Андрей Конусов: «Для внедрения IDM компаниям приходится месяцы, а иногда и годы тратить на составление ролевой модели, которую мы предлагаем построить за несколько недель» |
Этот модуль будет поставляться в составе четвертой версии Avanpost IDM, которая должна появиться в конце года. Модуль предназначен в первую очередь для упрощения внедрения и эксплуатации основного продукта Avanpost и уже с августа поставляется при реализации новых проектов
Role Management представляет собой надстройку над основным ядром Avanpost (см. «Учет учетных записей», Computerworld Россия, № 26, 2012), позволяющую компании самостоятельно проанализировать существующие в ней роли и связанные с ними права доступа к различным приложениям. Вначале модуль собирает данные из корпоративных систем по правам доступа тех пользователей, которые уже существуют. Потом запрашиваются сведения из базы данных отдела кадров и проводится анализ прав доступа к системам в привязке к должностным позициям. Далее выявляются системы, к которым получает доступ максимальное число представителей той или иной должности, и для каждой роли формируется профиль, устанавливающий право на использование информационных ресурсов предприятия. Для этого задействуются механизмы искусственного интеллекта, такие как нечеткая логика. В результате система автоматически определяет набор прав доступа к приложениям, которые нужны для людей, занимающих ту или иную должность.
После того как набор базовых разрешений для должности определен, система выявляет исключения, то есть ресурсы, к которым имеет доступ только минимальное число представителей определенной роли. Такие исключительные права доступа могут сразу блокироваться, а могут передаваться на анализ в службу информационной безопасности. Дальше производится выявление дублирования ролей с разными названиями должностей, это делается для минимизации количества реально необходимых ролей. «Как правило, количество ролей, необходимых для описания прав доступа, всегда меньше, чем должностей на предприятии», — отметил Андрей Конусов, генеральный директор Avanpost. В дальнейшем построенная ролевая модель прав доступа используется для работы системы Avanpost IDM и централизованного управления правами доступа.
Помимо прочего, модуль ролевого управления позволяет обнаружить пользователей системы, для которых определено слишком много исключений, а также выявляет «мертвые души» — пользователей, для чьих учетных записей не найдено соответствия в базе данных отдела кадров. Последние наиболее опасны с точки зрения безопасности, поскольку уволенные сотрудники имеют большую свободу и могут навредить компании каким-либо способом. Кроме того, подобными учетными записями могут воспользоваться посторонние для получения доступа к корпоративным ресурсам. Сократив количество неиспользуемых учетных данных, компания может улучшить защищенность своей информационной системы.
Новый модуль также пригодится заказчикам, которые не в состоянии сами построить адекватную ролевую модель или позволить себе наем консультантов. Кроме того, клиент может воспользоваться модулем построения ролевой модели для того, чтобы разнести процессы внедрения Avanpost IDM и анализа прав доступа пользователей — сначала внедрить продукт с существующей системой прав доступа, а потом, постепенно анализируя роли и полномочия пользователей, оптимизировать набор прав для каждой роли и блокировать ненужные исключения из общих правил доступа.