IDM: как ложные страхи мешают ИБ

Андрей Конусов, генеральный директор Аванпост:

Сегодня положительные стороны систем класса IDM (Identity Management) достаточно хорошо известны большинству ИТ- и ИБ-руководителей, которые хоть раз задумывались над тем, как навести порядок в управлении учетными записями пользователей в информационных системах своего предприятия.

В частности, внедрение такого решения практически полностью освобождает администраторов ИТ-систем от огромного объема рутинных задач, связанных с ручным заведением и изменением учетных записей пользователей в ИТ-системах компании.

Соответственно, кардинально сокращаются сроки исполнения заявок кадровой службы и бизнес-подразделений на предоставление или изменение тех или иных прав доступа в связи с приемом на работу, увольнением, отпусками, командировками, должностными перемещениями, пересмотром должностных обязанностей, включением сотрудников в те или иные рабочие группы и т. п. В итоге, резко сокращаются сроки вынужденного простоя сотрудников бизнес-подразделений, ожидающих исполнения своих заявок. Эффект столь значителен, что можно говорить о повышении эффективности работы не только отдельных подразделений, но и организации в целом.

Также IDM-система ощутимо повышает уровень информационной безопасности организации. Здесь работает целый комплекс факторов, но наиболее значимы и универсальны три. Первый — связан с появлением единой централизованной базы всех фактических прав доступа всех сотрудников ко всем ИТ-системам, причем с возможностью ее удобного автоматизированного аудита.

Кроме того, кадровые перестановки сотрудников становятся четко увязанными с незамедлительным и согласованным изменением их прав доступа в ИТ-системах; эта возможность достигается за счет интеграции IDM-системы с кадровой системой организации. Второй фактор — это возможность оперативного выявления и устранения любых несанкционированных изменений прав доступа, избыточных прав, а также «мертвых душ» (учетных записей уволенных или несуществующих сотрудников). Наконец, трудно переоценить упрощение, ускорение и появление совершенно новых возможностей расследования инцидентов ИБ и компьютерных преступлений, совершенных против организации.

Однако долгое время существовал ряд препятствий, не позволивших этим несомненно полезным ИБ-системам стать массовыми на российском рынке. Причем большинство потенциальных потребителей таких решений, особенно в среднем бизнесе и в нижней части сегмента Enterprise, по-прежнему свято верит, что ситуация остается неизменной.

Соответственно, они и не думают о возможности внедрения IDM-решений, и в итоге, в системах ИБ их компаний остаются огромные «дыры», которые невозможно залатать. А злоумышленники научились прекрасно пользоваться этой ситуацией, о чем свидетельствует неутешительная динамика компьютерных преступлений. Давайте попробуем взглянуть на узкие места внедрения IDM-систем и разобраться, так ли они актуальны по состоянию на вторую половину 2013 года.

Препятствие первое: высокая стоимость

Бытует мнение, что по чисто экономическим соображениям IDM-система доступна только очень большим и богатым компаниям, а ее стоимость измеряется миллионами долларов. Действительно, первыми разработчиками промышленных IDM-систем были крупнейшие западные корпорации: Oracle, IBM, Sun. Очевидно, что эти гранды ИТ-рынка, привыкшие работать с крупнейшими мировыми корпорациями, настраивали свою ценовую политику и схемы лицензирования именно под эту категорию заказчиков. Однако за почти десятилетнюю историю развития тематики IDM ситуация в корне изменилась.

Появились новые, в том числе и российские, разработчики IDM-систем с гораздо более адекватными ценовыми предложениями, ориентированными на компании среднего масштаба. Да и крупных западных игроков серьезная конкуренция вынудила умерить аппетиты. Так что неподъемная стоимость IDM-систем — это миф, который в современных условиях уже не актуален. Да и экономический эффект от внедрения IDM вполне можно посчитать, определив внятный срок возврата инвестиций. По опыту компании Avanpost, средний срок окупаемости комплексного IDM-решения составляет около года.

Препятствие второе: сложность интеграции 

Чтобы работа IDM системы была по-настоящему эффективной, она должна быть интегрирована во всеми установленными в организации ИТ-системами и отдельно — с кадровой системой. Последняя является доверенным источником информации, из которого IDM получает данные о движении персонала. Интеграция же с прикладными системами нужна, чтобы IDM могла автоматически создавать, изменять и проводить аудит учетных записей пользователей.

Интеграция эта осуществляется за счет т. н. «коннекторов», которые разрабатываются производителями IDM под каждую прикладную систему — стандартную или самописную, прикладную или инфраструктурную. Именно отсутствие этих коннекторов к целому ряду распространённых в России, но не известных на Западе систем и стало камнем преткновения для внедрения крупных западных IDM-решений. Ждать от больших западных вендоров разработки дополнительных коннекторов под запросы конкретного заказчика бессмысленно. А обходной путь — создание коннекторов силами российских интеграторов — также показал себя не лучшим образом. Это и понятно, ведь сотрудники компании-интегратора, не владеющие исходным программным кодом IDM и не вовлеченные в процесс подготовки новых версий продукта, просто не могут создать стабильно работающие коннекторы, особенно в условиях регулярных автоматических обновлений ядра системы.

В связи с этим российские IDM-решения, такие как Avanpost или КУБ, выглядят гораздо более привлекательными в плане интеграции и получают существенные долгосрочные конкурентные преимущества. Команды разработки этих вендоров находятся в России, и разработка коннекторов к специфическим, или даже самописным, системам является для них стандартной услугой. А поскольку этой разработкой занимаются те же специалисты, которые работают над ядром продукта, и оба процесса скоординированы, то и проблем со стабильной корректной и надежной работой коннекторов не будет.

Препятствие третье: отсутствие ролевой модели

В основе работы любой IDM-системы лежит т. н. «ролевая модель», которую также называют «матрицей доступа». Ролевая модель — это документ, где детально прописана связь между всеми должностями всех сотрудников организации и правами доступа во всех компонентах информационной системы, которые должны быть предоставлены сотруднику для беспрепятственного исполнения им своих служебных обязанностей. Именно на сопоставлении должности сотрудника, полученной из кадровой системы, и утвержденного набора прав доступа, взятого из ролевой модели, IDM-система «знает», кому какие права доступа предоставлять, какие права из фактически имеющихся корректны, а какие являются следствием ошибок или преступлений.

Однако, как правило, в организации до начала внедрения IDM-системы отсутствует какая-либо ролевая модель. А ее создание уже в ходе внедрения (самостоятельно или силами привлеченных консультантов) требует очень серьезных финансовых и временных затрат. Да и последующее согласование ролевой модели на всех уровнях может очень серьезно затянуться.

В итоге, на финише этого процесса утвержденный документ зачастую оказывается совершенно непригодным, ведь пока его составляли, выверяли и утверждали на разных уровнях… он безнадежно устарел. Организация живет, ее информационные системы развиваются, меняются бизнес-процессы, оргструктура, должностные обязанности. Все это неизбежно приводит к изменению фактических прав доступа, ведь если их «заморозить», нормальная работа станет невозможна. А документ в это время живет своей жизнью. И если взять и перенастроить системы в соответствии с ним, наступит коллапс.

Именно отсутствие постоянно актуализируемой ролевой модели, которая развивается вместе с организацией, и нежелание ввязываться в долгий процесс ее создания, остановил многие компании от запуска проектов по внедрению IDM-систем.

Естественно, производители IDM-решений прекрасно знали об этой проблеме и о масштабах ее влияния на их бизнес. И нашли выход. Сначала у Oracle, а потом и у Аванпост появились аналитические модули, получившие название Role Manager. Они совершенно меняют технологию создания базовой ролевой модели организации. Теперь основанием служат не консалтинговые изыскания и пожелания руководителей компании, а четкая автоматизированная процедура сбора и анализа точных данных о реальных правах доступа, фактически открытых в целевых системах заказчика.

Говоря простым языком, сначала Role Manager как «пылесос» вытаскивает информацию о всех правах доступа и учетных записях, имеющихся в каждой системе, используя те самые коннекторы, о которых мы говорили выше. Все эти данные помещаются в единую базу. А дальше аналитический модуль, подтянув из кадровой базы информацию о должностях и ФИО сотрудников, проводит анализ корреляции прав доступа сотрудников, работающих на одинаковых должностях. Наиболее часто встречающиеся права доступа в каждой группе должностей составят ядро соответствующей роли, а остальные права будут добавлены в исключения и станут объектом дальнейшего анализа. Результатом становится ролевая модель, весьма близкая к оптимальной, но на ее создание требуется несопоставимо меньше времени. И здесь количество перерастает в качество.

С помощью Role Manager правильное (т. е. основанное на корректной и полной ролевой модели) внедрение IDM-системы может быть проведено быстро, без глобальных затрат на консалтинг и нарушения работы сотрудников, что практически неизбежно при классическом цикле внедрения, когда по тем или иным причинам действительно нужные для работы права доступа оказываются вне рамок созданной консультантами роли. Это означает, что стереотип, связанный с неподъемностью создания ролевой модели, оказывается устаревшим.

Современный уровень развития IDM-решений и методик их внедрения таков, что барьеры, сдерживавшие массовое внедрение систем этого класса, минимизированы или полностью преодолены. И если вас действительно привлекают преимущества автоматизированного управления учетными записями пользователей и правами доступа, о которых говорилось в начале статьи, не стоит отказываться от эффективного и мощного решения, каковым и являются современные системы класса IDM!

PC Magazine