Управление учетными записями и правами доступа

С ростом числа применяемых в организации информационных технологий задача управления учетными записями пользователей и правами доступа к информационным активам становится все более актуальной.

Компания Открытые Технологии осуществляет комплексные проекты по автоматизации процессов управления учетными записями пользователей и правами доступа к информационным активам и их интеграции в системы обеспечения информационной безопасности организаций.

Повышение уровня автоматизации предприятий означает, что все больше бизнес-процессов выполняется при помощи специализированных корпоративных приложений. Как следствие, на большинстве крупных и средних предприятий растет число критичных для их функционирования корпоративных многопользовательских приложений. С точки зрения информационной безопасности важнейшей задачей в такой гетерогенной среде становится управление правами доступа пользователей к информационным активам.

В настоящий момент в гетерогенных средах наиболее распространена практика раздельного управления правами доступа. При таком подходе политика прав доступа создается отдельно для каждого приложения, а ответственность за реализацию этой политики возлагается на его администраторов. У этого подхода есть ряд недостатков:

  • сложна (или практически невозможна) проверка соответствия существующих полномочий пользователей политике прав доступа;
  • отсутствует возможность управлять полномочиями пользователей во всех приложениях сразу (например, создавать или удалять все учетные записи одного пользователя);
  • процедуры получения прав доступа к информационным активам зачастую не автоматизированы и чрезмерно трудоемки, что ведет к снижению производительности труда администраторов и пользователей, которые не могут вовремя получить необходимый доступ;
  • процедуры получения прав доступа часто «неформальны», что ведет к повышению риска неправильного назначения полномочий.

Для эффективного решения данной задачи компания Открытые Технологии предлагает реализацию комплексной системы управления учетными записями и правами доступа. Построение такой системы стало возможным благодаря появлению специализированных продуктов (систем автоматизации администрирования, метаката-логов, каталогов LDAP) и отработанных методологий внедрения подобных систем.

Краеугольный камень комплексной системы управления учетными записями и правами доступа - корпоративная политика прав доступа, являющаяся частью общей политики информационной безопасности. Политика прав доступа описывает возможные роли пользователей, права, связанные с каждой ролью, а также определяет требования к процедурам выделения и изменения ролей и полномочий. При необходимости опытные консультанты компании Открытые Технологии проведут комплексное обследование информационной безопасности предприятия и помогут специалистам заказчика модернизировать политику информационной безопасности или определить ее заново.

Формализованная политика прав доступа заносится в ядро системы. При помощи специализированных программных агентов, связывающих ядро с корпоративными приложениями, может быть проведено сравнение существующих полномочий пользователей с политикой прав доступа. Разночтения могут быть устранены автоматически, потребовать согласования уполномоченных руководителей или внесены в отчет для последующего устранения вручную.

Решение включает в себя единую точку администрирования данных о пользователях. При помощи единой точки администрирования создание, изменение и удаление всех учетных записей во всех приложениях управляется с единого экрана; при этом исключается повторный набор данных. Возможна также синхронизация данных между приложениями - это позволяет, например, автоматически создавать или удалять учетные записи пользователей на основе данных из автоматизированной системы управления кадрами (Human Resources). При этом права пользователя по использованию информационных активов будут автоматически устанавливаться в соответствии с политикой прав доступа.

Преимущества комплексной системы:

Более эффективный механизм управления учетными записями снизит риски, связанные с неправильным вводом информации о правах доступа, а также повысит производительность труда пользователей и администраторов. Действительно, для пользователей устраняется проблема ожидания доступа к необходимому приложению (например, для нового сотрудника), а с администраторов снимается рутинная работа по управлению учетными записями пользователей в нескольких приложениях.

Элементом данного решения является возможность автоматизации процедур управления доступом. Последовательность работ по выделению прав доступа формализуется в виде потока работ (workflow), включающего, к примеру, запрос уполномоченному руководителю на одобрение.

Данный механизм может использоваться и для автоматизации других процедур, например выделение сотрудникам пропусков, офисной техники и т.д.

В число других возможностей предлагаемого решения входят:

  • возможность создать отчет, отражающий, когда (и по чьему указанию) были назначены определенные права доступа;
  • "самообслуживание" - пользователи могут самостоятельно запросить создание учетных записей или изменение прав доступа, менять пароли в приложениях (возможно, во всех одновременно), причем вновь введенные пароли проверяются на соответствие правилам (минимальная длина, отсутствие повторений символов, невозможность повтора пароля и пр.), пользователь также может сменить забытый пароль, ответив на серию контрольных вопросов;
  • выявление "сиротских" учетных записей, не принадлежащих никому из известных пользователей;
  • возможность оперативно заблокировать доступ отдельного пользователя ко всем приложениям одновременно;
  • делегированное администрирование - задача управления учетными записями и правами доступа может быть передана уполномоченным сотрудникам, например ответственным за информационную безопасность, руководителям подразделений или сотрудникам отдела кадров, при этом сохраняется ограничение полномочий администрирования (например, руководитель подразделения сможет управлять только учетными записями сотрудников своего подразделения);
  • интеграция с системами контроля доступа к web-приложениям, однократной регистрации (Web и Desktop SSO) и многофакторной аутентификации.

При создании подобных решений компания Открытые Технологии использует программные продукты ведущих производителей в данной области: средства автоматизации администрирования (IBM Tivoli Identity Manager, Oracle Identity Manager, NetIO Identity Manager, Quest One Identity Manager, Microsoft Forefront Iderntity Manager), метакаталоги (IBM Directory Integrator), каталоги LDAP (Microsoft Active Directory, IBM Directory Server, Oracle Internet Directory, Novell eDirectory).

Квалифицированные консультанты и инженеры компании Открытые Технологии осуществляют полный цикл работ по автоматизации процессов управления учетными записями пользователей и правами доступа к информационным активам - от обследования и модернизации политики прав доступа до выбора программных продуктов, проектирования, установки и наладки системы, обучения персонала и технической поддержки внедренного решения.

Наши заказчики в рамках данного решения