2. Для подразделения ИТ:
Не автоматизированная отработка огромного потока заявок
на предоставление, изменение и отзыв прав доступа
пользователей в ИТ системах приводит к:
Актуальность вопроса
Высокой
загрузке/перегрузке
дорогостоящих ИТ
специалистов
Простою
сотрудников из-
за длительного
выполнения их
запросов
Возможным
ошибкам
3. Для подразделения ИБ:
Актуальность вопроса
Контроль за учетными записями и правами доступа
пользователей является одной из важнейших задач
обеспечения Информационной Безопасности любой
организации!!!
Возможность злоумышленнику получить
доступ к информации под видом
легитимного пользователя является
универсальной уязвимостью, с которой
не справится ни одна система защиты.
4. Проблематика управления доступом
Классическая схема
управления доступом к
ресурсам организации
Основные минусы:
Все приложения разрозненны.
Политики доступа к ним не
однородны.
Учетные данные хранятся
разрозненно, появляются
«мертвые души».
Большие затраты на
администрирование.
DB / LDAP
Приложение
Сотрудники
ПриложениеПриложениеПриложение
DB / LDAP DB / LDAP DB / LDAP
User IDUser ID User ID User ID
Администраторы ИТ - подразделения
5. IDM-решения
Управление доступом с
использованием IDM-решения
Основные плюсы:
Централизованное хранение и
управление всеми учетными
данными пользователей.
Учет всех кадровых событий
(прием, перевод, увольнение) в
режиме реального времени.
Централизованное управление
политиками доступа.
Централизованный аудит,
возможность формирования
любой отчетности по
управлению доступом.
Удобство согласования
дополнительных прав доступа
с помощью процесса Workflow
Существенное снижение затрат
на администрирование.
DB / LDAP
Приложение
Сотрудники
ПриложениеПриложениеПриложение
DB / LDAP DB / LDAP DB / LDAP
User IDUser ID User ID
Администраторы ИТ - подразделения
IDM
Администратор Отдел кадров
User ID
6. Основные процессы IDM
Кадровые события
Управляющие действия в ИС
Функциональные
действия
Увольнение
Перевод
Прием на работу
Отпуск
Аудит УЗ и прав
Блокирование/разблокирование УЗ
Создание УЗ
Изменение свойств УЗ
Назначение/отзыв прав
Отчеты
Согласование
Настройка
Контроль
Новый
сотрудник
Консоль
самообслуживания
HR-
система
Действующий
сотрудник
Информационные
системы
Заявка
на доступ
Процессы
Функциональные
сотрудники
Роли
Политики
7. Трудозатрат ИТ-специалистов на предоставление и отзыв доступа;
Административные издержки на согласование заявок на доступ;
Время простоя сотрудников при предоставлении доступа;
Затраты на внешний аудит ИТ;
Затраты на проведение внутреннего аудита;
Затраты на лицензирование прикладного программного обеспечения;
Риски безопасности, вызванными избыточными правами доступа
(«мертвые души», отсутствие ролевой модели и ее контроля и т.д.).
Производительность Help-desk;
Эффективность управления учетными записями;
Ценность внедрения IDM
8. Avanpost IDM
Позволяет полностью автоматизировать
предоставление прав доступа сотрудников к ИТ
системам организации,
а также выстроить систему автоматического аудита
изменения прав доступа, предотвращающую
ошибки и умышленные злоупотребления.
9. Архитектура
Структура ПК «Avanpost» Функциональность модулей решения
Avanpost IDM – модуль управления учетными
записями и правами пользователей
- полнофункциональное IDM-решение;
Avanpost SSO – модуль однократной
аутентификации (single sign on);
Ключевые функции (модули):
Avanpost PKI – модуль управления
элементами инфраструктуры открытых ключей
PKI;
Коннекторы:
Коннекторы – необходимы для интеграции ПК
«Avanpost» с различными информационными
системами.
10. Основные трудности при внедрении IDM
Высокая стоимость лицензий и стоимость
внедрения
Высокая длительность внедрения и
высокие риски перехода проекта в
долгострой
Отсутствие коннекторов к самописным
или узко отраслевым системам и не
возможность их оперативной разработки
Отсутствие Ролевой модели и
Матрицы доступа и сложность ее
разработки в ходе проекта
Доступ
11. Пути преодоления описанных трудностей
Разумная цена и гибкая
политика ценообразования
Российского вендора
Возможность разработки
коннекторов под клиента силами
вендора
Легкость решения делает
гораздо более предсказуемыми
сроки внедрения
Наличие модуля
Role Manager и Ресертификации
Ролей позволяет создавать и
поддерживать Ролевую модель в
автоматическом режиме
12. Avanpost Workflow
Консоль управления заявками
Создание заявок на предоставление прав доступа к информационным ресурсам.
Создание заявок происходит в личном кабинете web-интерфейса самообслуживания
пользователей;
Настройка процесса согласования заявок. Настраивается список согласующих лиц, их
заместителей и порядок их участия в процессе согласования заявок.
Сокращение сроков согласования заявок на предоставление дополнительных прав
доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
13. Avanpost Role Manager
Консоль управления ролевой моделью
Автоматизированное создание базовой ролевой модели на предприятии. Механизм
создания основан на анализе прав доступа сотрудников с одинаковыми должностями;
Добавление исключений к ролям отдельных сотрудников. В случае, если каким либо
сотрудникам помимо ролевой матрицы положены еще какие либо права, можно добавить
это в исключение.
Сокращение сроков внедрения IDM-решения, а так же повышение достоверности базовой
матрицы доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
14. Трехфакторная аутентификация
Первые реальные результаты интеграции со СКУД
Единая смарт-карта / токен для входа в на территорию офиса и для входа в
информационные системы. Карты и токены можно оснащать различными RFID метками
для поддержки текущей системой СКУД;
Полноценное управление политиками СКУД на основе бизнес ролей. При приеме на
работу сотрудника автоматически задается политика доступа в помещения;
Интеграция модулей IDM и PKI с системами СКУД. При этом реализуется принцип
трехфакторной аутентификации, когда для принятия решения о предоставлении доступа
берутся в расчет данные о текущем местоположении пользователя из СКУД;
Идея:
Функционал:
Дополнительные возможности
15. Список готовых коннекторов
MS Active Directory, Exchange, База данных MS SQL, База данных
Oracle, My SQL, Линейка продуктов 1С версии 8, SAP, АБС Кворум,
Lotus Notes/Domino, СПО Аламеда, SOAP, LDAP (стандартный
коннектор), jDocFlow, TOPS Unicus, Виртуальный коннектор, СКУД
AS101, Directum, Летограф, ЦФТ IBSO, Галактика, PayDocs,
Sharepoint, Oracle E-Business Suite и т.д.
1С, Exсel, HRB, LDAP, Oracle HR, SAP HR, БОСС Кадровик, Госналог,
ДИАСОФТ, СТ.Кадры, Галактика Управление персоналом
Коннекторы к кадровым система:
Коннекторы к целевым системам:
16. Новые версии Avanpost IDM
Avanpost 5.0
(апрель 2016)
Новый удобный
WEB-интерфейс
Новый workflow c
конструктором
бизнес-процессов
Новый механизм
назначения ролей
Управление
парольными
политиками
Avanpost 5.1
(июль 2016)
Новые типы
заявок:
Блокировка/разблоки
ровка УЗ
Изменение ПДн
Одновременная
смена паролей
Кадровая консоль:
объединение
подразделений
Просмотр
информации о
подчиненных
Avanpost 5.2
(сентябрь 2016)
Обновление данных
в целевых системах
по событиям
Архивация и
переиспользование
логинов
Замена XML
интерфейса клиента
на Web API
Avanpost 5.3
(ноябрь 2016)
Поддержка Postgres
Оптимизация и
масштабирование
аудита
Переаттестация
прав
пользователей
18. Пример внедрения IDM
Заказчик – Крупнейшая компания
коммунального хозяйства
Количество пользователей – 5000
Общее количество информационных
систем – больше 10
На текущий момент к Avanpost IDM
подключено 6 целевых и 1 кадровая
ИС
Проект 2-х этапный, общий срок
около одного года
ПК Avanpost
БД Аванпост
IDM-коннектор
IDM-коннектор
1C:ЗУП 8.3
Веб-
сервер
Avanpost IDM
Сервер
Сервис
синхронизации
Oracle E-
Business Suite
Данные о
сотрудниках
Сотрудник/
Руководитель
Биллинговая
система на
базе 1С 8.3
1С Бухгалтерия 8.3
IDM-коннектор
IDM-коннектор
Администратор
системы
Владелец
ресурса
Запрос
дополнительного
доступа
Согласование
доступа
Настройка
системы
Администратор
безопасности
Контроль
доступа
MS AD
IDM-коннектор
Геоинформационная
система
СЭД
IDM-коннектор
19. Этапность проекта
1-й этап «Интеграционный»
Разработка коннекторов к ИС
IDМ в режиме контроля матрицы доступа
В MS AD – базовые роли
2-й этап «Бизнес внедрение»
Разработка ролевой модели
Создание бизнес-процессов
Запуск IDM в полном функционале
21. 8 лет
успеха
2 млн.
пользователей
50+
внедрений
70+
партнеров
Аванпост – ведущий российский разработчик систем
идентификации и управления доступом к информационным
ресурсам предприятия (IDM), работает на рынке
информационных технологий и информационной безопасности с
июня 2007 года и к настоящему моменту является
технологическим лидером в сегменте Identity Management.
Наши главные решения
Avanpost
IDM
Avanpost
PKI
Avanpost
SSO
Управление доступом
к информационным
ресурсам
Управление всеми элементами
инфраструктуры
открытых ключей
Модуль единого входа
в систему или приложение
О компании Аванпост
22. Олег Губка
Директор по развитию
+7 (495) 641-8080
+7 (903) 193-0044
OGubka@avanpost.ru
www.avanpost.ru
Готов ответить на Ваши вопросы!