Аванпост представила Avanpost Role Manager
Компания Аванпост объявила о выпуске Avanpost Role Manager – инструментария для быстрого и методически-корректного создания ролевых моделей (РМ) и матриц доступа в крупных и средних организациях, внедряющих системы IDM (Identity Management) и комплексные решения по управлению доступом, объединяющие функции IDM, PKI и SSO. Применение Avanpost Role Manager открывает реальные возможности для методически-корректного создания IDM-решений в организациях любого масштаба, включая проекты, предусматривающие глобальную оптимизацию ролевой модели на уровне отдельных подразделений и организации в целом.
Впервые полнофункциональный инструментарий построения ролевых моделей встроен непосредственно в IDM-решение, ориентированное как на крупных заказчиков, так и на средний бизнес. При этом использование Avanpost Role Manager не требует от заказчика каких-либо дополнительных затрат. В методическом плане, ролевая модель (РМ) организации – основа любого внедрения IDM-системы. Однако в подавляющем большинстве реальных организаций актуальная и достаточно полная РМ отсутствует, а ее разработка становится первым этапом создания IDM-решения. И хотя, казалось бы, в ролевой модели, связывающей должности сотрудников с их правами в информационных системах, нет ничего сложного, но именно традиционная практика построения РМ, предполагающая привлечение к этой работе внешних консультантов, оказывается основной причиной неконтролируемых задержек и неудач в реальных проектах внедрения IDM-решений.
В современной организации число информационных систем, с которыми сотрудникам приходится взаимодействовать для исполнения своих должностных обязанностей, измеряется десятками, и во всех этих системах сотрудник должен обладать определенным набором прав. Если прав недостаточно, работа встанет, а их избыток – это «дыра» в системе ИБ. При этом в любой работающей организации распределение прав постоянно меняется вследствие как развития ИТ-систем, так и потока кадровых событий, таких как: прием на работу, должностные перемещения, увольнения, пересмотры должностных инструкций и регламентов бизнес-процессов, формирование «горизонтальных» рабочих групп и др.
Традиционная схема предусматривает привлечение внешних консультантов к построению ролевых моделей. Для выявления фактического распределения прав и вычленения ролей им приходится изучать инструкции, опрашивать менеджеров разного уровня, кадровиков и ИТ-администраторов, сводить собранные сведения в единую систему, выявлять противоречия и «белые пятна» – и вновь проводить консультации, чтобы их устранить. Это чрезвычайно трудная (и высокооплачиваемая) работа, но даже ее итог еще не является готовой ролевой моделью, поскольку сводный документ нужно еще согласовать с топ-менеджерами, ИТ-дирекцией и службой безопасности. И здесь выявляются существенные различия и непримиримые противоречия во взглядах этих людей на то, как должны распределяться права, причем для отстаивания своей точки зрения участники процесса используют все рычаги влияния. В итоге, согласование растягивается на десятки месяцев, а за это время вследствие вышеперечисленных факторов реальная картина распределения прав существенно изменяется. И еще до финального утверждения ролевая модель, на создание которой затрачено столько сил и средств, безнадежно устаревает.
Опыт показывает, что в крупной организации внедрение IDM по традиционной схеме может быть успешным только при соблюдении следующих условий: РМ создается и утверждается на уровне конкретных подразделений, при этом разработка РМ расчленяется на параллельно выполняемые блоки – за счет привлечения большого числа консультантов; на этом этапе организация сознательно отказывается от сколько-нибудь серьезной оптимизации ролевой модели, ограничиваясь сценарием «как есть». Даже при этих ограничениях организация получает от внедрения IDM большую пользу, которая, однако, значительно меньше теоретически возможной. Важно также учитывать, что эти ограничения негативно влияют на динамику развития российского рынка IDM: одни организации откладывают внедрение, понимая, что работа консультантов обойдется слишком дорого; другие считают сами эти ограничения неприемлемо жесткими; третьи нарушают их – и сталкиваются с неконтролируемыми задержками проекта и даже с риском его провала.
Использование Avanpost Role Manager полностью меняет эту картину. Первым шагом проекта является установка IDM-системы ПК «Avanpost» и настройка коннекторов (модулей интеграции), связывающих ее с кадровой системой и со всеми необходимыми элементами ИС прикладного и инфраструктурного уровней. Далее запускается автоматическая процедура сбора фактических прав, когда IDM-система, используя штатный механизм аудита, извлекает эти права непосредственно из информационной системы и заносит их в специальную базу данных. Это – полная и точная картина прав, фактически сложившаяся в данной организации.
На следующем шаге ПК «Avanpost» извлекает из кадровой системы сведения о сотрудниках и их должностях, после чего устанавливает связь между этими и ранее собранными данными и приступает к оптимизации. Цель последней – построение оптимальной группировки ролей, позволяющей снизить их число и при этом воспроизвести с заданной точностью исходную картину прав. Фактические права, не вписывающиеся в предлагаемую РМ, оформляются как исключения. Все эти фазы обработки выполняются автоматически и занимают минимальное время, при этом аналитик с помощью целого ряда параметров может достаточно тонко настраивать алгоритмы обработки данных.
Последним шагом является ручная доводка полученной ролевой модели (переименование, объединение, разделение, выделение исключений), однако по трудоемкости этот процесс не идет ни в какое сравнение с традиционной схемой. Все, – ролевая модель построена. И теперь она без каких-либо дополнительных усилий становится действующей настройкой системы IDM. Происходит автоматическая перенастройка прав пользователей в подключенных элементах ИС в соответствии с РМ, и IDM-система переходит в режим аудита. С этого момента все дальнейшие кадровые события воздействуют на настройки прав пользователей уже в точном соответствии с построенной ролевой моделью.
Информация, собранная и проанализированная модулем Avanpost Role Manager, позволяет не только построить ролевую модель, но и выявить часто используемые в компьютерных преступлениях аномалии фактической системы прав: избыточные права и «мертвые души» (активные аккаунты уволенных сотрудников и аккаунты, вообще не принадлежащие сотрудникам организации).
Источник: Пресс-служба компании "Аванпост"
Опубликовано 04.10.2013