Компания Аванпост – ведущий российский разработчик систем идентификации иуправления доступом к информационным ресурсам предприятия (IDM) – выпустилановую версию своего флагманского программного продукта Avanpost IDM 6.5,которая отвечает современным и перспективным потребностям организаций с самымвысоким уровнем зрелости процессов управления доступом. Используя инструменты,появившиеся в этой версии, любая организация может перейти на более корректныеи эффективные практики управления доступом, повысить вовлеченностьбизнес-подразделений в управление ролевой моделью, а также привести описанияролей в полное соответствие с основополагающими международными стандартами,применяемыми в настоящее время в бизнес-ПО и в наиболее совершенных решенияхкласса IDM и IGA. Соответственно, Avanpost IDM 6.5 представляет интерес длялюбых заказчиков, независимо от направления и масштаба деятельности. При этомзаказчики получает возможность существенно улучшить качество и организациюпроцессов управления доступом сразу по многим направлениям, составить иреализовать наиболее удобную для себя дорожную карту таких улучшений.

Наиболееглубокое отличие новой версии Avanpost IDM связано с переходом на многоуровневуюиерархическую ролевую модель. Применявшаяся ранее одноуровневая (плоская)модель обладала рядом преимуществ на этапе приобретения российскими компаниямипервого опыта применения IDM и IGA: упрощала внедрение IDM и позволялаавтоматизировать большую часть работы по созданию ролевой модели на основефактически существующих в организации прав доступа. Однако плоская модельнеизбежно приводила к излишне тесной привязке ролей к конкретному ПО ивстроенным в него механизмам управления доступом, сводя роль любого уровня(бизнес-, организационная, функциональная и др.) к набору полномочий вопределенных элементах информационной системы (например, групп MS AD или ролейSAP), позволяющих выполнять те или иные действия. Отсутствие прямой связи стерминологией бизнеса делало такие роли непонятными и неудобными длябизнес-подразделений, ограничивало вовлеченность последних в процессыуправления доступом, затрудняло процессы сертификации доступа и первичнойреконсиляции, не позволяло поднять ролевую модель на уровень бизнеса. Крометого, одноуровневая организация ролевой модели приводила к дублированиюполномочий в различных ролях и в относящихся к ним правилах (например, правилахпредотвращения SoD-конфликтов). Любое изменение ИТ-инфраструктуры требовалокорректировки множества ролей (зачастую многих десятков, а иногда и сотен), чтоповышало трудоемкость поддержки ролевой модели в актуальном состоянии.

Многоуровневая ролевая модель AvanpostIDM 6.5

ВAvanpost IDM 6.5 ролевая модель стала многоуровневой, не ограниченной поколичеству слоев. При этом компания Аванпост рекомендует проектировать минимумдва уровня: базовый – ИТ-роли и бизнес-роли различного вида: функциональные,проектные, организационные. Последний вид, по существу, является иерархическимсловарем правил доступа сотрудников к тем или иным функциям информационныхсистем организации, которые, в отличие от плоской модели, определены абстрактно,т. е. без привязки к конкретному ПО и встроенным в него механизмамуправления доступом. В разных подразделениях организации и на разных этапахразвития информационной инфраструктуры одно и то же абстрактное описание можетбыть реализовано с помощью разного ПО. При этом связь абстрактных ролей сконкретным ПО задается в базовом слое многоуровневой ролевой модели и невыходит за его пределы.

Этодает большие преимущества. Во-первых, описания ролей и правил в надстроечномуровне понятны сотрудникам бизнес-подразделений, что позволяет им не толькополноценно участвовать в процессах управления доступом, но и самостоятельноуправлять бизнес-слоем ролевой модели. Во-вторых, верхние уровни ролевой моделименяются только при изменении требований бизнеса, но сохраняются неизменнымипри замене одного ПО другим. При этом такая замена (и другие изменения науровне ИС) зачастую требует корректировки лишь базового слоя многоуровневоймодели, с чем самостоятельно справляются сотрудники ИТ- или ИБ-подразделений.Иными словами, переход на многоуровневую модель приводит к перераспределениюответственности в области управления доступом и приведению его в полноесоответствие с задачами, которые фактически решают разные категории сотрудниковпредприятия. В-третьих, механизм наследования ролей, реализованный в AvanpostIDM 6.5, дает возможность создавать ролевые модели любой глубины вложенности,устранив дублирование описаний и связанные с этим проблемы.

Отметимтакже, что внедрение новой ролевой модели позволяет реализовать в Avanpost IDM6.5 полностью прозрачные процессы первичной реконсиляции и сертификацииимеющихся у пользователей прав доступа, охватить более широкий набор сценариевуправления доступом, повысить уровень автоматизации и вовлечь в нихпользователей.

Расширение сферыконтроля IDM и повышение точности управления доступом


Еще одно важнейшее нововведение Avanpost IDM 6.5 – это механизм публикацииресурсов, который позволяет IDM-системе управлять правами в отношении объектов,которые создают и контролируют сами пользователи. При этом могут применятьсятакие модели авторизации, как ACL и контекстные роли. Теперь узаказчиков появилась возможность полноценно контролировать доступ кразнообразным ресурсам: проектам (в системе управления проектами), сайтам SharePoint, отчетам (например, в системе BI), совместно используемым файлам,«разделяемым пространствам» (в системах коллективной работы) и мн.др. Механизмпубликации ресурсов устраняет разрывы и задержки в системе контроля доступа ктаким ресурсам.

Спомощью механизма публикации ресурсов руководитель может, создав проект илииной ресурс, незамедлительно опубликовать его в IDM-системе, стать еговладельцем и запросить необходимые правадоступа для членов команды. В свою очередь, IDM сразу возьмет под контрольправа доступа к этому ресурсу, применит к ним (правам) все необходимые процессы(например, проведет согласование заявки с определенными должностными лицами, ав дальнейшем – процедуры сертификации и аттестации), а также обеспечит базовыемеханизмы автоматизации (например, отзовет права при увольнении сотрудника).

Отметим,что механизм публикации ресурсов опирается на новый вид прав (права к объектамдоступа), который в Avanpost IDM 6.5 существует наряду с правами,предоставляющими глобальные полномочия уровня информационной системы.

Всёэто значительно расширяет зону контроля со стороны IDM-решения, позволяетповысить точность управления правами и эффективно противодействовать болееширокому набору рисков.

Другие улучшения

Вновой версии Avanpost IDM имеется целый ряд технических нововведений иусовершенствований, которые существенно повышают удобство внедрения,использования и сопровождения IDM-решения. Отметим лишь основные из них.

Существенноулучшен пользовательский интерфейс, появился чрезвычайно востребованныйинтеграторами инструментарий настройки внешнего вида IDM-системы и приведенияее в соответствие с особыми требования заказчиков, включая брендирование.Теперь в Avanpost IDM можно создавать меню для разных групп пользователей, назначатьдействия, доступные участникам процессов (включая внешний вид и поведение), атакже задавать множество других настроек.

Масштабнымизменением стала переработка модуля самообслуживания (self service). С этойсистемой непосредственно взаимодействуют все пользователи IDM-решения, поэтомуеё улучшения дают наиболее ощутимый эффект. Наиболее заметные изменения произошли в пользовательском интерфейсе. Его внешний вид,удобство и отзывчивость приведены в соответствие с изменившимися подходами кпроектированию web-интерфейсов и с возросшими требованиями заказчиков.Выбранный разработчиками Avanpost IDM 6.5 стиль основывается на проверенныхпринципах Material Design, а для его реализации используются тщательноотобранные готовые компоненты. Применение готовой дизайн-системы и фреймворкане только ускорило разработку, но и расширило возможности кастомизации ибрендирования.

Значительноусовершенствован дизайнер процессов и механизм их тестирования. Теперь присохранении описания процесса автоматически проверяется не только полнотанастоек каждого этапа, но и все связи, выражения в условиях, входные и выходныепеременные. Кроме того, появилась поддержка функций на языке программированияPython, что позволило заменить трудоемкое программирование (например, для реализацииобращения бизнес-процесса к внешнему сервису) на написание простых скриптов –прямо в пользовательском интерфейсе консоли администратора. Теперь сталогораздо проще модифицировать процессы, причем даже без остановки сервиса. Крометого, на Python переведены все виды скриптов, имеющиеся в Avanpost IDM 6.5.


Новая версия Avanpost IDM подтверждаети закрепляет признанное лидерство компании Аванпост на этом сегментероссийского ИБ-рынка. С помощью Avanpost IDM 6.5 заказчики могут вывестиуправление доступом на новый уровень удобства и зрелости. А распространениеновых практик управления доступом улучшит интеграцию IDM в корпоративныесистемы управления рисками и поможет повысить общий уровень защищенностироссийских организаций.