1 115 Table of Contents 117 126

Журнал "Системы Безопасности" № 3‘2019

июнь – июль 2019 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 112 Дмитрий Бондарь Руководитель направления Solar inRights компании Ростелеком-Solar Дмитрий Костров Директор по информационной безопасности компании SAP IdM: необходимость или излишество? Мнения экспертов IdM-системы уже давно пользуются спросом и широко внедряются в самых разных отраслях. Эксперты компаний Ростелеком-Solar и SAP оценили текущую динамику российского рынка IdM, привели примеры успешных и не очень внедрений и объ- яснили, как можно измерить их реальную эффективность К огда число работающих с к о м п ь ю т е р о м сотрудников дости- гает 300 человек, а набор ежедневно применяемых циф- ровых инструмен- тов и систем уже не позволяет относить бизнес к категории Excel based Business, ИТ-администраторы начинают задумываться о системном подходе к решению вопроса управления доступом к ресурсам внутри организации. Подобный сценарий можно наблюдать в исто- риях успеха большинства отечественных ком- паний. Такая же история произошла недавно с моим приятелем: в результате расширения и дополнительного найма руководство неболь- шой семейной компании пригласило его в качестве эксперта по информационной без- опасности на участок защиты от внутреннего нарушителя. Он быстро выявил недостатки и уязвимости и предложил руководству несколько альтернативных векторов для при- нятия решений по повышению защищенности основных активов. Одним из недостатков стало отсутствие системно выстроенного и/или как-либо автоматизированного процес- са управления доступом к ИТ-ресурсам. Когда в компании работает до 100 человек, об автоматизации процесса предоставления и контроля доступа к ИТ-ресурсам задумы- ваются редко. Однако при желании развивать и экстратерриториально тиражировать бизнес вопросы централизованного управления, стандартизации и максимальной интегриро- ванности любых процессов в целом выходят на первый план. Именно поэтому диалог между руководством, ИТ и ИБ в указанном выше кейсе сразу пошел в конструктивном русле. Но это скорее исключение, чем правило. В современной России очень сложно объ- яснить владельцам бизнеса преимущества от внедрения ранее неизвестных или неопробованных средств защиты или авто- матизации, к коим относится и IdM. В помощь ИТ- и ИБ- специалистам мы полу- чили комментарии у экспертов в области внедрения и эксплуатации IdM-решений по типовым вопросам, регулярно возникаю- щим на этапе выбора и пилотирования систем управления доступом. Алексей Плешков Редактор рубрики "Управление идентификацией", независимый эксперт по информационной безопасности КОЛОНКА РЕДАКТОРА Об IdM задумываются при росте бизнеса Назовите три причины, по которым вы лично как эксперт выбираете решение класса IdM для внедрения в своей организации Дмитрий Бондарь, Ростелеком-Solar 1. IdM упорядочивает процесс управления доступом в компании. После внедрения IdM всем сотрудникам будет понятно, как доступ запросить, как согласовать, кто участвует в про- цедуре согласования, на какой стадии находится заявка и т.д. Процесс понятный и эффективный. 2. Прозрачность положения с правами доступа в компании. Это значит, что я в любой момент могу узнать, кто из сотрудников в какие инфор- мационные системы имеет доступ. Или удосто- вериться, что к моим информационным систе- мам не имеет доступ кто-то лишний. 3. Автоматизация рутинных операций предо- ставления доступа. С помощью IdM можно значительно повысить эффективность процес- сов и снизить трудозатраты ИТ-подразделения на предоставление доступа. Дмитрий Костров, SAP 1. Минимизация нарушений (ошибок) при предоставлении доступа сотрудникам компа- нии к ресурсам. Ошибки будут дорого стоить. 2. Возможность контроля нарушений доступа. Выполнение регламентов, которые утверждены руководством компании. 3. Облегчение работы отдела ИТ/ИБ. Управление учетными данными, полагаю, должно быть внедрено в организациях сред- него и большого бизнеса. Для малого бизне- са это излишество. О ткрытие доступа к важным или даже критическим системам без контроля и единой системы хранения исторической информации при- водит к печальным последствиям. Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ставила им уровень "низкий". Но ИБ-подразделение, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обрабатываются персональные данные, с приоритетом "критический"

RkJQdWJsaXNoZXIy Mzk4NzYw