Журнал "Information Security/ Информационная безопасность" #1, 2018

На предварительной ста- дии внедрения организация должна пройти через внеш- ний или внутренний консал- тинг, по результатам которо- го должны быть не только формализованы соответ- ствующие процессы управ- ления доступом и его учета, но и произведены соответ- ствующие доработки суще- ствующих информационных и учетных систем и, прежде всего, системы учета и управления кадрами. Хорошим результатом по окончании стадии консал- тинга является разработка ролевой модели доступа. Статичность ИТ-ландшафта Вряд ли имеет смысл внедрять IDM в небольших компаниях, в которых каждый год появляется или меняется очередное юриди- ческое лицо и, соответственно, под него разворачивается, например, очередная "1С Бух- галтерия предприятия". Напро- тив, если значительная гетеро- генность оправдана, при этом ландшафт более-менее стати- чен, а учетные системы крупные, то IDM-система здесь может ока- заться действительно полезной для сокращения затрат на управ- ление учетными записями, повы- шения уровня ИБ, сокращения простоев персонала, работаю- щего в ИТ-системах. Высокая текучесть кадров, работающих в учетных системах Сам по себе этот признак может и не быть характерным, но в совокупности с большим размером компании и значитель- ной стоимостью потерь данных он становится существенным. Реорганизация бизнеса через слияния и поглощения При таких реорганизациях, очевидно, одним из ключевых вопросов является трансформа- ция ИТ-ландшафта. Часто, преж- де чем объединившиеся компа- нии "пересядут" в единые учет- ные системы, определенное, может быть даже достаточно продолжительное время они остаются работать в своих преж- них ИТ-системах, при этом полу- чая доступ в новые для выпол- нения тех же самых функций. Рынок современных IDM-систем Рынок IDM-систем за последние 10 лет, с выходом на него новых игроков, значительно вырос. В 2017 г. Gartner обновила свой магический квадрант (см. рис.), выделив 15 поставщиков решений, предлагающих модели IDaaS. В лидерах отмечены шесть поставщиков – Oracle, IBM, Microsoft, CA Technologies, Okta и PingIdentity. Все лидеры в новом магическом квадранте имеют доход в размере $100 млн или больше, хотя многие из них все еще строят этот доход для более старых продуктов, выпу- щенных на рынок в 90-х гг. Okta, которая набрала наибольшее место в отчете, получила высо- кую оценку от Gartner за счет быстрых внедрений, надежности и уровня поддержки. В России в крупном бизнесе наиболее распространены решения от Oracle и IBM. Их уровень традиционно в течение ряда лет остается достаточно высоким. Microsoft предлагает более бюджетное решение, что также сказывается на росте его популярности. Отечественные же IDM-системы все еще не в состоянии конкурировать с ведущими западными прежде всего в силу ограниченной функциональности, малого количества внедрений и отсут- ствия необходимой гибкости. При этом стоимость российских решений существенно ниже западных, отечественные IDM- решения позиционируются для организаций со значительно меньшим количеством сотруд- ников, чем западные. Отдача от инвестиций Отдачу от вложений в IDM просчитать непросто. Напрямую на управление основным про- изводством IDM не влияет и в добавленной стоимости не уча- ствует. Первоначальные затра- ты на внедрение IDM, как пра- вило, значительны, но по мере роста организации их доля общем объеме затрат снижает- ся, а роль растет. Поэтому инве- стиции в IDM следует рассмат- ривать не только как составную часть вложений в информацион- ную безопасность организации, но больше как инвестиции в стратегическую стабильность и устойчивость роста организа- ции. Можно обозначить ряд под- ходов, которые помогут в рас- чете экономического эффекта от постановки процессов IDM, выделении на это ресурсов и внедрение IDM-систем. Управление рисками Очевидно, что в каждой информационной системе суще- ствуют риски того, что те или иные ее пользователи в зави- симости от их функций в систе- ме могут совершать действия, последствия которых будут значительными для бизнеса компании. Слабо контролируе- мый доступ пользователей к критичным для бизнеса процес- сам в информационных систе- мах может привести не только к значительным финансовым потерям, но даже и к потере самого бизнеса. Такие примеры достаточно подробно описаны. Так, например, потери критич- ных данных в информационных системах по вине пользовате- лей составляют в общем ряде причин потерь данных более 10%. А среди 10 основных угроз информационной безопасности неправомерные действия поль- зователей в информационных системах стоят на втором месте по количеству инцидентов (по оценкам Ernst&Young). Управление работой пользователей в системах Часто роли и уровни доступа пользователей в информацион- ных системах пересекаются или задублированы. Обоснованность такого дублирования оставляет желать лучшего. Это приводит к повышению издержек, связан- ных с увеличением временных и ресурсных затрат на функции. Однако своевременное отсут- ствие возможностей у пользо- вателей осуществлять необхо- димые функции в информацион- ных системах также может повлечь финансовые потери. Наиболее часто встречающиеся случаи потерь связаны с потерей рабочего времени пользовате- лей из-за несвоевременного пре- доставления им доступа к необходимым для работы инфор- мационным ресурсам. Внедре- ние IDM в таких случаях, осо- бенно в сложных многопользо- вательских средах, приносит ощутимый экономический эффект, связанный с сокраще- нием временных ресурсов для выполнения тех или иных функ- ций пользователями в системах. Конфиденциальность, целостность, доступность Еще один подход для оценки отдачи от инвестиций в IDM можно связать с оценкой потерь по трем основным свойствам (сервисам) информационной безопасности: конфиденциаль- ности, целостности и доступно- сти. Потери при таком подходе рассчитываются как сумма потерь по нескольким состав- ляющим (потери от несвоевре- менного оказания услуг по доступу; потери от несанкцио- нированного изменения инфор- мации; потери, связанные с вос- становлением работоспособно- сти; потери, связанные с про- стоем; потери, связанные с потерей дохода). Методики расчетов таких потерь доста- точно хорошо освещены в современной литературе. l • 25 IDM www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru