Журнал "Information Security/ Информационная безопасность" #1, 2018

Управление IDM реша- ет важные в структуре ИТ предприятия задачи: 1. Повышение уровня инфор- мационной безопасности ИТ- систем. 2. Оптимизация нагрузки на информационные системы и их производительность. 3. Оптимизация работы поль- зователей в информационных системах, а также ИТ-специа- листов. Заметим, что в российской практике управления правами доступа больше употребляется терминология IDM, в то время как на Западе больше исполь- зуется аббревиатура IDA (Iden- tity Governance&Administration). Особенности внедрения IDM-систем Внедрение IDM-решения, как и любой ИТ-системы, автомати- зирующей бизнес-логику, нельзя рассматривать в отрыве от изме- нений в бизнес-процессах орга- низации. Таковыми являются процессы учета и управления кадрами, а также процессы управления доступом. Зрелость этих процессов напрямую влияет на качество внедрения IDM- системы. Организациям, плани- рующим у себя внедрение и последующее развитие IDM- направления, желательно зара- нее описать и формализовать эти процессы. Уже на этой стадии могут быть выявлены "перекосы", исправление которых оптималь- но производить до стадии собст- венно внедрения IDM-системы. На предварительной стадии внедрения организация должна пройти через внешний или внут- ренний консалтинг, по результа- там которого должны быть не только формализованы соответ- ствующие процессы управления доступом и его учета, но и про- изведены соответствующие доработки существующих инфор- мационных и учетных систем и, прежде всего, как уже говори- лось, системы учета и управле- ния кадрами. Хорошим резуль- татом по окончании стадии кон- салтинга является разработка ролевой модели доступа. В выборе IDM-системы ключе- вым, пожалуй, является оценка релевантности системы к суще- ствующему в организации ИТ- ландшафту, функциональность и гибкость внедряемого реше- ния. Ценовой фактор также является важным. Выделим несколько призна- ков, по которым можно судить о необходимости внедрения IDM в организации. Большая численность персонала, работающего в информационных и учетных системах Если в организации в системах учета работает несколько тысяч человек, в ИТ- и ИБ-стратегиях такой организации однозначно необходимо уделить место IDM. Например, в США 80% компаний с численностью 1000 человек и более используют IDM-системы. В России этот процент ниже, что объясняется обычно нежеланием тратить деньги на IDM и низким приоритетом IDM в общем объе- ме задач. К этому можно доба- вить также малый процент эффективных и успешных внед- рений IDM в России в общем проценте внедряемых IDM-реше- ний. Как правило, бюджетодате- ли неохотно выделяют средства на IDM, отдача от которого часто не очевидна, особенно в усло- виях массовой оптимизации бюд- жетов. Сильная гетерогенность ландшафта В таком ландшафте управле- ние доступами зачастую затруд- нено и может требовать значи- тельных ресурсов. Специфика бизнеса организации В организациях, где цена потери или утечки данных значима для бизнеса, управле- ние доступами играет одну из важных ролей как в ИТ, так и в ИБ организации. 24 • СПЕЦПРОЕКТ IDM в современной информационной инфраструктуре правление правами пользователей и учетными записями (Identity Management) можно считать таким же важным направлением в управлении информационными технологиями на предприятиях и в организациях, как и управление лицензиями, изменениями, конфигурациями, инцидентами, проблемами и иными процессами, достаточно хорошо описанными в библиотеках ITIL. И хотя IDM не является базовым процессом ITIL, ее роль со временем только растет. Среди причин повышения значения IDM можно выделить повышение роли ИБ с ростом как внешних, так и внутренних угроз, гетерогенность и сложность ландшафтов системного и прикладного ПО. У Сергей Прохоров, академик МАС Рисунок. Поставщики решений, предлагающие модели IDaaS. Магический квадрант Gartner, данные за 2017 г.