В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Алексей Лаврухин
Начальник отдела IdM-решений компании "Инфосистемы Джет"
Большое количество критичных для бизнеса многопользовательских информационных систем, увеличение числа абонентов ведут к снижению уровня информационной безопасности, росту затрат на администрирование ИТ-систем, усложнению процедур согласования прав доступа. Для решения перечисленных выше проблем крупные и средние компании все чаще применяют системы централизованного управления доступом, также известные как Identity Management-системы (IdM).
Активный интерес к системам централизованного управления доступом на российском рынке стал проявляться четыре года назад. Стартовал целый ряд крупных проектов по внедрению IdM в различные отрасли бизнеса, при этом в основе каждого из проектов лежали свои цели и задачи. Часть заказчиков рассматривали IdM-решения как ИТ-инструмент, позволяющий более гибко управлять учетными записями пользователей и их атрибутами, для других внедрение Identity Management было продиктовано потребностями бизнеса.
На основе опыта, полученного в ходе выполнения данных проектов, удалось сформулировать основные задачи, для решения которых внедряются централизованные системы управления доступом, а также определить критерии выбора технологической платформы IdM-решения.
При отсутствии механизмов централизованного автоматизированного управления правами доступа пользователей крупные компании рискуют столкнуться с целым рядом проблем. Высокая вероятность наличия избыточных прав доступа (не соответствующих должностным полномочиям), а также наличие прав доступа у уволенных или ушедших в отпуск сотрудников увеличивают опасность утечки конфиденциальной информации. Отсутствие возможности оперативно получать информацию о правах доступа сотрудника не позволяет эффективно расследовать инциденты, связанные с несанкционированным доступом к данным. Как следствие, увеличивается ущерб от утечки информации.
Еще одной проблемой, связанной с управлением учетными записями и доступом пользователей, становится неэффективная система документооборота заявок. Согласование прав доступа сотрудника с помощью "бумажных" заявок способно занимать продолжительный период времени. В условиях большого числа автоматизированных информационных систем процесс предоставления прав доступа затягивается, что приводит к вынужденным простоям сотрудников и финансовым потерям.
Проблемы с управлением большим количеством учетных записей существуют и у службы ИТ. Рост числа применяемых в компании информационных систем и бизнес-приложений, увеличение количества пользователей приводят к росту объема работ по созданию, изменению и блокированию учетных записей в каждой информационной системе, что, в свою очередь, влечет за собой необходимость привлечения дополнительного персонала для обслуживания систем.
Комплексное внедрение систем централизованного управления доступом включает в себя создание ролевой модели, оптимизацию процессов управления правами доступа, а также автоматизацию данных процессов путем внедрения программных продуктов Identity Management.
Для создания ролевой модели проводится:
Назначение пользователю той или иной роли, как правило, зависит от его должности и места работы в компании. Поскольку данные параметры сотрудника являются обязательными и регистрируются в системе учета кадров, всегда может быть определен минимальный набор прав его доступа к информационным системам, что согласно ролевой модели определяется как ролевой профиль пользователя.
Профили пользователей -в зависимости от требований заказчика - имеют различную степень детализации, ролевая модель может распространяться на все информационные ресурсы или только на базовые сервисы (почта, доступ к файловым каталогам, доступ в Интернет, основные бизнес-приложения и т.д.). При этом пользователи или их руководители получают возможность запроса доступа к информационным ресурсам, не входящим в типовой профиль, что позволяет начать внедрение системы до завершения работ по созданию всеобъемлющей ролевой модели в компании.
Результаты обследования процессов управления правами доступа в различных компаниях показывают: подобные процессы зачастую не обеспечивают требуемого уровня информационной безопасности или неоправданно трудоемки.
На основании данных обследования специалисты компании "Инфосистемы Джет" оптимизируют процессы, охватывающие весь жизненный цикл учетных данных сотрудника в организации, в том числе разрабатывают процессы согласования предоставления сотрудникам прав доступа к информационным ресурсам.
Компания "Инфосистемы Джет" предлагает комплексное решение по внедрению систем централизованного управления доступом, включая создание ролевой модели, оптимизацию процессов управления правами доступа, а также их автоматизацию с помощью продуктов компаний-лидеров на рынке систем Identity Management. Требования комплексного подхода к решению вышеперечисленных задач все чаще закрепляется законодательно, в том числе в серии международных стандартов ISO 2700х, Sarbanes-Oxley Act, требованиях и рекомендациях по построению информационных систем (CoBIT, ITIL и пр.), а также в отечественных нормативных документах (например, в стандарте Банка РФ и Федеральном законе "О персональных данных").
В результате заказчик получает готовое IdM-решение, в котором автоматизированы следующие процессы:
Все перечисленные процессы осуществляются централизованно для всех бизнес-приложений, интегрированных с IdM.
Для успешной реализации всех требований заказчика необходимо правильно выбрать технологическую платформу, с помощью которой будет проведена дальнейшая автоматизация. Продукт должен быть достаточно зрелым (т.е. не содержать большого количества ошибок, имеющихся в ранних версиях ПО), рассчитанным на последующее масштабирование и предполагающим внесение доработок в соответствии с требованиями заказчика.
Наиболее успешными - с точки зрения специалистов компании "Инфосистемы Джет" - продуктами в сфере Identity Management являются решения от компаний Oracle, Sun Microsystems, IBM, SAP. Продукты данных производителей обладают максимально полной функциональностью и позволяют внедрять системы корпоративного уровня любой степени сложности.
Для достижения целей внедрения IdM, установленных на начальном этапе проекта, важно не только правильно выбрать технологическую платформу, но и найти правильный подход к ведению и управлению проектом.
На основе опыта, полученного компанией "Инфосистемы Джет" в ходе реализации нескольких крупных IdM-проектов, был разработан метод, позволяющий максимально эффективно добиваться решения основных задач проекта с минимальными затратами. Он основан на комплексном и в то же время поэтапном внедрении решения. На начальной стадии компанией-исполнителем совместно с заказчиком разрабатывается концепция внедрения IdM-решения, содержащая основные цели реализации проекта с точки зрения бизнеса, ИТ и информационной безопасности. Затем на основе приоритетов и задач заказчика цели системы объединяются в группы, реализация каждой из которых выполняется в рамках отдельного подпроекта. Подобный сценарий позволяет получить работающую систему уже после реализации первой группы требований, при этом требования к следующим этапам могут уточняться по результатам выполненных работ. При этом в компании происходит плавный переход на модель Identity Management, что максимально упрощает адаптацию бизнес-пользователей к новым технологиям.
Системы, разработанные на базе подобного метода, становятся стандартом построения ИТ-инфраструктур крупных компаний, вытесняя прежний сегментированный подход к управлению правами доступа пользователей.
"Инфосистемы Джет" входят в число ведущих ИТ-консультан-тов и системных интеграторов на рынке информационной безопасности. Identity Management является одним из ведущих направлений деятельности компании. Специалистами компании реализовано уже более пяти крупных комплексных проектов по внедрению IdM-решений на территории России и стран СНГ на базе технологий ведущих производителей IdM-продуктов, таких как Oracle, Sun, IBM.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #7+8, 2009