Управление идентификационными данными пользователей (IDM)
Цели создания cистемы
- Снижение издержек на обслуживание процессов управления учётными записями и правами доступа (в том числе на техническую поддержку пользователей в связи с забытыми и/или «просроченными» паролями) и приобретение лицензий на прикладное программное обеспечение.
- Повышение уровня информационной безопасности посредством организации контроля, автоматизации и централизации управления доступом к информационным системам.
- Повышение качества обслуживания пользователей прикладных информационных систем.
Задачи, которые решает cистема
- Автоматизированное и централизованное управление учётными записями.
- Оперативное обнаружение, реагирование и контроль избыточных прав доступа.
- Оперативное получение отчётов, содержащих сведения о правах доступа пользователей и администраторов прикладных информационных систем.
- Определение прав, обязанностей и разграничение зон ответственности персонала компании в области управления идентификационными данными пользователей.
Значительное количество успешных атак на корпоративные информационные ресурсы связаны с несовершенством процессов управления идентификационными/учётными данными пользователей и избыточностью их прав/привилегий доступа к информационным системам.
Как правило корпоративные информационные системы имеют как собственные хранилища учётных данных пользователей, так и используют внешние хранилища, например, службу Microsoft Active Directory или LDAP-каталог. При этом для осуществления сотрудниками своих функций администраторам прикладных ИС приходится управлять учётными записями для каждой из систем в отдельности, а служба информационной безопасности компании не имеет возможности полностью контролировать эти процессы. Такая ситуация приводит к тому, что значительное количество сотрудников использует учётные записи с правами, значительно превышающими необходимый для исполнения служебных обязанностей уровень. Также в ИС могут оставаться учётные записи уволенных или переведенных на другую работу сотрудников, что дает возможность несанкционированного доступа к критичной информации, её хищениям. Кроме того, компании часто несут необоснованные финансовые потери в связи с неконтролируемым ростом количества требуемых лицензий в прикладных информационных системах.
Поэтому задача эффективного управления доступом пользователей и их привилегиями становится особенно актуальной: пользователю должны быть оперативно предоставлены необходимые учётные записи и привилегии, а служба ИБ должна полностью контролировать этот процесс.
Компания ЭЛВИС-ПЛЮС предлагает решение проблемы управления идентификационными данными пользователей на основе продуктов одного из производителей — мирового лидера в этой области (по оценке Gartner) Oracle Identity Manager и лидера российского рынка решений IDM сертифицированного программного комплекса Avanpost.
Ключевые возможности
- Управление всеми учётными записями пользователей филиалов и центрального аппарата организации в гетерогенной среде из единого центра.
- Формализация и автоматизация бизнес-процессов управления учётными записями.
- Автоматизация процессов аудита и соответствия политикам безопасности.
- Автоматизация процессов управления паролями пользователей.
- Самообслуживание пользователей для самостоятельного запроса привилегий доступа к информационным системам.
Архитектура и основные функции системы на примере Oracle IDM
Уровень коннекторов Identity Connector Framework (ICF). Oracle IDM интегрируется с любыми прикладными информационными системами посредством гибко настраиваемой технологии безагентных интерфейсов. Имеются разработанные Oracle готовые коннекторы более чем к 30 системам. Технология ICF позволяет организациям создавать собственные коннекторы к прикладным информационным системам, которые не поддерживаются Oracle.
Уровень ядра Oracle IDM. Сервер приложений с развернутым ПО Oracle Identity Manager является ядром системы и обеспечивает выполнение всего комплекса задач, реализующих функционирование процессов IDM, в том числе сопровождение бизнес-процессов согласования заявок на предоставление доступа и реализацию интерфейсов управления. База данных Системы обеспечивает хранение информации об учетных записях пользователей, ролей, политик доступа.
Уровень управления. Предусматривает использование веб-интерфейсов Oracle IDM на рабочих станциях пользователей, их руководителей, сотрудников подразделений информационной безопасности, администраторов прикладных ИС.
Архитектура ПК Avanpost
Модуль Avanpost IDM решает следующие задачи:
- Автоматизация процесса управления идентификационными данными пользователей.
- Централизованное хранение учётных данных.
- Учёт всех кадровых событий (приём, перевод, увольнение) в режиме реального времени.
- Регулярный автоматизированный аудит прав доступа всех сотрудников и оперативное выявление несанкционированных отклонений.
- Создание автоматической системы первичного формирования и последующей ресертификации ролей в рамках ролевой модели доступа.
- Удобство согласования дополнительных прав доступа с помощью процесса Workflow.
Три основных модуля системы (IDM, PKI и SSO) работают как единый слаженный комплекс, за счёт чего обеспечивается высокий уровень автоматизации, информационной безопасности и удобства для клиента.
Для интеграции решения Avanpost в инфраструктуру заказчика используются коннекторы. На текущий момент разработано более 100 коннекторов к самым распространенным ИТ-системам в России. Кроме того, коннекторы могут создаваться интегратором или заказчиком при помощи инструментария разработчика SDK.
Преимущества от внедрения Системы
- Снижение затрат на управление учётными записями пользователей.
- Ускорение выполнения операций по предоставлению и отзыву привилегий доступа, снижение финансовых потерь, связанных с неконтролируемым и необоснованным ростом количества требуемых лицензий в прикладных информационных системах.
- Повышение эффективности работы подразделения, ответственного за обеспечение ИБ в компании, снижение вероятности финансовых и имиджевых потерь компании, связанных с управлением идентификационными данными пользователей.
