Управление жизненным циклом учетных записей
Автоматизация и контроль данных процессов - одна из важнейших задач управления доступом к информационным ресурсам:
- создание, блокировка, разблокировка и удаление учетных записей на основании кадровых событий и заявок
- быстрая синхронизация изменений свойств из источников данных в учетные записи пользователей
- гибкая настройка автоматической обработки разных кадровых событий для разных групп работников
Кадровые политики
Avanpost IDM позволяет настраивать кадровые политики в зависимости от различных условий и признаков, которые могут быть определены на основании персональной информации пользователя. Например, при увольнении рядового сотрудника, его учетная запись блокируется автоматически с отзывом всех полномочий в день увольнения. Но при увольнении топ-менеджера отзыв прав доступа происходит через согласование руководителя организации с целью возможности продления соответствующих полномочий на некоторое время после увольнения для передачи дел другому сотруднику.
Множество источников, объединение данных
Одной из ключевых возможностей Avanpost IDM является одновременное взаимодействие с несколькими доверенными источниками информации по пользователям и управление ей на основании настраиваемых правил и политик. При этом источники информации могут быть как независимыми с точки зрения данных пользователя, так и пересекающимися, т.е. с дублируемой информацией. В этом случае в службе синхронизации с кадровыми источниками Avanpost IDM настраивается их приоритезация на уровне данных (какие типы данных и в каком источнике являются более достоверными для их загрузки и обновления в Avanpost IDM).
Управление доступом
Чтобы обеспечить компромисс между безопасностью и эффективностью бизнес-процессов необходимо организовать единый центр управления данными процессами с максимальным сокращением числа ручных операций и минимизации человеческого фактора при принятии решений:
- ролевая модель позволяет определить учетные записи и права доступа, предоставляемые по умолчанию или по запросу для разных групп пользователей, определяемых на основании организационно- штатной структуры
- при изменении признаков пользователей (изменение подразделения, должности) доступы пользователя могут изменяться как автоматически, так и с подтверждением через заявку
- правила разграничения полномочий (SOD) позволяют контролировать совмещение критичных функций пользователем
- управление интегрированными системами
Role Manager
Avanpost Role Manager – уникальный инструмент входящий в состав Avanpost IDM, предназначенный для автоматизации создания ролевой модели на предприятии любого масштаба. Role Manager сравнивает существующие наборы прав пользователей по принципу похожести и нахождения сотрудников на одинаковых должностях, даже если они будут отличаться в названии. По результатам сравнения он предлагает предварительную ролевую модель с возможностью ручного редактирования до необходимого результата. Полученный финальный вариант можно автоматически загрузить в Avanpost IDM и запустить систему в промышленную эксплуатацию.
История ролей
Avanpost IDM хранит максимальное количество исторических данных по изменению доступа к информационным ресурсам. Такая информация имеет огромное значения для проведения ретроспективного анализа при расследовании возможных инцидентов информационной безопасности. Здесь вся информации по изменению перечня ролей в контексте конкретного пользователя, включая их назначение и отзыв с указанием даты, времени и источника соответствующей задачи (ручное изменение, кадровое событие или заявка). Данная информация доступна для просмотра как через консоль администратора, так и в виде настраиваемых отчетов.
Централизованный аудит и контроль соответствия
Администраторы корпоративных систем всегда будут обладать достаточными полномочиями, позволяющими внести изменения в матрицу доступа в обход автоматизированных процессов:
- все изменения прав доступа хранятся в одном месте, что позволяет получить информацию как о текущем доступе пользователя, так и произвести ретроспективный анализ.
- постоянная сверка прав и атрибутов учетных записей позволяет выявить несанкционированные изменения, сделанные в обход IDM
- при выявлении несоответствий доступна возможность автоматического исправления, отправки прямого уведомления администраторам или отправки события в SIEM
Работа с отчетами
Avanpost IDM имеет в своем составе графический конструктор для построения отчетных форм и генерации соответствующих отчетов. При этом хранение в Avanpost IDM полной информации как по текущим правам доступа, так и в ретроспективе, позволяет получить в виде отчетов все данные, касающиеся пользовательского доступа, в различных срезах. Для максимального удобства бизнес-пользователей модуль отчетности имеет web-интерфейс и позволяет создавать отчеты в различных форматах, в том числе rtf, pdf и xls, а также настраивать расписание их генерации и отправлять полученные результаты на email.
Устранение конфликтов и журнал аудита
В архитектуре Avanpost IDM предусмотрен модуль аудита, который в онлайн-режиме осуществляет сверку существующих учетных записей и прав доступа в целевых системах с теми данными, которые присутствуют в его базе данных. Если в результате сверки обнаружены расхождения, это показатель несанкционированного изменения перечня учетных записей или их полномочий и свойств в целевых систем в обход IDM. По результатам обнаружения таких расхождений генерируются соответствующие события безопасности, которые отображаются в журнале аудита в консоли администратора, при этом администратору безопасности отправляется уведомление на email. Интерфейс журнала аудита позволяет не только просмотреть обнаруженные несоответствия, а также исправить их непосредственно из данной консоли.
Сервис самообслуживания пользователей
Бизнес-пользователям доступен сервис самообслуживания, реализованный в виде web-приложения, в котором они могут просмотреть всю информацию по личному доступу, инициировать запрос на новые полномочия, а также участвовать в процессах доступных им согласований.
- Пользователи могут создавать заявки на получение дополнительных доступов, изменение статусов учетных записей, корректировку атрибутов своей карточки.
- Руководители имеют возможность просмотра доступа и создания заявок на своих подчиненных
- Функционал изменения паролей позволяет пользователям управлять своими паролями через единый интерфейс во всех интегрированных системах
- Развитый движок workflow позволяет настраивать самые сложные процессы согласования, реализовывать сквозные бизнес процессы со смежными системами
Редактор БП
Чтобы гибко и удобно настраивать процессы согласования доступа, в состав модулей Avanpost IDM входит редактор бизнес-процессов, реализованный в виде графического конструктора. Данный редактор имеет дружелюбный web-интерфейс и максимально учитывает особенности согласования доступа в различных организациях. Процесс в редакторе представляет собой схему, состоящую из набираемых из предустановленного списка различных условий и действий, настраиваемых и соединяемых между собой с помощью графического интерфейса. Гибкая настройка позволяет осуществлять как последовательные, так и параллельные согласования, с возможностью тайминга, эскалации, замещения или делегирования. При этом вычисление согласующих лиц осуществляется с помощью специальных функций, позволяющих учесть все уникальные условия и признаки, такие как географическое местоположение, вид ресурса или роли, уровень организационной иерархии и т.п. Процессы согласования могут настраиваться на различные типы заявок, например, как запрос новой роли, отзыв роли, блокировка и разблокировка учетной записи, изменение личных данных, ресертификация доступа при смене должности.
Управление паролями
Создание учетной записи пользователя сопровождается автоматической генерацией пароля согласно заданной политике, при этом пароль безопасно доставляется пользователю, например, с помощью корпоративной почты на его личный почтовый ящик или SMS:
- интеграция с Active Directory позволяет синхронизировать доменный пароль пользователя во все системы.
- пользователь может задать общий пароль для всех систем одновременно, или управлять паролями для каждой учетной записи отдельно
- парольные политики позволяют определить сложность пароля, количество повторений и интервалы смены вне зависимости от наличия этих функций в управляемой системе
- пароль, сгенерированный при создании учетной записи может быть доставлен пользователю
Парольные политики
Avanpost IDM позволяет настроить парольные политики для каждого целевого ресурса в отдельности. Помимо классических признаков, таких как длина пароля и алфавит, можно настроить и более сложные, например, максимальное и минимальное время действия пароля, длина истории паролей и минимальное количество изменяемых символов. Многообразие настроек парольных политик обеспечивает в том числе соответствие требованиям Приказов № 17 и 21 ФСТЭК России. Обеспечение и контроль данных политик осуществляется при создании учетной записи, истечению срока действия пароля и его смене через консоль администратора или личный кабинет пользователя.
Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.