Управление доступом к информационным ресурсам является ключевой функцией обеспечения информационной безопасности. Данная задача в том или ином виде решается в каждой информационной системе, а также на уровней всей ИТ-инфраструктуры компании или организации в целом. Управление доступом на современном уровне предполагает обеспечение процессного подхода с четко детерминированной ролевой моделью.
Управление доступом предполагает администрирование следующих сущностей:
- объекты доступа (информационные системы, объекты ИТ-инфраструктуры, информационные сущности в базах даннных и пр.);
- субъекты доступа (учетные записи в системах, аккаунты в разнородных источниках, включая облачные идентификаторы);
- матрица доступа (правила разграничения доступа).
Современные системы управления доступом обеспечивают функционирование как минимум следующих процессов жизненного цикла:
- управление учетными записями (создание / изменение / удаление / блокирование / разблокирование учетных записей, управление паролями, управление учетными данными);
- управление информационными ресурсами (декларирование / изменение / удаление / назначение прав по умолчанию);
- правами и полномочиями (назначение / изменение / отзыв / блокирование / разблокирование / аудит(сверка);
- отчетность (контроль всей совокупности полномочий, расследование исторических операций и пр.).
Пример архитектуры системы управления доступом к ИТ-ресурсам
Системы управления доступом тесно интегрируются с системами предоставления доступа (межсетевые экраны различных уровней модели OSI, прокси-серверы, системы SSO, инфраструктура PKI компании/организации, системы мониторинга событий и расследования инцидентов ИБ (SIEM).
Ключевые результаты внедрения системы
В результате построения комплексной системы управления доступом клиент получает следующие преимущества:
В части информационных технологий
- единая система управление полным жизненным циклом учетных записей пользователей (сотрудников и внешних пользователей);
- автоматическая синхронизация кадровых изменений с отражением их во всех информационных системах компании/организации;
- автоматизированное предоставление пользователям доступа к информационным системам;
- автоматическое отключение доступа при увольнении сотрудника;
- автоматическое выявление неиспользованных учетных записей;
- сокращение количества административных действий по выдаче прав доступа в информационные системы.
В части информационной безопасности
- процессно-ориентированный подход к управлению учетными данными и доступом к ИТ-ресурсам:
- автоматическое ведение реестра учетных записей на основании информации из HR-системы;
- предоставление доступа к ИТ-ресурсам на базе корпоративной политики безопасности;
- возможность использования электронной подписи при согласовании заявок на доступ к ИТ-ресурсам;
- упрощение аудита предоставленных прав доступа:
- консолидация в IdM-системе сведений о предоставленном пользователю доступе во всех управляемых системах;
- встроенная отчетность для аудита предоставленных прав;
- хранение истории согласования доступа;
- единая система контроля доступа ко всем информационным ресурсам;
- аудит изменений прав доступа к ресурсам;
- возможность одномоментного приостановления/изъятия доступа ко всем ресурсам для конкретного пользователя.
Технологии
- Avanpost
- «Код безопасности»
- Oracle. Oracle Identity management Suite (OIMS)
- NetIQ (Novell). IDM
