Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Управление идентификационными данными пользователей (IDM)

    Цели создания cистемы
    • Снижение издержек на обслуживание процессов управления учётными записями и правами доступа (в том числе на техническую поддержку пользователей в связи с забытыми и/или «просроченными» паролями) и приобретение лицензий на прикладное программное обеспечение.
    • Повышение уровня информационной безопасности посредством организации контроля, автоматизации и централизации управления доступом к информационным системам.
    • Повышение качества обслуживания пользователей прикладных информационных систем.
    Задачи, которые решает cистема
    • Автоматизированное и централизованное управление учётными записями.
    • Оперативное обнаружение, реагирование и контроль избыточных прав доступа.
    • Оперативное получение отчётов, содержащих сведения о правах доступа пользователей и администраторов прикладных информационных систем.
    • Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления идентификационными данными пользователей.

    Значительное количество успешных атак на корпоративные информационные ресурсы связаны с несовершенством процессов управления идентификационными/учётными данными пользователей и избыточностью их прав/привилегий доступа к информационным системам.

    Как правило корпоративные информационные системы имеют как собственные хранилища учётных данных пользователей, так и используют внешние хранилища, например, службу Microsoft Active Directory или LDAP-каталог. При этом для осуществления сотрудниками своих функций администраторам прикладных ИС приходится управлять учётными записями для каждой из систем в отдельности, а служба информационной безопасности компании не имеет возможности полностью контролировать эти процессы. Такая ситуация приводит к тому, что значительное количество сотрудников использует учётные записи с правами, значительно превышающими необходимый для исполнения служебных обязанностей уровень. Также в ИС могут оставаться учётные записи уволенных или переведенных на другую работу сотрудников, что дает возможность несанкционированного доступа к критичной информации, её хищениям. Кроме того, компании часто несут необоснованные финансовые потери в связи с неконтролируемым ростом количества требуемых лицензий в прикладных информационных системах.

    Поэтому задача эффективного управления доступом пользователей и их привилегиями становится особенно актуальной: пользователю должны быть оперативно предоставлены необходимые учётные записи и привилегии, а служба ИБ должна полностью контролировать этот процесс.

    Компания ЭЛВИС-ПЛЮС предлагает решение проблемы управления идентификационными данными пользователей на основе продуктов одного из производителей — мирового лидера в этой области (по оценке Gartner) Oracle Identity Manager и лидера российского рынка решений IDM сертифицированного программного комплекса Avanpost.

    Ключевые возможности
    • Управление всеми учётными записями пользователей филиалов и центрального аппарата организации в гетерогенной среде из единого центра.
    • Формализация и автоматизация бизнес-процессов управления учётными записями.
    • Автоматизация процессов аудита и соответствия политикам безопасности.
    • Автоматизация процессов управления паролями пользователей.
    • Самообслуживание пользователей для самостоятельного запроса привилегий доступа к информационным системам.
    Архитектура и основные функции системы на примере Oracle IDM

    Схема системы управления идентификационными данными пользователей IDM

    Уровень коннекторов Identity Connector Framework (ICF). Oracle IDM интегрируется с любыми прикладными информационными системами посредством гибко настраиваемой технологии безагентных интерфейсов. Имеются разработанные Oracle готовые коннекторы более чем к 30 системам. Технология ICF позволяет организациям создавать собственные коннекторы к прикладным информационным системам, которые не поддерживаются Oracle.

    Уровень ядра Oracle IDM. Сервер приложений с развернутым ПО Oracle Identity Manager является ядром системы и обеспечивает выполнение всего комплекса задач, реализующих функционирование процессов IDM, в том числе сопровождение бизнес-процессов согласования заявок на предоставление доступа и реализацию интерфейсов управления. База данных Системы обеспечивает хранение информации об учетных записях пользователей, ролей, политик доступа.

    Уровень управления. Предусматривает использование веб-интерфейсов Oracle IDM на рабочих станциях пользователей, их руководителей, сотрудников подразделений информационной безопасности, администраторов прикладных ИС.

    Архитектура ПК Avanpost

    Модуль Avanpost IDM решает следующие задачи:

    • Автоматизация процесса управления идентификационными данными пользователей.
    • Централизованное хранение учётных данных.
    • Учёт всех кадровых событий (приём, перевод, увольнение) в режиме реального времени.
    • Регулярный автоматизированный аудит прав доступа всех сотрудников и оперативное выявление несанкционированных отклонений.
    • Создание автоматической системы первичного формирования и последующей ресертификации ролей в рамках ролевой модели доступа.
    • Удобство согласования дополнительных прав доступа с помощью процесса Workflow.

    Три основных модуля системы (IDM, PKI и SSO) работают как единый слаженный комплекс, за счёт чего обеспечивается высокий уровень автоматизации, информационной безопасности и удобства для клиента.

    Для интеграции решения Avanpost в инфраструктуру заказчика используются коннекторы. На текущий момент разработано более 100 коннекторов к самым распространенным ИТ-системам в России. Кроме того, коннекторы могут создаваться интегратором или заказчиком при помощи инструментария разработчика SDK.

    Преимущества от внедрения Системы
    • Снижение затрат на управление учётными записями пользователей.
    • Ускорение выполнения операций по предоставлению и отзыву привилегий доступа, снижение финансовых потерь, связанных с неконтролируемым и необоснованным ростом количества требуемых лицензий в прикладных информационных системах.
    • Повышение эффективности работы подразделения, ответственного за обеспечение ИБ в компании, снижение вероятности финансовых и имиджевых потерь компании, связанных с управлением идентификационными данными пользователей.