Публикации

24.01.2019

Предотвращение конфликтов полномочий с помощью Avanpost IDM

Предотвращение конфликтных полномочий (SOD-конфликтов) является одним из важных процессов при формировании ролевой модели в организации. Как с помощью системы управления учетными записями и правами доступа предотвратить риски совмещения полномочий — убедимся на примере Avanpost IDM 6.0, который в том числе обеспечивает автоматизированный контроль над SoD-конфликтами.

Введение 

Управление доступом к информационным ресурсам современной организации является сложным многообразием различных процессов, таких как управление ролевой моделью, предоставление доступа при приеме на работу и отзыв при увольнении, согласование заявок на доступ и их исполнение, аудит прав доступа и расследование инцидентов. От эффективности этих процессов зависит не только защищенность корпоративной информации, но и производительность работы сотрудников, а в ряде случае и контрагентов. Чтобы обеспечить компромисс между безопасностью и эффективностью бизнес-процессов, необходимо организовать единый центр управления данными процессами с максимальным сокращением числа ручных операций и минимизации человеческого фактора при принятии решений. Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Основная трудность при использовании ролей — правильно их определить.  В статье рассмотрим, как с помощью системы управления учетными записями и правами доступа Avanpost IDM 6.0, разработанной российской компанией «Аванпост», обеспечить предотвращение рисков совмещения полномочий. А сфокусируем внимание на реализации правил разграничения полномочий в Avanpost IDM, которые позволяют контролировать совмещение критичных функций пользователем.

Предотвращение рисков совмещения полномочий с помощью Avanpost IDM

Одним из процессов Avanpost IDM является выявление и предотвращение конфликтных полномочий, или SOD-конфликтов (Segregation of Duties). Этот процесс необходим для обеспечения принципа разделения ответственности, когда один человек не может обладать набором полномочий, например, позволяющим единолично выполнить критичную для бизнеса операцию. Иными словами, такую задачу должны выполнять два человека или более. Например, классический пример SOD в финансовых организациях — запрет совмещения должностей операциониста и контроллера при проведении банковской операции. Конфликтовать могут как роли, настраиваемые в IDM, так и конкретные права на уровне целевой системы. Контроль SOD-конфликтов осуществляется при сертификации доступа, при запросе доступа через workflow и при назначении ролей. При этом реагирование на обнаруженные конфликты может быть разным. Например, при выявлении конфликта полномочий в ходе формирования заявки на доступ система может попросить отредактировать заявку или направить ее на дополнительное согласование. Также конфликтному набору прав может быть повышен уровень риска, что потребует более частого прохождения процедуры ресертификации. Для осуществления подобного контроля в Avanpost IDM настраивается матрица конфликтных полномочий, где указываются, какие роли не должны быть совмещены. В Avanpost IDM это обеспечивается настройкой правил сочетаний — правил совместимости и зависимости ролей друг от друга. В Avanpost IDM для реализации правил сочетаний определяется сочетаемость роли или каталога. Сочетаемые роли и каталоги — это роли и каталоги, которые могут быть назначены одновременно с текущей ролью. Несочетаемые роли и каталоги — это роли/каталоги, которые, соответственно, не могут быть назначены одновременно с текущей ролью.

Определение правил сочетания ролей в Avanpost IDM

Определение правил сочетания ролей производится в режиме «Настройка ролей» на вкладке «Правила сочетания». В рабочей области «Настройки совместимости с ролями» в выпадающем списке выбирается тип сочетаемости текущей роли со всеми ролями и каталогами в Avanpost IDM. Можно выбрать два варианта:

  • Сочетается со всеми
  • Не сочетается ни с чем
Затем добавляется правило, определяющее тип политики: для роли и для каталога.

Рисунок 1. Рабочая область «Настройки совместимости с ролями» в Avanpost IDM

с1.png

При настройке правил сочетаний для ролей в Avanpost IDM необходимо выбрать тип правила «Для ролей…». В нашем примере для роли «АБС Операционист» в список совместимостей добавим роли «АБС Администратор», «АБС Главный бухгалтер» и «АБС Контролер». Для выбранных ролей необходимо определить тип сочетаемости. Есть два условия: «Не сочетается» или «Сочетается». Мы укажем «Не сочетается».

Рисунок 2. Вкладка «Правила сочетания» в Avanpost IDM

с2.png

Таким образом, при запросе роли «АБС Администратор», «АБС Главный бухгалтер» или «АБС контролер» пользователем с правами «АБС Операционист» Avanpost IDM автоматически откажет в наделении прав. Кроме того, если будет запрос прав пользователя одновременно на «АБС Контролер» и «АБС Операционист» система также откажет в наделении прав, т. к. обнаружит конфликт ролей.

Рисунок 3. Запрос прав «АБС Контролер» и «АБС Операционист» в Avanpost IDM

с3.png

Рисунок 4. Обнаружение конфликта запрашиваемых ролей в Avanpost IDM

с4.png

При обнаружении конфликта ролей в Avanpost IDM в рамках запроса можно удалить одну из запрашиваемых ролей, например роль «АБС Операционист».

Рисунок 5. Удаление роли «АБС Операционист» из запроса в Avanpost IDM

с5.png

Кроме того, если у пользователя уже есть одна из запрашиваемых ролей, система также на это укажет.

Рисунок 6. Информирование о наличии у пользователя роли «АБС Операционист» в Avanpost IDM

с6.png

Конфликтующую роль можно также отозвать. Например, если пользователю в АБС необходимо иметь права «АБС Контролер», но у него уже есть права «АБС Операциониста», он может выполнить одновременно запрос на отзыв роли «АБС Операционист» и на доступ к АБС с правами «АБС Контролер».

Рисунок 7. Запрос на отзыв роли «АБС Операционист» и на доступ к АБС с правами «АБС Контролер» в Avanpost IDM

с7.png

Аналогичным образом настраиваются правила для каталогов (каталогов ролей) — в форме «Выбор каталога» выбираются нужные каталоги и определяется тип сочетаемости.

Определение зависимостей роли в Avanpost IDM

Определение зависимостей роли — это создание списка ролей, без которых не может быть назначена текущая роль. Для этого в рабочей обасти «Зависимости роли» необходимо добавить зависимости: в форме «Выбор роли» выбрать необходимые роли. Название выбранной роли будет окрашено в красный цвет. Роли добавляются в список зависимостей роли. Например, роль «Доступ в интернет (расширенный)» требует наличие роли «Доступ в интернет (стандртный)». Если пользователь сделает запрос на роль «Доступ в интернет (расширенный)», при этом у него не будет роли «Доступ в интернет (стандртный)», то Avanpost IDM укажет на конфликт ролей.

Рисунок 8. Конфликт ролей при запросе на роль «Доступ в интернет (расширенный)» в Avanpost IDM

с8.png

Система предложит добавить зависимую роль в запрос.

Рисунок 9. Добавление зависимой роли в запрос в Avanpost IDM

с9.png

Выводы

В статье наглядно продемонстрировано, как с помощью Avanpost IDM предотвратить риски совмещения полномочий. Внедрение ролевого управления доступом может быть крайне полезным для бизнеса, если определять роли правильно. Avanpost IDM обеспечивает автоматизированный контроль над конфликтами полномочий (SoD-конфликтами) как при формировании ролей в виде совокупности других ролей, так и при назначении пользователю новых ролей. Настройка правил сочетаний ролей позволяет контролировать совмещение критичных функций пользователем.

Anti-malware
23.01.2019

Как будет развиваться ИТ-рынок в России в 2019 году. Мнение ТОП-менеджеров отечественных компаний

В 2019 году на рынок смогут сильно повлиять только уже сложившиеся тренды, которые осознаны заказчиками и включены в планы развития. Слишком новые технологии просто не успеют за год-два достичь этого состояния, хотя единичные проекты появляться будут.

23.01.2019

Настройка процессов согласования доступа в Avanpost IDM 6.0 по типовым требованиям заказчика

В крупных компаниях с большой ИТ-инфраструктурой и многообразием информационных систем автоматизация управления процессами, связанными с управлением учетными записями изменениями их полномочий, становится ключевым местом. Как же выстроить и автоматизировать процесс управления доступом в компании? Как выглядит типовой бизнес-процесс согласования доступа пользователя к информационной системе и как реализовать его в Avanpost IDM.

Заказать демонстрацию

Спасибо!

Ваша заявка принята! Очень скоро Вы получите письмо с дополнительной информацией.

Спасибо!

Ваш пароль изменен.

Ошибка!

Пожалуйста, заполните корректно все поля.

ок