Журнал "Системы Безопасности" № 1‘2018

www.secuteck.ru февраль – март 2018 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ w w w . a l l - o v e r - i p . r u n С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 145 Какие изменения в законодательстве в 2017 г. поспособствовали более глубокому проникновению IdM- решений на отечественный рынок? Мария Ерохина: IdM, на мой взгляд, – это история не про законодательство, хотя тре- бования по управлению доступом есть и в новом ГОСТе, и в требо- ваниях ЦБ. Управление доступом – один из базовых принципов информационной безопасности, соблюдение которого позволяет избежать массы неприятных историй. По сути, управлять доступом просто разумно. Алексей Лукацкий: 2017 год был достаточно спокойным с точки зрения законодательных новелл – ни одного нового нормативного акта, упоминающего IdM, не появилось. Скорее, наконец-то пришло осознание у организаций, попадающих под действие 17, 21, 31-го приказов ФСТЭК, а также нор- мативных документов Банка России, например 382-П. А вот в следую- щем году у многих начнет "болеть голова" по поводу нового ГОСТ 57580.1 Банка России и законодательства по безопасности критической информационной инфраструктуры. Назовите основные технологические недостатки IdM-решений и способы их компенсации. Мария Ерохина: Системе IdM на вход нужны чистые кадровые данные в определенном формате. Практически всегда возникают проблемы с качеством данных (повторения, ошибки последовательности, несвязанность и т.п.) и с пре- доставлением их в нужном формате. В данном случае решение – это спе- циальные скрипты для очистки данных. Кроме того, с каждой целевой системой IdM работает на определенном уров- не абстракции, например на уровне групп или ролей. А клиенты нередко хотят видеть более глубокий срез – не просто группы или роли, которые назначены пользователю в определенной целевой системе, но и полномочия, которыми обладают эти группы. Это ограничение преодолевается переработкой коннек- тора, но оно не всегда реализуемо в рамках имеющейся структуры данных. Роман Федосеев: Большинство IdM-решений построены с использованием особенных тех- нологий разработки, поэтому на российском рынке мало квалифициро- ванных специалистов. В этой ситуации советую заказчикам обращать внимание на решения с открытым исходным кодом и достаточной доступностью специалистов на рынке. Приведите пример сценария атаки на инфраструктуру типовой организации, эффект воздействия которой можно минимизировать за счет наличия внедренного IdM-решения. Мария Ерохина: Самое типовое – незаблокированный доступ уволенного сотрудника к корпоративным системам. Для ряда организаций, особенно банковского сектора, ограничения доступа являются требованием регулятора. Неза- блокированный доступ чреват утечкой значимой для организации инфор- мации, данных клиентов и партнеров, информации о проектах. При этом не стоит забывать о принципе Defense in Depth, то есть безопасность не может обеспечиваться только одним средством, всегда нужна многослой- ная защита. Алексей Лукацкий: Если рассматривать сетевые IdM-решения, то они помогают бороться с прак- тически любой внутренней угрозой. Например, подмена устройства, подклю- чающегося к коммутатору, взломWi-Fi, компрометация внутреннего компью- тера вредоносным кодом. Во всех этих случаях идентификация устройств поз- воляет локализовать атаку и не дать ей распространяться по сети. n Как менялось осознание проблематики IdM у ваших заказчиков до проекта, в процессе внедрения и по его завершении? Мария Ерохина: Часто на начальном этапе есть непонимание реальных процессов в органи- зации, какую работу по их оптимизации придется провести, а также насколь- ко важны те или иные проектные решения. Многие особенности процессов (например, наличие специальных типов сотрудников) могут выясняться толь- ко при опытной эксплуатации. Нередко процессы приходится менять по ходу внедрения, например что-то сделать с тем, что приказы о приеме сотрудни- ков на работу могут вводится в кадровую систему с задержкой в пять дней. Многие вещи поначалу кажутся клиентам незначительными, а при переводе системы в эксплуатацию такие "мелочи" могут стать ключевыми для правиль- ной автоматизации бизнес-процессов, и клиенты удивляются, почему рань- ше им об этом не сказали. Таким образом, по ходу внедрения осознание сильно меняется, но, к сожалению, происходит это только опытным путем. Роман Федосеев: Уровень зрелости заказчиков может быть разным. Зрелые заказчики больше ориентированы на основные цели проекта, точнее выражают свои требования и имеют более реалистичные ожидания от проекта. Как изменилась за последний год относительная стоимость проектов по внедрению IdM? Мария Ерохина: Думаю, она не изменилась. Проекты IdM запускаются в среднем 1,5–2 года. Для изменений это слишком короткий срок. Роман Федосеев: По нашим наблюдениям, стоимость IdM-проектов не изменилась за последний год. Но существенно увеличилось само количество запросов на проекты. Алексей Лукацкий: Относительная стоимость любого проекта по ИБ – понятие такое же отно- сительное, как и средняя зарплата. Все очень сильно зависит от типа организации, ее масштаба, количества пользователей и устройств, зре- лости и т.п. Но чаще всего мы видим, что ввиду немалых затрат ресурсов (не только финансовых, но преимущественно временных) заказчики предпочитают поэтапное внедрение IdM-решений, начиная с отдельных подсистем или сегментов, постепенно расширяя внедрение на всю орга- низацию. Ваше мнение и вопросы по статье направляйте на ss @groteck.ru