Управление идентификацией и доступом

Практически любая информационная система или программа располагает средствами обеспечения доступа к ней. Несмотря на это, компании все активнее внедряют системы управления идентификацией и доступом (далее – СУИД). Одна из причин – ограниченные возможности стандартных средств в сфере контроля, аудита прав и доступов. Многое требуется делать вручную. С ростом количества информационных систем и их пользователей в компании управлять правами и доступом становится сложнее, на это уходит немало времени. В таком случае на помощь приходят программы класса IdM (Identity Management) / IAM (Identity and Access Management). К этой категории относится наш продукт Solar inRights. Подобные решения – важная часть системы информационной безопасности (далее – ИБ) компании.

Возможности решений для централизованного управления идентификацией и доступом, эффекты от их внедрения в организации

  • IdM-системы и аналогичные им решения для централизованного управления идентификацией и доступа к данным решают следующие задачи:

  • Единое (централизованное) управление доступами пользователей к информационным ресурсам, конфиденциальным корпоративным данным. Оно включает создание учетных записей пользователей (идентификаторов), управление данными для аутентификации и правами для доступа к информационным ресурсам.
  • Реализация ролевой (RBAC), а также других моделей управления доступом. Кроме того, решения этого класса позволяют комбинировать разные подходы.

  • Сбор статистики и предоставление отчетности. С помощью этих сведений руководство компании оценивает качество соблюдения политик безопасности в компании, принимает решения по их совершенствованию. Также эта информация может использоваться при расследовании инцидентов в сфере ИБ, связанных с доступом.

  • Предотвращение утечек конфиденциальных данных и других инцидентов.

Что получает бизнес при внедрении СУИД

Внедрение СУИД для автоматизации процессов управления идентификацией и доступом дает компании ряд полезных эффектов.

Автоматизация рутинных задач и экономия

Порядка 30–50% обращений во внутренние службы поддержки компаний касаются сброса/восстановления паролей. При этом средний сброс пароля обходится организации в 70 долларов (данные в среднем по миру). На управление доступом в ручном режиме администратор тратит не менее 25% своего рабочего времени. Это все можно ускорить и удешевить.

Согласно исследованиям компании The Radicati Group, Inc., с использованием автоматизированных решений по управлению доступом количество запросов в службу поддержки сокращается на 55%, а нагрузка на администраторов в части управления учетными записями (и соответственно времени ожидания бизнес-пользователями исполнения заявок на доступ) – на 78%.

При внедрении в компании СУИД создается единая точка управления правами доступа сотрудников к различным корпоративным информационным системам. За счет этого значительно ускоряются процедуры создания, изменения и удаления учетных записей в них, а также управления паролями. IdM или аналогичное решение интегрируется с системой кадрового учета. Достаточно внести изменения в систему управления идентификацией и доступом, чтобы необходимые корректировки вносились в другие ИС (например, сотрудник уволился, и его аккаунты в целевых системах блокируются/удаляются).

Внедрение СУИД и автоматизация рутины, связанной с учетными записями, позволит отказаться от «учеток общего пользования», передающихся по смене. Она поможет специалистам по ИБ быстро реагировать на меняющуюся ситуацию: отпуска сотрудников, больничные, временное выполнение обязанностей в рамках другой должности и так далее.

Использование одного набора данных для аутентификации в разных целевых ИС

Внедрение СУИД и соответствующих средств автоматизации позволяет реализовать модель, при которой сотрудники компании могут использовать один набор данных для входа в разные целевые ИС. Главный плюс такой схемы – не только удобство для пользователей. При этом подходе уменьшается вероятность попадания учетных данных в третьи руки. Пользователям не нужно запоминать несколько наборов логинов и паролей. Ведь многие, чтобы не забывать данные, записывают их на стикеры (которые хранятся под клавиатурой или наклеиваются прямо на монитор рабочего компьютера), в личные телефоны, блокноты и в другие места. А значит, есть вероятность получения доступа к ним посторонних лиц.

Быстрая реакция на возможные инциденты в сфере ИБ

IdM/IAM-системы и другие решения для управления идентификацией и доступом не только автоматизируют связанные с этим процессы. Как правило, в них реализован функционал для постоянного мониторинга, а также ресертификации прав доступа. Решения для управления идентификацией и доступом анализируют массив учетных записей и проверяют их соответствие действующим политикам. При обнаружении каких-то отклонений они формируют оповещения для специалистов по информационной безопасности, которые принимают меры по предотвращению вероятных инцидентов. Это позволяет избежать проблем с бесхозными учетными записями, SOD-конфликтов, вызванных избыточными полномочиями, а также других нежелательных ситуаций.

Реализация парольной политики, соответствующей требованиям безопасности

Централизованное автоматизированное управление идентификацией и доступом позволит создавать для пользователей надежные и безопасные пароли, соответствующие определенным критериям (минимальная длина, набор символов и так далее). Также в этом случае облегчается реализация таких мер, как регулярная смена паролей (на то, чтобы сделать это вручную в каждой целевой ИС, уходит немало времени).

Управление идентификацией и доступом с помощью IdM/IAM-решений можно организовать в различных целевых программах и ИС. Среди них операционные системы, СУБД, ERP, CRM, программы кадрового, складского, бухгалтерского, а также других видов учета, веб-приложения, системы удаленных рабочих столов и так далее. Взаимодействие с целевыми ИС происходит при помощи коннекторов. Для внедрения СУИД каких-то глобальных изменений в IT-инфраструктуру компании вносить не нужно. Потребуется обследование ресурсов, к которым будет упорядочиваться доступ, описание бизнес-задач конкретных сотрудников и подразделений, формализация порядка предоставления полномочий и прав доступа, разработка ролевой модели. Все это может взять на себя вендор (разработчик) решения, которое вы планируете внедрить.

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах