Журнал "Системы Безопасности" № 3‘2018

П ланируя внедрять IdM в Банке "Санкт- Петербург" шесть лет назад, мы попросили трех лидирующих на тот момент вендоров, которые входили в квадрант Гартнера и были ведущими производителями IdM-систем, о референс-визитах, чтобы наглядно увидеть примеры лучших внедрений. Однако, съездив в три крупные московские компании и изучив их проекты, мы ни один из них не могли бы назвать успешным. Внедрение IdM действительно очень сложное и трудоемкое, и здесь многое зависит от постав- щика, интегратора и компании-заказчика. Цели внедрения системы IdM Наиболее часто указываемые в литературе цели внедрения системы IdM: l сокращение времени предоставления сотруд- нику необходимых прав доступа; l снижение нагрузки на администраторов; l повышение уровня информационной без- опасности; l повышение прозрачности управления досту- пом; l упрощение процедур оформления и согласо- вания прав доступа. На самом деле это никуда не годные цели. Для научно-популярной статьи они, возможно, и неплохи, но для проекта по внедрению IdM совершенно не подходят. Давайте посмотрим внимательнее на каждую из вышеуказанных целей. Сокращение времени предоставления сотруднику необходимых прав доступа На первый взгляд, хорошая цель. Предполо- жим, что сейчас права доступа в организации выдаются системному сотруднику в течение семи дней. После реализации проекта IdM это время сократится до пяти дней. Формально цель достигнута. Но следует оценить реально, сколько времени нужно на выдачу прав доступа. Допустим, необходимо выдать все права досту- па новому сотруднику после приема на работу в течение одного рабочего дня, но при этом по рабочему процессу установка компьютера на рабочее место и его настройка осуществляются в течение двух дней. Зачем тогда выдавать права доступа за один день? Другой пример: если в банке сотрудник прохо- дит недельное обучение в учебном центре по работе с теми программными продуктами, в которых ему предстоит выполнять свои функ- циональные обязанности, то ему предоставле- ние прав доступа в течение одного дня не нужно. Поэтому необходимо трезво оценить те техно- логические процессы, которые проходят в орга- низации, и четко понимать, до какого уровня нужно сократить время предоставления прав доступа, и, возможно, внести изменения. Снижение нагрузки на администраторов автоматизированных систем Нагрузка на определенных администраторов домена и конкретных автоматизированных систем в какой-то степени снизится. Но нужно понимать, что новая автоматизированная система тоже требует администрирования и технической поддержки. IdM обычно исполь- зуется всеми сотрудниками банка, соответ- ственно, требуется обучение. Возрастает нагрузка на сервис-деск, потому что достаточ- но часто сотрудник не понимает, какую роль ему надо запросить в системе IdM, и звонит в сервис-деск. Таким образом, если рассмотреть совокупность затрат времени ИT-специали- стов, которые получатся в результате внедре- ния IdM, возможно, никакого сокращения нагрузки и не будет. Повышение уровня информационной безопасности Хорошая цель, но и здесь следует четко пони- мать, что именно в части обеспечения инфор- мационной безопасности необходимо от IdM. Это не так просто сделать в количественном выражении. Например, в нашей компании точно решилась проблема с отбором прав доступа у увольняемых и переводимых из под- разделения в подразделение сотрудников. Повышение прозрачности уровня доступа Казалось бы, при наличии IdM каждый руково- дитель может посмотреть, какие права доступа есть у его сотрудника. Может, но не хочет. Во всяком случае, я таких руководителей еще не встречал. июнь – июль 2018 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М n w w w . a l l - o v e r - i p . r u 140 Анатолий Скородумов Начальник Управления по обеспечению информационной безопасности Банка "Санкт-Петербург" Что нужно знать для успешного внедрения IdM? Рассмотрим, какое место IdM занимает в системе информационной безопасности предприятия на примере банка и на что следует обратить особое внимание уже на этапе планирования, чтобы сделать дальнейшую эксплуатацию системы максималь- но эффективной Новые технологии широкой поступью входят в нашу п о в с е д н е в н у ю жизнь. Никто уже не представляет свой быт без теле- фона, телевизора или автомобиля. Через несколько лет понятие "умный дом", которое сейчас воспринимается обыва- телями как что-то из рода фантастики, станет таким же повседневным, как электронная сигарета, планшет или точка доступа Wi-Fi. Всему свое время! А пока давно оцененные на Западе и успешно применяемые на Востоке средства автоматизации базовых процессов у нас в стране только развиваются, перспектив- ный интерес к ним возникает по большей части у технических экспертов и исследовате- лей, рассматривающих эти технологии в каче- стве потенциального инструмента для собст- венного обогащения. Оптовые продажи в регионах, базовая настройка, сопровождение и эксплуатация комплекса, обеспечение защиты информации и, как ни странно, взлом и незаконное обогащение – ответы на вопро- сы по всем этим направлениям специалист может легко получить на страницах русско- язычного сегмента Интернета. Традиционно злоумышленники являются одними из первых, кто готов опробовать на себе все прелести технологических новинок как для удовлетворения собственного любо- пытства, так и для проведения тестирования на предмет выявления уязвимостей и недоче- тов. Но не все новомодные решения могут вызывать бурный интерес у обывателя: неко- торые имеют очень узкий спектр применения, другие неоправданно дороги в эксплуатации и требуют сложную процедуру регистрации для получения лицензии на право пользова- ния, третьи защищены производителем так, что стоимость взлома многократно превыша- ет прибыль от реализации найденной уязви- мости. Наверное, поэтому многие финансо- вые организации в России предпочитают известному и широко разрекламированному ИТ-решению проприетарное, менее извест- ное, но более защищенное. Примером может являться система управления учетными запи- сями и автоматизации процесса идентифика- ции/аутентификации клиентов в одном из крупных и стабильных российских банков. Алексей Плешков Редактор рубрики "Управление идентификацией" КОЛОНКА РЕДАКТОРА Новомодная или защищенная система: что важнее?