Во многих компаниях выдача прав доступа сотрудникам и самое главное, поддержание их в актуальном состоянии, является важной и сложной задачей. IDM-системы, призванные решать подобные задачи, не обладают информацией о структуре файловых серверов, поэтому не могут быть эффективно для этого использованы. Как правило в процесс предоставления прав вовлекаются представители ИТ департаментов, которые получают по электронной почте соответствующие заявки, но даже в этом случае нередки сценарии, когда выданные ранее права забывают отозвать, отдаляясь от принципа минимальных привилегий.
Спектр.Портал выдачи прав и разрешений – это единая точка для создания заявок на предоставления прав, их согласования, фактической выдачи и периодической инвентаризации. Главная задача Портала – налаживание в компаниях процесса по предоставлению сотрудникам доступа к документам и каталогам, файловых серверов организации, с вовлечением в этот процесс ответственных лиц со стороны бизнес подразделений компании.
При необходимости получения доступа к нужной информации сотрудник или его руководитель делает через Портал соответствующую заявку, которую получает ответственный сотрудник Департамента ИБ или ИТ. Система автоматически будет уведомлять о поступивших заявках и их статусе через почту в двустороннем порядке.
Портал периодически сканирует файловые сервера, отображая все ресурсы, настроенные на них группы безопасности, а также предоставляя возможности их добавления или изменения для соответствия требуемым стандартам безопасности.
Портал позволяет устанавливать временные ограничения для действия прав и фиксирует все активные и ранее созданные заявки на предоставление прав с возможностью поиска по атрибутам.
“Спектр.Портал прав и разрешений” гибко интегрируется с DCAP/DAG “Спектр”, предоставляя в том числе информацию о категориях данных, расположенных на файловых ресурсах для более точного принятия решения при наделении правами доступа сотрудников.
Рассмотрим популярные сценарии работы Портала.
Автоматизация процесса согласования и утверждения прав доступа
Портал выдачи прав и разрешений “Спектр” позволяет автоматизировать трудоемкий процесс утверждения заявок на выдачу прав к ресурсам. Процедура согласования максимально упрощена для обычных пользователей и позволяет им самостоятельно создавать заявки на доступ к интересующим их ресурсам за несколько щелчков мышки: сотрудник выбирает ресурс и уровень требуемых привилегий, после чего заявка отправляется по цепочке согласования. После прохождения процедуры утверждения заявка выполняется системой в автоматическом режиме с помощью специально выделенной сервисной учётной записи, обладающей привилегиями в Active Directory или на файловом сервере. В качестве конечного результата — сотрудник получает письмо об успешном выполнении заявки и сразу же может приступать к работе.
Сокращение времени на согласование заявок
Переход от ручной процедуры обработки заявок в автоматическую плоскость существенно сокращает время на согласование. Больше нет необходимости подписывать бумажные заявления или согласовывать процесс посредством СЭД — достаточно зайти на портал, подтвердить, отклонить или изменить уровень запрашиваемых привилегий в заявке, после чего она автоматически отправится на следующий этап, а в конце — будет исполнена. Необходимость принятия решения приходит в виде электронного письма, что позволяет согласующим лицам оперативно реагировать на заявки. В результате время ожидания от первоначального запроса до реального исполнения сокращается до минимальных значений и в большинстве случаев укладывается в 1 рабочий день.
Оптимальный и непрерывный процесс согласований
На каждом из уровней согласования может присутствовать несколько согласующих лиц, что позволяет дублировать их функции и снижать время реакции на заявку. Принять решение может любой из них в зависимости от текущей доступности и загруженности. Более того, в случае необходимости на любого из согласующих можно назначить заместителя, который будет заниматься согласованием при отсутствии ответственного лица, не меняя при этом настроенную цепочку согласования. В результате цепочка согласований всегда будет оставаться оптимальной, а процесс согласований не будет прерываться из-за кадровых изменений внутри компании.
Сдвиг парадигмы реальной ответственности в сторону бизнес-владельцев данных
В отличии от ручного согласования заявок на выдачу прав доступа портал предоставляет бизнес-владельцам ресурсов не только инструментарий для выстраивания цепочек утверждения, но и возможность самостоятельного и оперативного анализа текущих привилегий к своим ресурсам. В интерфейсе портала у ответственных за ресурс бизнес-владельцев существует не только возможность проанализировать актуальную матрицу доступа, но и интерактивно изменить её, не обладая при этом административными привилегиями на файловом сервере или AD.
Благодаря таким удобным инструментам ответственное лицо действительно становится ответственным за ресурс не просто “на бумаге”, но и фактически.
Выдача привилегий на заданный срок с автоматическим отзывом
Как показывает практика, выдача временных разрешений на ресурсы в реальных условиях фактически не работает без сторонних решений — сотрудники ИТ либо забывают отозвать права, либо бизнес-владелец забывает сформировать заявку на отзыв по истечению срока.
Благодаря порталу согласования прав доступа можно формировать заявки с ограниченным сроком действия. Это позволяет выдавать временные разрешения для проектной деятельности внутри компании или работы внешних подрядчиков, когда перманентный доступ к ресурсам нежелателен. За счёт автоматизации процесса система самостоятельно исключит сотрудников из списков доступа по прошествии заданного периода времени, тем самым гарантируя применение на практике модели минимально необходимых привилегий.
Минимизация ошибок со стороны исполнителей
Нередки ситуации, когда по той или иной причине при исполнении заявки сотруднику могут быть выданы не те привилегии, которые были запрошены, либо не к тому ресурсу. В результате человеческого фактора выполнение заявки может не только затянутся до выяснения причин, но и сотрудник может получить повышенный уровень привилегий. Благодаря системе автоматического исполнения заявок и активному участию бизнес-владельцев в процессе согласований и аттестации прав, данные риски можно свести к минимуму.
Лёгкость интеграции с существующей инфраструктурой
Вне зависимости от применяемой схемы назначения прав доступа на файловых ресурсах, портал согласования можно настроить для работы в нескольких режимах: с существующими на директориях группами безопасности, создать автоматически новые группы согласно заданному синтаксису наименований, либо в гибридном режиме — как с существующими, так и с возможностью добавления новых групп. В этом случае систему можно настроить таким образом, чтобы она легко интегрировалась с существующей структурой прав доступа и отвечала вашим требованиям к управлению ресурсами.
Интеграция с ITSM
Во избежание создания ещё одного отдельного портала для пользователей, наше решение можно интегрировать с существующей системой ITSM как посредством ссылки на корпоративном портале, так и интеграции с помощью предоставляемых Rest API для согласования и выполнения заявок.
Как мы увидели, несмотря на большое количество современных IT и ИБ систем, задача выдачи прав к файловым ресурсам требует отдельного подхода, учитывая как специфику данных, так и способ предоставления прав доступа к ним. “Спектр”. Портал выдачи прав и разрешений является одним из немногих решений на российском рынке, которые могут полностью автоматизировать данную задачу, при этом не разово, а помогая выстраивать процесс.