Журнал "Information Security/ Информационная безопасность" #1, 2018

Алексей Плешков, независимый эксперт – В первую очередь сложности имели организационный характер. На убежде- ние консервативных руководителей в необходимости и эффективности внед- рения IdM может уйти львиная доля всего проектного времени. При этом ошибки и неточности, которых не избе- жать в любом проекте, а тем более в таком сложном и длительном, как внед- рение IdM, постоянно сдвигали сроки перевода решения в опытную и про- мышленную эксплуатацию. При этом необходимо учитывать подверженность регулярным изменениям всех целевых систем (изменение архитектуры, обнов- ление версии, появление новых сущно- стей и пр.) и связанные с этим обяза- тельные доработки в IdM, стоимость которых не только в рублях, но и в чело- веко-часах также отдаляла приближение светлого IdM-совместимого будущего. Роман Попов, “Транснефть” –1. Недоверие AppTeam (и весьма категоричное): "…Отличная концепция, но реальная жизнь гораздо сложнее, нельзя все формализовать, поэтому при- менение IdM для сложных систем – это утопия и потребует бОльших ресурсов на поддержание ролевой модели, неже- ли чем управление доступом по старин- ке". Для преодоления этого недоверия нужна демонстрация возможностей, ибо лучше один раз увидеть. Для начала запускаем ядро – основные процессы (т.е. прием, смена должности, увольне- ние) и простые роли (доступ, опреде- ляемый группами безопасности в AD, SharePoint и т.п.). Вторым шагом начи- наем предлагать централизованную актуализацию информации о пользова- телях. Дальше, увидев, что это все рабо- тает AppTeam решают рискнуть, а потом и вовсе выстраиваются в очередь. 2. Удивительно, но во всех кадровых системах, с которыми я сталкивался, были сложности с ведением руководи- теля подразделения, точнее, с его фор- мальным автоматическим определени- ем. Пришлось убеждать, ибо знание непосредственного руководителя поз- воляет автоматизировать и/или упро- стить многие процессы. 3. Конечно же, целевые системы должны быть готовыми, а именно – иметь методы взаимодействия и роле- вую модель. Необходимо закладывать время на пересмотр и/или создание такой ролевой модели. 4. Неожиданности могут возникнуть на этапе определения владельцев ресурсов. Если компания серьезного размера и имеет накопленные за мно- гие годы информационные ресурсы, то может оказаться, что некоторых вла- дельцев установить непросто – всем нужно, но это "не наше". Здесь не обой- тись без поддержки руководства и про- ведения небольшого расследования по выявлению верхнеуровневых заказчи- ков и сопоставления им владельцев. Андрей Ревяшко, Wildberries – У себя на предприятии мы разрабо- тали свою IdM-систему (так исторически сложилось), в которую включали, в част- ности, СКУД-системы. Именно на них испытывали трудности технического характера. Дело в том, что средства по работе с биометрией в ряде случаев не устраивали по скорости работы. В орга- низационном плане проблем не находи- лось, так как у участников становления IdM-системы было понимание ее важ- ности. Алексей Терехов, “Газпром Нефть” – Старые привычные процессы (у каж- дого они свои), нет желания чего-то менять под общие требования. В IdM входит большое количество смежных подпроцессов, которые необходимо увя- зать между собой, что бывает доста- точно трудно сделать из-за технических и организационных противоречий. l • 29 IDM www.itsec.ru Ярослав Жиронкин, Инфосистемы Джет Системы управления доступом – не новшество для рос- сийского рынка: внедрение подобных систем осуществляется уже больше 10 лет. При этом количество проектов по IdM на российском рынке невелико. По результатам проведенного в 2017 г. первого в России исследования рынка управления доступом, за 12 лет по направлению IdM реализовано чуть более 100 проектов на российском рынке в целом. По сравнению с другими направлениями это очень скромные показатели. Однако в последние 2–3 года спрос на системы управления доступом ощутимо растет. Наши эксперты связывают это с рядом причин: 1. Современные тренды по информационной безопасности связаны с анализом поведения пользователей (UBA/UEBA), больших объемов данных об инцидентах ИБ и выявлении и предотвращении рисков и инцидентов информационной безопасности. А для качественной работы подобных систем необходима актуальная информация о наборе учетных запи- сей и ролей в информационных системах и кадровых данных. Примерами такой слаженной работы делится участник круг- лого стола: "…DLP-система фиксирует массовое копирование файлов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ". 2. С другой стороны, каждая компания стремится к сокра- щению операционных издержек на любых уровнях. В этом аспекте также помогает IdM, но, по нашему опыту, обосно- вать выгоды на начальном этапе с этой точки зрения доста- точно сложно, так как затраты на построение системы пре- вышают объемы текущих издержек на управление учетными записями. Исключение могут составить большие компании (больше 10 тыс. сотрудников), где подобные издержки исчисляются десятками миллионов рублей и выгоды от внедрения IdM являются очевидными. В свою очередь, эффект от внедрения IdM не стоит измерять снижением числа участников процесса управления учетными записями. Выгоды от внедрения заключаются в том, что у сотрудников освобождается время на выполнение более важных для бизнеса задач. Этот факт также отмечают участники круг- лого стола: "Автоматизировав процессы предоставления доступа и назначения прав, мы значительно разгрузили IT - подразделение, направив ресурсы на более важные для бизнеса задачи". По этому поводу можно привести метафору со стиральной машиной. Человек покупает машину не для того, чтобы на ней зарабатывать или выгнать кого-то из дома, а для того, чтобы уделять больше времени важным для него задачам, в дополнение обеспечивая чистоту своих вещей. Так и с IdM. Процессы в части управления правами доступа автоматизированы, а сотрудники, участвующие в процессе, занимаются более важными вещами. Параллельно в компании увеличивается уровень информационной без- опасности за счет различных механизмов IdM-решения, таких как ресертификация прав доступа, использование матриц SoD-конфликтов, контроль несогласованных пол- номочий и т.д. На сегодняшний день мы видим, что IdM является не только системой управления доступом, но и неотъемлемой частью всей информационной структуры компании, а также базовым элементом для построения современных систем обеспечения информационной безопасности. Комментарии участников круглого стола подтверждают этот факт. l Комментарий эксперта Ваше мнение и вопросы присылайте по адресу is@groteck.ru