Identity and Access Governance (IAG)
Определяет какие полномочия пользователя являются легитимными, а какие избыточными.
После согласования заявки IDM исполняет ее, «легитимизируя» доступ,
имеющийся у пользователя.
Далее автоматически на каждого пользователя создается заявка, в которую включаются все его
выявленные права доступа и проходит по маршруту согласования (руководитель/владельцем ресурса, пр.).
Они отмечают в заявке те права, которые являются избыточными для пользователя.
После связывания в IDM пользователей с их учетными записями в информационных системах
запускается аудит, который выявляет все полномочия пользователей в каждом ресурсе.
Аттестация полномочий запускается по расписанию, обычно один раз в год для типовых пользователей.
В рамках аттестации на каждого пользователя создается заявка сего текущими полномочиями,
которая проходит по маршруту согласования.
Повышение частоты аттестации используется как компенсационная мера для пользователей,
обладающих привилегированными или конфликтными полномочиями, либо попавших под внимание
офицеров ИБ или IDM-системы по какой-то другой причине.
В IDM для каждого права целевой системы в зависимости от степени
его критичности определяется риск;
Далее, для каждой учетной записи пользователя и в целом по пользователю автоматически
в зависимости от совокупности полномочий осуществляется оценка рисков
в соответствии с принятой моделью;
Если совокупное значения рисков выше допустимого уровня и пользователь или его учетная
запись подпадает под понятие привилегированного доступа, они могут компенсироваться
за счет настройки и выполнения дополнительных мер, например: дополнительные этапы
согласования, отказ в выдаче доступа, отзыв прав при сертификации и т. д.
Identity and Access Governance
IAG
Система построена на принципе минимально
необходимых полномочий. Наличие избыточных
полномочий значительно повышает риски утечек
корпоративных данных и др. злонамеренных
действий. Автоматизация процессов
«легитимизации» и «аттестации» обеспечивает
поддержку этого принципа.
Составляющей процесса управления
ролями являются политики Segregation of Duties (SoD)
или разделение полномочий, запрещая совмещение
определенных ролей.
Данное решение оперирует ролями
и атрибутами ролей, которые связаны
с организационной структурой предприятия;
Сертификация: узаконивание полномочий учетных записей
Процесс, который предполагает плановый пересмотр доступов пользователя
Функционал в IDM-системе позволяет обеспечить дополнительные меры по защите доступа
к информационным ресурсам на основании риск-ориентированной модели
Оценка и управление рисками