Журнал "Системы Безопасности" № 3‘2019

www.secuteck.ru июнь – июль 2019 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 113 Какие риски для бизнеса могут быть минимизированы с внедрением решения IdM в организациях среднего и малого бизнеса в России в 2019 г.? Дмитрий Бондарь, Ростелеком-Solar Прежде всего, это риски избыточного и непра- вомерного доступа к информационным ресур- сам со стороны как внутренних сотрудников предприятия, так и внешних подрядчиков. Наличие в организации избыточного доступа порождает самые разные риски информацион- ной безопасности. Например, вспоминается случай, когда компьютер сотрудника предприя- тия был заражен извне вирусом-шифровальщи- ком, а благодаря наличию у данного сотрудника избыточного доступа в некоторые информа- ционные системы этот вирус смог на несколько дней парализовать работу всей организации. В целом риски ИБ, связанные с избыточным доступом, могут быть самыми разными в зави- симости от информационной системы и отрас- ли. Для СМИ избыточный доступ может нести серьезные репутационные риски, для банков- ской сферы – значительные финансовые потери и т.д. Дмитрий Костров, SAP По моему мнению, это ошибки при предо- ставлении доступа. Открытие доступа к важ- ным или даже критическим системам без контроля и единой системы хранения исто- рической информации (сразу вспоминаем расследования в случае утечки информации) приводит к печальным последствиям. Есть карта рисков, в которой организация оценивает, какие риски важны, а какие нет. Есть понятие "аппетит рисков". Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ста- вила им уровень "низкий". Но ИБ-подраз- деление, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обраба- тываются персональные данные, с приори- тетом "критический". Надо понимать, какие риски для организа- ции в приоритете: обычно это или утечка данных (маркетинговых, финансовых пла- нов/отчетов и др.), или живучесть/устойчи- вость самой системы (АБС для банков). Внедрение IdM для КВО (КИИ) – разговор отдельный и уже в области не IT Security, а ОТ Security. Какие три отличительных признака вы можете назвать, сравнивая IdM-решения отечественных и иностранных производителей? Дмитрий Костров, SAP 1. Охват клиентов и контролируемых ресурсов. До сих пор у меня внутреннее ощущение, что для больших и очень больших организаций лучше применять системы иностранного про- изводства. 2. Сертификация ФСТЭК России хотя бы по тех- ническим условиям, наличие расширенного функционала. На одной из конференций ува- жаемый человек в области информационной безопасности сказал, что, беря импортные решения, заказчик использует всего 20% функ- ционала, а отечественное (доверенное) реше- ние дает хоть и Short List возможностей, но самых важных. Не соглашусь. Как специалист, который достаточно много понимает в области защиты информации, считаю, что именно рас- ширенный функционал дает возможность "кра- сиво тюнинговать" защиту. А вот когда ты дорос до уровня эксперта и тебе надо ввести новый регламент, а он у тебя отсут- ствует, вот это беда. Я в своей машине тоже не использую 100% возможностей, потому что в городе катаюсь. Но иногда (редко) бываю за городом, где нет дорог, и тогда мне очень помо- гает это "ненужное расширение". Какие примеры успешно завершенных проектов по внедрению IdM в России в 2018–2019 гг. вам известны и какими метриками вы оцениваете успешность данного проекта? Дмитрий Бондарь, Ростелеком-Solar У Ростелеком-Solar имеется ряд успешно реализованных проектов в сфере IdM, о них есть информация на нашем сайте. Что касается метрик, то проект успешен, если: l внедрение в целом уложилось во временные рамки и выделенные бюджеты; l вместе с заказчиком пройдены некоторые этапы развития проекта; l заказчик готов подключать новые системы, автоматизировать дополни- тельные процессы и т.д. То есть система показала результативность, заказчик увидел пользу для бизнеса и готов развивать проект дальше. Для меня это важнейшие пока- затели. Дмитрий Бондарь, Ростелеком-Solar Знаете, это как у классика: "…каждая несчастливая семья несчастлива по- своему". Иногда причиной неудачи являются объективные внешние обстоятельства, например санкции, препятствующие внедрению зару- бежных систем. Если решение уже выбрано, такие события застают ком- панию врасплох, и приходится сворачивать проект. Бывают случаи, когда проект внедрения IdM заканчивается тем, что заказчик приходит к необходимости смены платформы по причине незрелости ПО и неготовности подрядчика оперативно решать сложно- сти, возникающие при внедрении. Когда проект сильно затягивается и даже в такие затянувшиеся сроки результат показать не получается, ста- новится очевидным, что проект не будет успешным. Несколько подобных примеров на рынке есть. Приведите примеры известных вам случаев незавершенных или закрытых до достижения результатов проектов по внедрению IdM в России в 2018–2019 гг. Что явилось основными причинами для закрытия/сворачивания проекта в указанных организациях? Какой полезной функциональности, на ваш взгляд, не хватает в современных IdM- решениях? Дмитрий Бондарь, Ростелеком-Solar Уже много лет работаю с IdM, и все это время заказчики периодически спрашивают, может ли IdM показать, какие права сотрудники компа- нии действительно используют в работе, а какие права, образно говоря, простаивают. Воз- можно, с технологической точки зрения это нецелевая задача IdM-систем, но с точки зрения бизнеса такая потребность у заказчиков есть.