Автоматизация управления доступом в ITSM- системе Altevics
В деятельности современного ИТ-подразделения предоставление доступа к информационным ресурсам — это не просто одна из типовых операций, а критический бизнес-процесс. Сотрудник не может начать работу без учетной записи, доступа к сетевой папке или права в корпоративной системе. Задержки в предоставлении прав тормозят бизнес-процессы, а ошибки в настройке создают риски информационной безопасности. Включение автоматизации этого процесса в перечень возможностей ITSM-системы Altevics позволяет превратить управление доступом в прозрачный, управляемый и безопасный механизм.
Уровни зрелости процесса
Задачи, которые решаются в рамках процесса управления доступом, могут существенно отличаться в зависимости от масштабов компании и уровня зрелости ее ИТ-процессов. Универсального решения «для всех» не существует, но можно выделить эволюцию подхода. На базовом уровне доступ предоставляется исключительно по заявкам — пользователь пишет письмо или создает тикет с текстом «Мне нужен доступ к системе Х», а администратор вручную проверяет полномочия, согласует с руководителем и настраивает доступ. Этот подход масштабируется плохо и чреват человеческим фактором.
На продвинутом уровне внедряются стандартные формы запросов — пользователь выбирает систему из списка, а не описывает её текстом. Появляются шаблоны прав доступа, такие как «Бухгалтер» или «Менеджер по продажам», которые группируют необходимые права. Высокий уровень зрелости характеризуется полной автоматизацией предоставления доступов на основании ролевых матриц и событий — например, прием на работу в HR-системе автоматически запускает выдачу набора прав. Здесь минимизируется участие администраторов, а система сама проверяет соответствие запроса политике безопасности.
Независимо от текущего уровня зрелости, качественная автоматизация в среде ITSM опирается на четыре ключевых компонента.
Архитектура автоматизированного управления доступом
Первый компонент — реестр информационных ресурсов, который служит фундаментом процесса. Это хранилище перечня информационных ресурсов и их параметров — не просто список названий, а структурированная база данных. Она содержит технические параметры ресурса (тип системы, протокол доступа), ответственных за информационный ресурс (владельцев бизнеса и технических администраторов), а также информацию о способах управления доступом (ручной, через API, через IDM-систему). Эти данные критически важны при создании и обработке запросов: система должна понимать, с кем согласовывать и каким образом технически выдать права. Без актуального реестра автоматизация будет невозможна. В качестве источника данных об информационных ресурсах часто используется CMDB.
Второй компонент — портал самообслуживания для подачи запросов на предоставление доступов. Идеально, когда он является частью единого портала поддержки пользователей (Service Desk). Он обеспечивает удобство — пользователь видит каталог доступных ресурсов, а не пустое поле для ввода текста. Формы запросов позволяют валидацию: выбрать конкретные информационные ресурсы, виды доступа (только чтение, редактирование, администрирование), обосновать необходимость и сообщить дополнительные параметры, например срок, на который выдаются права. Кроме того, портал даёт прозрачность — пользователь видит статус заявки и знает, на каком этапе согласования она находится. Такой подход снижает нагрузку на службу поддержки, так как заявки приходят стандартизированными и содержат всю необходимую информацию для принятия решения.
Третий компонент — исполнительный механизм, который реализует выданное право. Это самая сложная техническая часть, и в зависимости от имеющихся возможностей он может быть реализован тремя способами. Первый — интеграция с IDM-системой: ITSM-система отправляет задачу в IDM, которая управляет учетными записями и правами на информационные ресурсы. Это наиболее надежный и масштабируемый вариант, однако не все ресурсы могут находиться под управлением IDM, поэтому зачастую используется смешанный подход. Второй способ — прямая интеграция с ресурсами через API или скрипты, когда ITSM-система напрямую взаимодействует с целевой системой, например включает пользователей в группы Active Directory. Третий способ — задания для ручного исполнения: если автоматическая выдача невозможна (устаревшие системы, специфическое ПО), ITSM формирует задачу для администраторов с постановкой задачи на предоставление доступа. В этом случае процесс тоже контролируется системой — фиксируется статус, время начала и окончания работ.
Четвертый компонент — архив и аудит с информацией о ранее предоставленных доступах и основаниях для их предоставления. Этот компонент решает задачи комплаенса и информационной безопасности. Он позволяет провести аудит — в любой момент ответить на вопрос: «Кто, когда и на каком основании получил доступ к тем или иным ресурсам?». На основе архива можно запускать процессы пересмотра прав: если сотрудник сменил должность, система подскажет, какие доступы нужно отозвать. Кроме того, аналитика помогает понять, какие ресурсы наиболее востребованы, и планировать развитие ИТ-инфраструктуры.
Заключение
Автоматизация процесса управления доступом в современной ITSM-системе — это не просто способ упростить жизнь пользователям или разгрузить администраторов. Это стратегический шаг к повышению безопасности компании.
В продукте Altevics реализованы все ключевые компоненты, необходимые для автоматизации процесса управления доступом. Есть CMDB для хранения информации об информационных ресурсах. Есть портал поддержки пользователей с возможностью создания динамических форм подачи обращений. Есть механизм согласований, позволяющий выполнить необходимые согласования до начала работ по предоставлению доступа. Есть развитый ETL-движок, позволяющий выстроить интеграции с внешними системами — как IDM, так и непосредственно с управляемыми системами. Есть механизм выдачи и контроля исполнения заданий. Есть BPMN-движок, который позволяет объединить согласования, задания, интеграционные шаги в единый процесс. Есть отчетность, позволяющая оценить работу всего процесса и отдельных процедур.
А тот факт, что «под капотом» у Altevics находится low-code платформа GreenData, означает, что все это можно настроить под специфику любой компании и масштабировать в соответствии с потребностями.