Одним из эффектов от внедрения IDM является уменьшение ручного труда. Автоматизируется процесс восстановления паролей, процесс предоставления заявок на доступ, процесс сбора данных для аудита и расследования при сбоях информационной безопасности.
Ещё один эффектом от внедрения, который мы уже рассматривали в предыдущей главе, это сокращение времени ожидания доступа. Система IDM автоматически предоставляет пользователя доступ к информационным системам при приеме на работу, переводе или увольнение.
Третьим эффектом от внедрения системы является снижение рисков информационной безопасности. Рассмотрим несколько значимых аспектов для информационной безопасности:
- Интеграция с кадровым делопроизводством позволяет автоматически пересматривать права доступа пользователя при изменениях его положения в компании;
- Системы IDM запрограммированы на корректную работу процесса согласования доступа;
- IDM позволяют проводить аудит прав доступа и выявлять ошибки при возникновении сбоев;
- Система строит ролевую модель, при которой предоставления прав будет зависеть только от положения пользователя в компании.
Идеология IDM заключается в том, чтобы иметь единую точку, где в компании все процессы управления доступом будут централизованы. Среди преимуществ IDM-систем выделяют следующие:
- Автоматизация процесса администрирования. В компании меньше тратиться времени на рутинные задачи, так как система сама назначает права и отбирает их в соответствие с жизненном циклом.
- Самообслуживание. У сотрудников есть возможность самим зайти на портал самообслуживания, запросить доступ или поменять пароль.
- Авторизация сводится к единым пакетным ролям. Сотрудник получает набор прав в разных корпоративных системах, которые необходимы ему для работы и соответствуют его функциональной нагрузке.
- Аттестация происходит автоматически. Система периодически проводит проверку прав доступа у всех сотрудников.
- Аудит и отчётность. В пару кликов можно получить любой отчёт, проверить права пользователей, проверить, не был ли доступ получен в обход системы.
- Стандарты соответствия. Система помогает достигать необходимых требований в области безопасности с помощью механизма применения соответствующих политик.
Подводя итог, система IDM будет полезна компаниям, у которых много сотрудников, большая текучка кадров, в администрирование находится много
корпоративных информационных систем, происходит много кадровых событий, не своевременно отзываются права у сотрудников, большая загрузка в ИТ-администрировании и беспорядок в учете данных.
Для обеспечения доступа к корпоративным ресурсам в компании необходимо проводить: авторизацию, администрирование, аттестацию, аудит. Авторизация включает в себя создание учётной записи и предоставление доступа пользователю к нужным ресурсам. В администрирование входит быстрая и корректная настройка учётных записей. Аттестация — это периодическая проверка прав доступа в системе, а с помощью аудита можно оценить безопасность выданных доступов.
Обычно в компании отдельные специалисты занимаются администрированием систем или созданием учётных записей. На администрирование корпоративных систем уходят большие трудозатраты, и разобраться во всей инфраструктуре компании становится сложно. Единая система управления доступом как раз позволяет видеть общую картину доступов всех подключенных пользователей.
Стоит рассмотреть несколько сценариев применения IDM в современных компаниях. Обычно использование IDM начинается с автоматизации жизненного цикла доступа (приема, перевода, увольнение). Когда сотрудник приходит на работу, о нем и его должности заносится информация в кадровой системе, после чего автоматически предоставляется доступ в соответствие с ролевой моделью. IDM будет поддерживать корректное и надёжное ведение учётных данных пользователей, начиная с приема на работу и заканчивая его увольнением.
После внедрения IDM-системы создается ролевая модель. В соответствие с должностью сотрудник будет получать доступ за пару минут. Доступ сотрудника меняется, например, когда он переводится в другой отдел, уходит в отпуск или уходит из компании. Люди, которые раннее занимались согласованием доступа, теперь могут заниматься администрированием систем.
Любое современное IDM-решение интегрируется с системами с помощью коннекторов. IDM имеет как стандартные коннекторы, так и коннекторы конструкторы, которые позволяю установить связь практически с любой системой, даже специфической.
Второй сценарий — это реализация портала заявок и самообслуживания. На портале есть некая витрина со всеми корпоративными системами, пользователь может запросить доступ для себя или для другого сотрудника в какую-либо из этих систем. Сотрудник может просматривать информацию о том, что входит в его доступ, например, стандартный или расширенный доступ в интернет. После того, как он оставил заявку, может отслеживать её статус на портале.
Третий сценарий применения IDM — сброс пароля к системам. Новых пользователей, которые не активно пользуются нововведениями, можно завлечь на портал данным функционалом. У пользователя будет возможность сбросить свой пароль к разным системам, оставив заявку на портале. Если заявка будет оформляться руководителем сотрудника, то никаких дополнительных подтверждений не потребуется. Если какой-либо другой сотрудник будет запрашивать доступ, то будет требоваться согласование.
Четвёртый сценарий представляет собой создание ролевой модели. Создавать каждый раз новые заявки очень трудоёмко. В системе можно настраивать доступна основе агрегаций, например, по организационному штату, по геолокации, по бизнес-ролям. Сотрудник, которые приходит на какую-то должность, на какую-то локацию, в какой-то проект, будет автоматически получать доступ, который ему необходим для работы. Таким образом, компания начинает больше опираться на ролевую модель, и с каждым разом уменьшается количество новых заявок.
В системе предусмотрен role mining (конструктор ролей), он даёт возможность провести статический анализ. Например, если у ряда пользователей одинаковые права, то их можно будет объединить в одну роль.
Пятый сценарий включает в себя контроль и аудит доступа. В системе предусмотрены возможности для контроля: анализрисков и угроз, исторический
анализ, контроль SoD, соответствие требованиям. Механизм контроля соответствия требованиям бизнес-процессов и политик ИБ включает в себя: аттестацию прав доступа при кадровых изменениях; ежеквартальные или ежегодные проверки прав доступа к целевым системам.
Принципы успешного внедрения IDM-системы:
- IDM должна интегрироваться и работать с системами, которые обеспечивают информационную безопасность компании, например, СКУД;
- Выгодное и удобное использование системы для всех подразделений;
- Обучение персонала и повышение квалификации у администраторов IDM.
Стоит отметить, что в настоящее время отечественные решения IDM являются конструкторами и могут подстраиваться под любые бизнес-процессы. Поэтому системы при внедрении могут, как настраиваться, так и программироваться.
