Маршрут согласования
Узнать большеПрактически любая информационная система или программа располагает средствами обеспечения доступа к ней. Несмотря на это, компании все активнее внедряют системы управления идентификацией и доступом (далее – СУИД). Одна из причин – ограниченные возможности стандартных средств в сфере контроля, аудита прав и доступов. Многое требуется делать вручную. С ростом количества информационных систем и их пользователей в компании управлять правами и доступом становится сложнее, на это уходит немало времени. В таком случае на помощь приходят программы класса IdM (Identity Management) / IAM (Identity and Access Management). К этой категории относится наш продукт Solar inRights. Подобные решения – важная часть системы информационной безопасности (далее – ИБ) компании.
Возможности решений для централизованного управления идентификацией и доступом, эффекты от их внедрения в организации
-
IdM-системы и аналогичные им решения для централизованного управления идентификацией и доступа к данным решают следующие задачи:
- Единое (централизованное) управление доступами пользователей к информационным ресурсам, конфиденциальным корпоративным данным. Оно включает создание учетных записей пользователей (идентификаторов), управление данными для аутентификации и правами для доступа к информационным ресурсам.
-
Реализация ролевой (RBAC), а также других моделей управления доступом. Кроме того, решения этого класса позволяют комбинировать разные подходы.
-
Сбор статистики и предоставление отчетности. С помощью этих сведений руководство компании оценивает качество соблюдения политик безопасности в компании, принимает решения по их совершенствованию. Также эта информация может использоваться при расследовании инцидентов в сфере ИБ, связанных с доступом.
-
Предотвращение утечек конфиденциальных данных и других инцидентов.
Что получает бизнес при внедрении СУИД
Внедрение СУИД для автоматизации процессов управления идентификацией и доступом дает компании ряд полезных эффектов.
Автоматизация рутинных задач и экономия
Порядка 30–50% обращений во внутренние службы поддержки компаний касаются сброса/восстановления паролей. При этом средний сброс пароля обходится организации в 70 долларов (данные в среднем по миру). На управление доступом в ручном режиме администратор тратит не менее 25% своего рабочего времени. Это все можно ускорить и удешевить.
Согласно исследованиям компании The Radicati Group, Inc., с использованием автоматизированных решений по управлению доступом количество запросов в службу поддержки сокращается на 55%, а нагрузка на администраторов в части управления учетными записями (и соответственно времени ожидания бизнес-пользователями исполнения заявок на доступ) – на 78%.
При внедрении в компании СУИД создается единая точка управления правами доступа сотрудников к различным корпоративным информационным системам. За счет этого значительно ускоряются процедуры создания, изменения и удаления учетных записей в них, а также управления паролями. IdM или аналогичное решение интегрируется с системой кадрового учета. Достаточно внести изменения в систему управления идентификацией и доступом, чтобы необходимые корректировки вносились в другие ИС (например, сотрудник уволился, и его аккаунты в целевых системах блокируются/удаляются).
Внедрение СУИД и автоматизация рутины, связанной с учетными записями, позволит отказаться от «учеток общего пользования», передающихся по смене. Она поможет специалистам по ИБ быстро реагировать на меняющуюся ситуацию: отпуска сотрудников, больничные, временное выполнение обязанностей в рамках другой должности и так далее.
Использование одного набора данных для аутентификации в разных целевых ИС
Внедрение СУИД и соответствующих средств автоматизации позволяет реализовать модель, при которой сотрудники компании могут использовать один набор данных для входа в разные целевые ИС. Главный плюс такой схемы – не только удобство для пользователей. При этом подходе уменьшается вероятность попадания учетных данных в третьи руки. Пользователям не нужно запоминать несколько наборов логинов и паролей. Ведь многие, чтобы не забывать данные, записывают их на стикеры (которые хранятся под клавиатурой или наклеиваются прямо на монитор рабочего компьютера), в личные телефоны, блокноты и в другие места. А значит, есть вероятность получения доступа к ним посторонних лиц.
Быстрая реакция на возможные инциденты в сфере ИБ
IdM/IAM-системы и другие решения для управления идентификацией и доступом не только автоматизируют связанные с этим процессы. Как правило, в них реализован функционал для постоянного мониторинга, а также ресертификации прав доступа. Решения для управления идентификацией и доступом анализируют массив учетных записей и проверяют их соответствие действующим политикам. При обнаружении каких-то отклонений они формируют оповещения для специалистов по информационной безопасности, которые принимают меры по предотвращению вероятных инцидентов. Это позволяет избежать проблем с бесхозными учетными записями, SOD-конфликтов, вызванных избыточными полномочиями, а также других нежелательных ситуаций.
Реализация парольной политики, соответствующей требованиям безопасности
Централизованное автоматизированное управление идентификацией и доступом позволит создавать для пользователей надежные и безопасные пароли, соответствующие определенным критериям (минимальная длина, набор символов и так далее). Также в этом случае облегчается реализация таких мер, как регулярная смена паролей (на то, чтобы сделать это вручную в каждой целевой ИС, уходит немало времени).
Управление идентификацией и доступом с помощью IdM/IAM-решений можно организовать в различных целевых программах и ИС. Среди них операционные системы, СУБД, ERP, CRM, программы кадрового, складского, бухгалтерского, а также других видов учета, веб-приложения, системы удаленных рабочих столов и так далее. Взаимодействие с целевыми ИС происходит при помощи коннекторов. Для внедрения СУИД каких-то глобальных изменений в IT-инфраструктуру компании вносить не нужно. Потребуется обследование ресурсов, к которым будет упорядочиваться доступ, описание бизнес-задач конкретных сотрудников и подразделений, формализация порядка предоставления полномочий и прав доступа, разработка ролевой модели. Все это может взять на себя вендор (разработчик) решения, которое вы планируете внедрить.