Компания Аванпост – ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) – объявляет о выпуске Avanpost Role Manager – инструментария для быстрого и методически-корректного создания ролевых моделей (РМ) и матриц доступа в крупных и средних организациях, внедряющих системы IDM (Identity Management) и комплексные решения по управлению доступом, объединяющие функции IDM, PKI и SSO. Применение Avanpost Role Manager открывает реальные возможности для методически-корректного создания IDM-решений в организациях любого масштаба, включая проекты, предусматривающие глобальную оптимизацию ролевой модели на уровне отдельных подразделений и организации в целом.
Впервые полнофункциональный инструментарий построения ролевых моделей встроен непосредственно в IDM-решение, ориентированное как на крупных заказчиков, так и на средний бизнес. При этом использование Avanpost Role Manager не требует от заказчика каких-либо дополнительных затрат.
В методическом плане, ролевая модель (РМ) организации – основа любого внедрения IDM-системы. Однако в подавляющем большинстве реальных организаций актуальная и достаточно полная РМ отсутствует, а ее разработка становится первым этапом создания IDM-решения. И хотя, казалось бы, в ролевой модели, связывающей должности сотрудников с их правами в информационных системах, нет ничего сложного, но именно традиционная практика построения РМ, предполагающая привлечение к этой работе внешних консультантов, оказывается основной причиной неконтролируемых задержек и неудач в реальных проектах внедрения IDM-решений.
В современной организации число информационных систем, с которыми сотрудникам приходится взаимодействовать для исполнения своих должностных обязанностей, измеряется десятками, и во всех этих системах сотрудник должен обладать определенным набором прав. Если прав недостаточно, работа встанет, а их избыток – это «дыра» в системе ИБ. При этом в любой работающей организации распределение прав постоянно меняется вследствие как развития ИТ-систем, так и потока кадровых событий, таких как: прием на работу, должностные перемещения, увольнения, пересмотры должностных инструкций и регламентов бизнес-процессов, формирование «горизонтальных» рабочих групп и др.
Традиционная схема предусматривает привлечение внешних консультантов к построению ролевых моделей. Для выявления фактического распределения прав и вычленения ролей им приходится изучать инструкции, опрашивать менеджеров разного уровня, кадровиков и ИТ-администраторов, сводить собранные сведения в единую систему, выявлять противоречия и «белые пятна» – и вновь проводить консультации, чтобы их устранить. Это чрезвычайно трудная (и высокооплачиваемая) работа, но даже ее итог еще не является готовой ролевой моделью, поскольку сводный документ нужно еще согласовать с топ-менеджерами, ИТ-дирекцией и службой безопасности. И здесь выявляются существенные различия и непримиримые противоречия во взглядах этих людей на то, как должны распределяться права, причем для отстаивания своей точки зрения участники процесса используют все рычаги влияния. В итоге, согласование растягивается на десятки месяцев, а за это время вследствие вышеперечисленных факторов реальная картина распределения прав существенно изменяется. И еще до финального утверждения ролевая модель, на создание которой затрачено столько сил и средств, безнадежно устаревает.
Опыт показывает, что в крупной организации внедрение IDM по традиционной схеме может быть успешным только при соблюдении следующих условий: РМ создается и утверждается на уровне конкретных подразделений, при этом разработка РМ расчленяется на параллельно выполняемые блоки – за счет привлечения большого числа консультантов; на этом этапе организация сознательно отказывается от сколько-нибудь серьезной оптимизации ролевой модели, ограничиваясь сценарием «как есть». Даже при этих ограничениях организация получает от внедрения IDM большую пользу, которая, однако, значительно меньше теоретически возможной.
Важно также учитывать, что эти ограничения негативно влияют на динамику развития российского рынка IDM: одни организации откладывают внедрение, понимая, что работа консультантов обойдется слишком дорого; другие считают сами эти ограничения неприемлемо жесткими; третьи нарушают их – и сталкиваются с неконтролируемыми задержками проекта и даже с риском его провала.
Использование Avanpost Role Manager полностью меняет эту картину. Первым шагом проекта является установка IDM-системы ПК «Avanpost» и настройка коннекторов (модулей интеграции), связывающих ее с кадровой системой и со всеми необходимыми элементами ИС прикладного и инфраструктурного уровней. Далее запускается автоматическая процедура сбора фактических прав, когда IDM-система, используя штатный механизм аудита, извлекает эти права непосредственно из информационной системы и заносит их в специальную базу данных. Это – полная и точная картина прав, фактически сложившаяся в данной организации.
На следующем шаге ПК «Avanpost» извлекает из кадровой системы сведения о сотрудниках и их должностях, после чего устанавливает связь между этими и ранее собранными данными и приступает к оптимизации. Цель последней – построение оптимальной группировки ролей, позволяющей снизить их число и при этом воспроизвести с заданной точностью исходную картину прав. Фактические права, не вписывающиеся в предлагаемую РМ, оформляются как исключения. Все эти фазы обработки выполняются автоматически и занимают минимальное время, при этом аналитик с помощью целого ряда параметров может достаточно тонко настраивать алгоритмы обработки данных.
Последним шагом является ручная доводка полученной ролевой модели (переименование, объединение, разделение, выделение исключений), однако по трудоемкости этот процесс не идет ни в какое сравнение с традиционной схемой. Все, – ролевая модель построена. И теперь она без каких-либо дополнительных усилий становится действующей настройкой системы IDM. Происходит автоматическая перенастройка прав пользователей в подключенных элементах ИС в соответствии с РМ, и IDM-система переходит в режим аудита. С этого момента все дальнейшие кадровые события воздействуют на настройки прав пользователей уже в точном соответствии с построенной ролевой моделью.
Особо подчеркнем, что информация, собранная и проанализированная модулем Avanpost Role Manager, позволяет не только построить ролевую модель, но и выявить часто используемые в компьютерных преступлениях аномалии фактической системы прав: избыточные права и «мертвые души» (активные аккаунты уволенных сотрудников и аккаунты, вообще не принадлежащие сотрудникам организации).
«Сегодня огромное число организаций нуждается в IDM-системах. Первоочередная потребность рынка и основа нашей стратегии состоит в скорейшем устранении препятствий, отсекающих потенциальных пользователей от столь нужного им решения. Ранее мы резко снизили ценовую планку, что впервые сделало полнофункциональные IDM-системы действительно доступными для всех потенциальных потребителей. Следующим по значимости фактором сдерживания стали трудности создания ролевых моделей, не позволявшие получить максимальный эффект от внедрения этой технологии. Теперь, с появлением Avanpost Role Manager, устранено и это препятствие, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Несомненно, это приведет к значительному расширению отечественного рынка IDM уже в этом году. Не менее важно, что существующие и вновь внедряемые системы управления доступом смогут, наконец, работать на максимуме возможностей, повышая степень защищенности организаций и делая их более приспособленными к изменениям».
О программном комплексе (ПК) «Avanpost 3.0»
Программный комплекс «Avanpost 3.0» – система идентификации и управления доступом к информационным ресурсам предприятия (IDM), а также система управления инфраструктурой открытых ключей (PKI) и однократной аутентификацией (SSO). При этом все ключевые подсистемы ПК полностью интегрированы, а весь комплекс полностью соответствует новой парадигме управления доступом, которая будет определять развитие российского рынка ИБ в ближайшие годы. ПК «Avanpost 3.0» не имеет аналогов на российском и западном рынках информационной безопасности. Эту российскую разработку отличает сочетание полноты функциональных возможностей с невысокими начальными затратами на внедрение и низкой стоимостью владения, а также обилие готовых и простота создания новых коннекторов, позволяющих связать IDM-решение практически с любыми инфраструктурными и прикладными элементами корпоративной информационной системы предприятия. В настоящее время ПК «Avanpost 3.0» закрывает большинство проблем, возникающих у служб ИБ при реализации политик безопасности.
О компании Аванпост
Компания Аванпост (ООО «Аванпост») – ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), работает на рынке информационных технологий и информационной безопасности с июня 2007 года и к настоящему моменту является технологическим лидером в сегменте Identity Management. Программный комплекс (ПК) «Avanpost» успешно внедрен и функционирует в нескольких десятках компаний различных сфер деятельности. Кроме того, программный комплекс полностью соответствует требованиям ФЗ-152 и СТО БР ИББС. С 2012 года компания Аванпост реализует новую модель ведения бизнеса, отказавшись от эксклюзивных соглашений с отдельными ИБ интеграторами и перейдя на систему распространения путем заключения партнерства с универсальными-, ИБ- и отраслевыми интеграторами.