Корпоративный центр обработки данных (ЦОД) перестал быть единственным местом, где может находиться важная бизнес-информация предприятия. Теперь организациям приходится контролировать, кто и к какой информации имеет доступ в рамках их ИТ-инфраструктур и ЦОД, включая системы, устройства, данные и приложения, а также обеспечивать соблюдение нормативных требований и подготовку соответствующей отчетности для регулятивных органов. Стоит отметить, что до настоящего времени рынок средств контроля и управления идентификацией и доступом был сегментирован, и каждый из представленных на рынке продуктов был предназначен для решения определенных узких задач.

Для разграничения прав пользователей в информационных системах применяются процедуры аутентификации и авторизации, неразрывно связанные с использованием каталогов учетных записей. Техническая реализация этих каталогов в каждой из информационных систем индивидуальна, поэтому персоналу ИТ-департаментов необходимо поддерживать большое количество независимых каталогов. Как правило, процедуры управления учетными записями выполняются вручную администраторами соответствующих ресурсов. Подобный подход к управлению контролем доступа порождает ряд проблем. Когда процедуры предоставления доступа не автоматизированы и находятся в ведении администраторов ИТ-ресурсов предприятия, это также может крайне негативно сказаться на информационной безопасности предприятия. Сегодня заказчики нуждаются в технологии обеспечения информационной безопасности, которая на основе ролей и должностных обязанностей, установленных в рамках организационной структуры предприятия, управляет тем, какие люди имеют доступ к конкретным корпоративным данным. Интеграция средств управления, контроля и обеспечения работы в едином программном продукте для управления идентификацией и доступом упрощает нашим клиентам администрирование пользовательских учетных записей, облегчает соблюдение государственных и отраслевых нормативных требований и в то же время надежно защищает от угроз информационной безопасности.

В частности, корпорация IBM предлагает инструмент, позволяющий создать единую систему управления учетными записями – Tivoli Identity Manager. Версия 5.1 этого продукта поддерживает управление организационными ролями, что дает возможность компаниям управлять пользовательским доступом как частью их стратегий управления бизнесом и рисками. Возможность управлять ролями в сочетании с функциями управления правами пользователей, идентификацией, разграничением обязанностей и подтверждением права доступа обеспечивает организациям высокий уровень визуализации и контроля данных и людей, имеющих доступ к этим данным. ПО IBM Tivoli Identity Manager предоставляет набор инструментов для сквозного управления конфликтами, возникающими внутри и вокруг корпоративных процессов поддержки ИТ-безопасности, одновременно помогая сокращать расходы на администрируемый доступ.

Основанный на политиках подход IBM к контролю и управлению идентификацией и доступом для эффективного управления учетными записями людей, приложениями и данными гарантирует, что процесс обеспечения и контроля доступа организован по принципу замкнутого цикла или управляющей цепи с обратной связью. IBM Tivoli Identity Manager предоставляет важные функциональные возможности для контроля и управления идентификацией и доступом, включая автоматизированные функции и инструменты формирования отчетности, чтобы помочь организациям подготовиться к аудиторским проверкам. Целостный подход IBM к контролю и управлению идентификацией и доступом предусматривает:

  • управление ролями — упрощает администрирование учетных записей пользователей за счет структуры ролей, которая управляет пользовательским доступом к ресурсам;
  • управление правами пользователей — упрощает контроль доступа благодаря эффективному администрированию и применению детальной авторизации;
  • управление идентификацией привилегированных групп учетных записей — ведет мониторинг и генерирует отчеты о пользовательской активности администраторов системы ИТ-безопасности с привилегированными правами и пользователей с повышенным уровнем привилегированных прав;
  • разграничение обязанностей — предупредительный и выявляющий анализ конфликтов ролей и разрешительных прав доступа;
  • подтверждение доступа — обеспечивает непрерывный процесс обзора и проверки достоверности прав пользовательского доступа.

Основной модуль, обеспечивающий логику работы системы, – это J2EE-приложение, функционирующее под управлением сервера приложений IBM WebSphere Application Server. Этот же компонент реализует Web-консоли пользователя и администратора системы. Сервер приложений входит в комплект поставки программного продукта. С управляемыми системами IBM Tivoli Identity Manager взаимодействует при помощи адаптеров. IBM предоставляет готовые решения для управления учетными записями в более чем 150 различных информационных системах (ОС, Microsoft Active Directory, СУБД, LDAP-каталоги, серверы электронной почты, бизнес-приложения и т. д.). Вместе с IBM Tivoli Identity Manager поставляется программный продукт IBM Tivoli Directory Integrator, позволяющий разрабатывать собственные адаптеры.

Информация о настройках IBM Tivoli Identity Manager и всех его логических объектах хранится в LDAP-каталоге. В комплект поставки входит LDAP-каталог IBM Tivoli Directory Server. Транзакционные данные, а также события аудита и историческая информация сохраняются в реляционной базе данных. Вместе с IBM Tivoli Identity Manager поставляется СУБД IBM DB2. Для генерации отчетов (на основании информации, хранящейся в базе данных) служит модуль IBM Tivoli Common Auditing and Reporting, который представляет собой J2EE-приложение, функционирующее под управлением сервера приложений IBM WebSphere Application Server.

Преимуществами программных решений IBM для обеспечения безопасности могут воспользоваться предприятия и организации всех отраслей промышленности и экономических сфер, в особенности учреждения здравоохранения и финансовые институты, где процессы хранения и использования конфиденциальных данных пациентов и клиентов строго регламентируются нормативными требованиями.