Форма обратной связи
Свяжитесь с нами
Созвездие IDM
Созвездие IDM
решений Identity Management вместе с ТеДо
ОБ ИССЛЕДОВАНИИ
Команда технологической практики ТеДо продолжает исследовать возможности цифровизации управления рисками и внутреннего контроля в компаниях. Одна из них — использование систем Identity Management (IDM) для мониторинга факторов рисков, связанных с организацией процессов управления доступом в информационные системы.
Российский рынок IDM-систем стремительно развивается на фоне ухода иностранных вендоров, усложнения ИТ-инфраструктуры, внедрения новых систем и процессов. Появляются новые продукты, а уже существующие продолжают наращивать функциональные возможности. По данным с открытых тендерных площадок, за последние несколько лет количество запросов на внедрение систем класса IDM выросло более чем в 3 раза.
Наше исследование посвящено анализу российских IDM-систем с акцентом на текущие потребности рынка, особенности решений и перспективы их развития. В рамках исследования мы собрали ожидания со стороны бизнеса по развитию решений управления рисками, на их основе составили критерии оценки и систему скоринга, которая может быть адаптирована с учетом каждого конкретного бизнес-кейса.
По результатам исследования мы оценили функциональность и стратегию развития российских IDM-решений, определили ключевые ожидания бизнеса и векторы развития таких решений.
-
2024
Период проведения обзора
-
5
Детально рассмотренных систем
- 8
Функциональных разделов оценки - >70
Критериев для анализа
Проанализировав опыт внедрения GRC- и IDM-систем, мы пришли к выводу, что эффективное управление рисками обеспечивается развитием комплексного подхода, позволяющего превентивно реагировать на факторы рисков, в том числе связанные с управлением доступом.
- Анализ SoD-рисков на уровне ролей и полномочий
- Оценка уровня риска, связанного с присвоенными полномочиями
- Встроенные механизмы контроля соблюдения нормативных требований
- Регулярные аудиты доступа
- Мониторинг кросс-системных рисков доступа
- Управление политиками и контролем авторизаций
- Управление учетными записями
- Управление ролями
- Контроль сессий привилегированного доступа
- Автоматизированные маршруты согласования и отзыва доступа
- Непрерывный мониторинг риск-факторов и своевременное реагирование на изменение процессов и связанных рисков доступа
- Автоматизированные компенсирующие контроли в случае присвоения SoD-конфликтов
- Единая аналитическая отчетность по всем рискам и эффективности контрольных процедур
Management
and Compliance
- Identity ManagementБазовые функции
- Управление политиками и контролем авторизаций
- Управление учетными записями
- Управление ролями
- Контроль сессий привилегированного доступа
- Автоматизированные маршруты согласования и отзыва доступа
- Identity Governance and AdministrationУсиление контроля
- Анализ SoD-рисков на уровне ролей и полномочий
- Оценка уровня риска, связанного с присвоенными полномочиями
- Встроенные механизмы контроля соблюдения нормативных требований
- Регулярные аудиты доступа
- Мониторинг кросс-системных рисков доступа
- Governance, Risk, and ComplianceПревентивный контроль
- Непрерывный мониторинг риск-факторов и своевременное реагирование на изменение процессов и связанных рисков доступа
- Автоматизированные компенсирующие контроли в случае присвоения SoD-конфликтов
- Единая аналитическая отчетность по всем рискам и эффективности контрольных процедур
Целью исследования является обзор рынка российских решений класса IDM. Мы стремимся познакомить клиентов с разнообразием отечественных решений на рынке и одновременно показать вендорам возможный вектор дальнейшего развития их продукта.
Для анализа мы выбрали 5 наиболее продвинутых IDM-систем, имеющих ряд успешных внедрений в крупнейшие компании и обладающих широким набором функционала. Кроме того, в разделе «Достойны внимания» представлены решения с высоким потенциалом для внедрения, которые по ряду причин не были включены в наш обзор.
Мы определили более 70 функциональных критериев, которые покрывают автоматизацию жизненного цикла учетных записей, управление ролями и полномочиями пользователей, выявление и предотвращение SoD-конфликтов, интеграцию с управляемыми системами и формирование отчетности. Также мы определили нефункциональные критерии, которые помогают оценить стратегию развития вендоров и продвижение их продуктов на рынке.
Соответствие или несоответствие критерию не является признаком качества системы или оптимальности конкретного функционала. При выборе решения для собственного ландшафта компании должны давать свою взвешенную оценку конкретным функциональным, инфраструктурным и процессным требованиям.
Целью исследования является обзор рынка российских решений класса IDM. Мы стремимся познакомить клиентов с разнообразием отечественных решений на рынке и одновременно показать вендорам возможный вектор дальнейшего развития их продукта.
Для анализа мы выбрали 5 наиболее продвинутых IDM-систем, имеющих ряд успешных внедрений в крупнейшие компании и обладающих широким набором функционала. Кроме того, в разделе «Достойны внимания» представлены решения с высоким потенциалом для внедрения, которые по ряду причин не были включены в наш обзор.
Мы определили более 70 функциональных критериев, которые покрывают автоматизацию жизненного цикла учетных записей, управление ролями и полномочиями пользователей, выявление и предотвращение SoD-конфликтов, интеграцию с управляемыми системами и формирование отчетности. Также мы определили нефункциональные критерии, которые помогают оценить стратегию развития вендоров и продвижение их продуктов на рынке.
Соответствие или несоответствие критерию не является признаком качества системы или оптимальности конкретного функционала. При выборе решения для собственного ландшафта компании должны давать свою взвешенную оценку конкретным функциональным, инфраструктурным и процессным требованиям.
Газинформсервис: Ankey IDM — система централизованного управления учетными записями с большим каталогом готовых коннекторов и широкими возможностями интеграции решений ИБ
- Система осуществляет поддержку множественного трудоустройства для клиентов с несколькими юридическими лицами
- Решение поддерживает анализ и оптимизацию ролевой модели по данным работников с использованием подхода «сверху вниз» и по текущим назначенным пользователям полномочиям — подход «снизу вверх»
- Ankey IDM имеет широкий каталог коннекторов: поддерживается более 60 платформ и производителей
- Ankey IDM осуществляет поддержку систем хранения секретов (Vault) и интеграцию с комплементарными решениями (IdP, SSO, ЕСИА, PAM, ESSO), а также имеет обширные возможности интеграции со смежными решениями, обеспечивающими безопасный контур
Клиенты:
- Топливно-энергетические компании
- Металлургические компании
- FMCG-компании
- Финансово-кредитные организации
- Сектор розничной торговли
- Система осуществляет поддержку множественного трудоустройства для клиентов с несколькими юридическими лицами
- Решение поддерживает анализ и оптимизацию ролевой модели по данным работников с использованием подхода «сверху вниз» и по текущим назначенным пользователям полномочиям — подход «снизу вверх»
- Ankey IDM имеет широкий каталог коннекторов: поддерживается более 60 платформ и производителей
- Ankey IDM осуществляет поддержку систем хранения секретов (Vault) и интеграцию с комплементарными решениями (IdP, SSO, ЕСИА, PAM, ESSO), а также имеет обширные возможности интеграции со смежными решениями, обеспечивающими безопасный контур
Клиенты:
- Топливно-энергетические компании
- Металлургические компании
- FMCG-компании
- Финансово-кредитные организации
- Сектор розничной торговли
Avanpost IDM — система управления жизненным циклом учетных записей и правами доступа в информационных системах организации с функционалом оценки риска
- Решение позволяет управлять доступом не только в структуре проектного управления, но и в организационно-штатной структуре
- Система дает возможность устанавливать уровень риска для полномочий и осуществлять оценку рисков компрометации учетных записей и злонамеренных действий сотрудников
- Система позволяет разграничить объекты управления и каталоги для нескольких организаций одного крупного холдинга
- Avanpost IDM осуществляет поддержку систем хранения секретов (Vault) и интеграцию со смежными системами классов ITSM, SIEM, PAM
Клиенты:
- Нефтегазовые и промышленные компании
- Государственные учреждения, министерства и ведомства
- Финансово-кредитные организации
- Сектор розничной торговли
- Автоматизации процесса предоставления/отзыва в ИС банка
- Сокращения времени и ресурсов на согласование доступов
- Минимизации рисков нелегального доступа в ИС банка
- Осуществления контроля SoD-конфликтов
Были достигнуты следующие результаты:
- Сокращение времени предоставления доступа до 30 минут
- Исключение привлечения дорогого персонала для формирования и согласования заявок
- Реализованы автоматическое отслеживание и обработка фактов выдачи доступов нелегитимно, в обход IDM
- Реализован процесс контроля выданных прав доступа и SoD-конфликтов
- Решение позволяет управлять доступом не только в структуре проектного управления, но и в организационно-штатной структуре
- Система дает возможность устанавливать уровень риска для полномочий и осуществлять оценку рисков компрометации учетных записей и злонамеренных действий сотрудников
- Система позволяет разграничить объекты управления и каталоги для нескольких организаций одного крупного холдинга
- Avanpost IDM осуществляет поддержку систем хранения секретов (Vault) и интеграцию со смежными системами классов ITSM, SIEM, PAM
Клиенты:
- Нефтегазовые и промышленные компании
- Государственные учреждения, министерства и ведомства
- Финансово-кредитные организации
- Сектор розничной торговли
- Автоматизации процесса предоставления/отзыва в ИС банка
- Сокращения времени и ресурсов на согласование доступов
- Минимизации рисков нелегального доступа в ИС банка
- Осуществления контроля SoD-конфликтов
Были достигнуты следующие результаты:
- Сокращение времени предоставления доступа до 30 минут
- Исключение привлечения дорогого персонала для формирования и согласования заявок
- Реализованы автоматическое отслеживание и обработка фактов выдачи доступов нелегитимно, в обход IDM
- Реализован процесс контроля выданных прав доступа и SoD-конфликтов
ТАБ:GRC — система, включающая в себя модуль учета рисковых событий, методологию управления рисками, внутренний контроль, внутренний аудит, управление доступами и прочие. Модуль «Управление доступами» может использоваться как отдельная IDM-система, так и как часть полноценной единой GRC-системы
- Продукт имеет открытый исходный код, поэтому у клиента есть возможность самостоятельной доработки продукта
- В систему встроены количественная и качественная оценка уровня риска нарушения полномочий (при выдаче прав, сценарном анализе и дальнейшей работе)
- Система обладает всеми стандартными преимуществами платформы 1С
- Решение поддерживает интеграцию с 1С продуктами на уровне объектов системы
- В ТАБ: GRC встроена BI-система для реализации отчетов и дашбордов
Клиенты:
- Финансово-кредитные организации
- Торговые предприятия
Были достигнуты следующие результаты:
- Заменен SAP GRC на TAB GRC, в том числе модуль SAP AC
- Восстановлена деятельность компании на импортозамещенном ПО
- Настроены workflow-процессы
- Реализована интеграция с ActiveDirectory
- Введены данные о правах пользователей в разрезе процессов, информационных систем и программно-технических средств
- Продукт имеет открытый исходный код, поэтому у клиента есть возможность самостоятельной доработки продукта
- В систему встроены количественная и качественная оценка уровня риска нарушения полномочий (при выдаче прав, сценарном анализе и дальнейшей работе)
- Система обладает всеми стандартными преимуществами платформы 1С
- Решение поддерживает интеграцию с 1С продуктами на уровне объектов системы
- В ТАБ: GRC встроена BI-система для реализации отчетов и дашбордов
Клиенты:
- Финансово-кредитные организации
- Торговые предприятия
Были достигнуты следующие результаты:
- Заменен SAP GRC на TAB GRC, в том числе модуль SAP AC
- Восстановлена деятельность компании на импортозамещенном ПО
- Настроены workflow-процессы
- Реализована интеграция с ActiveDirectory
- Введены данные о правах пользователей в разрезе процессов, информационных систем и программно-технических средств
1IDM v1 — система управления учетными записями и правами доступа, разработанная на платформе 1С: Предприятие и предоставляющая большой набор коннекторов из коробки, включенных в стоимость лицензии
- Продукт имеет открытый исходный код, поэтому у клиента есть возможность самостоятельной доработки продукта
- Система поддерживает интеграцию с 1С без модификации исходных конфигураций
- 1IDM v1 имеет широкий пополняющийся каталог коннекторов, включенный в лицензию — 38 готовых
- Решение дает возможность устанавливать уровень риска для полномочий, отдельных ролей и SoD-правил
- В системе ведется справочник критичных полномочий, собранных из целевых систем заказчика
Клиенты:
- Финансово-кредитные организации
- Добывающие компании
- Государственные учреждения, министерства и ведомства
- Строительные компании
- Медиакомпании
- Производственные компании
- Соответствия требованиям регулятора
- Перехода к централизованному управлению учетными записями с целью минимизировать время выдачи доступов и количество учетных записей с некорректным набором прав
В процессе внедрения была произведена поэтапная миграция с импортного IDM-решения без потери непрерывности всех процессов
- Продукт имеет открытый исходный код, поэтому у клиента есть возможность самостоятельной доработки продукта
- Система поддерживает интеграцию с 1С без модификации исходных конфигураций
- 1IDM v1 имеет широкий пополняющийся каталог коннекторов, включенный в лицензию — 38 готовых
- Решение дает возможность устанавливать уровень риска для полномочий, отдельных ролей и SoD-правил
- В системе ведется справочник критичных полномочий, собранных из целевых систем заказчика
Клиенты:
- Финансово-кредитные организации
- Добывающие компании
- Государственные учреждения, министерства и ведомства
- Строительные компании
- Медиакомпании
- Производственные компании
- Соответствия требованиям регулятора
- Перехода к централизованному управлению учетными записями с целью минимизировать время выдачи доступов и количество учетных записей с некорректным набором прав
В процессе внедрения была произведена поэтапная миграция с импортного IDM-решения без потери непрерывности всех процессов
Solar inRights — система оптимизации управления учетными данными и правами пользователей, а также обеспечения соблюдения политик доступа
- Решение способно управлять многомерными ролевыми моделями вручную и автоматически с возможностью настройки контекстных политик назначения
- В системе реализована модель управления рисками с возможностью настройки клиентских правил определения категории риска полномочий и подсчетом интегрального уровня риска сотрудника
- Система осуществляет поддержку множественного трудоустройства и позволяет управлять учетными записями и доступами пользователей независимо для каждого случая трудоустройства
- Решение поддерживает язык программирования Groovy для написания пользовательских скриптов без необходимости вносить изменения в исходный код системы
Клиенты:
- Топливно-энергетические компании
- FMCG-компании
- Финансово-кредитные организации
- Медицинские компании
- Государственные учреждения, министерства и ведомства
- Производственные компании
- Добывающие компании
- Военно-промышленный комплекс
Были достигнуты следующие результаты:
- Создана единая система управления правами доступа для более чем 60 000 пользователей в разных городах России
- Управление доступом осуществляется более чем в 16 управляемых системах и охватывает более 200 000 учетных записей
- Создан Центр компетенций по управлению правами доступа, который развивает и масштабирует систему
- Реализованы открытые и закрытые контуры с односторонней синхронизацией
- Обеспечена легализация и сертификация прав доступа, что повысило уровень соответствия внутренним и внешним требованиям
- Решение способно управлять многомерными ролевыми моделями вручную и автоматически с возможностью настройки контекстных политик назначения
- В системе реализована модель управления рисками с возможностью настройки клиентских правил определения категории риска полномочий и подсчетом интегрального уровня риска сотрудника
- Система осуществляет поддержку множественного трудоустройства и позволяет управлять учетными записями и доступами пользователей независимо для каждого случая трудоустройства
- Решение поддерживает язык программирования Groovy для написания пользовательских скриптов без необходимости вносить изменения в исходный код системы
Клиенты:
- Топливно-энергетические компании
- FMCG-компании
- Финансово-кредитные организации
- Медицинские компании
- Государственные учреждения, министерства и ведомства
- Производственные компании
- Добывающие компании
- Военно-промышленный комплекс
Были достигнуты следующие результаты:
- Создана единая система управления правами доступа для более чем 60 000 пользователей в разных городах России
- Управление доступом осуществляется более чем в 16 управляемых системах и охватывает более 200 000 учетных записей
- Создан Центр компетенций по управлению правами доступа, который развивает и масштабирует систему
- Реализованы открытые и закрытые контуры с односторонней синхронизацией
- Обеспечена легализация и сертификация прав доступа, что повысило уровень соответствия внутренним и внешним требованиям
Системы Identity Management могут расширить свой функционал за счет адаптации решений с поддержкой искусственного интеллекта, например автоматически замечать нетипичное поведение пользователей в информационных системах, рекомендовать уровень и настройки доступа в зависимости от запроса, блокировать неавторизованные операции и инициировать дополнительные контроли.
с необходимым контролем и системой уведомлений, обеспечивает непрерывность процессов без повышения уровня рисков.
ПРАКТИКА GRC И IDM В ТЕДО
Команда ТеДо концентрируется на решении следующих задач:
- Сопровождение при выборе ИТ-продуктов для автоматизации процессов управления доступом и рисками, внутреннего контроля и аудита
- Внедрение или оценка качества внедрения решений класса IDM и GRC
- Обследование процессов управления доступом и рисками, внутреннего контроля, внутреннего аудита, разработка инициатив по их оптимизации, методологических решений и подходов к автоматизации этих процессов
Что нам позволяет решать такие задачи?
Интегрированная команда специалистов с опытом реализации методологических проектов в области управления доступом, риск-менеджмента и внедрения автоматизированных решений класса IDM, GRC
Партнерство с ведущими поставщиками технологических решений, поддержка со стороны вендоров
Разработаны в ТеДо: модель матрицы зрелости функций риск-менеджмента, методология непрерывного обучения и развития систем класса GRC в рамках модели TOM (Target Operating Model), GRC, библиотеки рисков, ключевые индикаторы рисков
Инструмент разработан в рамках крупного проекта внедрения 1С и уже зарекомендовал себя как эффективное решение для оперативного контроля создаваемых ролей и присвоений на предмет отсутствия SoD конфликтов.
Чтобы узнать больше про наш инструмент, свяжитесь с нами.
КОНТАКТЫ
- Анастасия КабаеваПартнер
технологической практики - Сара ЧавушянСтарший менеджер
технологической практики - Илья Пехтин
Менеджер
технологической практики
- Максим НиколаевКонсультант
технологической практики