Маршрут согласования
Узнать большеВсе компании используют компьютерные системы, сервисы и приложения, следовательно, в информационной инфраструктуре присутствует немалое количество учетных записей, наделенных различными полномочиями. Непродуманное управление ими неизменно приведет к хаосу: слабому контролю, долгим процессам назначения и отзыва прав, появлению бесхозных аккаунтов, которые могут быть захвачены злоумышленниками и т.д. К тому же, если правами доступа будут заведовать администраторы (как это часто бывает при децентрализованном управлении), в системе появится больше привилегированных учетных записей, компрометация которых может привести к серьезным негативным последствиям. Подобные риски снижаются благодаря управлению учетными записями посредством продуктов класса Identity Governance and Administration (далее — IGA). Разберемся, что это за решения, какие функции они выполняют, каким образом позволяют прийти к порядку в разрозненных информационных системах.
Что такое IGA, функции продуктов этого класса
IGA-системами называют решения программного формата, позволяющие выстроить организованное управление всеми учетными записями в используемых предприятиями информационных системах (ИС). Такие платформы облегчают работу с учетками, обеспечивают исполнение внутренних регламентов, связанных с доступом к объектам ИС, минимизируют проблему избыточных полномочий и в целом способствуют повышению уровня информационной безопасности.
Функции IGA-системы эффективно выполняются благодаря тому, что платформа с помощью коннекторов интегрируется с доверенными системами (например, кадровыми), откуда получает актуальную и полную информацию о сотрудниках и организационной структуре. Далее платформа IGA управляет правами доступа в целевых информационных системах компании, которые используют сотрудники для выполнения своих обязанностей. Как только в кадровых источниках появляются новые сведения или дополнения, они сразу же обрабатываются IGA-решением. Затем в автоматическом режиме производятся изменения в подключенных информационных системах по утвержденному сценарию или автоматически формируются определенные заявки, которые направляются на согласование ответственным лицам (офицерам службы информационной безопасности, руководителям подразделений, владельцам ресурсов).
Какие задачи решают IGA-системы, в частности, платформа Solar inRights, которая располагает эффективными инструментами для управления доступом:
- Управляют доступом на базе ролевого подхода (в рамках которого каждому сотруднику назначается определенная роль в соответствии с должностью и рабочими обязанностями) и внутренних регламентов компании.
- Управляют жизненным циклом всех учеток, зарегистрированных в ИС предприятия.
- Хранят сведения о доступах к объектам целевых ИС и генерируют детализированную отчетность.
- Оптимизируют процессы назначения полномочий благодаря модулю обработки заявок.
- Предоставляют руководителям организации, офицерам службы безопасности и владельцам целевых систем инструменты для эффективного контроля доступа.
- Обеспечивают исполнение соглашений Service Level Agreement (SLA) и непрерывность бизнеса.
Также среди функций IGA-систем управление паролями: автоматическая генерация надежных комбинаций и их использование в соответствии с требованиями политики безопасности, применение парольных политик как комплексно для всех систем, так и для отдельных.
Разница между подходами и функциями систем IGA и IdM
Платформы управления доступом и учетными записями часто обозначаются двойной аббревиатурой — IdM/IGA, поэтому многие уверены, что продукты Identity Management (далее — IdM) тождественны продуктам класса IGA. Это не совсем верное утверждение. Системы действительно выполняют практически идентичные задачи, но у них разный фокус, например, в функциях IGA-платформ больше аналитики, и они направлены на управление доступом в крупных компаниях уровня Enterprise, где главной задачей является исполнение различных политик, касающихся регламентации доступа и снижения рисков ИБ. IdM-решения могут применяться в компаниях любого масштаба, и основной фокус их работы направлен на автоматизацию жизненного цикла учетных записей и управления правами пользователей.
Фактически платформы класса IGA — это модернизированные IdM-решения, позволяющие эффективнее работать с ролевой моделью управления доступом, с учетом скоринга рисков применять расширенные инструменты управления объектами доступа, реализовывать гибкий подход к выдаче прав и администрированию. Компании все чаще используют именно их, но от использования двойного названия еще не ушли.
Функции IGA-систем, которые отсутствуют в IdM-платформах
Функции решений IGA, которые мотивируют предприятия переходить на новую, более продуманную модель управления доступом:
- Гибкий подход к сертификации и ресертификации доступа, то есть проверке и «узакониванию» назначенных сотруднику прав. Эти процессы касаются в основном тех полномочий, которые существовали еще до внедрения IGA-системы и были внесены в матрицу ролевой модели управления доступом. Важно провести проверку таких прав, чтобы выяснить, какие актуальны и действительно нужны сотруднику, согласовать их. Этот процесс будет называться сертификацией доступа. Ресертификация подразумевает аналогичные операции, но реализуется при смене условий, например, изменении функций сотрудников или реорганизации подразделений. Благодаря функциям IGA-решения процесс валидации полномочий проходит быстро и четко, в соответствии с внутренними регламентами.
- Выявление и минимизация SOD-конфликтов — ситуаций, когда один сотрудник наделен несовместимыми полномочиями. Примеры конфликтующих прав: регистрация/авторизация, регистрация/хранение, хранение/проверка и т.д. Такие операции не должны выполняться одним человеком, если есть возможность поручить задачу двум и более сотрудникам. Также конфликтовать могут не только отдельные полномочия, но и целые роли. IGA-решения помогают выявлять такие ситуации и реализовывать принцип разделения ответственности согласно заданному сценарию. Например, система может попросить отредактировать заявку на предоставление тех или иных прав или направить ее ответственным лицам на дополнительное согласование.
- Скоринг рисков для всех ролей и прав. Эта функция IGA-решения позволяет присваивать правам доступа и учетным записям ту или иную степень риска. Например, критически высокая часто сопряжена с привилегированными учетными записями, наделенными расширенными полномочиями в ИС. Подсчет рисков осуществляется автоматически в момент назначения полномочий или анализа заявок на предоставление прав доступа.
- Возможность управлять не только аккаунтами в целевых ИС, но и доступом к смежным объектам, например, группам или папкам.
Еще одна функция IGA-платформ, которая в продуктах класса IdM была реализована на более низком уровне — гибкость при работе с заявками на предоставление доступа к информационным ресурсам, в процессах создания новых или изменения существующих учетных записей. Если в заявке содержится несколько пунктов, возможно принятие отдельных решений по каждому из них. Это касается и пользователей, и запрашиваемых полномочий. Если требуется привлечь к рассмотрению и согласованию дополнительных ответственных сотрудников, заявку можно делегировать. Если нужно получить дополнительную информацию или обоснование, заявку можно вернуть заявителю с комментариями, и тогда инициатор сможет добавить дополнительное текстовое описание или приложить отдельный документ.
Кроме того, IGA-решение позволяет гибко формировать маршруты согласования заявок, используя удобный визуальный конструктор: применять различные условия на каждом шаге согласования, настраивать условия эскалации и многое другое.
Преимущества внедрения систем IGA и эксплуатации их функций
Внедряя IGA-платформу, компании получают в распоряжение гибкий программный комплекс, который можно настраивать под актуальные задачи. Что это дает:
- Повышение уровня информационной безопасности и минимизацию рисков несанкционированного доступа к корпоративным данным, злоупотребления привилегиями.
- Значительное сокращение затрат на управление учетными данными и администрирование прав доступа.
- Улучшение условий работы и производительности сотрудников, повышение эффективности бизнес-процессов за счет более оптимального и безопасного управления доступом.
Также эксплуатация функций IGA-решения Solar inRights позволяет соблюсти отраслевые нормы в сфере охраны конфиденциальной информации. Продукт подходит компаниям, которым законодательство диктует использование отечественных инструментов для управления доступом и защиты корпоративных данных. Система присутствует в реестре российского программного обеспечения и сертифицирована ФСТЭК России, полностью адаптирована под специфику рынка.
