CNews: Что представляют собой современные системы класса IAM, каков их функционал?

Михаил Башлыков: Компании используют множество информационных систем и бизнес-приложений. Доступ ко всем этим ресурсам предполагает разный уровень — в зависимости от функциональных обязанностей каждого сотрудника. Данные о том, кто имеет соответствующие права, часто не структурированы, а потому управление ими затруднено. В результате возникает путаница: кто из сотрудников и куда имеет доступ, на основании чего он его получил? Повышение нагрузки на системных администраторов в связи с решением задач предоставления доступа приводит к тому, что стоимость владения информационными системами возрастает, а риски ИБ увеличиваются.

Под системами класса управления идентификационными данными и доступом (Identity & Access Management; IAM) подразумевается целый пласт различных инструментов, которые позволяют решать задачи от самых простых (или базовых) до уникальных. Это и синхронизация нескольких каталогов идентификационных данных между собой, и создание учетных записей со сложными цепочками согласований — как с владельцами ресурсов, так и с представителями служб информационной безопасности (ИБ). Сюда также входят задачи контроля доступа к информационным системам.

Один из наиболее актуальных трендов в сегменте IAM сегодня – управление рисками доступа. Этот вопрос мы в числе прочего планируем рассмотреть в рамках масштабного мероприятия, включающего в себя турнир среди сильнейших white-hat-хакеров страны, а также конференцию, посвященную обсуждению решений, направленных на повышение уровня информационной безопасности в корпоративной среде. Дело в том, что информация только лишь о правах доступа пользователей может ни о чем не говорить сотруднику, ответственному за принятие решения. Как в действительности он должен поступить: утвердить этот уровень доступ или отклонить? Механизм управления рисками доступа для данного сотрудника дает согласующему дополнительную, более детально просчитанную информацию об уровне риска в соответствии с существующими правами доступа, а потому позволяет принять гораздо более взвешенное решение.

Другой подход к управлению рисками состоит в том, чтобы контролировать доступ на основании заданных правил – к примеру, такого: в рабочие часы сотрудник не должен находиться в определенной комнате и осуществлять работу с кадровыми системами. Проверка, кто же в действительности получил доступ в помещение, требующее повышенного уровня безопасности, осуществляется с помощью IAM-системы, которая может сравнить данные идентификатора (например, смарт-карты), предъявленного при доступе в помещение, с данными модуля распознавания лица, полученными от системы видеонаблюдения. В случае несовпадения запускаются заданные цепочки событий,: так, доступ для сотрудника может быть заблокирован с немедленным уведомлением службы безопасности.

CNews: Как Вы оцениваете изменение российского рынка систем IAM?

Михаил Башлыков: В последнее время спрос на подобные проекты вырос, и тому есть объяснение. Рынок уже хорошо «разогрет» как производителями, так и интеграторами, и уровень зрелости ИТ и бизнеса в российских компаниях неуклонно повышается. Расти действительно есть куда: сегодня еще не все предприятия готовы к внедрению IAM-систем — и не с технической точки зрения, а скорее, с идеологической. Зачастую компании ожидают, что система IAM будет представлена в виде коробочного продукта, внедрение которого ограничится установкой и небольшой настройкой. Но это представление далеко от реальности. Самая большая сложность заключается в непонимании заказчиком, что внедрение IAM – это по большей части консалтинговый проект. До 60 % всех работ отводится на описание, перестраивание бизнес-процессов компании, подготовку организационно-регламентной документации и т. д. Соответственно, наличие формализованных бизнес-процессов — требование номер один. Получается, создание IAM-систем сейчас — фактически роскошь, доступная лишь крупным игрокам с высоким уровнем зрелости бизнеса. Чаще это финансовый сектор, металлургические, нефтегазовые компании.

CNews: Как долго длится проект по внедрению IAM-системы?

Михаил Башлыков: Исходя из опыта, могу сказать, что длительность комплексных проектов начинается от года. При этом лучше разбить проект на этапы (чем больше — тем лучше) для более быстрого получения видимых результатов по выбранным ключевым параметрам. Сроки проекта напрямую зависят от степени прозрачности бизнес-процессов в компании, зрелости самого бизнеса, а также понимания руководством необходимости внедрения систем подобного класса. Привычка сотрудников работать по-старому является наиболее сильным препятствием. На сроки выполнения проекта также влияет количество внедряемых подсистем и их возможности по интеграции с системами заказчика. Само по себе число пользователей в компании имеет слабое значение. Общее количество управляемых объектов в информационных системах: атрибутов и ролей, которые нужно использовать при построении ролевой модели доступа, учитывающей правила разграничения полномочий, — гораздо важнее.

CNews: Какие явления можно назвать драйверами IAM-проектов?

Михаил Башлыков: Это в первую очередь естественное развитие ИТ-инфраструктуры заказчиков, при котором ее сложность увеличивается до такого уровня, что управление учетными записями и доступом начинает требовать значительных вложений. Из-за недостаточности прав доступа к информационным системам и ошибок их администраторов учащаются простои в работе конечных пользователей. Отсутствие прозрачности в понимании того, кто из сотрудников и к каким информационным системам должен иметь доступ, порождает ситуации с избыточными правами. Нередки ситуации, когда остаются активными учетные записи бывших сотрудников. Все это приводит к прямым финансовым и репутационным потерям компаний.

К внедрению IAM-систем часто проводит желание автоматизировать процессы управления учетными записями и доступом к ресурсам при изменении кадровой информации сотрудников. Например, если сотрудник перешел из одного отдела в другой, то доступ к одним системам ему теперь должен быть закрыт, а к другим, напротив, разрешен. Совершение этих действий вручную требует усилий и времени администратора, а с помощью IAM-системы все происходит автоматически. Хотя, как правило, заказчики просят, чтобы администратор или руководитель отдела все-таки имел возможность видеть эти изменения. Совсем без контроля подобные процессы оставлять нельзя. Кроме этого, сотрудники могут самостоятельно запросить необходимые права доступа через портал самообслуживания.

Частыми предпосылками к внедрению IAM-систем являются также требования западных материнских компаний соответствия корпоративным правилам информационной безопасности или отраслевым стандартам.

CNews: Как давно КРОК развивает эту практику?

Михаил Башлыков: Первый проект был реализован в 2004 году для одной крупной промышленной компании. Стояла задача, которая сейчас уже является типовой, — синхронизировать несколько каталогов идентификационных данных.

Своего рода переломным моментом в развитии этого направления в КРОК стал исследовательский проект по изучению рынка, на который мы решились в 2012 году. Потратив более полугода на серьезнейшее сравнение существующих на рынке продуктов как с технологической точки зрения, так и с организационной (степень присутствия производителя, маркетинговая поддержка и т. п.), мы в итоге определили круг производителей, по продуктам которых сейчас развиваем компетенции. Мы постарались также выделить категории заказчиков IAM-систем и их потребности.

CNews: Кто основные игроки на рынке производителей IAM-систем?

Михаил Башлыков:: На рынке IAM-решений хорошо известны продукты традиционных игроков – Oracle, IBM, Microsoft, NetIQ и Dell/Quest. Существуют и компании, специализирующиеся исключительно на IAM. К ним относятся, например, SailPoint, Trustverse и др.

CNews: Расскажите о команде КРОК, занятой в IAM-проектах.

Михаил Башлыков: IAM-системы в равной степени относятся как к информационной безопасности, так и к системным решениям, поэтому данным направлением в нашей компании занимаются сразу два соответствующих подразделения. Команда сертифицированных специалистов насчитывает более 20 человек.

CNews: Давайте поговорим о проектах. О каких наиболее интересных можете рассказать?

Михаил Башлыков: В прошлом году мы закончили создание системы организации ролевого доступа в одной очень крупной добывающей компании. Ее филиалы распределены по всей территории страны, от Москвы до Сахалина, и объединены одной инфраструктурой. Общее количество пользователей насчитывает порядка 10 тыс. человек. Проект был завершен всего за полгода – это очень хороший показатель.

Основной проблемой было то, что в организации существует несколько кадровых систем, в которые постоянно вносятся изменения: прием на работу новых сотрудников, увольнение, кадровые перестановки. На поддержание в актуальном состоянии соответствующих «хранилищ» администраторы со стороны как ИТ, так и HR тратили огромные ресурсы, поэтому бизнес был крайне заинтересован во внедрении инструмента автоматизации таких процессов. Кроме этого, на предприятии шел проект по реализации системы документооборота и финансового прогнозирования – очень крупных промышленных решений, поэтому возникла необходимость автоматизировать ролевое разграничение доступа пользователей к информационным ресурсам компании.

Основой решения стал продукт Microsoft Forefront Identity Manager. Он позволил автоматизировать процесс управления учетными данными, сделать его экономичным, а также удобным и простым как для пользователей, так и для администраторов. Заказчику требовалась гибкость управления идентификационными данными, прозрачность администрирования ими, поэтому в проекте также был использован продукт Quest ActiveRoles Server – своего рода портал самообслуживания. Однако сегодня схожий по функциональности портал предусмотрен и в последней версии Microsoft FIM R2.

Федеральное казначейство заменило СУБД Oracle на Postgres Pro Shardman Импортонезависимость

Проект завершился успешно. Хорошим базисом, ускорившим реализацию проекта, стало то, что у заказчика инфраструктура ИТ уже была развита, также были регламентированы бизнес-процессы. Теперь всегда можно доподлинно восстановить всю цепочку согласования прав доступа пользователя: кто, по какой заявке, с какой целью разрешил доступ. «Бесхозных» учетных записей, которые ни за кем не закреплены, теперь попросту нет. Еще один ощутимый результат проекта – отсутствие несоответствий между учетными записями и кадровой базой, которых раньше могло быть до 30 % от общего числа учетных записей (ошибки традиционны: путаница с латинскими буквами C и S, несоблюдение правил транслитерации и пр.). За счет автоматизации создания и проверки вводимых данных подобные ошибки теперь исключены, как и вопросы наподобие «Почему не заводится почтовый ящик?». Раньше на поиски ответа могли потребоваться часы и дни, сейчас вне зависимости от того, где находится пользователь — на Сахалине или в Москве — почтовый ящик создается практически мгновенно и в том организационном подразделении, в той базе данных и на том сервере, которые нужны.

CNews: Интересны ли IAM-системы госсектору?

Михаил Башлыков: А почему нет? Во второй половине прошлого года мы занялись масштабным проектом в госстуктуре, отвечающей за сеть поликлиник Москвы.

Его специфика заключается в том, что вся ИТ-инфраструктура, рассчитанная на более 50 тыс. пользователей, строилась с нуля. Это позволило заложить в ее основу изначально правильные и современные подходы к управлению идентификационными данными и доступом. Мы провели большую консалтинговую работу и подошли к построению IAM-решения с точки зрения сервисно-ориентированного подхода. Это позволило разнести логику IAM-системы на функциональные блоки, каждый из которых можно заменить на новый без ущерба для работы остальных.

Речь идет о проекте создания Единой медицинской информационно-аналитической системы (ЕМИАС) г. Москвы. Одним из подводных камней бизнес-процессов заказчика в данном случае является возможность работы сотрудников по совместительству: один и тот же медработник может быть на службе в разных организациях, к тому же в различных должностях (другими словами, он может представать в медицинских ИС в различных ипостасях). Скажем, в одной поликлинике он работает хирургом, в другой — терапевтом. Многие IAM-системы не понимают таких различий – для них это просто разные пользователи.

CNews: Сервисно-ориентированный подход – это ваше ноу-хау?

Михаил Башлыков: Можно и так сказать. Интегрировать IAM с какими-то информационными системами можно по-разному. Например, с помощью своего рода коннекторов – это самый распространенный способ. Однако ограничения большинства IdM продуктов таковы, что в случае обновления ИС, коннектор перестает работать и его также нужно адаптировать, что зачастую может потребовать программной доработки как самого коннектора, так и IAM-системы. Ввиду постоянного изменения ИС описанный процесс доработки может происходить до бесконечности.

Конец эры паролей, флешки, которые переживут Солнце и Землю — и еще 4 технологии, меняющие мир цифровизация

В части интеграции c ИС в проекте для ЕМИАС мы решили предложить совсем другой подход – унифицированный, заключающийся в предъявлении единых требований к интерфейсу взаимодействия между IAM-системой и ИС. Это позволило заказчику абстрагироваться от проблемы версионности коннекторов и не зависеть от специфики управления идентификационными данными в ИС.

CNews: Какова доля импровизации в проектах IAM?

Михаил Башлыков: Каждый проект нестандартен, это обусловлено уникальностью инфраструктуры и бизнес-процессов заказчика. Так, в 2011 году мы закончили проект для одной крупной страховой компании. Потребности были классические: создать инструмент для централизованного управления идентификационными данными и доступом для пользователей, количество которых было порядка 4 тыс. На начало работ в компании централизованного администрирования учетных записей не было вообще. Принятые процессы управления идентификационными данными были сильно фрагментированы. ИТ-инфраструктура включала в себя большое число уникальных информационных систем, созданных программистами самой компании.

На уровне каждого ресурса, – будь то базовые ИТ-сервисы или бизнес-приложения, такие как интернет-магазин, — существовали собственные механизмы контроля доступа и аутентификации пользователей.

Внедрение IAM-системы позволило заказчику централизовать процессы как управления идентификационными данными, так и непосредственного контроля доступом. Теперь создание и изменение данных происходит только через цепочку согласования с ответственными лицами — владельцами ИС и сотрудниками службы безопасности. Вместо разрозненных механизмов аутентификации для интегрированных ИС теперь применяется единая подсистема доступа. Кроме этого, реализован процесс аттестации доступа сотрудников: на периодической основе введена проверка соответствия выделенных прав доступа на предмет их избыточности.

CNews: Сколько стоит внедрение систем и отчего зависит цена?

Михаил Башлыков: Стоимость зависит от задач, которые заказчик хочет решить, от выбора решения, потому как его технические и технологические ограничения накладывают довольно большой отпечаток на объем внедренческих работ, доработки и т. д. Это то, что касается интеграции. Порядок стоимости консалтинга определяется тем, как выстроены и формализованы существующие бизнес-процессы, насколько быстро их удастся привести к тому виду, который требуется.

CNews: Велики ли трудозатраты со стороны заказчика при внедрении?

Михаил Башлыков: Да, велики, и это важно. В первую очередь мы работаем с бизнесом, и нам не обойтись без сотрудничества с владельцами тех бизнес-процессов, которые затрагивает внедрение IAM-системы. Кроме них к работе должны подключиться также архитекторы информационных систем, ответственные за их развитие, и технические специалисты, непосредственно эксплуатирующие и обслуживающие их. Мы ожидаем полного вовлечения заказчика в проект – только так можно рассчитывать на успех.

Кроме того, мы выступаем за то, чтобы на стороне заказчика был создан центр развития IAM-системы, в ключевых аспектах повторяющий ее, функционирующую в промышленной эксплуатации. Такой центр позволяет заказчику тестировать изменения функционала и внутренней логики IAM-системы, которые по той или иной причине не могут быть апробированы в условиях промышленной эксплуатации непосредственно после внедрения.

CNews: Сколько проектов ведет КРОК сейчас?

Михаил Башлыков: Сегодня на разной стадии реализации у нас находятся три проекта. За все время развития этого направления КРОК осуществил более 10 проектов для крупных компаний из сфер финансов, телекома, производственного и государственного секторов, бизнес которых достиг соответствующего уровня зрелости.

CNews: Какое сценарий развития этого направления вы прогнозируете?

Михаил Башлыков: Количество запросов на построение таких систем растет. В ближайшей перспективе мы ожидаем возрастание спроса на решения класса IAM. Соглашаются с этим и аналитики, прогнозирующие к 2017 году увеличение российского рынка cистем идентификации до 10 раз (по сравнению с 2012 годом). Стоит также отметить, что сейчас происходит постепенная конвергенция технологий IAM cо смежными технологиями безопасности, такими как GRC, SIEM и DLP, что позволяет подходить к решению задач обеспечения ИБ на принципиально ином уровне. КРОК готов следовать за конъюнктурой рынка, способен подстроиться под любые требования заказчика и предложить уникальные решения.