Управление правами доступа: жизнь налаживается!

Дмитрий Бондарь
Менеджер по развитию направления IdM
Центра информационной безопасности
компании “Инфосистемы Джет”

С другой стороны, "коробочные" решения отечественного производства. Они достаточно дешевы, обладают базовым функционалом, но практически не адаптируются под нужды компании и не решают всех необходимых задач. Их доработка возможна только собственными силами производителя, что влечет за собой множество неприятных последствий – от зависимости от одного поставщика, до необходимости менять платформу вследствие роста компании и ее потребностей. Выбор действительно непростой.

От выбора между стоимостью и качеством к новому решению

Конфликт между высокой стоимостью и качеством системы IdM делает актуальным вопрос разработки нового IdM-решения, которое совмещало бы в себе два существующих подхода и в то же время было бы лишено их недостатков. Для этого мы объединили свой опыт внедрения IdM-решений в нескольких десятках ведущих российских компаний и технические возможности современных западных решений. За основу взяли зрелую IdM-платформу от компании IBM, на базе которой реализован функционал, наиболее востребованный российскими компаниями, разработаны необходимые процессы, формы, отчеты и модули интеграции с информационными системами – все то, что составляет значительную часть проектов внедрения IdM. Новый продукт получил название Jet inView Identity Manager и представляет собой полноценное IdM-решение с высоким уровнем функциональной зрелости и гибкости, сопоставимое по стоимости с "коробочными" продуктами. Использование технологической платформы обеспечивает высокий функциональный потенциал и возможность подстраиваться под инфраструктуру. А применение лучших практик внедрения IdM позволяет решать все необходимые задачи, востребованные нашими клиентами, и значительно сокращает трудоемкость и стоимость внедрения решения.

Управление доступом как процесс

Для получения и обработки кадровой информации Jet inView Identity Manager интегрируется с кадровыми системами, а для управления учетными записями – с целевыми информационными системами. В настоящий момент Jet inView Identity Manager имеет 40 интеграционных модулей.

Логика обработки кадровых событий и управления учетными записями целевых систем настраивается в процессах управления доступом (workflow). В продукте реализованы все процессы, наиболее востребованные на российском рынке. В том числе: "прием на работу", "перевод по должности", "увольнение", "запрос прав", "отзыв прав", "запрос прав на время", "пересмотр прав", "обнаружение несогласованных полномочий", "контроль SoD-конфликтов". Например, при приеме на работу сотруднику автоматически выдается базовый набор учетных записей и полномочий в соответствии с его должностью и подразделением, а при переводе по должности набор его полномочий пересматривается.

Система поддерживает управление несколькими типами сотрудников: штатные сотрудники, внештатники и технологические учетные записи. Для каждого из них используются отдельные формы графического интерфейса и процессы управления доступом. Для сотрудников, не представленных в кадровой системе, например внештатников, предусмотрен интерфейс ручного заведения.

В Jet inView Identity Manager реализована иерархическая ролевая модель с поддержкой множества типов ролей. Роль может включать в себя другие роли, а также полномочия в одной или нескольких целевых системах. Роли могут назначаться как автоматически, на основании данных сотрудника, так и вручную – через заявки. При этом их назначение сотруднику приводит к предоставлению ему соответствующих прав доступа в целевых системах.

Интерфейс и отчеты: friendly & efficiently

Система обладает единым пользовательским интерфейсом. Доступ ко всем его элементам разграничивается на основании ролей. Штатно в системе реализованы роли "Сотрудник", "Руководитель", "Владелец ресурса", "Администратор ИБ", "Администратор IdM".

Через интерфейс системы сотрудники могут просматривать свои права доступа и учетные записи в информационных системах, статус своих заявок на доступ, создавать и согласовывать их, сбрасывать пароль. Руководители, помимо контроля своих прав доступа, могут управлять правами своих подчиненных.

Все действия в системе журналируются с сохранением даты и времени события, инициатора, объекта изменения, старого и нового значений. Просмотр журналов событий осуществляется через графический интерфейс и посредством отчетов (в настоящий момент их 32), с помощью которых можно получать данные о текущем состоянии прав доступа пользователей, истории их изменений, об активных и согласованных заявках и т.д. Также в системе реализованы специализированные отчеты, которые часто требуются для проведения расследований инцидентов и IТ-аудита. Например, отчеты о состоянии прав доступа сотрудника на определенную дату в прошлом, об истории согласования и изменения прав сотрудника.

Настройка форм пользовательского интерфейса, автоматизированных процессов и отчетов осуществляется в специализированных графических инструментах.

Внедрение в стиле fix-price

При внедрении Jet inView Identity Manager используются заложенные в него шаблоны бизнес-процессов, отчетов и форм графического интерфейса с определенной степенью адаптации под требования компании. Например, в бизнес-процессах можно поменять порядок или отключать ненужные шаги согласования. На формах можно менять состав и порядок атрибутов.

Интеграция с информационными системами осуществляется посредством имеющихся модулей. Однако если в компании используется информационная система, широко распространенная на российском рынке, то модуль для интеграции с ней мы разрабатываем собственными силами и эта разработка не влияет на итоговую стоимость проекта.

При соблюдении такого подхода стоимость проекта с учетом работ и всего необходимого ПО составит около $200 000 для компании со штатом 1000 человек, а внедрение системы займет не более 6 месяцев. В дальнейшем, по мере накопления опыта работы с системой, можно наращивать ее функционал и расширять границы внедрения в соответствии со своими потребностями.

Как показывает практика, такой подход наиболее оптимален для компаний со штатом от 500 до 2 тыс. человек, в силу большей гибкости их процессов в сравнении с более крупными организациями.

Cui prodest? Или кому нужен Jet inView IdM?

Как уже говорилось, продукт интересен прежде всего компаниям с численностью штата от 500 до 2 тыс. человек. При этом сектор экономики особого значения не имеет. К факторам, свидетельствующим в пользу внедрения системы IdM в рамках той или иной компании, можно отнести:

• повышенное внимание к контролю прав доступа к ИС;
• наличие замечаний аудиторов в части проблем управления правами доступа;
• необходимость оптимизации операционных расходов на IТ;
• планы по выходу на IPO или повышение своей финансовой прозрачности.

В целом Jet inView Identity Manager подходит всем компаниям, которые хотят снизить риски несанкционированного доступа к информационным системам и сократить операционные расходы.