Финансовая сфера

Банковское обозрение


  • Управление идентификацией оптимизирует бизнес
01.09.2008

Управление идентификацией оптимизирует бизнес

В крупных финансовых организациях используется множество информационных систем, и существенная доля операционных издержек при их эксплуатации связана с управлением учетными записями и правами доступа. Такая ситуация неизбежно приводит к потребности автоматизации процессов управления идентификационными данными. О том, какие существует возможности автоматизации этих процессов, мы попросили рассказать Александра Хлуденева, заместителя директора департамента информационных технологий компании КРОК, которая в настоящий момент является единственной в России компанией, прошедшей ресертификацию Системы управления информационной безопасности (СУИБ) на соответствие требованиям международного стандарта ISO/IES 27001:2005.


— Скажите, пожалуйста, насколько остро стоит вопрос автоматизации систем управления идентификационными данными?

— Безусловно, все зависит от размера компании. Если в компании численность персонала не превышает 50 человек, то, конечно, системному администратору не составит труда ежедневно при необходимости вручную регистрировать пользователей, назначать права доступа, актуализировать информацию о них и многое другое. А вот если в компании работает несколько тысяч сотрудников, то отсутствие автоматизации данных процессов грозит не только ошибками, но и значительными финансовыми потерями. По данным исследований META Group Gartner, в компании, где работает 1000 человек, в год в среднем от каждого пользователя поступает 21 звонок в службу технической поддержки, из которых более 40% касаются смены или сброса пароля. Таким образом, в год подобных звонков поступает более 8000. Принимая во внимание, что «стоимость» звонка составляет 25 долларов, компания тратит в год порядка 200 тыс. долларов на решение подобных вопросов.

Именно поэтому управление идентификационными данными становится одной из актуальных задач для менеджмента компаний с развитой инфраструктурой и множеством пользователей. Для централизованного управления всеми учетными записями, автоматизации процедур предоставления прав доступа к информационным системам компании и выполнения других функций применяются системы класса Identity Management (IdM).

— Помимо высоких расходов на администрирование, какие еще сложности возникают при неавтоматизированном подходе к управлению идентификационными данными?

— Прежде всего, высокие издержки на управление учетными данными и правами доступа во множестве разрозненных информационных систем. Сложность соблюдения единых политик безопасности, в частности управления паролями. Высокие риски и в связи с этим утечки информации конфиденциального, персонального и коммерческого характера. Невозможность определения истории прав доступа к тому или иному информационному ресурсу. Неактуальность информации о пользователях в различных информационных системах и каталогах. Убытки для бизнеса от простоев в работе сотрудников.

— Как используется СУИД?

— Классическая схема использования систем управления идентификационными данными подразумевает использование автоматизированной системы учета кадров в качестве первоисточника информации о сотрудниках. Посредством специализированного адаптера система IdM отслеживает изменения в кадровой системе и автоматически реализует заложенную администраторами бизнес-логику. Так, например, при регистрации отделом кадров нового сотрудника создается заявка на организацию рабочего места в автоматизированной системе службы технической поддержки, а также учетная запись в службе каталога Active Directory и почтовый ящик. Предоставляется доступ к корпоративному информационному порталу и права доступа к информационным ресурсам и функциям в бизнес-системах, соответствующим департаменту и должности сотрудника, а руководителю автоматически приходит уведомление с предложением создать заявку на дополнительные права доступа.

При изменении должности или при переводе сотрудника в другое подразделение его права доступа автоматически будут изменены. Будут предоставлены новые права доступа, необходимые для исполнения должностных обязанностей на новом месте. Существующие права доступа могут быть отклонены. При этом изменения могут производиться не сразу, а после прохождения процедуры согласования (workflow) с ответственными лицами.

При увольнении сотрудника или по истечении срока контракта во всех информационных системах компании будут отключены или удалены учетные записи, ассоциированные с этим сотрудником.

— Какие преимущества получают финансовые организации и конечные пользователи от внедрения систем управления идентификационными данными?

— Снижение расходов на администрирование за счет автоматизации операций по заведению учетных записей и предоставлению доступа, сокращение количества обращений в службу поддержки. Повышение продуктивности работы сотрудников за счет упрощения процедуры доступа к информационным системам благодаря автоматизации и возможности самообслуживания. Повышение уровня информационной безопасности и снижение риска несанкционированного доступа к информационным ресурсам за счет автоматического удаления/блокирования учетных записей уволенных или временных сотрудников. Возможность централизованного управления паролями и правами доступа, периодической процедуры аттестации (пересмотра) уже выданных прав доступа, автоматического обнаружения несанкционированных изменений учетных записей и прав доступа в целевых информационных системах. Широкие возможности для аудита и мониторинга.

— Какие еще существуют возможности повысить уровень безопасности?

— Системы управления идентификационными данными часто внедряются совместно с другими средствами, относящимися, наряду с системами IdM, к классу систем управления идентификацией и доступом (Identity and Access Management, IAM). Это системы управления доступом (Access Management), системы однократной аутентификации (Single Sign-On, SSO), системы управления ролями (Role Management) и др.

Системы управления доступом выступают в качестве единой точки доступа пользователей к множеству web-приложений. При этом используются расширенные средства обеспечения информационной безопасности, реализованные в системах IAM, а также обеспечивается функция однократного входа для Web-приложений.

Для традиционных «толстых» приложений применяются системы обеспечения однократной аутентификации, называемые «Enterprise SSO» (ESSO), которые осуществляют автоматическую подстановку учетных данных в момент запуска приложения.

Системы управления ролями позволяют построить соответствие между бизнес-ролями пользователей и системными ролями и правами доступа в информационных системах. Это упрощает использование системы IdM конечными пользователями.

Корпоративные приложения, а также хранилища идентификационных данных систем управления доступом и систем обеспечения однократной аутентификации управляются при этом системой управления идентификационными данными.

Таким образом, компания получит единую законченную инфраструктуру управления идентификацией и доступом, центральным компонентом которой является система управления идентификационными данными.





Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ