От IDM к IAG, или Как не промахнуться с выбором решения для управления доступом

Любая организация численностью свыше 200 человек, использующая в работе ряд информационных систем, обеспечивающих ее повседневную жизнедеятельность, рано или поздно сталкивается с необходимостью внедрения системы автоматизированного управления учетными записями. Иначе стоимость поддержки информационных систем, а также риски ошибочного предоставления прав к ресурсам компании чрезвычайно высоки. Речь идет об уже известном на отечественном рынке классе решений — IDM (Identity Management).

В 2012 году аналитическое агентство Gartner в своем отчете выделило еще один класс решений — Identity & Access Governance (IAG). Давайте разберемся, что это за решения и для каких задач они предназначены.

В связи с ростом требований регуляторов к организации управления доступом помимо задачи автоматизации возникла потребность обеспечить контроль доступа к информационным ресурсам.

Управление правами доступа — задача, имеющая отношение не только к вопросам внутренней автоматизации предприятия, но и к его бизнесу, поскольку она напрямую связана с его бизнес-процессами. Для чего нужно управлять правами доступа пользователей к информационным ресурсам? Чтобы предотвратить утечки стратегически важной для компании информации за счет правильного разграничения прав доступа, распределить ответственность за решения о допуске сотрудников к информации, снизить стоимость эксплуатации ресурсов. Это и есть основные бизнес-задачи.

К сожалению, IDM-решения не способны учесть все особенности бизнес-процессов. В любой организации изменения происходят постоянно: сотрудников принимают на работу, увольняют, переводят с должности на должность и из одного отдела в другой; они болеют, уезжают в командировки, исполняют чьи-то обязанности. И каждое такое изменение влечет за собой корректировку прав доступа к информационным ресурсам.

Но управлять правами доступа лишь на основе кадровых изменений, как правило, не достаточно, ведь необходимость в изменении прав сотрудника не всегда связана с кадровыми перемещениями. Отсюда вытекает необходимость иметь в решении инструмент для самостоятельного запроса прав доступа.

Другая не менее важная задача, выходящая за рамки типовой IDM-системы, — аудит текущих прав доступа. До внедрения IDM-решения в организации уже используется множество целевых систем, таких как ERP, CRM и другие. Необходимо определить, у кого какие права уже есть и соответствуют ли они политике информационной безопасности.

Упомянем еще об одной распространенной проблеме. Допустим, в действующей системе настроили ролевую модель и назначили сотрудникам роли в соответствии с их должностными обязанностями. В любой успешной компании регулярно ведется работа по оптимизации бизнес-процессов, а значит, они постоянно меняются. В связи с вышесказанным нередко возникают ситуации, когда реальные обязанности сотрудника уже не соответствуют ранее настроенной ролевой модели. Если эти изменения не отражены вовремя в IDM-системе, у сотрудника могут возникнуть избыточные права, что повышает риск утечки информации, например, составляющей коммерческую тайну. Избежать таких ситуаций — также задача решений класса IAG. Для этого в них должен быть включён специальный инструмент — процедура сертификации доступа, предполагающая, что владельцы ресурсов, руководители и другие ответственные лица регулярно пересматривают права сотрудников на предмет их соответствия реальным обязанностям, политике информационной безопасности и требованиям регуляторов.

Еще один пример того, как бизнес-процессы влияют на функциональность продуктов по управлению правами доступа. Для снижения коммерческих рисков зачастую желательно, чтобы не было ситуаций, когда выполнение определенной задачи полностью зависит только от одного человека. Например, выставление и оплата счетов. Необходим механизм, позволяющий избегать подобных обстоятельств и своевременно выявлять их, если они все-таки возникли. Опять же это задача IAG.

По прогнозу Gartner, к 2016 году функциональности IDM и IAG сольются, образовав новый класс решений с расширенной аналитикой в управлении доступом.

Из всего вышесказанного можно сделать следующий вывод: в настоящее время разработчики IDM-решений в ответ на потребности рынка меняют привычный подход к управлению доступом. Фокус внимания смещается от автоматизации администрирования к интеллектуальному управлению политикой доступа на основе ролевой модели. Большое внимание уделяется также возможностям аудита и контроля соответствия политики информационной безопасности требованиям регуляторов.

Компания “ТрастВерс” является разработчиком системы КУБ, которая помимо задач IDM закрывает большинство задач полноценного IAG-решения. В ближайших версиях мы планируем развиваться именно в этом направлении. Уже сейчас у нас есть возможность интегрировать КУБ практически в любые бизнес-процессы заказчика и обеспечить решение всех перечисленных выше задач.

Автор статьи — менеджер по продукту компании “ТрастВерс”.

СПЕЦПРОЕКТ КОМПАНИИ “ТРАСТВЕРС”