www.avanpost.ru

Эффективное управление доступом. Пример внедрения IDM

Олег Губка Директор по развитию

Для подразделения ИТ: Не автоматизированная отработка огромного потока заявок на предоставление, изменение и отзыв прав доступа пользователей в ИТ системах приводит к:

Актуальность вопроса

Высокой

загрузке/перегрузке

дорогостоящих ИТ

специалистов

Простою

сотрудников из-

за длительного

выполнения их

запросов

Возможным

ошибкам

Для подразделения ИБ:

Актуальность вопроса

Контроль за учетными записями и правами доступа пользователей является одной из важнейших задач обеспечения Информационной Безопасности любой организации!!!

Возможность злоумышленнику получить доступ к информации под видом легитимного пользователя является универсальной уязвимостью, с которой не справится ни одна система защиты.

Проблематика управления доступом

Классическая схема управления доступом к ресурсам организации

Основные минусы:

Все приложения разрозненны.

Политики доступа к ним не

однородны.

Учетные данные хранятся

разрозненно, появляются

«мертвые души».

Большие затраты на

администрирование.

DB / LDAP

Приложение

Сотрудники

Приложение Приложение Приложение

DB / LDAP DB / LDAP DB / LDAP

User ID User ID User ID User ID

Администраторы ИТ - подразделения

IDM-решения

Управление доступом с использованием IDM-решения

Основные плюсы:

Централизованное хранение и

управление всеми учетными

данными пользователей.

Учет всех кадровых событий

(прием, перевод, увольнение) в

режиме реального времени.

Централизованное управление

политиками доступа.

Централизованный аудит,

возможность формирования

любой отчетности по

управлению доступом.

Удобство согласования

дополнительных прав доступа

с помощью процесса Workflow

Существенное снижение затрат

на администрирование.

DB / LDAP

Приложение

Сотрудники

Приложение Приложение Приложение

DB / LDAP DB / LDAP DB / LDAP

User ID User ID User ID

Администраторы ИТ - подразделения

IDM

Администратор Отдел кадров

User ID

Основные процессы IDM

Кадровые события

Управляющие действия в ИС

Функциональные

действия

Увольнение

Перевод

Прием на работу

Отпуск

Аудит УЗ и прав

Блокирование/разблокирование УЗ

Создание УЗ

Изменение свойств УЗ

Назначение/отзыв прав

Отчеты

Согласование

Настройка

Контроль

Новый

сотрудник

Консоль

самообслуживания

HR-

система

Действующий

сотрудник

Информационные

системы

Заявка

на доступ

Процессы

Функциональныесотрудники

Роли

Политики

Трудозатрат ИТ-специалистов на предоставление и отзыв доступа;

Административные издержки на согласование заявок на доступ;

Время простоя сотрудников при предоставлении доступа;

Затраты на внешний аудит ИТ;

Затраты на проведение внутреннего аудита;

Затраты на лицензирование прикладного программного обеспечения;

Риски безопасности, вызванными избыточными правами доступа

(«мертвые души», отсутствие ролевой модели и ее контроля и т.д.).

Производительность Help-desk;

Эффективность управления учетными записями;

Ценность внедрения IDM

Avanpost IDM

Позволяет полностью автоматизировать предоставление прав доступа сотрудников к ИТ системам организации, а также выстроить систему автоматического аудита изменения прав доступа, предотвращающую ошибки и умышленные злоупотребления.

Архитектура

Структура ПК «Avanpost» Функциональность модулей решения

Avanpost IDM – модуль управления учетными

записями и правами пользователей

- полнофункциональное IDM-решение;

Avanpost SSO – модуль однократной

аутентификации (single sign on);

Ключевые функции (модули):

Avanpost PKI – модуль управления

элементами инфраструктуры открытых ключей

PKI;

Коннекторы:

Коннекторы – необходимы для интеграции ПК

«Avanpost» с различными информационными

системами.

Основные трудности при внедрении IDM

Высокая стоимость лицензий и стоимость внедрения

Высокая длительность внедрения и высокие риски перехода проекта в долгострой

Отсутствие коннекторов к самописным или узко отраслевым системам и не возможность их оперативной разработки

Отсутствие Ролевой модели и Матрицы доступа и сложность ее разработки в ходе проекта

Доступ

Пути преодоления описанных трудностей

Разумная цена и гибкая политика ценообразования

Российского вендора

Возможность разработки коннекторов под клиента силами

вендора

Легкость решения делает гораздо более предсказуемыми

сроки внедрения

Наличие модуля

Role Manager и Ресертификации Ролей позволяет создавать и

поддерживать Ролевую модель в автоматическом режиме

Avanpost Workflow Консоль управления заявками

Создание заявок на предоставление прав доступа к информационным ресурсам.

Создание заявок происходит в личном кабинете web-интерфейса самообслуживания

пользователей;

Настройка процесса согласования заявок. Настраивается список согласующих лиц, их

заместителей и порядок их участия в процессе согласования заявок.

Сокращение сроков согласования заявок на предоставление дополнительных прав

доступа к информационным ресурсам.

Цель:

Функционал:

Дополнительные возможности

Avanpost Role Manager Консоль управления ролевой моделью

Автоматизированное создание базовой ролевой модели на предприятии. Механизм

создания основан на анализе прав доступа сотрудников с одинаковыми должностями;

Добавление исключений к ролям отдельных сотрудников. В случае, если каким либо

сотрудникам помимо ролевой матрицы положены еще какие либо права, можно добавить

это в исключение.

Сокращение сроков внедрения IDM-решения, а так же повышение достоверности базовой

матрицы доступа к информационным ресурсам.

Цель:

Функционал:

Дополнительные возможности

Трехфакторная аутентификация Первые реальные результаты интеграции со СКУД

Единая смарт-карта / токен для входа в на территорию офиса и для входа в

информационные системы. Карты и токены можно оснащать различными RFID метками

для поддержки текущей системой СКУД;

Полноценное управление политиками СКУД на основе бизнес ролей. При приеме на

работу сотрудника автоматически задается политика доступа в помещения;

Интеграция модулей IDM и PKI с системами СКУД. При этом реализуется принцип

трехфакторной аутентификации, когда для принятия решения о предоставлении доступа

берутся в расчет данные о текущем местоположении пользователя из СКУД;

Идея:

Функционал:

Дополнительные возможности

Список готовых коннекторов

MS Active Directory, Exchange, База данных MS SQL, База данных

Oracle, My SQL, Линейка продуктов 1С версии 8, SAP, АБС Кворум,

Lotus Notes/Domino, СПО Аламеда, SOAP, LDAP (стандартный

коннектор), jDocFlow, TOPS Unicus, Виртуальный коннектор, СКУД

AS101, Directum, Летограф, ЦФТ IBSO, Галактика, PayDocs,

Sharepoint, Oracle E-Business Suite и т.д.

1С, Exсel, HRB, LDAP, Oracle HR, SAP HR, БОСС Кадровик, Госналог,

ДИАСОФТ, СТ.Кадры, Галактика Управление персоналом

Коннекторы к кадровым система:

Коннекторы к целевым системам:

Новые версии Avanpost IDM

Avanpost 5.0 (апрель 2016)

Новый удобный WEB-интерфейс

Новый workflow c конструктором

бизнес-процессов

Новый механизм назначения ролей

Управление парольными политиками

Avanpost 5.1 (июль 2016)

Новые типы заявок:

Блокировка/разблокировка УЗ

Изменение ПДн

Одновременная смена паролей

Кадровая консоль: объединение

подразделений

Просмотр информации о подчиненных

Avanpost 5.2 (сентябрь 2016)

Обновление данных в целевых системах

по событиям

Архивация и переиспользование

логинов

Замена XML интерфейса клиента

на Web API

Avanpost 5.3 (ноябрь 2016)

Поддержка Postgres

Оптимизация и масштабирование

аудита

Переаттестация прав

пользователей

Новый интерфейс

Пример внедрения IDM

Заказчик – Крупнейшая компания

коммунального хозяйства

Количество пользователей – 5000

Общее количество информационных

систем – больше 10

На текущий момент к Avanpost IDM

подключено 6 целевых и 1 кадровая

ИС

Проект 2-х этапный, общий срок

около одного года

ПК Avanpost

БД Аванпост

IDM-коннектор

IDM-коннектор

1C:ЗУП 8.3

Веб-сервер

Avanpost IDMСервер

Сервис синхронизации

Oracle E-Business Suite

Данные о сотрудниках

Сотрудник/Руководитель

Биллинговая система на базе 1С 8.3

1С Бухгалтерия 8.3IDM-коннектор

IDM-коннектор

Администратор системы

Владелецресурса

Запрос дополнительного

доступа

Согласованиедоступа

Настройкасистемы

Администратор безопасности

Контрольдоступа

MS AD

IDM-коннектор

Геоинформационная система

СЭД

IDM-коннектор

Этапность проекта

1-й этап «Интеграционный»

Разработка коннекторов к ИС

IDМ в режиме контроля матрицы доступа

В MS AD – базовые роли

2-й этап «Бизнес внедрение»

Разработка ролевой модели

Создание бизнес-процессов

Запуск IDM в полном функционале

государственные

заказчики

крупный и

средний бизнес

банковский

сектор

холдинговые

структуры

50 000 пользователей

(PKI)

150 000 пользователей

(IDM+PKI)

300 000 пользователей

(PKI)

80 000 пользователей

(IDM)

О компании Аванпост

8 лет

успеха

2 млн.

пользователей

50+ внедрений

70+

партнеров

Аванпост – ведущий российский разработчик систем

идентификации и управления доступом к информационным

ресурсам предприятия (IDM), работает на рынке

информационных технологий и информационной безопасности с

июня 2007 года и к настоящему моменту является

технологическим лидером в сегменте Identity Management.

Наши главные решения

Avanpost IDM

Avanpost PKI

Avanpost SSO

Управление доступом к информационным

ресурсам

Управление всеми элементами инфраструктуры

открытых ключей

Модуль единого входа в систему или приложение

О компании Аванпост

Олег Губка Директор по развитию

+7 (495) 641-8080

+7 (903) 193-0044

OGubka@avanpost.ru

www.avanpost.ru

Готов ответить на Ваши вопросы!