Компания «Ростелеком-Солар» выпустила новую версию платформы управления доступом Solar inRights 3.1. В обновлении реализована модель рисков, позволяющая управлять уровнями риска сотрудников компании, а также реализовано хранение истории всех изменений логинов от учетных записей сотрудников.
«Каждый сотрудник организации имеет доступ к тем или иным ИТ-ресурсам, что потенциально несет определенные риски безопасности для организации. Так, в любой компании есть специалисты, которые имеют права администратора и могут изменять конфигурацию ИТ-ресурсов и объектов сети. Или работники, имеющие полномочия редактировать финансовые данные, проводить активные операции по счетам или договорам. Такие сотрудники, очевидно, несут компании более высокие риски безопасности, чем персонал, обладающий правами лишь на просмотр подобных данных. Чтобы выделить сотрудников, с доступом которых связаны повышенные риски, и иметь возможность их снижать, мы реализовали в новой версии нашей платформы новый функциональный модуль „Модель рисков“», — отметил Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар».
В рамках модели рисков ответственный сотрудник — владелец ресурса, руководитель контролирующего подразделения или другое уполномоченное лицо компании — может присвоить определённое числовое значение риска каждому ресурсу и объекту компании, доступ к которому получает пользователь. Совокупность этих значений позволяет рассчитать интегральный уровень риска для каждого сотрудника, который получает доступ к тем или иным ресурсам компании на основании штатной позиции или в результате запроса дополнительных прав.
Как только интегральный уровень риска сотрудника превысит определённую политикой безопасности величину, система автоматически помещает сотрудника в список высокорисковых. Для такого персонала можно настроить различные сценарии реагирования на факт превышения риска. Например, отправлять контролирующим сотрудникам уведомления о превышении допустимого уровня риска, формировать запрос на пересмотр прав в системах, использовать инструменты дополнительного контроля или ограничивать период времени, в течение которого сотрудник обладает высокорискованным доступом.
Решение Solar inRights позволяет проактивно работать над снижением рисков. При оформлении заявки на доступ к высокорисковым полномочиям сотрудник получает уведомление о том, что он запрашивает права с высоким уровнем риска. Если он все же отправляет запрос, то ответственный за согласование сотрудник может одобрить запрос или, если возникнут сомнения — делегировать согласование другому лицу. Также запрос может быть возвращён заявителю для внесения уточнений, изменения срока доступа или приложения распорядительных документов.
В карточке каждого сотрудника в Solar inRights можно посмотреть его общий интегральный уровень риска, а также получить информацию, из каких отдельных рисков этот уровень сформировался. Чтобы специалист по безопасности и внутреннему контролю, а также руководители и владельцы ресурсов могли отслеживать динамику интегральных уровней риска персонала компании, Solar inRights формирует специальный отчёт «Карта уровней риска». Таким образом, все работники, представляющие повышенный риск для компании, будут находиться под постоянным контролем, и можно предпринять меры для снижения рисков, которые они несут компании.
Еще одним важным улучшением Solar inRights 3.1 стала реализация хранения исторических данных учетных записей пользователей. Начиная с новой версии, система сохраняет в архиве все изменения наименований учетных записей сотрудников, что позволяет проследить историю всех изменений. Эта функция особенно востребована при расследовании инцидентов, когда известно только наименование учетной записи, от имени которой осуществлялось какое-либо действие.
Solar inRights — IGA-платформа (Identity Governance and Administration), которая обеспечивает исполнение процессов и регламентов по управлению правами доступа к информационным ресурсам компании. Система позволяет в автоматизированном режиме предоставлять и изменять права доступа, оформлять и исполнять заявки на выдачу прав и обеспечивать всесторонний контроль доступа по всему периметру компании. Solar inRights разработана в России с применением собственных запатентованных компанией «Ростелеком-Солар» технологий.