А нам много и не надо, или IdM для среднего бизнеса

Чтобы создать такое решение, мы взяли гибкую IdM-платформу от IBM и, используя свои лучшие практики внедрения IdM-систем, реализовали на её базе функционал, наиболее востребованный у наших клиентов. Разработка решения с нуля отняла бы огромное количество времени, и нам пришлось бы заново изобретать колесо. Поэтому мы и воспользовались опытом западных коллег в виде современной технологической платформы. В итоге мы получили продукт, который решает 80% проблем управления доступом за 20% стоимости обычного IdM-решения. Он получил название Jet inView Identity Manager и ориентирован на компании средней величины. Основные особенности продукта:

• Решает все основные проблемы контроля и управления правами доступа пользователей «из коробки»:
  1. проблемы длительности предоставления доступа сотрудникам;
  2. проблемы высокой нагрузки на администраторов;
  3. проблемы с избыточным и несогласованным доступом к системам;
  4. проблемы трудоёмкости аудита и расследования инцидентов. 
• Содержит лучшие практики построения процессов управления доступом, сформированные на основе нескольких десятков проектов внедрения IdM. Вам не потребуется изобретать процессы управления доступом с нуля, вы можете воспользоваться опытом других компаний. Это значительно сокращает время внедрения новых процессов и позволяет выстроить их оптимальным образом.
• Имеет гибкую и расширяемую технологическую платформу, позволяющую развивать систему и масштабировать её с ростом бизнеса. Функциональные возможности Jet inView Identity Manager не ограничены тем, что предлагается «из коробки». Платформа имеет большое количество функций и инструментов их настройки, которые позволяют наращивать функционал системы в соответствии с потребностями компании. При возникновении новых потребностей и бизнес-задач в части управления доступом вам не потребуется менять платформу или приобретать дополнительные модули. Их можно решить средствами Jet inView Identity Manager.
• Стоит $200 000 для компании со штатом 1000 человек.

Рис. 1. Основные особенности Jet inView Identity Manager

Описание решения

Jet inView Identity Manager интегрируется с кадровой системой для получения и обработки кадровой информации и с целевыми информационными системами (ИС) для управления учётными записями. Технологическая платформа имеет большое количество модулей интеграции с ИС западного производства. Помимо этого, мы разработали собственные модули для взаимодействия с наиболее популярными российскими системами. Логика обработки кадровых событий и управления учётными записями целевых систем настраивается в процессах управления доступом.

Система поддерживает управление несколькими типами сотрудников: штатные сотрудники, внештатники и технологические учётные записи. Для каждого типа используются отдельные формы графического интерфейса и процессы управления доступом. Для сотрудников, не представленных в кадровой системе, например, внештатников, в нашем IdM предусмотрен интерфейс ручного заведения. Набор поддерживаемых типов сотрудников можно расширить.

В продукте реализованы все необходимые процессы управления доступом. Из основных – «приём на работу», «перевод по должности», «увольнение», «запрос прав», «отзыв прав», «запрос прав на время», «пересмотр прав», «сверка», «контроль SoD-конфликтов». При приёме сотрудника на работу ему выдаётся базовый набор учётных записей и полномочий в соответствии с его должностью и подразделением. При переводе по должности набор назначенных полномочий пересматривается. При увольнении все права доступа у сотрудника автоматически отзываются, а учётные записи блокируются. При запросе прав доступа создаётся электронная заявка на предоставление дополнительных прав, которая после прохождения процесса согласования автоматически исполняется. Аналогично происходит с отзывом прав доступа.

При запросе ролей на время указывается срок, до которого запрашиваются определённые права. При его наступлении соответствующие права будут автоматически отозваны. Процесс пересмотра прав доступа состоит в том, что линейные руководители периодически просматривают права доступа своих подчинённых и отмечают те из них, которые более не актуальны. Как правило, это проводится раз в год. Процесс сверки состоит в обнаружении несогласованных (избыточных) полномочий в ИС. При их выявлении автоматически создаётся запрос на ответственное лицо для разбора инцидента. Все эти процессы, включая логику автоматизации и согласования, реализованы в соответствии с моделью процессов управления доступом, функционирующей у большинства наших клиентов.

В Jet inView Identity Manager реализована иерархическая ролевая модель с поддержкой множества типов ролей. Роль может включать в себя другие роли, а также полномочия в одной или нескольких целевых системах. Роли могут назначаться как автоматически, на основании данных сотрудника, так и вручную – через заявки. При этом их назначение сотруднику приводит к предоставлению ему соответствующих прав доступа в целевых системах.

Система обладает единым пользовательским интерфейсом, посредством которого осуществляется как работа с ней, так и её настройка. Доступ ко всем элементам пользовательского интерфейса и функциям разграничивается на основании ролей, состав которых настраивается. Управление доступом осуществляется очень гранулярно, для каждого атрибута можно определять, видит его пользователь или нет, и какие действия с ним можно выполнять. Штатно в системе реализованы следующие роли: «Сотрудник», «Руководитель», «Владелец ресурса», «Администратор ИБ», «Администратор».

Рис. 2. Автоматизация процессов в Jet inView Identity Manager

Через интерфейс сотрудник может посмотреть свои права доступа и учётные записи в информационных системах, статус своих заявок на доступ, сбросить пароль. Создание и согласование заявок на доступ также осуществляются в интерфейсе IdM. Если сотрудник является руководителем, то, помимо своих прав доступа, он может управлять правами доступа своих подчинённых.

Рис. 3. Отчёт о сотрудниках, имеющих доступ к информационному ресурсу

Все действия в системе журналируются, при этом в журналах отображаются дата и время события, инициатор, объект изменения, старое и новое значения. Просмотр журналов событий осуществляется как интерактивно, через графический интерфейс, так и посредством построения отчётов.

В Jet inView Identity Manager есть несколько десятков отчётов, которые позволяют получить информацию о текущем состоянии прав доступа пользователей и истории их изменения, об активных и согласованных заявках, о различных процессах и объектах. Помимо этого, мы разработали дополнительные отчёты, которые часто требуются для проведения расследований инцидентов и ИТ-аудита. К их числу относятся отчёты о состоянии прав доступа сотрудника на определённую дату в прошлом, об истории согласования и изменения прав сотрудника с момента приёма на работу, о персональной истории согласования заявок.

Настройка форм пользовательского интерфейса, автоматизированных процессов и отчётов осуществляется в специализированных графических инструментах. Система функционирует в составе сервера приложений Java, использует для хранения данных службу каталогов и СУБД. Все необходимые компоненты входят в состав решения.

Подход к внедрению Jet inView Identity Manager заключается в использовании заложенных в него принципов построения процессов управления правами доступа. Это позволяет получить лучшие рыночные практики автоматизации процессов управления доступом и значительно сократить сроки и стоимость проекта. При внедрении используются процессы, формы, отчёты и типы пользователей, уже реализованные в продукте. Допускаются незначительные изменения, такие как исключение определённых шагов согласования заявок в процессах, изменение состава атрибутов в формах и т.д. Интеграция с информационными системами осуществляется по типовым техническим требованиям.

Итак, Jet inView Identity Manager представляет собой полнофункциональное IdM-решение, ориентированное на компании со штатом в 500–2000 сотрудников. Продукт будет интересен прежде всего финансовым организациям, поскольку они имеют высокий уровень развития ИТ, уделяют большое внимание безопасности и попадают под требования стандартов. Он также представляет интерес для страховых компаний и компаний ритейл-сектора в силу наличия у них высоких рисков утечки информации и большого количества внешних торговых представителей, за доступом которых к корпоративным ИС необходимо следить особенно тщательно. В целом наша IdM-система подходит всем компаниям, которые хотят снизить операционные расходы на ИТ и риски несанкционированного доступа к информационным системам.