Инструменты контроля конфликтов полномочий в Solar inRights
Компания «Ростелеком-Солар» объявила о выходе новой версии IGA-платформы Solar inRights 3.0. В мажорном релизе платформы для управления доступом к ИС реализован механизм управления конфликтами полномочий.
Как отмечают в компании, новая функциональность весьма востребована рынком. Конфликты полномочий пользователей в информационных системах – одна из самых насущных и одновременно сложно решаемых задач сферы управления доступом. Предоставление тому или иному сотруднику полного контроля над процессом или активом повышает риски мошенничества в организации. Поэтому функциональность разграничения конфликтующих полномочий (Segregation of Duties, SoD) – необходимая составляющая стратегии управления рисками современной компании. В предыдущих версиях Solar inRights управление конфликтами полномочий осуществлялось с помощью сложных инженерных настроек, а начиная с версии 3.0 пользователи получают удобный автоматизированный инструмент для решения этой задачи.
В новой версии появился графический интерфейс, позволяющий формировать матрицу «критических» сочетаний прав (ролей) сотрудников в ИС компании. Данные о конфликтах могут быть импортированы из внешнего файла либо внесены в ручном режиме через интерфейс системы в форму «Настройка SoD-конфликтов». Матрица позволяет указывать на конфликты сочетаний с маркировками критичности. В случае критического сочетания (запрет) пользователь не может одновременно иметь конфликтующие роли, а в случае нежелательного сочетания (предупреждение) – может, но только при подтверждении уполномоченным сотрудником.
В Solar inRights 3.0 доступны различные сценарии реагирования на SoD-конфликты. Сначала система автоматически проверяет наличие критических и нежелательных ролей в заявке на предоставление прав доступа. Далее она анализирует, не запрашиваются ли роли, которые в комбинации с уже имеющимися у пользователя образуют критическое/нежелательное сочетание. Если такое сочетание обнаружено, то инициатору заявки выдается предупреждение о конфликте.
Затем система автоматически определяет, есть ли у пользователя авторизация, позволяющая создать заявку с SoD-конфликтами. Если такие права есть, можно продолжить оформление или удалить из заявки роли с критическим/нежелательным сочетанием. Если подобных прав нет, то конфликтующие полномочия с критическим сочетанием будут автоматически удалены, а полномочия с нежелательным сочетанием можно удалить или сохранить в заявке.
Система Solar inRights 3.0 регистрирует все события, связанные с возникновением или устранением SoD-конфликтов, в ней хранится полная информация по всем конфликтам полномочий. Отчет можно в любой момент выгрузить из системы, сформировав нужную выборку с помощью фильтров: по статусу конфликта, по подразделениям, сотрудникам, ролям и за определенный период времени.
Для своевременного оповещения о возникающих конфликтах Solar inRights 3.0 направляет уведомления владельцам ролей и офицерам ИБ. Система позволяет настроить доступ для просмотра и редактирования информации по SoD-конфликтам в зависимости от штатной позиции сотрудника.
В новой версии также изменилась парольная политика. Теперь при смене пароля учетной записи пользователя в ИС будет применяться установленная для данной ИС политика. Если парольная политика для системы не указана, то используются правила установки паролей, заданные в Solar inRights, – единственная опция в предыдущих версиях платформы. Более гибкие правила будут востребованы, если к некоторым системам в организации (например, содержащим строго конфиденциальные данные) предъявляются более жесткие требования установки паролей, чем к основной части систем, или если в компании используются устаревшие или уникальные системы, для которых технически невозможно настроить централизованные парольные политики.
Кроме того, для большего удобства работы с платформой значительно переработана функциональность управления e-mail-уведомлениями, поступающими пользователям от системы. В базовых настройках Solar inRights уведомления содержат минимально достаточную информацию –номер заявки, назначение роли, дата создания. Однако система уведомлений может настраиваться под клиента и дополнительно включать информацию о точном времени создания запроса, ФИО, должности и подразделении инициатора, какие роли и для каких сотрудников требуются и т.п. Это позволяет получившему уведомление пользователю, быстро сориентироваться в сути запроса и оперативно его обработать.