Контакты
Подписка
МЕНЮ
Контакты
Подписка

IDM в современной информационной инфраструктуре

IDM в современной информационной инфраструктуре

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

IDM в современной информационной инфраструктуре

Управление правами пользователей и учетными записями (Identity Management) можно считать таким же важным направлением в управлении информационными технологиями на предприятиях и в организациях, как и управление лицензиями, изменениями, конфигурациями, инцидентами, проблемами и иными процессами, достаточно хорошо описанными в библиотеках ITIL. И хотя IDM не является базовым процессом ITIL, ее роль со временем только растет. Среди причин повышения значения IDM можно выделить повышение роли ИБ с ростом как внешних, так и внутренних угроз, гетерогенность и сложность ландшафтов системного и прикладного ПО.
Сергей Прохоров
Академик МАС

Управление IDM решает важные в структуре ИТ предприятия задачи:

  1. Повышение уровня информационной безопасности ИТ-систем.
  2. Оптимизация нагрузки на информационные системы и их производительность.
  3. Оптимизация работы пользователей в информационных системах, а также ИТ-специалистов.

Заметим, что в российской практике управления правами доступа больше употребляется терминология IDM, в то время как на Западе больше используется аббревиатура IDA (Identity Governance&Administration).

Особенности внедрения IDM-систем

Внедрение IDM-решения, как и любой ИТ-системы, автоматизирующей бизнес-логику, нельзя рассматривать в отрыве от изменений в бизнес-процессах организации. Таковыми являются процессы учета и управления кадрами, а также процессы управления доступом. Зрелость этих процессов напрямую влияет на качество внедрения IDM-системы. Организациям, планирующим у себя внедрение и последующее развитие IDM-направления, желательно заранее описать и формализовать эти процессы. Уже на этой стадии могут быть выявлены "перекосы", исправление которых оптимально производить до стадии собственно внедрения IDM-системы.

На предварительной стадии внедрения организация должна пройти через внешний или внутренний консалтинг, по результатам которого должны быть не только формализованы соответствующие процессы управления доступом и его учета, но и произведены соответствующие доработки существующих информационных и учетных систем и, прежде всего, как уже говорилось, системы учета и управления кадрами. Хорошим результатом по окончании стадии консалтинга является разработка ролевой модели доступа.

В выборе IDM-системы ключевым, пожалуй, является оценка релевантности системы к существующему в организации ИТ-ландшафту, функциональность и гибкость внедряемого решения. Ценовой фактор также является важным.

Выделим несколько признаков, по которым можно судить о необходимости внедрения IDM в организации.

Большая численность персонала, работающего в информационных и учетных системах

Если в организации в системах учета работает несколько тысяч человек, в ИТ- и ИБ-стратегиях такой организации однозначно необходимо уделить место IDM. Например, в США 80% компаний с численностью 1000 человек и более используют IDM-системы. В России этот процент ниже, что объясняется обычно нежеланием тратить деньги на IDM и низким приоритетом IDM в общем объеме задач. К этому можно добавить также малый процент эффективных и успешных внедрений IDM в России в общем проценте внедряемых IDM-реше-ний. Как правило, бюджетодате-ли неохотно выделяют средства на IDM, отдача от которого часто не очевидна, особенно в условиях массовой оптимизации бюджетов.

Сильная гетерогенность ландшафта

В таком ландшафте управление доступами зачастую затруднено и может требовать значительных ресурсов.

Специфика бизнеса организации

В организациях, где цена потери или утечки данных значима для бизнеса, управление доступами играет одну из важных ролей как в ИТ, так и в ИБ организации.

Статичность ИТ-ландшафта

Вряд ли имеет смысл внедрять IDM в небольших компаниях, в которых каждый год появляется или меняется очередное юридическое лицо и, соответственно, под него разворачивается, например, очередная "1С Бухгалтерия предприятия". Напротив, если значительная гетерогенность оправдана, при этом ландшафт более-менее статичен, а учетные системы крупные, то IDM-система здесь может оказаться действительно полезной для сокращения затрат на управление учетными записями, повышения уровня ИБ, сокращения простоев персонала, работающего в ИТ-системах.

Высокая текучесть кадров, работающих в учетных системах

Сам по себе этот признак может и не быть характерным, но в совокупности с большим размером компании и значительной стоимостью потерь данных он становится существенным.

Реорганизация бизнеса через слияния и поглощения

При таких реорганизациях, очевидно, одним из ключевых вопросов является трансформация ИТ-ландшафта. Часто, прежде чем объединившиеся компании "пересядут" в единые учетные системы, определенное, может быть даже достаточно продолжительное время они остаются работать в своих прежних ИТ-системах, при этом получая доступ в новые для выполнения тех же самых функций.

Рынок современных IDM-систем

Рынок IDM-систем за последние 10 лет, с выходом на него новых игроков, значительно вырос. В 2017 г. Gartner обновила свой магический квадрант (см. рис.), выделив 15 поставщиков решений, предлагающих модели IDaaS.

В лидерах отмечены шесть поставщиков – Oracle, IBM, Microsoft, CA Technologies, Okta и PingIdentity. Все лидеры в новом магическом квадранте имеют доход в размере $100 млн или больше, хотя многие из них все еще строят этот доход для более старых продуктов, выпущенных на рынок в 90-х гг. Okta, которая набрала наибольшее место в отчете, получила высокую оценку от Gartner за счет быстрых внедрений, надежности и уровня поддержки.


В России в крупном бизнесе наиболее распространены решения от Oracle и IBM. Их уровень традиционно в течение ряда лет остается достаточно высоким. Microsoft предлагает более бюджетное решение, что также сказывается на росте его популярности. Отечественные же IDM-системы все еще не в состоянии конкурировать с ведущими западными прежде всего в силу ограниченной функциональности, малого количества внедрений и отсутствия необходимой гибкости. При этом стоимость российских решений существенно ниже западных, отечественные IDM-решения позиционируются для организаций со значительно меньшим количеством сотрудников, чем западные.

Отдача от инвестиций

Отдачу от вложений в IDM просчитать непросто. Напрямую на управление основным производством IDM не влияет и в добавленной стоимости не участвует. Первоначальные затраты на внедрение IDM, как правило, значительны, но по мере роста организации их доля общем объеме затрат снижается, а роль растет. Поэтому инвестиции в IDM следует рассматривать не только как составную часть вложений в информационную безопасность организации, но больше как инвестиции в стратегическую стабильность и устойчивость роста организации. Можно обозначить ряд подходов, которые помогут в расчете экономического эффекта от постановки процессов IDM, выделении на это ресурсов и внедрение IDM-систем.

Управление рисками

На предварительной стадии внедрения организация должна пройти через внешний или внутренний консалтинг, по результатам которого должны быть не только формализованы соответствующие процессы управления доступом и его учета, но и произведены соответствующие доработки существующих информационных и учетных систем и, прежде всего, системы учета и управления кадрами. Хорошим результатом по окончании стадии консалтинга является разработка ролевой модели доступа.

Очевидно, что в каждой информационной системе существуют риски того, что те или иные ее пользователи в зависимости от их функций в системе могут совершать действия, последствия которых будут значительными для бизнеса компании. Слабо контролируемый доступ пользователей к критичным для бизнеса процессам в информационных системах может привести не только к значительным финансовым потерям, но даже и к потере самого бизнеса. Такие примеры достаточно подробно описаны. Так, например, потери критичных данных в информационных системах по вине пользователей составляют в общем ряде причин потерь данных более 10%. А среди 10 основных угроз информационной безопасности неправомерные действия пользователей в информационных системах стоят на втором месте по количеству инцидентов (по оценкам Ernst&Young).

Управление работой пользователей в системах

Часто роли и уровни доступа пользователей в информационных системах пересекаются или задублированы. Обоснованность такого дублирования оставляет желать лучшего. Это приводит к повышению издержек, связанных с увеличением временных и ресурсных затрат на функции. Однако своевременное отсутствие возможностей у пользователей осуществлять необходимые функции в информационных системах также может повлечь финансовые потери. Наиболее часто встречающиеся случаи потерь связаны с потерей рабочего времени пользователей из-за несвоевременного предоставления им доступа к необходимым для работы информационным ресурсам. Внедрение IDM в таких случаях, особенно в сложных многопользовательских средах, приносит ощутимый экономический эффект, связанный с сокращением временных ресурсов для выполнения тех или иных функций пользователями в системах.

Конфиденциальность, целостность, доступность

Еще один подход для оценки отдачи от инвестиций в IDM можно связать с оценкой потерь по трем основным свойствам (сервисам) информационной безопасности: конфиденциальности, целостности и доступности. Потери при таком подходе рассчитываются как сумма потерь по нескольким составляющим (потери от несвоевременного оказания услуг по доступу; потери от несанкционированного изменения информации; потери, связанные с восстановлением работоспособности; потери, связанные с простоем; потери, связанные с потерей дохода). Методики расчетов таких потерь достаточно хорошо освещены в современной литературе.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2018
Посещений: 764


  Автор
Сергей Прохоров

Сергей Прохоров

Член Экспертного совета, Инфозащита

Всего статей:  3

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций