Риск-ориентированное управление доступом в Avanpost IDM
Компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), реализовала инструменты риск-ориентированного управления доступом IGA (Identity Governance and Administration) в своем флагманском продукте – Avanpost IDM.
В рамках новой модели каждое право доступа (полномочия и роли в целевой системе), в зависимости от предоставляемых ими возможностей и их критичности для бизнеса, соотносится с определенным уровнем риска. Показатели учетных записей и пользователей вычисляются на основе модели определения уровня риска и подлежат компенсации с помощью разнообразных мер. Реализация в полном объеме риск-ориентированной модели, отмечают в компании, это новшество для отечественного рынка, хотя именно такой функционал все более востребован современными организациями, стремящимися управлять бизнесом на основе данных.
В качестве компенсационных мер могут применяться различные сценарии: эскалация запросов, ограничение времени доступа, плановый пересмотр критичных полномочий, усиление политик, применяемых к учетной записи и многие другие. Этот функционал делает продукт интересным не только службам ИТ и ИБ, но и подразделениям, отвечающим за внутренний комплаенс и управление рисками.
Модель оценки рисков зависит от сценариев использования, в которых планируется ее применять. Вместе с тем существует универсальный набор базовых параметров, на которые требуется обратить внимание в первую очередь. К их числу специалисты «Аванпост» относят обладание правом доступа (базовая переменная, показывающая уровень привилегии в системе); совмещение прав, способ получения права, неиспользование учетной записи, статус пользователя, местоположение пользователя и его тип. В итоге модель позволяет точно и своевременно выявлять комплексные риски и реагировать на них; в первую очередь, это риск компрометации учетной записи и риск злонамеренного поведения пользователя.
Как подчеркивают в «Аванпост», важный аспект реализации в Avanpost IDM и основное ее отличие от западных решений – это отсутствие необходимости разработки полноценной модели оценки рисков и утверждения компенсационных процедур для начала использования функции и получения практической пользы. На первом этапе достаточно оценить наиболее критичные полномочия, что позволит определить список привилегированных учетных записей и их владельцев, а добавление простого процесса аттестации полномочий привилегированных учетных записей сократит накопление доступов, особенно распространенное у ИТ-специалистов.