Например, критически высокая часто сопряжена с привилегированными учетными записями, наделенными расширенными полномочиями в ИС. Подсчет рисков осуществляется автоматически в момент назначения полномочий или анализа заявок на предоставление прав доступа.
Возможность управлять не только аккаунтами в целевых ИС, но и доступом к смежным объектам, например, группам или папкам.

Еще одна функция IGA-платформ, которая в продуктах класса IdM была реализована на более низком уровне — гибкость при работе с заявками на предоставление доступа к информационным ресурсам, в процессах создания новых или изменения существующих учетных записей. Если в заявке содержится несколько пунктов, возможно принятие отдельных решений по каждому из них. Это касается и пользователей, и запрашиваемых полномочий. Если требуется привлечь к рассмотрению и согласованию дополнительных ответственных сотрудников, заявку можно делегировать. Если нужно получить дополнительную информацию или обоснование, заявку можно вернуть заявителю с комментариями, и тогда инициатор сможет добавить дополнительное текстовое описание или приложить отдельный документ.

Кроме того, IGA-решение позволяет гибко формировать маршруты согласования заявок, используя удобный визуальный конструктор: применять различные условия на каждом шаге согласования, настраивать условия эскалации и многое другое.

управление доступом с помощью IGA-системы

Преимущества внедрения систем IGA и эксплуатации их функций

Внедряя IGA-платформу, компании получают в распоряжение гибкий программный комплекс, который можно настраивать под актуальные задачи. Что это дает:

Повышение уровня информационной безопасности и минимизацию рисков несанкционированного доступа к корпоративным данным, злоупотребления привилегиями.
Значительное сокращение затрат на управление учетными данными и администрирование прав доступа.
Улучшение условий работы и производительности сотрудников, повышение эффективности бизнес-процессов за счет более оптимального и безопасного управления доступом.

Также эксплуатация функций IGA-решения Solar inRights позволяет соблюсти отраслевые нормы в сфере охраны конфиденциальной информации. Продукт подходит компаниям, которым законодательство диктует использование отечественных инструментов для управления доступом и защиты корпоративных данных. Система присутствует в реестре российского программного обеспечения и сертифицирована ФСТЭК России, полностью адаптирована под специфику рынка.

ЗАКЛЮЧЕНИЕ

IGA-системы — следующий шаг в развитии решений IdM для управления правами доступа к различным объектам информационной инфраструктуры. В подтверждение этих слов приводим примеры результатов внедрения нашего продукта Solar inRights:

Для бизнеса: сокращение трудозатрат персонала на оформление и согласование необходимых прав, прозрачные процессы управления доступом, безопасная интеграция новых сервисов без потери контроля над полномочиями, быстрая и безболезненная адаптация к изменениям структуры компании.
Для ИТ: сокращение ручного администрирования и трудозатрат за счет автоматизации основных процессов управления доступом к объектам ИС, оптимизация процедуры сбора сведений для аудита данных и прав доступа, отказ от лоскутной автоматизации и переход на централизованное решение, минимизация ошибок под влиянием человеческого фактора благодаря функциям IGA-систем.
Для информационной безопасности: сокращение числа инцидентов, связанных со злоупотреблением полномочиями, надлежащий контроль за исполнением внутренних регламентов, исчерпывающая картина прав доступа сотрудников к тем или иным объектам ИС.

Если говорить в целом, Solar inRights эффективно предотвращает инциденты, которые происходят в результате несанкционированного доступа к данным компании. Централизованная IGA-система с продуманным набором функций не только позволяет управлять учетными записями и полномочиями пользователей, но и становится источником актуальных данных, которые сыграют важную роль в расследовании инцидентов.