Получить консультацию по Solar inRights

IGA-система (Identity Governance and Administration) – программное решение для управления учетными записями пользователей в различных информационных системах (далее – ИС), программах и приложениях. С ее помощью обеспечивается исполнение регламентов по управлению правами доступа пользователей к информационным ресурсам, упорядочиваются и централизуются процессы работы с «учетками» в разных ИС.

Решение соединяется с кадровыми системами и целевыми ИС (CRM, ERP, Active Directory, базы данных и так далее) при помощи специальных коннекторов. Как только появляется или меняется информация в кадровых системах, соответствующие изменения обрабатываются IGA и готовятся к внесению в целевые ИС. Это происходит автоматически по заранее согласованному и утвержденному регламенту либо направляется на одобрение руководителю, администратору, офицеру ИБ или владельцу ресурса.

IdM и IGA – это одно и то же?

IGA принято считать эволюцией систем класса IdM (Identity Management). На Западе уже практически ушли от использования аббревиатуры IdM. В России и СНГ эти понятия пока отождествляются, и их часто используют вместе, например, так: IdM/IGA-система Solar inRights.

Оба решения выполняют схожие функции. Но есть некоторые различия в подходах. В IdM в центре внимания – целевые системы и учетные записи в них. В IGA – пользователь. Такой подход позволяет реализовать ролевую модель управления доступом, обуславливает лучшую гибкость решений и большие возможности по администрированию/управлению правами и полномочиями. И он используется все чаще.

Функции IGA-систем, решаемые с их помощью задачи

В современных компаниях используется несколько программ, приложений и ИС для работы. Зачастую правами доступа в них заведуют разные люди (системные администраторы). Такой децентрализованный подход имеет ряд недостатков. Во-первых, значительно увеличивается время на создание учетных записей во всех ИС, предоставление/изменение полномочий и прочие процедуры. Во-вторых, контролировать «учетки» в разрозненных системах сложно. В результате этого появляются «бесхозные» аккаунты, которые могут использоваться злоумышленниками для несанкционированного доступа к информации. В-третьих, возрастает вероятность компрометации привилегированных учетных записей в используемых компанией ИС. При децентрализованном управлении становится больше «учеток» администраторов, а значит, путей несанкционированного проникновения и доступа к важной корпоративной информации у злоумышленников появляется больше. Управление учетными записями посредствам IGA-решений позволяет избежать этих проблем.

Кроме того, среди функций программ Identity Governance and Administration:

  • Предотвращение инцидентов, связанных с избыточными правами доступа, в том числе SoD-конфликтов (когда один пользователь обладает полномочиями, позволяющими единолично принимать решения по критически важным для компании вопросам/процессам).

  • Регулярный аудит и ресертификация прав доступа. IGA-системы делают это автоматически (по расписанию) или по запросу.

  • Приведение системы управления правами доступа и контроля полномочий в компании в соответствие с нормативными документами, локальными, отраслевыми, государственными и международными стандартами.

  • Использование системы быстрой обработки заявок на создание учетных записей в целевых ИС, изменение, удаление и на другие действия. Все делается через удобный веб-интерфейс, нет бумажной волокиты, заявки обрабатываются оперативно.

  • Накопление информации, которая может быть использована при расследовании инцидентов в области информационной безопасности. В базе данных IGA-решения содержатся сведения о том, кто какими правами и полномочиями обладал в конкретный момент времени. Это может использоваться как доказательная база в ходе проведения разбирательств.

Полезные возможности современных IGA-систем последней генерации

В современных решениях класса IGA реализован скоринг рисков. Они подсчитываются на основе оценки совокупности полномочий пользователя. По результатам скоринга принимаются меры для компенсации рисков. Они могут быть разными: предупреждение, добавление дополнительных этапов в процесс согласования/получения полномочий или прав либо автоматический отзыв прав при ресертификации.

Также современные IGA-системы обеспечивают гибкость при рассмотрении заявок. Раньше в IdM при подаче заявки, включающей несколько запросов на создание/изменение учетных записей в разных целевых системах при получении отказа хотя бы по одному пункту, автоматически формировался отказ по всей заявке. Запросы по оставшимся пунктам приходилось составлять заново. Теперь же (по крайней мере, так это реализовано в нашем продукте Solar inRights) при рассмотрении заявки принятие решений возможно по каждому пункту по отдельности.

Еще одна особенность решений этого класса – возможность управления не только учетными записями / аккаунтами в целевых информационных системах, но и смежными объектами. К ним относятся папки, группы и так далее.

Что дает бизнесу внедрение IGA/IdM-систем

Решения этого класса находятся на стыке интересов IT и информационной безопасности. Соответственно, их внедрение приносит пользу для специалистов обоих направлений. С точки зрения ИБ IGA дает следующие эффекты:

  • Контроль над правами доступа, в том числе и над «токсичными» (SoD).

  • Автоматизация процессов аудита и сертификации прав доступа.

  • Создание полного архива действий с учетными записями и правами доступа.

  • Приведение системы управления полномочиями в соответствие требованиям документов ИБ.

  • Минимизация рисков, связанных с «бесхозными учетками», а также аккаунтами общего пользования.

Что касается эффектов для IT-специалистов, польза подобных решений проявляется в автоматизации процессов. Автоматизируется создание учетных записей, выдача, изменение, отзыв прав доступа, сброс паролей. IT-специалисты (администраторы и другие) получают единую точку для управления «учетками» и аккаунтами во всех ИС, использующихся в компании.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Узнать больше
Как обеспечить безопасность паролей и как часто нужно их менять?

Как обеспечить безопасность паролей и как часто нужно их менять?

Узнать больше
Регламент предоставления доступа к информационным ресурсам

Регламент предоставления доступа к информационным ресурсам

Узнать больше