Роль IDM в современной информационной инфраструктуре

Дмитрий Бондарь
Заместитель руководителя по направлению
“Системы управления доступом"
компании “Инфосистемы Джет"

Системные администраторы загружены рутинной работой по созданию, изменению и блокированию учетных записей. По мере роста организации увеличиваются затраты на администрирование, возникают риски информационной безопасности, такие как кража или искажение информации. Из-за разрозненности данных аудита расследование инцидентов информационной безопасности занимает до нескольких недель, при этом половину из них расследовать так и не удается. Кроме того, становится практически невозможно отслеживать "бесхозные" учетные записи и записи с избыточными привилегиями в информационных системах. Решение этих и других проблем входит в круг задач систем класса Identity Manager (IDM).

Функции IDM

Рассмотрим основные функции IDM-системы. Она позволяет управлять учетными записями подключенных информационных систем через свой графический интерфейс и автоматизировать это управление.

В IDM можно автоматизировать бизнес-логику управления доступом в соответствии с правилами компании. Например, система может автоматически выбирать сервер электронной почты на основании региона пользователя при создании почтового ящика, генерировать имена учетных записей по заданным правилам транслитерации, заполнять атрибуты организационной принадлежности для системы учета затрат и т.д. IDM позволяет отслеживать никому не принадлежащие учетные записи и учетные записи с избыточными полномочиями. Как правило, IDM подключается к системе кадрового учета. Это позволяет автоматизировать такие процессы, как прием на работу, увольнение, уход в отпуск. Помимо операций по управлению доступом, IDM позволяет автоматизировать соответствующие процессы согласования. Дополнительными механизмами автоматизации в IDM являются ролевая модель управления доступом и интерфейс самообслуживания. Ролевая модель позволяет автоматически назначать типовые права доступа на основании    данных    сотрудника, например, его должности и подразделения. С помощью интерфейса самообслуживания сотрудники могут самостоятельно запрашивать себе права доступа в информационных системах, восстанавливать или менять пароли своих учетных записей. Все действия, которые осуществляются в системе IDM, записываются в журналы, и на основании этих данных можно строить отчеты.

Особенности внедрения IDM

Создание системы централизованного управления учетными записями и правами доступа является чем-то средним между заказной разработкой и использованием "коробочного" продукта. В процессе внедрения мы адаптируем IDM под потребности организации: настраиваем процессы управления доступом, разрабатываем адаптеры к информационным системам и модули расширения. Как показывает практика, для внедрения IDM важно, чтобы в организации были формализованы бизнес-процессы управления доступом и налажен процесс кадрового учета. Если процессы не выстроены или нуждаются в пересмотре, то нередко внедрению IDM предшествует этап консалтинга. На этом этапе наши  специалисты  проводят анализ существующих бизнес-процессов и информационных систем и предлагают методики оптимизации процессов управления доступом, основываясь на лучших отраслевых практиках.

Первоочередной задачей при внедрении системы является подключение кадрового источника. Это осуществляется с помощью адаптера либо, в случае его отсутствия или технических ограничений, посредством промежуточного представления. В качестве последнего используется представление в базе данных кадровой системы либо выгрузка в текстовый файл. Взаимодействие IDM   с   ИС   осуществляется посредством адаптеров. Для систем российского производства и систем собственной разработки, как правило, адаптеры разрабатываются в рамках проекта. За несколько лет мы разработали адаптеры ко многим системам российского производства, включая кадровые системы и АБС. Если непосредственное подключение IDM к информационной системе невозможно, управление учетными записями остается в зоне ответственности администратора, а заявки на осуществление конкретных действий формируются и назначаются в IDM. Это позволяет вести учет прав доступа в IDM и придерживаться единых бизнес-процессов.

Ролевая модель управления доступом

Одной из наиболее востребованных функций IDM является ролевая модель управления доступом. По нашему опыту, для ее реализации требуется большая подготовительная работа: классификация типов доступа в информационных ресурсах, формализация матрицы прав доступа в разрезе должностей и подразделений, выделение бизнес-ролей. Иногда количество различных комбинаций прав доступа может приближаться к числу сотрудников и выделить типовые привилегии не представляется возможным. В этом случае требуется предварительно провести инвентаризацию прав доступа в информационных системах и пересмотр привилегий сотрудников. В зависимости от потребностей заказчика эти работы мы выполняем в рамках отдельного проекта, либо в рамках проекта по внедрению IDM параллельно с другими работами. Построение ролевой модели управления доступом – постепенный процесс, который в результате позволяет ввести в компании типизированное управление доступом и повысить его эффективность.

Возможность разработки собственного решения

Как альтернативу покупке IDM некоторые компании рассматривают возможность разработки аналогичной системы собственными силами. Обычно это делается в целях экономии на стоимости лицензий. Рассматривая такой вариант, важно учитывать, что любая разработка всегда дороже покупки типового продукта и целесообразна только в том случае, если требуется действительно уникальное решение. Как правило, это важно для тех аспектов деятельности организации, которые непосредственно связаны с получением прибыли и где требуется реализация конкурентных преимуществ. IDM-системы решают задачи управления учетными записями в информационных системах, которые являются типовыми для большинства организаций. Разработка решения собственными силами имеет много рисков.

Для качественного и своевременного завершения проекта требуется квалифицированная команда и налаженные процессы разработки. Это редко встречается в компаниях, которые не занимаются заказной разработкой программного обеспечения. Кроме того, нужно учитывать затраты на поддержку и развитие продукта и зависимость проекта от конкретных людей. Современные системы IDM обладают богатыми функциональными возможностями, которые позволяют адаптировать продукт под потребности большинства компаний. Но если идти по пути разработки собственного решения, то не лишней в этом случае окажется помощь профессиональных консультантов.

Эффект от внедрения IDM

Системы IDM предоставляют множество преимуществ для представителей ИБ- и IТ-структур и бизнеса. Офицеры безопасности получают возможность контролировать права доступа в информационных системах: в любой момент времени знать, кто, куда, когда и какой доступ имел. С помощью IDM они могут оперативно отслеживать и расследовать инциденты информационной безопасности, связанные с наличием избыточных привилегий, выполнять регламенты разделения ответственности (segregation of duties) и инвентаризации прав доступа пользователей. С точки зрения IТ-подразделений, IDM позволяет значительно ускорить процессы управления доступом, навести порядок в ИС и сократить затраты на администрирование. Для бизнеса это способ повысить эффективность работы сотрудников, снизить издержки, связанные с ожиданием предоставления прав доступа и рисками ИБ, выполнить ряд требований регуляторов – стандарта СТО БР ИББС, PCI DSS и ISO 27001, а также повысить прозрачность процессов управления доступом.

В качестве дополнительного преимущества можно назвать перераспределение ответственности за права доступа сотрудника. Если до внедрения формально за них отвечает руководитель, а фактически – администраторы информационных систем, то после внедрения управление доступом поднимается на бизнес-уровень и ответственность руководителя подкрепляется возможностями контроля и управления. Еще одно преимущество – возможность учета истории работы сотрудника в компании. Если сотрудник увольняется, а через некоторое время опять приходит на работу в компанию, то он использует уже существующий набор учетных данных. Кроме того, IDM можно использовать как справочник сотрудников. Сами сотрудники при использовании функционала самообслуживания получают в доступном виде каталог всех информационных ресурсов компании с возможностью их запроса.

По нашему опыту, срок окупаемости IDM-решения составляет около трех лет. Влияние оказывают такие факторы, как совокупная стоимость администрирования информационных систем, поддержки пользователей, времени простоя сотрудников при ожидании предоставления прав доступа и величина ущерба от утечек конфиденциальной информации из-за наличия избыточных привилегий и т.д.

По мере развития организации у нее рано или поздно возникают те трудности, о которых мы говорили выше. С каждым годом к нам обращается все больше компаний, желающих внедрить IDM, и в этом году мы также прогнозируем значительный рост проектов по этому направлению.

Это позволяет уже сегодня с уверенностью сказать, что IDM-решения – будущее успешных компаний.