Журнал "Information Security/ Информационная безопасность" #4, 2025

Яков Фишелев, Octopus (входит в Группу "Индид") IDM-решения можно использовать как в качестве отражения кадровой органи- зационной структуры для профилирова- ния доступа, так и для создания собст- венных бизнес-ролей и профилей на основе любой иерархии и логики. Эти структуры могут накладываться друг на друга, формируя матрицу доступа. При этом важно понимать, что привязка к орг- структуре служит лишь одним из атрибу- тов при назначении прав. Наряду с ней могут использоваться и другие парамет- ры, влияющие на доступ, – например, срок работы в компании, факт прохож- дения обязательных обучений и т. д. Павел Супец, 1IDM Важно понимать, что организационная структура возникает не на пустом месте, она, как правило, тесно вплетается в чув- ствительные сферы предприятия. Ее трансформация может стать дорогостоя- щей авантюрой. Ключевой момент в том, что внедряя продукт класса IDM, важно внедрять и культуру IDM. В таком случае, что мы и видим на практике, инициатива и поиск решений по "сглаживанию неров- ностей" между организационной струк- турой и ролевой моделью начинает созревать и исходить уже от самого заказчика. Вадим Гусев, СберТех Начинать лучше с оргструктуры – это основа, без нее система не будет понятна бизнесу. Но по факту в каждом проекте всплывают нестандартные практики: где- то руководители совмещают функции, где-то подразделения работают не по регламенту. Тут важнее не ломать орг- структуру под IDM, а аккуратно подсве- тить эти места и предложить изменения. Обычно именно пилот помогает выров- нять обе стороны. Максим Тарасов, Avanpost IDM проектируется, исходя из орг- структуры. Однако следует смотреть на его адекватность и, при необходимости, вносить в оргструктуру изменения. Максим Тарасов, Avanpost Готовой формулы нет. Все зависит от уровня погруженности заказчика в эти процессы. Бывает, что в ИС у каждой роли свой владелец, например в АБС ЦФТ у заказчика может быть 200 ролей, которые сгруппированы по владельцам в зависимости от подразделений и направлениями бизнеса. Вадим Гусев, СберТех Формулы нет, все зависит от масштаба компании. Но правило простое: одна роль – один владелец из бизнеса. На практике перегибы в обе стороны вред- ны: если владельцев слишком много – решения зависают, если один на всё – роли превращаются в черный ящик. В среднем у заказчиков получается, что 5%–10% сотрудников имеют функцию владельцев ролей. Яков Фишелев, Octopus (входит в Группу "Индид") При внедрении IDM желательно избе- гать жесткой привязки конкретных сотрудников к ролям и обязанностям. Гораздо эффективнее использовать биз- нес-роли: в этом случае при кадровых изменениях или перемещениях система автоматически назначит нового ответ- ственного. Такой подход актуален и для внутренних задач IDM – например, при определении кураторов и владельцев ролей. Эти функции могут назначаться не вручную, а автоматически, с помощью алгоритмов ролевой модели. Павел Супец, 1IDM Необходимо осмыслить практику конт- роля доступа к ресурсам компании и общую тревожность собственников. Предложить или разработать отдельные методы, которые будут предполагать иную форму участия в этом процессе, – исключительно для того, чтобы снять нагрузку там, где это возможно. В целом нам видится, что архитектура продукта должна поддерживать любое количество собственников без снижения качества работы IDM-системы. Павел Супец, 1IDM В отношении данных из внешних систем IDM должна быть аскетична, но не во вред комфортной работе. Рас- сматриваемый вопрос может создать впечатление каких-либо обязательных требований к составу передаваемых данных, но следует понимать и исходить из того, что IDM-системе нужно ровно столько атрибутов, сколько необходимо интегрируемым с ней целевым систе- мам. Максим Тарасов, Avanpost Информация по работникам, инфор- мация по оргструктуре, информация по должностям. Нужно ли проектировать IDM, отталкиваясь от орг- структуры, или наоборот, менять оргструктуру под картину, де-факто полу- чающуюся в IDM? Какой минимальный набор атрибутов из HR-системы нужен в IDM? Сколько собственников ролей нужно в организа- ции, чтобы IDM оставался контролируемым? Есть ли готовая формула? 50 • СПЕЦПРОЕКТ IDM в действии: опыт, ошибки и метрики зрелых проектов есмотря на зрелость рынка IDM, каждая попытка внедрения натыкается на старые противоречия: между ролевой моделью и реальной оргструктурой, между автоматиза- цией и человеческими исключениями, между безопасностью и скоростью доступа. Мы задали экспертам вопросы, ответы на которые можно использовать в качестве готовых рекомендаций в ваших проектах. Н Эксперты: Вадим Гусев, сервис-архитектор, Platform V IDM, СберТех Павел Супец, руководитель отдела инженеров и разработчиков, 1IDM Максим Тарасов, руководитель отдела технической экспертизы, Avanpost Яков Фишелев, соучредитель Octopus (входит в Группу “Индид”)