Сертификат AM Test Lab
Номер сертификата: 337
Дата выдачи: 22.03.2021
Срок действия: 22.03.2026
- Введение
- Принцип работы и основные возможности IGA-системы Solar inRights
- Новые возможности Solar inRights 3.0
- Работа с IGA-системой Solar inRights 3.0
- Лицензирование и функциональные подсистемы Solar inRights
- Технические требования Solar inRights 3.0
- Взаимодействие Solar inRights с другими ИТ-системами
- Выводы
Введение
С момента публикации нашего предыдущего обзора о возможностях версии 2.7.2 решение Solar inRights было дополнено рядом новых функциональных модулей. Они позволили повысить эффективность и безопасность процессов управления доступом, улучшить мониторинг и аудит доступа ко критически важным активам компаний, обеспечить высокий уровень производительности труда работников.
Системы управления доступом IdM / IGA должны быть достаточно гибкими и надёжными, чтобы адаптироваться к современным требованиям ИТ-среды. Если раньше среда ограничивалась периметром компании, то теперь всё изменилось и современные системы безопасности должны управлять доступом не только работников офиса, но также удалённых сотрудников и внешних подрядчиков. При этом решения должны быть совместимыми с гибридной ИТ-архитектурой, где есть и локальные (on-premise) приложения, и старое унаследованное программное обеспечение, а также веб-приложения и облачные решения, работающие на различных платформах. Таким образом, система IdM / IGA должна обеспечить централизованное управление доступом по всему предприятию для всех категорий пользователей. Рассмотрим, как все эти задачи решает новая версия системы Solar inRights 3.0.
Принцип работы и основные возможности IGA-системы Solar inRights
Рисунок 1. Схема работы системы Solar inRights
Примечание к рис. 1: под словом «провижининг» (англ. provisioning) понимается автоматизация процесса создания, обновления и удаления учётных записей пользователей, предоставления / обновления паролей и предоставления / отзыва прав в подключённых к Solar inRights приложениях на основании определённых политик и регламентов. Также в рамках IGA расширенный провижининг — это управление другими смежными объектами, такими как папки, группы и т. п.
Solar inRights — это решение, которое позволяет организациям управлять идентификационными данными пользователей и их правами доступа к информационным системам (ИС). Продукт помогает осуществлять контроль доступа внутренних и внешних работников на базе единой платформы. Это решение для:
- пользователей, которые могут управлять своими учётными записями;
- руководителей и подразделений информационной безопасности, которые могут контролировать доступ сотрудников;
- администраторов и владельцев ресурсов, которые на основании существующих правил и политик могут настраивать параметры доступа для пользователей информационных систем.
Solar inRights позволяет конечным пользователям получать доступ для выполнения своих обязанностей двумя простыми способами. В первом случае сотрудник автоматически наделяется необходимыми ему базовыми полномочиями, если они определены ролевой моделью для его должности или подразделения. Во втором случае он может самостоятельно оформить заявку на дополнительные права доступа, которая будет автоматически выполнена, когда пройдёт определённый маршрут согласования.
Управление учётными записями в рамках подключённых к Solar inRights систем может быть полностью автоматизировано. А для тех информационных систем, которые по разным причинам не подключены к Solar inRights, платформа может создавать заявки на ручное исполнение администратором, тем самым сохраняя полную историю проведённой авторизации.
Доверенными источниками получения данных для Solar inRights являются кадровые системы, базы данных, выгрузки. На основании полученных кадровых данных IGA-система управляет правами пользователей в информационных системах в течение всего периода работы сотрудников в компании:
- На основании приёма сотрудника на работу в информационных системах создаются учётные записи по заранее определённым параметрам и предоставляются права доступа в соответствии с ролевой моделью.
- При изменении штатной позиции сотрудника стартует процесс пересмотра прав пользователя, назначения новых привилегий и удаления предыдущих.
- При увольнении работника или прекращении договорных отношений с ним осуществляется автоматическое прекращение доступа: отзыв прав и блокировка учётных записей.
- При повторном приёме на работу в компанию сотруднику предоставляются те же учётные записи для реализации сквозного контроля по всей истории работника.
Автоматическая синхронизация атрибутов учётных записей в соответствии с изменениями в кадровой системе позволяет поддерживать актуальность данных в информационных системах компании.
Solar inRights позволяет мгновенно выявлять любые отклонения в правах пользователей в информационных системах и уведомлять об этом администраторов или назначенных ответственных сотрудников. Возможна настройка автоматических сценариев реагирования на нарушения либо разбор в ручном режиме для принятия решения об удалении или легитимизации доступа. Все действия по нарушениям и их устранению регистрируются и хранятся в базе данных системы.
Решение Solar inRights позволяет поддерживать высокий уровень информационной безопасности в компании и проводить регулярные аудиты и пересмотры прав доступа на основании как внутренних регламентов, так и требований со стороны внешних регуляторов. Ведение матрицы конфликтующих полномочий SoD (Segregation of Duties) позволяет снижать риски несанкционированного доступа при назначении сотрудникам базовых прав и оформлении ручных заявок на дополнительный доступ.
Solar inRights является централизованным источником полной информации о пользователях информационных систем и предоставленных им правах, обо всех изменениях, которые происходили в соответствии с их жизненным циклом. Специалист по безопасности или администратор системы в любой момент может получить полную картину доступа для любого сотрудника на любую дату в прошлом. Удобный инструментарий позволяет формировать и выгружать консолидированную отчётность по пользователям, правам, подразделениям, заявкам, информационным системам и ролям. Можно воспользоваться стандартной отчётностью, реализованной в системе, либо создавать новые отчёты по требуемым параметрам.
Карточка информационной системы
Здесь можно получить полную информацию о доступе в конкретную информационную систему, подключённую к Solar inRights: список всех учётных записей данной системы, их принадлежность, данные обо всех технологических «учётках».
С помощью удобных фильтров можно получить срез данных по необходимым параметрам: по статусу учётных записей (активна или заблокирована), по дате последнего входа, по технологическим аккаунтам и т. п. При подключении новой системы решение Solar inRights позволит выявить все бесхозные учётные записи, не имеющие владельца, и закрепить их за ответственными сотрудниками. Это позволит взять их под контроль и следить за их актуальностью — своевременно блокировать либо переоформлять на нового владельца при увольнении ответственного сотрудника.
Карточка роли
Для получения исчерпывающей информации о заданных в системе ролях и управления ими можно открыть карточку роли. Здесь собрана информация о полном наименовании каждой роли, её составе, пользователях, которым она назначена, и о её статусе (можно или нельзя эту роль запросить).
Карточка сотрудника
Через карточку сотрудника можно получить все данные об атрибутах пользователя информационных систем и его авторизации: кадровую информацию, включая основные назначения по штатному расписанию и совмещение трудоустройств; предоставленные учётные записи и их статус; предоставленные роли в информационных системах и основания их назначения.
Взаимодействие пользователей с Solar inRights
Помимо автоматизированных средств управления и контроля IGA-система Solar inRights позволяет осуществлять управление доступом и в ручном режиме. Такая функциональность востребованна рядовыми пользователями, подразделениями информационной безопасности, владельцами информационных ресурсов, администраторами системы, когда требуется:
- просмотреть или изменить данные профиля пользователя, сменить пароль пользователя;
- ввести дополнительное трудоустройство в случае совмещения должностей сотрудником;
- просмотреть, оформить или согласовать запрос на дополнительные права доступа;
- заблокировать или разблокировать доступ сотрудникам, например в экстренной ситуации;
- добавить новых пользователей, например отсутствующих в кадровом источнике;
- создать новую роль или каталог ролей, добавить зависимость одной роли от другой, когда роли предоставляются совместно;
- просмотреть или изменить организационную структуру, добавить новое подразделение, например в случае создания временной проектной структуры;
- просмотреть или изменить ролевую модель доступа: добавить или удалить права для сотрудника, должности подразделения;
- просмотреть или настроить правила и политики SoD-конфликтов;
- просмотреть или обработать нарушение политики доступа.
Создание ролевой модели
Опираясь на аналитические инструменты системы Solar inRights, можно быстро и удобно построить ролевую модель для вновь подключённых систем, объединяя права сотрудников в базовый набор полномочий, который будет согласован и утверждён для дальнейшего использования при назначении на ту или иную должность, в то или иное подразделение. Используя визуальный конструктор, состав базовых прав можно менять, добавляя или удаляя роли в соответствии с новыми функциональными возможностями.
Каталоги ролей
Чтобы ориентироваться в большом количестве ролей и вводить ограничения по их доступности для просмотра и использования, система предусматривает создание отдельных каталогов, объединяя роли по подразделениям или функциональным направлениям.
Модуль работы с заявками
Развитая система управления заявками Solar inRights позволяет гибко оптимизировать процессы организации со всеми их особенностями. Заявку на предоставление дополнительных прав может оформить любой пользователь как на себя, так и на других работников. В зависимости от штатной позиции и запрошенных ролей заявка автоматически будет направлена по заранее определённому маршруту согласования. Система поддерживает разнообразные типы заявок с возможностью запроса любого числа полномочий для любого количества сотрудников, что позволяет экономить время и ресурсы на оформление и утверждение. Хранение полной истории оформленных заявок позволяет контролировать весь жизненный цикл запрошенных прав.
Новые возможности Solar inRights 3.0
Новая версия Solar inRights 3.0 пополнилась следующими функциональными модулями и возможностями.
Графический конструктор для создания и изменения маршрутов согласования
Новый визуальный конструктор маршрутов согласования заявок позволяет создать маршрут на основании утверждённых в компании процессов или изменить уже существующий, например с учётом дополнительных требований. При работе с маршрутами система позволяет:
- просматривать существующие маршруты согласования с использованием фильтрации по заявкам;
- менять порядок применения маршрутов, повысив или понизив приоритет выбора;
- просматривать подробный состав шагов маршрута;
- редактировать все шаги маршрута, в том числе устанавливать необходимые параметры по срокам таймаута и условиям делегирования согласования.
Благодаря автоматизации назначения и контроля сроков прохождения согласований и своевременным уведомлениям участников процесса сокращается время обработки заявок. Оптимизация и автоматизация процесса согласования обеспечивает санкционированный доступ, облегчает учёт всех действий по согласованию заявок, а также уменьшает объём ручной работы администраторов.
Модуль контроля операций
В IGA-системе Solar inRights реализована возможность контролировать выполнение операций и приостанавливать их. Эта функциональность необходима для защиты ресурсов компании, целостности данных и непрерывности бизнес-процессов от возможных массовых ошибочных операций, будь то ошибка администратора или несогласованность в настройках системы.
Система позволяет контролировать выполнение операций и приостанавливать их. Эта функция реализуется в ручном режиме или автоматически, после превышения заданного порога.
Расширенный модуль работы с нарушением политик
В модуле работы с нарушениями политик теперь помимо выявления расхождений и их устранения появился гибкий инструмент расширенного контроля политик безопасности информационных систем.
С использованием расширенных фильтров можно сделать выборку нарушений по статусу, по типу расхождения, по конкретной системе, сделать выборку за определённый период или конкретную дату. По каждому нарушению можно открыть и просмотреть детали; если событие уже обработано — получить информацию по внесённым при обработке комментариям.
При работе с нарушениями можно:
- исправить нарушение, т. е. привести доступ к согласованному санкционированному виду;
- легализовать нарушение без заявки;
- обработать легализацию нарушения: сформировать заявку, которая будет направлена на согласование по определённому маршруту. В заявке будут указаны полная информация по нарушению и введённый инициатором легализации комментарий.
В журнале нарушений отражается полная информация об их обработке любым из описанных способов: дата обработки, исполнитель и комментарии к исполнению; при формировании заявки — её номер.
Также поддерживается механизм выполнения массовых операций для удобной обработки нескольких отобранных нарушений по тем или иным критериям.
Отдельной удобной и значимой функцией является возможность настройки правил автоматической реакции на нарушения, что позволяет сократить время администратора, расходуемое на их обработку, и высвободить время квалифицированных специалистов.
Расширенная функциональность для предотвращения SoD-конфликтов
IGA-cистема Solar inRights позволяет формировать матрицу «критических» сочетаний прав доступа, т. е. таких прав, сочетание которых у одного работника недопустимо, т. к. позволит совершить мошенничество. Данные могут быть импортированы из внешнего файла или внесены в ручном режиме через интерфейс системы.
В системе появилась возможность ввести различные сценарии реагирования на SoD-конфликты. Это можно сделать при создании запроса прав доступа, если в запросе присутствуют права, которые при авторизации образуют критическое сочетание. Доступны следующие сценарии:
- после предупреждения система автоматически удаляет вызывающие критическое сочетание полномочия, если у заявителя нет прав на оформление подобной заявки;
- если права на оформление заявки с повышенными привилегиями есть, то система выведет предупреждение и заявитель cможет удалить из заявки роли с критическим сочетанием. Также можно продолжить оформление, указав соответствующее обоснование и срок авторизации.
При этом доступна настройка оперативных уведомлений владельцев ролей и офицеров ИБ о возникших SoD-конфликтах.
Система Solar inRights регистрирует все события, связанные с возникновением и прекращением SoD-конфликтов, а также хранит по ним полную информацию, включая номер нарушения, пользователя Solar inRights, для которого обнаружен конфликт, дату возникновения нарушения, статус, объект (конфликтующее сочетание ролей и степень критической значимости), причину возникновения, дату и причину устранения. Отчёт по истории SoD-конфликтов можно в любой момент выгрузить из системы.
Осуществление массовых операций с ролями
Для оптимизации работы с ролями в системе Solar inRights появился удобный инструмент для выполнения массовых операций. По выбранным администратором ролям запускаются процедуры внесения изменений, такие как:
- разрешить / запретить запрашивать;
- установить / сбросить владельца;
- включить в определённые каталоги / исключить из каталогов;
- исключить изо всех каталогов;
- удалить выбранные роли.
Расширенная функциональность для работы с заявками пользователей — запрос дополнительной информации
В новой версии системы появились функции позволяющие согласующему запросить дополнительную информацию у автора заявки. В частности, согласующий может задать автору дополнительные вопросы как по всей заявке в целом, так и по отдельным запросам из неё. Автор может вернуть заявку или отдельный запрос обратно на согласование, приложив к ней необходимую информацию в виде файла или комментария, либо отменить заявку или отдельный запрос. Заявки, отправленные на запрос дополнительной информации, автоматически переводятся в статус «На уточнении» с уведомлением заявителя по электронной почте. Регламентом определяется время реакции согласующего на пришедшую заявку. Также регламентируется максимальное время на уточнение заявки инициатором и на следующее за этим согласование.
Возможность оформления заявки на назначение одному пользователю такого же набора ролей, как у другого пользователя
Чтобы подразделения компании могли бесперебойно работать в нестандартных ситуациях — увольнение ключевого сотрудника, замещение в период экстренного отсутствия и т. п., — теперь Solar inRights позволяет сформировать заявки на назначение одному пользователю такого же набора ролей, как у другого пользователя.
Для этого работник должен подать заявку, в которой указываются два пользователя: «пользователь-бенефициар» — тот, кому назначается роль, — и «пользователь-эталон» — тот, чьи роли назначаются «бенефициару». Сначала система формирует для заявки список ролей, которые отсутствуют у «бенефициара» и присутствуют у «эталона». При этом в заявку включаются только те роли, которые может запросить инициатор заявки согласно действующей политике безопасности.
Затем система выдаёт работнику форму проверки заявки, в которой при необходимости можно внести изменения — поменять сроки или набор бенефициаров, удалить лишние роли или добавить дополнительные, — и отправляет заявку по заданному в системе маршруту.
Ведение парольной политики подключённых информационных систем
В системе Solar inRights появилась возможность настроить парольную политику отдельно для подключённых информационных систем. В случае если парольная политика для конкретной информационной системы не указана, используются общие правила установки паролей, заданные в Solar inRights. Такой подход позволяет применять к паролям разные критерии, например когда мы имеем дело с устаревшими (legacy) или уникальными (самописными) информационными системами, в которых технически невозможно настроить централизованные парольные политики.
Управление уведомлениями по электронной почте, поступающими пользователям от системы Solar inRights
Для повышения удобства работы с платформой в версии 3.0 значительно переработаны функциональные возможности управления почтовыми уведомлениями, поступающими пользователям от системы.
В рамках внедрения в компании система уведомлений может настраиваться под клиента. Например, в случае формирования уведомлений по заявкам помимо базовых данных по заявке можно включать более детальную информацию о точном времени создания запроса, Ф. И. О., должности и подразделении инициатора, какие роли и для каких сотрудников требуются и т. п. Это позволяет пользователю, получившему уведомление о необходимости согласовать заявку, быстро сориентироваться в сути запроса и оперативно его обработать.
В целом в Solar inRights 3.0 поменялась эргономика системы: добавились новые функции и изменилась структура главного меню, появились дополнительные возможности фильтрации учётных записей, помогающие более оперативно решать задачи подразделений безопасности в части защищённого доступа.
Работа с IGA-системой Solar inRights 3.0
Работа с системой начинается с проверки идентификации, аутентификации и дальнейшей авторизации пользователя на портале. Интерфейс системы является персонализированным и отображает только те данные, к которым у пользователя есть доступ на основании его штатной позиции.
Рисунок 2. Экран Solar inRights для ввода учётных данных
После успешной авторизации для пользователя открывается стартовая страница.
Стартовая страница системы
На стартовой странице системы управления полномочиями сотрудников размещены два центральных блока: слева — последние отправленные пользователем заявки, но ещё не выполненные; справа — заявки, которые поступили на согласование сотруднику (если он является руководителем или ответственным за согласование).
Рисунок 3. Стартовая страница Solar inRights
Для вывода полного списка заявок можно воспользоваться кнопками внизу экрана.
В верхней части экрана расположены функциональные клавиши, позволяющие пользователю открыть свои данные или оформить новую заявку для запроса прав для себя или для своего подчинённого.
В левой части страницы отображается навигационное меню, через которое можно перейти в другие разделы системы Solar inRights. При наведении курсора мыши на каждую иконку открывается выпадающее меню со списком каждого раздела.
Организационная структура и базовые права пользователей
В разделе организационной структуры в левой части страницы представлена графическая схема предприятия, состоящая из иерархически упорядоченных организационных единиц (подразделений, должностных позиций).
Рисунок 4. Организационная структура компании в Solar inRights
Справа расположен блок, в котором отражены базовые права — роли назначенные на каждую единицу организационной структуры, т. е. ролевая модель. На все роли распространяется правило наследования по иерархии. Иначе говоря, при трудоустройстве в определённое штатное подразделение сотруднику будут автоматически назначены роли соответствующие его должности и подразделению, а также базовые роли вышестоящего подразделения.
Ролевую модель можно легко изменить при любых модификациях организационно-штатной структуры или функций подразделений, добавляя роли в набор базовых прав или удаляя их оттуда.
Система позволяет при необходимости добавлять новые единицы в организационную структуру в ручном режиме, например в случае создания временной отдельной проектной структуры и определения для неё базовых ролей.
Рисунок 5. Ввод новой временной организационной единицы в Solar inRights
После завершения проекта все права, предоставленные сотрудникам в рамках работы над проектом, будут автоматически отозваны с соответствующим уведомлением.
Для удобной ориентации в многомерной ролевой структуре и для ведения ограничений система Solar inRights позволяет объединять роли в каталоги по подразделениям либо функциональным направлениям.
Рисунок 6. Доступные каталоги ролей в Solar inRights
На вкладке «Доступные каталоги ролей» (рис. 6) администратор или ответственный сотрудник может как добавить, так и удалить каталог для определённой организационной единицы компании. (О создании и изменении каталогов см. раздел «Управление ролями».)
Управление пользователями
Через навигационное меню переходим в раздел управления пользователями, на основном экране которого представлен список всех пользователей системы. Большинство данных поступает сюда автоматически из кадрового источника, также есть возможность ввода информации о пользователях в ручном режиме, например о внешних сотрудниках, работающих по договору.
Рисунок 7. Управление пользователями в Solar inRights
Удобные фильтры позволяют сделать необходимую выборку по подразделениям или по статусам работников. Есть возможность вывода расширенных фильтров по Ф. И. О., типам пользователей, трудоустройствам, периодам работы и другим параметрам.
Выбирая в правой части экрана одного и нескольких пользователей, можно в один щелчок осуществить экстренную блокировку или разблокировку доступа в информационные системы компании.
Выбрав одного из пользователей и нажав на подсвеченные Ф. И. О., мы переходим в карточку сотрудника.
Карточка сотрудника
В карточке сотрудника сверху обозначены Ф. И. О., статус сотрудника (работает, уволен, в очередном или длительном отпуске), дата начала работы в компании и учётная запись в системе Solar inRights.
Ниже расположено несколько функциональных вкладок. Рассмотрим каждую из них, двигаясь по вкладкам слева направо.
Рисунок 8. Карточка сотрудника / Информация о сотруднике / Редактирование в Solar inRights
На вкладке «Информация о сотруднике» мы видим кадровые данные сотрудника: Ф. И. О. на двух языках, дату рождения, электронную почту, телефон. Часть данных может быть отредактирована (если позволяют права): можно, например, установить запрет на блокировку на определённый период времени, когда сотрудник находится в отпуске, но продолжает трудиться.
На вкладке «Трудоустройства» обозначено основное трудоустройство работника компании с указанием всех атрибутов: даты назначения, даты увольнения, должности, подразделения, табельного номера, руководителя, статуса и др.
Рисунок 9. Карточка сотрудника / Трудоустройства в Solar inRights
Система позволяет ввести дополнительное трудоустройство, если сотрудник по совместительству занимает ещё одну должность в компании.
Согласно ролевой модели права в информационных системах предоставляются отдельно на каждое трудоустройство. Если одно из трудоустройств будет прекращено, то права будут автоматически отозваны только по завершённому трудоустройству.
На следующей вкладке «Роли» мы видим раздел с предоставленными работнику ролями в информационных системах компании.
Рисунок 10. Карточка сотрудника / Роли в Solar inRights
На странице указаны название и описание роли, основание назначения и срок действия.
Выбрав одну или несколько ролей в правой части экрана, можно создать заявку на отзыв или пересмотр ролей или изменить срок назначения.
Дополнительные функциональные клавиши позволяют напрямую из карточки оформить запрос на дополнительные роли или запросить права как у другого сотрудника (см. раздел «Работа с заявками»).
Переходим далее на вкладку «Учётные записи», на которой представлены аккаунты сотрудника в информационных системах компании.
Рисунок 11. Карточка сотрудника / Учётные записи в Solar inRights
Для каждой учётной записи указаны дата создания, дата последнего использования и назначенные права. Обладая соответствующими правами, можно заблокировать / разблокировать любую из учётных записей или поменять пароль для неё.
На следующей вкладке «Заместители» можно просматривать, назначать и удалять сотрудников для замещения, например когда ключевой сотрудник отсутствует длительное время и его полномочия требуется передать другому работнику.
Рисунок 12. Карточка сотрудника / Заместители в Solar inRights
На вкладке «История изменения ролей» собрана вся хронологическая последовательность назначения и отзыва ролей с указанием соответствующих дат и оснований.
Рисунок 13. Карточка сотрудника / История изменения ролей в Solar inRights
Управление ролями
Переходим в раздел «Управление ролями». На первом экране раздела представлен список всех ролей, существующих в системе Solar inRights, который можно просмотреть с помощью прокрутки либо используя функцию поиска.
Рисунок 14. Список ролей в Solar inRights
На вкладке «Каталоги ролей» (рис. 14) открывается раздел для работы с каталогами. Данный механизм необходим, когда в системе собрано весьма большое количество ролей и сотрудникам в них сложно ориентироваться, или же когда нужно ограничить видимость и доступность ролей для того или иного подразделения. Каталог ролей — это удобный визуальный конструктор, который позволяет создавать новые каталоги или редактировать текущие, объединять роли в каталоги по подразделениям или функциональным направлениям.
Рисунок 15. Каталоги ролей в Solar inRights
В левой части экрана представлен список ролей, в котором фильтрами можно сделать выборку по всем ролям системы или только по тем, которые не включены ни в один из каталогов.
Справа расположен раздел, который позволяет управлять каталогами ролей: создать новый каталог, переместить в выбранный каталог отмеченные роли, удалить роли из каталога, удалить сам каталог. Иерархическая структура позволяет создавать каталоги более низкого уровня.
Об ограничении доступности каталогов для подразделений см. в разделе «Организационная структура и базовые права пользователей».
На вкладке «Сравнение ролей» можно провести анализ доступных ролей у разных сотрудников. В списке сотрудников необходимо выбрать тех пользователей, полномочия которых нужно сравнить, и система выведет на экран все полномочия этих сотрудников. Фильтрами можно сделать выборку по совпадающим ролям или по их различиям (рис. 16).
Рисунок 16. Сравнение ролей в Solar inRights
Следующая вкладка «Анализ ролевой модели» позволяет создавать ролевую модель на базе имеющихся прав пользователей. Таким образом можно оценить, какому количеству сотрудников того или иного подразделения доступны определённые полномочия, проведя тем самым т. н. «role mining».
Рисунок 17. Анализ ролевой модели в Solar inRights
На основании этого администратор или ответственный сотрудник может принять соответствующее решение: можно либо в один щелчок добавить выбранные полномочия в набор базовых для должности или подразделения, либо сформировать заявку на согласование включения дополнительных полномочий в базовый набор прав и направить её ответственному сотруднику, например владельцу ресурса (см. рис. 17).
Карточка роли
В разделе управления ролями выбираем из списка любую роль и нажатием на неё открываем карточку роли. Здесь на отдельных вкладках отображается вся информация о параметрах роли и авторизации к ней.
На основной вкладке «Информация о роли» указаны следующие параметры: название, описание, источник хранения, владелец, возможность оформления запроса на доступ к роли.
Рисунок 18. Карточка роли / Информация о роли в Solar inRights
Переходим на вкладку «Пользователи», где отображены все пользователи, для которых данная роль авторизована. Выбрав одного или нескольких пользователей, можно запустить процедуру автоматического отзыва или пересмотра роли (рис. 19). Для пересмотра будет сформирована соответствующая заявка.
Рисунок 19. Карточка роли / Пользователи в Solar inRights
На следующей вкладке «Состав роли» размещена информация о включённых в роль полномочиях. Роли могут иметь иерархическую структуру, т. е. в родительскую роль могут быть включены от одной до нескольких дочерних ролей (рис. 20). Здесь же можно менять состав родительской роли, добавляя или удаляя дочерние. Функция перерасчёта позволит поменять данные по уже авторизованным ролям для пользователей в соответствии со внесёнными изменениями.
Рисунок 20. Карточка роли / Состав роли в Solar inRights
Далее открываем вкладку «Связи», где хранится информация о родительской роли, если роль, которую мы просматриваем, является дочерней. Также здесь расположена информация о подразделениях и должностях, для которых данная роль назначается в качестве базовой. Если роль включена в какой-то из каталогов ролей, мы также увидим эту информацию в данном разделе.
Рисунок 21. Карточка роли / Связи в Solar inRights
Управление учётными записями
Переходим в раздел управления учётными записями в информационных системах. Выбираем одну из подключённых к Solar inRights систем; на экране представлен список всех учётных записей этой системы.
Рисунок 22. Учётные записи в Solar inRights
Удобные информативные фильтры позволяют нам сделать различные выборки:
- учётные записи с владельцем или без владельца;
- активные и заблокированные учётные записи;
- неиспользуемые учётные записи за определённые периоды;
- по статусу владельца (работает, уволен, в очередном отпуске, в длительном отпуске);
- технологические учётные записи.
Кроме того, здесь можно изменить владельца учётной записи, закрепить бесхозную учётную запись за ответственным сотрудником, экстренно заблокировать / разблокировать учётную запись, сменить пароль для неё.
Работа с заявками
Рассмотрим, как проходят процессы оформления и согласования заявок в системе Solar inRights.
Оформление заявки
На стартовой странице системы, используя функциональные клавиши, можно оформить запрос на себя либо на других сотрудников компании. При оформлении запроса на других людей система позволяет выбрать любое количество пользователей из общего списка сотрудников, для которых требуется запросить дополнительные права. С помощью фильтров можно задать выборку по конкретному подразделению.
Также возможно запросить в одной заявке любое количество полномочий из доступных для пользователя каталогов. В зависимости от штатной позиции сотрудника и выбранных ролей система рассчитает для каждого пользователя маршрут согласования. Если какие-либо отдельные права для конкретных сотрудников не будут согласованы, система не отклонит заявку полностью, а автоматически разобьёт её на соответствующие части, которые будут отдельно обработаны на основании заключений по согласованию.
После того как сотрудники и полномочия будут выбраны, перейдём в форму проверки заявки (рис. 23), где можно установить срок, на который требуются права, прикрепить документ в любом формате, отменить часть запроса или заявку целиком. Если права запрашиваются временно, то по истечении срока система направит уведомление заявителю о его окончании, а затем, если не последует заявки на продление, временные права будут автоматически отозваны.
Рисунок 23. Сформированная в Solar inRights заявка
Согласование заявки
На следующий этап согласования заявка поступает в соответствии с заданным маршрутом в системе (создание маршрута см. в разделе «Маршруты согласования»).
Ответственному за согласование сотруднику автоматически направляется письмо с уведомлением. Пройдя по ссылке из письма, можно попасть в форму согласования системы Solar inRights или же перейти к согласованию со стартовой страницы системы, где для согласующего выводятся все назначенные на него заявки (см. раздел «Стартовая страница системы»).
Рисунок 24. Согласование заявки в Solar inRights
На этапе согласования можно целиком либо выборочно по отдельным пользователям и правам согласовать полномочия или же отклонить их с указанием причины отказа, а также запросить уточнения у заявителя, если предоставленных данных недостаточно, или делегировать согласование другому сотруднику.
После подтверждения согласования заявка автоматически исполняется — в информационной системе назначаются согласованные по заявке полномочия.
Вся информация по прохождению и исполнению заявки сохраняется в архиве и доступна для просмотра в любое время (см. в разделе «Отчёты»).
Запрос таких же полномочий, как у другого сотрудника
Новой функциональной возможностью в IGA-системе Solar inRights является запрос таких же полномочий, как у другого пользователя.
Выбираем сотрудника из списка пользователей, переходим в его карточку на вкладку доступных ролей и воспользовавшись функциональной клавишей «Запросить роли, как у другого» попадаем в форму запроса. При этом наш изначально выбранный сотрудник будет «бенефициаром», и система предложит нам выбрать второго сотрудника, который будет «эталоном», чьи роли будут назначены «бенефициару» (рис. 25).
Рисунок 25. Запрос таких же ролей, как у другого, в Solar inRights
Затем система автоматически сформирует заявку, в которую входят отсутствующие у «бенефициара» и имеющиеся у «эталона» роли — причём только те, которые может запросить инициатор заявки в соответствии с настройками политики безопасности. В форму заявки на этом этапе можно внести изменения, например установив срок назначения ролей, удалив лишние или добавив дополнительные роли.
Списки заявок
Система Solar inRights позволяет получать консолидированную информацию по заявкам, если у пользователя есть права на их просмотр.
В разделе «Все заявки» представлен полный список заявок с возможным отбором по своим и чужим заявкам, а также удобным представлением по дате формирования или по номерам в порядке возрастания или убывания.
Рисунок 26. Все заявки в Solar inRights
Также здесь можно найти данные о типе заявки, запрошенных ролях, пользователях, на которых оформлена заявка, инициаторе заявки и статусе её обработки.
Функция «drill-down» позволяет открыть каждую заявку для получения более детальной информации.
В разделе «Входящие заявки» представлен список заявок, которые поступили сотруднику на согласование.
Рисунок 27. Входящие заявки в Solar inRights
Отдельно можно перейти на вкладки с информацией о статусах заявок — ожидают согласования, на уточнении, обработанные, делегированные.
В разделе «Отправленные заявки» системой будет представлен отчёт по оформленным заявкам — активным, на уточнении и завершённым.
Рисунок 28. Отправленные заявки в Solar inRights
Администрирование
Переходим в раздел «Администрирование», где в интерфейсе системы представлены возможности гибкой настройки Solar inRights для обеспечения регламентов, политик и процедур управления доступом.
Парольная политика
Система Solar inRights позволяет настраивать единую парольную политику для всех подключённых систем, а также задавать параметры установки паролей для каждой конкретной системы в отдельности. Предложенные параметры управления паролями позволяют использовать наиболее широкий набор характеристик, удовлетворяющих как внутренним регламентам и стандартам организации, так и требованиям внешних регулирующих органов.
Рисунок 29. Парольная политика в Solar inRights
На странице настройки парольной политики (рис. 29) можно задать следующие параметры управления паролями:
- блокировка пользователя после определённого количества неудачных попыток ввода пароля;
- срок действия первичного / постоянного пароля;
- длина пароля;
- количество изменённых символов при создании нового пароля;
- запрет на ввод повторяющихся паролей;
- запрет паролей из стоп-листа;
- ограничение совпадений с символами учётных записей;
- количество уникальных символов пароля;
- наборы и количество обязательных символов в пароле.
Подключение информационных систем
Для быстрого подключения новых систем к Solar inRights создан «Мастер подключения информационных систем», который в едином окне конфигурации позволяет добавить новую систему и её параметры либо удалить уже неактуальную.
Рисунок 30. Подключение информационных систем к Solar inRights
Нажав на одну из систем, мы переходим к подробным параметрам (рис. 31). Здесь можно закрепить владельца или ответственного за систему работника, ввести подробное описание системы.
Рисунок 31. Сведения о системе Solar inRights
На следующей вкладке можно выбрать коннектор для подключения, настроить параметры подключения системы или воспользоваться готовым шаблоном для подключения (рис. 32).
Рисунок 32. Коннекторы к Solar inRights
В разделе «Объекты системы» представлен полный список объектов с указанием параметров, связей и с возможностью импорта и корректировки.
Рисунок 33. Объекты системы Solar inRights
Маршруты согласования
Раздел настройки маршрутов согласования заявок представляет собой новый удобный визуальный конструктор для создания или корректировки маршрутов. Это — необходимый инструмент для администратора системы или владельца ресурса, позволяющий обеспечить правильный и легитимный процесс подтверждения запрошенных прав в соответствии с утверждёнными процедурами и политиками.
На основной странице раздела представлены существующие в системе маршруты согласования (рис. 34) — в виде списка с раскрывающимися подробностями. Здесь можно поменять местами маршруты, приоритизируя их применение. Можно сделать выборку маршрутов по типам заявок, добавить новый маршрут на основании обновлённого процесса.
Рисунок 34. Маршруты в Solar inRights
Нажав в правой части экрана на кнопку с обозначением карандаша, можно открыть форму редактирования маршрута.
Рисунок 35. Редактирование маршрута в Solar inRights
Форма редактирования позволяет:
- изменить название / описание и тип заявки, для которой используется маршрут;
- задать условия применения маршрута;
- добавить / удалить шаг маршрута или поменять шаги местами;
- задать / удалить условия выполнения шага маршрута;
- задать / удалить согласующего на шаге;
- задать / удалить таймаут шага согласования (один или несколько) и действия при истечении таймаута;
- в случае делегирования при таймауте — задать условия делегирования.
Контроль операций
В новом модуле реализована возможность контроля выполнения операций и их приостановки — в ручном режиме либо автоматически после превышения заданного порога.
Эта функциональность необходима для защиты подключённых информационных систем от возможных массовых некорректных изменений объектов в результате ошибочных действий администратора либо несогласованности работы системы.
Рисунок 36. Контроль операций в Solar inRights
Предотвращение SoD-конфликтов
Новый модуль предотвращения SoD-конфликтов предназначен для соблюдения политик управления правами доступа и достижения эффективной стратегии управления рисками. Основная концепция, лежащая в основе разделения обязанностей, заключается в том, что ни один работник или подразделение не должны быть в состоянии как совершать, так и скрывать ошибки или мошенничество в ходе выполнения своих трудовых обязанностей.
Solar inRights позволяет формировать матрицу «критических» сочетаний прав. Данные могут быть импортированы из внешнего файла или внесены вручную через интерфейс системы в соответствующую форму «Настройка SoD-конфликтов» (рис. 37).
Рисунок 37. Настройка SoD-конфликтов в Solar inRights
Матрица позволяет указывать на конфликты сочетаний с маркировками критической значимости:
- критическое сочетание (запрет) — пользователь не может одновременно иметь конфликтующие роли;
- нежелательное сочетание (предупреждение) — пользователь может одновременно иметь конфликтующие роли, но данный факт должен быть утверждён.
В Solar inRights 3.0 появилась возможность вести различные сценарии реагирования на SoD-конфликты при создании заявок на запрос прав доступа.
Сначала система автоматически проверяет заявку на предмет наличия критических и нежелательных ролей или на запрос ролей, которые в сочетании с уже имеющимися у пользователя образуют критическое / нежелательное сочетание. Если такое сочетание обнаружено, то автору заявки выдаётся предупреждение о возникающем конфликте полномочий (рис. 38).
Рисунок 38. Предупреждение о возникающем конфликте ролей в Solar inRights
Затем система автоматически определяет, есть ли у автора заявки полномочия позволяющие создать заявку с критическими SoD-конфликтами. Если такие полномочия есть, то заявитель может удалить из заявки роли с критическим сочетанием либо продолжить оформление. Если таких полномочий нет, то при формировании заявки конфликтующие права с критическим сочетанием будут автоматически удалены из неё. По правам с нежелательным сочетанием останется возможность их удаления из заявки или сохранения в ней.
Система Solar inRights регистрирует все события, связанные с возникновением SoD-конфликтов и их прекращением, а также хранит по ним полную информацию (см. раздел «Аудит и отчёты»).
Для своевременного оповещения и контроля система направляет уведомления о возникших SoD-конфликтах владельцам ролей и офицерам ИБ.
Аудит и отчёты
Для своевременного контроля доступа пользователей к информационным ресурсам компании в системе Solar inRights разработаны удобные инструменты проведения аудита и получения отчётов.
В разделе «Отчёты» размещён базовый набор отчётов «из коробки», которые можно формировать на основании регистрации действий в системе.
Для подготовки собственных форм в системе реализован дизайнер отчётов, позволяющий как вносить корректировки в уже существующие шаблоны, так и создавать новые.
Отчёты можно выгружать в удобных популярных форматах — Excel, CSV, PDF, HTML.
Нарушения политик
Обновлённый модуль работы с нарушениями политик системы Solar inRights — это гибкий инструмент углублённого контроля политик безопасности информационных систем. С использованием расширенных фильтров можно отобрать нарушения по статусу, по типу расхождения, по конкретной системе, сделать выборку за определённый период или конкретную дату.
В интерактивном журнале кроме исправления нарушений можно легализовывать их (рис. 39).
Рисунок 39. Работа с нарушениями политик в Solar inRights
Так, при обработке нарушений политик фильтрации можно легализовать нарушение без заявки, при этом в журнале нарушений появятся дата обработки, исполнитель и комментарии по исполнению. Кроме того, можно легализовать нарушение сформировав соответствующую заявку, которая будет направлена на согласование по заранее разработанному маршруту. В заявке будут указаны полная информация о нарушении и комментарий от инициатора легализации. В журнале нарушений появится полная информация о событии, включая номер созданной заявки.
В версии 3.0 поддерживается механизм выполнения массовых операций применительно к нарушениям политик для удобной обработки нескольких нарушений, отобранных по тем или иным критериям. Также возможна настройка правил автоматического реагирования и уведомления по определённым типам нарушений.
По каждому нарушению можно просмотреть подробную историю работы с ним для проведения ИБ-расследований и получения отчётной информации. Если событие уже обработано, можно получить данные о внесённых при обработке комментариях (рис. 40).
Рисунок 40. История по нарушению политик в Solar inRights
Если нарушение было легализовано с формированием соответствующей заявки, то в форме просмотра деталей о нарушении, используя функцию «drill-down», можно перейти к заявке и просмотреть подробные данные: когда оформлена, кем согласована, на какой срок.
Аудит событий входа
Рисунок 41. Аудит событий входа в Solar inRights
Решение Solar inRights регистрирует все события входа в систему и позволяет сделать выборку данных за любой период. Также можно сделать запрос о событии по конкретному подразделению. Полученный отчёт содержит информацию о самом событии (вход / выход), Ф. И. О. пользователя, идентификатор, дату события, IP-адрес.
История изменения кадровых данных
Для получения консолидированной информации об изменении кадровых данных по конкретному сотруднику или по подразделению система Solar inRights позволяет создать необходимый отчёт.
Рисунок 42. История изменения кадровых данных в Solar inRights
Можно задать период выборки по количеству часов, дней, недель, лет. Полученная информация будет содержать дату изменения, источник информации, Ф. И. О. пользователя, атрибуты, которые были изменены, а также старое и новое значения атрибута.
История возникновения SoD-конфликтов
Система Solar inRights хранит полную информацию, связанную с возникновением SoD-конфликтов и их прекращением.
Решение позволяет создать отчёт, выбрав роли, по которым требуются данные, сотрудников, подразделения, период и статус обработки.
Рисунок 43. Параметры для отчёта по SoD-конфликтам в Solar inRights
Сформированный отчёт (рис. 43) содержит Ф. И. О. пользователя Solar inRights, для которого обнаружен конфликт, должность и подразделение пользователя, конфликтующее сочетание ролей, дату и причину возникновения нарушения, степень критической значимости (тип SoD), инициатора возникновения SoD-конфликта, дату и причину устранения.
Рисунок 44. Отчёт по SoD-конфликтам в Solar inRights
Отчёт по истории SoD-конфликтов можно в любой момент выгрузить из системы в удобном формате.
Отчёт по заявкам
Одним из базовых отчётов системы является отчёт по оформленным заявкам. В форме выбора его параметров (рис. 45) можно указать период, за который требуется отчёт, ограничить выборку по таким позициям, как статус и тип заявки, пользователи или подразделения, а также выбрать роли, если данные требуются по определённым ролям.
Рисунок 45. Параметры выборки для отчёта по заявкам в Solar inRights
По заданным критериям будет сформирован отчёт (рис. 46).
Рисунок 46. Отчёт по заявкам в Solar inRights
Поля отчёта содержат номер, тип и описание заявки, а также данные об инициаторе заявки, о её статусе и результате выполнения.
Роли сотрудников на заданную дату
Для контроля полномочий сотрудников со стороны подразделений безопасности, владельцев ресурсов или других уполномоченных работников возможно построение отчёта о текущих правах пользователя и правах на любую дату в прошлом, а также об изменении состава прав.
Для получения данных необходимо задать критерии выборки, указать одного или нескольких сотрудников и дату, на которую требуется сформировать отчёт.
Рисунок 47. Параметры выборки для отчёта о полномочиях в Solar inRights
Сформированный отчёт содержит исчерпывающую информацию обо всех предоставленных сотруднику полномочиях на заданную дату / время.
Рисунок 48. Отчёт о полномочиях в Solar inRights
В отчёт будут включены Ф. И. О. сотрудника, должность и подразделение, кадровый статус, предоставленные ему роли, срок, на который предоставлена та или иная роль, информационная система, в которой предоставлена роль, учётная запись, для которой предоставлена роль, и основание назначения роли.
Лицензирование и функциональные подсистемы Solar inRights
Система Solar inRights имеет четыре функциональных подсистемы (рис. 49).
Рисунок 49. Функциональные подсистемы Solar inRights
- Solar inRights Core ReadOnly — подключение к ИТ-системам предприятия в режиме чтения. Модуль позволяет подключить любое количество информационных систем и в любой момент времени получать полную информацию о доступе сотрудников.
- Solar inRights Core — автоматизация базовых операций управления учётными записями и правами пользователей на основе ролей, управление доступом с учётом всего времени работы сотрудника в компании.
- Solar inRights Self-Service — процессы формирования, согласования и исполнения заявок через единый портал самообслуживания. Обеспечение санкционированного предоставления доступа к информации.
- Solar inRights Extensions — расширенные возможности управления процессами, включая управление дополнительными объектами: ролями, ресурсами, структурой. Контроль разграничения доступа на основании SoD-конфликтов и расширенная аналитика.
Для подсистемы Core Read Only стоимость фиксирована, количество пользователей не ограничено.
Остальные подсистемы лицензируются по количеству пользователей + 10 % запаса на внештатных сотрудников. Год подписки на обновления входит в лицензию.
Технические требования Solar inRights 3.0
Таблица 1. Минимальные технические требования Solar inRights
№ | Назначение | Количество серверов | Требования |
1 | Сервер приложений | 2 | Процессор: 4 ядра 2,4 / 2,8 ГГц Оперативная память: 16 ГБ Хранилище: 100 ГБ ОС: • Microsoft Windows Server (2008 R2, 2012 R2); • RHEL (от 6.Х и выше); • CentOS (от 6.Х и выше); |
2 | Сервер приложений для фоновых задач | 2 | Процессор: 4 ядра 2,4 / 2,8 ГГц Оперативная память: 16 ГБ Хранилище: 100 ГБ ОС: • Microsoft Windows Server (2008 R2, 2012 R2); • RHEL (от 6.Х и выше); • CentOS (от 6.Х и выше). |
3 | СУБД | 2 | Процессор: 4 ядра 2,4 / 2,8 ГГц Оперативная память: 16 ГБ Хранилище: 100 ГБ ОС: в соответствии с требованиями СУБД СУБД: • MySQL 5.6.4 и выше; • Oracle 11g и выше; • PostgreSQL; • Microsoft SQL Server 2008. |
4 | Хранилище для БД | - | Хранилище: 2 ТБ |
Система поддерживает все современные версии браузеров.
Взаимодействие Solar inRights с другими ИТ-системами
Solar inRights взаимодействует с различными приложениями и ИТ-системами для управления учётными записями и правами с помощью промежуточных программных компонентов — коннекторов.
К большинству популярных приложений и ИТ-систем имеются готовые коннекторы собственной разработки. Для других систем, которые встречаются редко, могут быть оперативно разработаны новые коннекторы. Поддержка стандарта Identity Connector Framework (ICF) без необходимости использования дополнительных адаптеров существенно облегчает процесс разработки и снижает сроки и ресурсы для интеграции с системой.
Также решение Solar inRights может быть интегрировано с другими системами безопасности через программный интерфейс REST API или посредством формирования системного журнала Syslog для передачи данных в SIEM-систему. Такая интеграция позволяет реализовать дополнительные сценарии автоматизации работы с учётными данными, контроля доступа пользователей и расследования инцидентов.
Типы систем, с которыми возможна интеграция для управления и контроля доступа: BO (Business Objects), BI (Business Intelligence), ERP (Enterprise Resource Planning), CRM (Customer Relationship Management), SSO (Single Sign-On), PKI (Public Key Infrastructure), СКУД (система контроля и управления доступом), DLP (Data Leak Prevention), Anti-Fraud (борьба с мошенничеством), DAG (Data Access Governance), PAM (Privileged Access Manager) и другие.
В целом, интеграция возможна с любой системой (как во внутреннем контуре компании, так и на облачных ресурсах), поддерживающей реляционные базы данных и обладающей соответствующим API для взаимодействия.
Выводы
Новая версия IGA-системы Solar inRights 3.0 позволяет компаниям оптимизировать процессы управления доступом к информационным ресурсам и соответствовать актуальным трендам в области цифровизации бизнеса и производства, где определяющими направлениями являются передовые технологии, активный темп развития и необходимость своевременной защиты информационных активов от уязвимостей и угроз.
Благодаря новым модулям администрирования системы, появившимся в продукте, решение стало значительно удобнее для решения следующих задач:
- управления процессами контроля полномочий со стороны подразделений информационной безопасности;
- поддержания корректного взаимодействия с информационными системами организации со стороны подразделений информационных технологий;
- исполнения санкционированных процессов и процедур со стороны бизнес-владельцев информационных ресурсов компании.
С использованием модульной структуры решения Solar inRights возможно как построение комплексной надёжной и безопасной системы управления доступом на предприятии, так и поэтапное внедрение отдельных её частей в соответствии со стратегией развития компании и обеспечения эффективности и безопасности на любом из участков.
Гибкая технологическая платформа Solar inRights позволяет учитывать любые бизнес-процессы компании со всеми их особенностями и в короткий срок реализовать необходимые сценарии работы за счёт доработки на основе плагинов.
Удобный и понятный пользовательский интерфейс даёт возможность без труда взаимодействовать с системой как сотрудникам бизнес-подразделений, так и администраторам и контролирующим работникам.
Благодаря инструментам инженерной настройки систему Solar inRights могут обслуживать специалисты заказчика, что уменьшает стоимость владения.
Достоинства:
- Управление рисками, проактивный подход для снижения рисков в информационной безопасности за счёт разграничения и защиты доступа к информационным ресурсам, устранения избыточных полномочий, незамедлительного прекращения доступа к информационным системам, когда он более не требуется, разграничения полномочий на основании ролевой модели и предотвращения агрегации конфликтующих полномочий (Segregation of Duties).
- Поддержка изменений в бизнесе, требующих оперативных модификаций в ИТ-системах компании — переводов сотрудников с должности на должность, создания временных проектных структур, массовых изменений по учётным записям и ролям пользователей, — с использованием автоматизации и удобных инструментов.
- Оптимизация бюджета за счёт минимизации проблем с управлением доступом в ручном режиме, разгрузки подразделений ИТ, снятия с них ответственности и предоставления им возможности направить силы и ресурсы на более важные задачи по развитию инфраструктуры.
- Предоставление сервиса для конечных потребителей, в рамках которого любой сотрудник в любой момент времени может изменить пароль или оформить заявку на дополнительный доступ к ИТ-ресурсам и отслеживать жизненный цикл её выполнения; удобный процесс согласования и ресертификации прав для руководителей и владельцев ресурсов, исчерпывающая информация для контроля доступа пользователей для офицеров безопасности.
- Соответствие нормативным требованиям, демонстрация соблюдения требований и политик как внутренним контролирующим подразделениям компании, так и внешним регуляторам; регистрация и хранение информации обо всех событиях изменения доступа, получение и выгрузка консолидированной информации для проведения регулярных аудитов в любой момент времени и без особого труда; возможность проводить плановую аттестацию доступа с участием бизнес-подразделений.
Недостатки:
- Недостаточно представлены возможности по визуальной настройке функций системы, что на первый взгляд даёт представление о сложности сопровождения продукта. В то же время такая логика изначально заложена в решение Solar inRights для того, чтобы обеспечить высокую гибкость и скорость в настройке функциональности под потребности конкретных заказчиков, не ограничиваясь «зашитыми» в интерфейс возможностями.
- Нет специализированного профильного мобильного приложения, реализованы только отдельные функции.