Rambler's Top100
 
Все новости Новости компаний
Лилия ПАВЛОВА 04 октября 2013

Ролевая модель на автомате

Автоматическое создание ролевых моделей полностью изменит подходы к внедрению IDM-решений, уверен Андрей Конусов, генеральный директор компании "Аванпост".

В современной компании, особенно крупной, для исполнения своих обязанностей сотрудникам необходимо взаимодействовать с десятками информационных систем, и во всех этих ИС человек должен обладать определенным набором прав. Если прав недостаточно, работа встанет, а их избыток – это "дыра" в системе ИБ. При этом в любой работающей организации распределение прав постоянно меняется вследствие как развития ИТ-систем, так и потока кадровых событий (прием на работу, должностные перемещения, увольнения, пересмотры должностных инструкций и регламентов бизнес-процессов, формирование «горизонтальных» рабочих групп и др.). "Регулировщиком" этой постоянно меняющейся среды выступают системы идентификации и управления доступом к информационным ресурсам предприятия (Identity Management, IDM). По мнению Андрея Конусова, функционал IDM нужен 95% организаций численностью больше 500 сотрудников – как для эффективности, так и для безопасности работы.

Андрей Конусов, генеральный директор компании "Аванпост"Основа любого внедрения системы IDM – ролевая модель (РМ) организации. И хотя, казалось бы, в ролевой модели, связывающей должности сотрудников с их правами в информационных системах, нет ничего сложного, но именно традиционная практика построения РМ, предполагающая привлечение к этой работе внешних консультантов, оказывается основной причиной неконтролируемых задержек и неудач в реальных проектах внедрения IDM-решений.

Традиционная схема предусматривает привлечение внешних консультантов к построению ролевых моделей. Для выявления фактического распределения прав и вычленения ролей им приходится изучать инструкции, опрашивать менеджеров разного уровня, кадровиков и ИТ-администраторов, сводить собранные сведения в единую систему, выявлять противоречия и "белые пятна" – и вновь проводить консультации, чтобы их устранить. Как отмечает Андрей Конусов, это чрезвычайно трудная и высокооплачиваемая работа, но даже ее итог еще не дает готовую ролевую модель, поскольку сводный документ нужно согласовать с топ-менеджерами, ИТ-дирекцией и службой безопасности. И здесь выявляются существенные различия и непримиримые противоречия во взглядах на то, как должны распределяться права. В итоге согласование растягивается на долгие месяцы, а за это время нередко реальная картина распределения прав существенно изменяется. И еще до финального утверждения ролевая модель, на создание которой затрачено столько сил и средств, безнадежно устаревает.

Использование нового продукта Avanpost Role Manager полностью меняет эту картину. Role Manager – встроенный непосредственно в IDM-решение инструментарий для быстрого создания ролевых моделей и матриц доступа в крупных и средних организациях, внедряющих системы идентификации и управления доступом к информационным ресурсам предприятия. Как он работает?

Первый шаг проекта - установка IDM-системы программного комплекса Avanpost (комплекс состоит из полностью интегрированных подсистем идентификации и управления доступом IDM, управления инфраструктурой открытых ключей PKI и однократной аутентификацией SSO) и настройка коннекторов (модулей интеграции), связывающих ее с кадровой системой и со всеми необходимыми элементами ИС прикладного и инфраструктурного уровней. Далее запускается автоматическая процедура сбора фактических прав, когда IDM-система, используя штатный механизм аудита, извлекает эти права непосредственно из информационной системы и заносит их в специальную базу данных. Это – полная и точная картина прав, фактически сложившаяся в данной организации.

На следующем шаге  программный комплекс Avanpost извлекает из кадровой системы сведения о сотрудниках и их должностях, после чего устанавливает связь между этими и ранее собранными данными и приступает к оптимизации. Задача – построение оптимальной группировки ролей, позволяющей снизить их число и при этом воспроизвести с заданной точностью исходную картину прав. Фактические права, не вписывающиеся в предлагаемую РМ, оформляются как исключения. Все эти фазы обработки выполняются автоматически и занимают минимальное время, при этом аналитик с помощью целого ряда параметров может достаточно тонко настраивать алгоритмы обработки данных.

Заключительный шаг - ручная доводка полученной ролевой модели (переименование, объединение, разделение, выделение исключений), причем по трудоемкости этот процесс не идет ни в какое сравнение с традиционной схемой. Ролевая модель построена – и без дополнительных усилий становится действующей настройкой системы IDM. Происходит автоматическая перенастройка прав пользователей в подключенных элементах ИС в соответствии с РМ, и IDM-система переходит в режим аудита. С этого момента все дальнейшие кадровые события воздействуют на настройки прав пользователей уже в точном соответствии с построенной ролевой моделью. При этом информация, собранная и проанализированная модулем Avanpost Role Manager, позволяет не только построить ролевую модель, но и выявить часто используемые в компьютерных преступлениях аномалии фактической системы прав: избыточные права и "мертвые души" (активные аккаунты уволенных сотрудников и аккаунты, вообще не принадлежащие сотрудникам организации).

"Рынок IDM-систем долгое время сдерживали сложности при создании ролевых моделей, не позволяюшие получить максимальный эффект от внедрения системы, – отмечает Андрей Конусов. – С появлением Avanpost Role Manager существующие и вновь внедряемые системы управления доступом смогут работать на максимуме возможностей, повышая степень защищенности организаций и делая их более приспособленными к изменениям. Несомненно, это приведет к значительному расширению отечественного рынка IDM уже в этом году".

По словам Андрея Конусова, в настоящее время решение протестировано в нескольких российских организациях  – и пилотные проекты были реализованы в сроки, которые при традиционной схеме создания ролевых моделей требуются только на разработку первичных документов.  


Лилия Павлова


Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.