Как с помощью IDM-системы навести порядок в правах доступа сотрудников

Что такое IDM

Системы управления правами доступа (Identity Management, IDM) — это программное обеспечение, которое позволяет организациям контролировать доступ к их информационным ресурсам и приложениям.

«IDM.Управление учетными данными» на платформе "1С:Предприятие 8" – это система для автоматизации процессов централизованного управления учетными записями и правами пользователей, которая решает следующие основные задачи:

1. Управление учетными записями пользователей: позволяет создавать, изменять, блокировать и удалять учетные записи (УЗ) пользователей в системах.
2. Синхронизация данных о пользователях между информационными системами (ИС). Это включает в себя синхронизацию информации о сотрудниках, их должностях, подразделениях, контактных данных и других атрибутах.
3. Управление правами доступа: IDM позволяет управлять правами доступа пользователей в ИС на основе данных из кадровых источников. Это включает в себя назначение и удаление групповых политик, управление доступом к ресурсам и приложениям, а также управление ролями и правами пользователя.
4. Автоматизация процессов: IDM позволяет автоматизировать процессы создания, изменения и удаления УЗ пользователей. Например, при приеме нового сотрудника, IDM может автоматически создать его УЗ в Active Directory, создать почтовый адрес, выдать доступ и назначить необходимые права доступа в системах и приложениях: 1C, CRM, ЭДО, СКУД, Service Desk, и многих других. А также автоматизировать процессы согласования и выдачи прав доступа.

Внедрение IDM позволяет:

• быстро предоставлять пользователям доступ к информационным ресурсам
• снизить риски ошибок и издержек за счет наведения порядка в правах доступа
• выявлять ошибочно выданные права, контролировать превышение полномочий
• сократить затраты, время и усилия на управление пользователями и их правами
• получить инструмент контроля доступа к информации, защиты конфиденциальности данных
• обеспечить централизованное и единообразное управление данными о пользователях в различных системах организации
• обеспечивать соответствие требованиям законодательства.

Продукт находится в Едином реестре российских программ для ЭВМ, имеет сертификат «Совместимо! Система программ 1С:Предприятие», свидетельство о государственной регистрации.

Когда нужен IDM

Сотрудники на предприятии пользуются ИС различного класса: почта, базы 1С, CRM, электронный документооборот, корпоративный портал, service desk, и многими другими. Управление пользователями и их правами, как правило, не централизовано и не автоматизировано. Ручное управление - трудозатратно и не оперативно; является источником ошибок, издержек и рисков информационной безопасности. Лоскутная автоматизация покрывает не все процессы, не отвечает требованиям бизнеса и ИБ.

Возникают издержки на ФОТ, ошибки в выдаче прав. Между ИБ и ИТ нет согласованности, самостоятельности служб. Большие риски информационной безопасности.

Система IDM необходима, если в компании:

• много кадровых событий
• много информационных систем, баз 1С
• много пользователей
• большое количество заявок на предоставление прав, большая загрузка ИТ-администраторов
• много издержек на ручное выполнение заявок
• у уволенных сотрудников вовремя не отзываются права, УЗ не блокируются
• беспорядок в учете сотрудников и пользователей, отсутствие единой актуальной базы
• риски информационной безопасности; потребность в мониторинге, контроле и расследовании инцидентов.

Чем больше совпадений из этого списка с реальной ситуацией в компании - тем больше связанных с этим издержек несет бизнес.

Для компаний с количеством сотрудников более 500 вопрос внедрения продукта класса IDM становится вопросом времени. В настоящее время всё больше предприятий осознают, что упущенное время для автоматизации, накопленные риски и конечный ущерб для бизнеса могут оказаться в несколько раз дороже внедрения продукта.

Ущерб может быть совокупным, в виде больших издержек на тот же ФОТ. Или, что хуже, однократным и критическим - когда происходит инцидент информационной безопасности, ставящий под угрозу весь бизнес. Когда в ущерб включается время восстановления данных, ИС или работающих бизнес-процессов.

Какие проблемы несет отсутствие IDM

Рассмотрим негативные последствия для бизнеса при отсутствии автоматизации управления правами.

Для бизнеса:

• медленное исполнение заявок, простой сотрудников и бизнес-процессов
• вовремя не отзываются права у бывших сотрудников, не блокируются УЗ
• беспорядок в учете - данные не актуальны, не синхронизированы. Отсутствие единой, актуальной базы учета пользователей и УЗ ведет к недостоверности информации, ошибкам, появлению уязвимостей.

Для отдела ИТ:

• большой поток заявок, ручная работа
• беспорядок в управлении - непонятно, кому какие права нужны, с кем должно быть согласовано; невозможность быстро определить, куда имеет доступ конкретный сотрудник
• риски допущения ошибок, утечки данных, а также простоя ИС.

Для отдела информационной безопасности:

• нет инструмента для прямого исполнения функции ИБ, отсутствие самостоятельности службы
• сложно предотвращать и расследовать инциденты - нет мониторинга, контроля и учета
• риски: уволенные сотрудники имеют доступ к системам и данным; сотрудники имеют избыточные права; утечки конфиденциальных и корпоративных данных из-за несанкционированного доступа.

По статистике, до 30% инцидентов кибербезопасности связаны с нарушениями доступа. Более чем в половине случаев нарушение приводит к утечке конфиденциальной информации.

Как работает система IDM

Работая под управлением "1С:Предприятие", IDM:

1. в реальном времени получает данные по сотрудникам предприятия из HRM-системы (например, 1С:ЗУП)
2. интегрируется с имеющимися на предприятии ИС: Active Directory, 1С, MS Exchange, SAP и другими
3. автоматически изменяет настройки учетных записей и прав доступа в целевых системах на основании кадровых событий и ролевой модели
4. при необходимости формирует пул задач на согласование и изменение прав. Оповещает пользователей по email, sms.

Когда в кадровой системе заводится новый сотрудник, IDM автоматически выдает ему именно те права, которые относятся к его бизнес-роли, должности. То же касается и любых кадровых событий, будь то увольнение, перемещение, отпуск, временное замещение сотрудника.

IDM автоматически мониторит данные по правам и учетным записям в системах предприятия, фиксирует любые несоответствия в выданных правах, позволяет расследовать причины расхождений и принять решение об изменениях.

Пользователям есть возможность отправлять заявки на выдачу прав (а также блокировку, разблокировку, отзыв), видеть и отслеживать статусы заявок. Бизнес-процессы, по которым проходит согласование заявок, гибко настраиваются.

Службы ИТ и ИБ получают при этом не только инструмент управления, но и инструмент контроля, автоматического аудита и предотвращения инцидентов, вовремя отслеживая коллизии и нарушения регламента в части управления доступом.

Функциональные возможности

Из основных возможностей продукта можно выделить следующие:

Интеграция:

1. интеграция с управляемыми системами: 1С, Active Directory, MS Exchange, Битрикс24, и многими другими
2. синхронизация с кадровыми учетными системами
3. управление правами доступа в ИС, для которой отсутствует прямое

Централизованное управление:

1. управление заявками на доступ, отзыв прав, блокировка и разблокировка учетных записей
2. автоматическое назначение прав доступа пользователям на основании формальных признаков (место работы, подразделение и др.)
3. предоставление прав для внештатных сотрудников, временных пользователей
4. рабочий стол руководителя с возможностью просмотра и изменения прав доступа сотрудников
5. рабочий стол пользователя с возможностью создания заявки на доступ и просмотра своих прав.

Учет и контроль:

1. аудит учетных записей и прав доступа пользователей в целевых системах с автоматической либо ручной обработкой обнаруженных расхождений
2. обновление свойств учетных записей при изменении кадровой информации
3. система отчетности, история обработки всех заявок, история изменения доступов пользователей.

Автоматизация процессов:

1. автоматическое создание, блокировка, удаление учетных записей на основе кадровой информации и событий
2. управление учетными записями пользователей, правами, ролевой моделью предоставления прав
3. настройка реакций на кадровые события - прием, увольнение, перемещение, отпуск
4. настройка бизнес-процессов согласования заявок
5. почтовые и СМС рассылки, настраиваемые на события в IDM
6. делегирование прав, полномочий.

Функциональность продукта постоянно расширяется новыми релизами. Новые коннекторы и возможности включаются в базовый функционал.

Исходный код продукта открыт, поэтому продукт можно адаптировать и дорабатывать самостоятельно.

Преимущества и эффективность IDM

Основные преимущества IDM.Управление учетными данными:

1. Платформа «1C»: продукт реализован на платформе 1С:Предприятие, что обеспечивает включение его в экосистему 1С.
2. Функциональная гибкость решения: большие возможности по адаптации и наращиванию функционала. Интеграция с любыми приложениями.
3. Низкая зависимость от разработчика: открытый исходный код, возможность самостоятельного внедрения и доработки продукта.
4. Поддержка продукта и пользователей. Непрерывное развитие функциональности и выпуск новых релизов.
5. Разработчик IT-Lite– дочерняя компания «1С» с наличием необходимых компетенций, ресурсов и опыта.

Опыт внедрения продукта в компаниях показывает:

• положительный бизнес-эффект от автоматизации
• значительное сокращение нагрузки на ИТ-отдел, связанных издержек
• сокращение времени предоставления доступа - с 1-3 дней до нескольких минут
• сокращение количества ошибок и наведение порядка в базе сотрудников и их правах
• служба ИБ получила инструмент для контроля, мониторинга, предотвращения и расследования инцидентов.