Журнал "Системы Безопасности" № 1‘2018

февраль – март 2018 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М n w w w . a l l - o v e r - i p . r u 142 Итоги года в IdM. Мнения экспертов Итоги года подводят по-разному: делают отчеты, графики, презентации. Подобрать количественный способ для фиксации и обсуждения достигнутых успехов и перспек- тив в такой специфической области, как информационная безопасность, довольно сложно, особенно в сфере управления правами и учетными записями в автоматизи- рованных системах (далее – IdM от англ. Identity Management). Оптимальным способом является диалог с экспертами-практиками. Мы попросили дать ответы на наши вопросы специалистов, которые имеют успешный опыт в про- ектах по развертыванию, сопровождению или модернизации IdM на площадках у заказчиков Расскажите о наиболее интересном, на ваш взгляд, проекте по направлению IdM, в котором вам удалось принять участие в 2017 г. Мария Ерохина: Наиболее интересным мне кажется проект в одном коммерческом банке, включавший в себя нетривиальные задачи и требовавший комплексного решения. Наш IdM использовался в сочетании с модулем SSO и двухфак- торной аутентификацией по смарт-картам. Сотрудники банка не знают своих паролей в целевых системах, аутентифицируются по карточкам, которые объединяют в себе множество функций. В частности, IdM был интегрирован со СКУД для автоматической блокировки доступа сотруд- ников к ИТ-системам при выходе из офиса и автоматической разблоки- ровки при приходе на работу. Для компаний, которым важно ограничи- вать доступ к информации и данным своих клиентов, такое решение может быть очень актуальным. Как чаще всего заказчик формулирует цели и задачи по проекту IdM и как удается скорректировать эти формулировки? Мария Ерохина: Чаще всего мы слышим: "Хочу управлять доступом", "Хочу контролировать ситуацию", "Нужна автоматизация предоставления доступа во всех систе- мах" и мое самое любимое – "Мы хотим сделать ролевую модель, а потом внедрять IdM". Каждый из этих запросов говорит о какой-то проблеме, и важно понять, о какой именно, так как под этими фразами каждый клиент имеет в виду что-то свое. Мы практикуем индивидуальный подход – разбираемся с тем положением вещей, которое имеет место в текущий момент, включая бизнес-процессы, состояние информационных систем, планы по их модернизации и замене, требования стандартов и регуляторов (состоя- ние as is). После этого мы формируем конечную картинку – как все долж- но быть (состояние to be), с разбивкой по этапам достижения цели. При этом всегда учитываем рентабельность того или иного функционала, поскольку такие масштабные и ресурсозатратные проекты, как внедрение IdM-решения, в обязательном порядке проходят процедуру обоснования для бизнеса. В ходе согласования функционал может претерпеть значи- тельные изменения и в отношении формулировок, и по существу. С какими типовыми трудностями в рамках проектов по IdM сталкивается чаще всего ваша группа внедрения? Мария Ерохина: Я бы выделила два основных вида "осложнений" на проекте: организа- ционные и технические. Если говорить об организационных трудностях, то чаще всего мы имеем дело с несогласованностью действий служб компаний-заказчиков и непо- ниманием сути процесса внедрения. К сожалению, далеко не все компа- нии сталкивались с интеграционными проектами, а внедрение IdM пред- полагает интеграцию с различными бизнес-системами, которые подконт- рольны разным службам заказчика. Из-за этого сроки реализации про- екта могут существенно увеличиться. К самым частым техническим трудностям можно отнести неготовность инфраструктуры к интеграции, существенную кастомизацию бизнес- систем, с которыми требуется интеграция, а то и просто работа с "древ- ними" самописными системами, заменить которые заказчик по целому ряду причин не готов. Тем не менее работать с такими трудностями можно и нужно. Мы кон- сультируем заказчика, стараясь предусмотреть любые сложности на про- екте и вырабатывая проектные решения для компенсации исторического разрыва в технологиях. Кроме того, в этом году мы решили организовать для наших потенциальных клиентов целый цикл обучающих мероприятий на тему того, как правильно подготовиться к внедрению IdM. Роман Федосеев: Есть несколько основных критериев успешности IdM-проекта: l простые, понятные, достижимые цели проекта; l квалифицированная проектная команда со стороны заказчика; l наличие качественных сред разработки и тестирования. Если что-то из вышеперечисленного отсутствует, то на проекте возникают сложности. Алексей Лукацкий: Я бы не назвал это трудностью, просто в контексте проектов нашей ком- пании, а Cisco преимущественно концентрируется на сетевой безопас- ности, мы видим, что большинство проектов по IdM фокусируются на идентификациеи пользователей, забывая про идентификацию устройств, с которых пользователи заходят в корпоративную или ведомственную сеть. Такая "забывчивость" приводит к тому, что возни- кают ситуации, когда пользователь проходит все проверки, а его зара- женный компьютер начинает жить своей жизнью и именно с него идет заражение внутренней сети. И это не говоря уже о том, что существует немало ситуаций, когда устройство подключается к сети вообще без пользователя на борту – принтеры, СКУД, видеокамеры, промышлен- ные контроллеры и т.п.