Разработать и внедрить процесс регулярной проверки и подтверждения актуальности прав доступа пользователей к информационным системам, интегрированным в платформу управления доступом (IDM). Решение должно выявлять и устранять устаревшие и избыточные доступы, повышать прозрачность управления ролями, увеличивать эффективность контроля доступа, снижать операционную нагрузку на ответственных сотрудников и обеспечивать соответствие требованиям информационной безопасности.

В связи с отсутствием сквозного контроля актуальности доступов, накоплением избыточных прав и ростом рисков информационной безопасности требовалось обеспечить автоматическое инициирование удаления полномочий при отклонении результатов ресертификации для матричных ролей. Такой подход должен замкнуть контур управления доступами.

В рамках проекта по внедрению механизма регулярной проверки прав доступа (ресертификации) для интегрированных ИС в IDM была проведена комплексная работа. Проект начался с обследования текущих процессов управления доступом и анализа архитектуры уже интегрированных систем. Были выявлены основные уязвимости и несоответствия, влияющие на корректность и актуальность прав пользователей.

На основе полученных данных сформулированы организационные и функциональные требования к процессу ресертификации. После их утверждения реализован механизм регулярной проверки прав, включающий автоматический запуск кампаний ресертификации, обработку откликов и формирование отчетности, что позволило повысить прозрачность контроля доступа.

В рамках дальнейшего развития решения доработан процесс ресертификации матричных ролей. Реализован механизм, при котором в случае отклонения доступа владельцем роли или его заместителем автоматически инициируется заявка на удаление соответствующего полномочия. Для этого внедрен дополнительный этап обработки отказа, реализована автоматическая генерация заявок с передачей причины отклонения, настроена логика согласования, включая сценарии автосогласования, а также обеспечена корректная обработка различных типов полномочий — как назначенных напрямую, так и выданных через заявки. Таким образом был устранен разрыв между выявлением и фактическим устранением избыточных прав.

Решение интегрировано в существующую IDM-среду без нарушения текущих бизнес-процессов. Реализованы сценарии обработки исключений и налажен контроль завершенности процессов, что обеспечило управляемость и масштабируемость внедренной модели.

По итогам проекта Заказчик получил централизованный и полностью автоматизированный инструмент для эффективного контроля актуальности прав доступа пользователей. Внедренный в IDM механизм ресертификации позволил проводить регулярные кампании проверки доступов к интегрированным ИС, обеспечивая своевременное выявление и устранение избыточных, устаревших и несанкционированных прав. Ранее данный процесс выполнялся частично вручную и не обеспечивал сквозного контроля.

Дополнительная автоматизация позволила замкнуть цикл управления доступами: при отклонении прав в рамках ресертификации их отзыв инициируется автоматически. Это исключило риск сохранения неактуальных доступов и критический разрыв между контролем и исполнением решений.

Автоматизация существенно снизила операционную нагрузку на ИТ- и ИБ-подразделения. Процесс стал прозрачным, управляемым и полностью документированным. Решение органично встроено в единую модель управления доступами, повысив согласованность и эффективность всей системы IDM. Благодаря этому Заказчик получил не только инструмент для оперативной проверки прав, но и устойчивую модель управления доступами, готовую к масштабированию.