Наиболее важные вехи, на которые стоит обратить внимание при выборе IDM
Решения, призванные навести порядок в вопросах управления доступом, сделать управление учетными записями в разрозненных ИТ-системах централизованным, автоматизированным, контролируемым и, самое главное, удобным. Плюсов от внедрения подобных систем масса — устранение задержки между кадровыми событиями и их корректным отражением в настройках доступа сотрудников, упрощение проведения аудитов информационной безопасности (ИБ), разгрузка ИБ и ИТ-персонала от рутинной работы.
В данной статье мы перечислим наиболее важные вехи, на которые стоит обратить внимание при выборе и внедрении решений подобного класса.
Что необходимо делать
Первое и, вероятно, главное, что необходимо сделать, — это решить, как именно будет происходить переход от текущей анархичной структуры к строгой ролевой модели. Важно продумать будущий необходимый функционал решения.
Определите масштаб необходимого функционала
За последние 10 лет развития тематики IDM-решений, они постепенно обрастали новым функционалом и эволюционировали в системы класса IAM и затем уже в решения класса IGA, которые способны контролировать различные риски в области предоставления доступа.
К существенному и интересному функционалу IGA можно отнести:
Сертификация «легитимизирует» доступ, полученный до внедрения IdM, либо в обход неё. В процесс вовлечены ответственные лица, подтверждающие или отвергающие необходимость и правомерность наличия таких прав у пользователя. Права, прошедшие сертификацию, в будущем считаются разрешенными для их владельца. Но значительная часть полномочий, исторически накопленных пользователем, отсекается на этапах рассмотрения и автоматически отзывается у пользователя, что позволяет в автоматизированном режиме навести порядок уже при внедрении IGA. Ценность данного процесса ещё возрастает благодаря тому, что для его запуска не требуется дорогостоящий этап анализа и построения ролевой модели. Более того, наиболее продвинутые IGA-решения могут обучаться в процессе сертификации и затем, на основе собранных данных, предлагать элементы для добавления в ролевую модель.
Определите информационные системы, с которыми будет интегрироваться IDM-решение
Важно понимать, что интеграция нужна не со всеми ИТ-системами, используемыми в компании. Из их множества необходимо выделить лишь те, в которых присутствует собственная аутентификация. То есть вас должны интересовать только такие инфраструктурные и прикладные элементы ИС, в каких существуют свои собственные учетные записи и соответственно используются свои группы безопасности и роли для управления доступом. Это важно, поскольку любое современное IDM-решение интегрируется с внешними системами посредством так называемых «коннекторов» (модулей интеграции). И нужно быть готовым к тому, что к некоторым вашим системам, особенно очень кастомизированным или вообще самописным, готовых коннекторов у производителя не будет, а значит, потребуется их разработка.
Не стоит этого пугаться. В принципе, процедура эта несложная, ведь фактически любой коннектор — это лишь набор правил и процедур сопоставления. Например, если описать это на уровне табличек в базе данных, то коннектор лишь говорит IDM-системе, какая ячейка из одной таблички (одной ИТ-системы) в какую ячейку из другой таблички (другой ИТ-системы) должна быть записана. Правда, при взаимодействии с западным вендором разработка будет долгой и дорогостоящей. Здесь существенные преимущества имеют отечественные поставщики IDM, которые в первую очередь ориентированы именно на российский рынок и прицельно занимаются созданием коннекторов не только к западным, но и к специфическим нашим системам.
Выработайте план создания ролевой модели
Как я уже отметил, для любой IDM-системы ролевая модель обязательна, а методология ее построения может стать ключевым моментом в выборе того или иного продукта и даже определяющим в решении, внедрять IDM или нет.
Несмотря на это еще несколько лет назад, когда IDM-системы только начали завоевывать рынок, созданию ролевой модели, на мой взгляд, не уделяли должного внимания. Обычно все это отдавалось на откуп интегратору, ведущему проект по внедрению, или даже самому заказчику. В результате в ряде случаев мы стали свидетелями колоссальных по трудозатратам консалтинговых работ, при этом не всегда имеющих на выходе работающую ролевую модель. Дело в том, что в крупной компании создание ролевой модели в ручном режиме не только крайне трудно, но и практически бессмысленно, поскольку условия бизнеса, оргструктура, должностные обязанности и сами информационные системы постоянно меняются, вследствие чего инвентаризационные сведения устаревают намного раньше завершения разработки ролевой модели. Соответственно и матрица доступа, на создание которой нередко требуется от полугода до года, не может быть введена в действие по причине ее устаревания. Единственным выходом из этого тупика являются автоматизированные инструменты, ускоряющие эту работу. И такие инструменты существуют в линейках компаний Oracle и Аванпост.
Выберите производителя IDM/IGA-решения и интегратора
На основании результатов анализа двух предыдущих шагов можно переходить к более приземленным вещам, таким как выбор вендора и интегратора. Большое внимание надо уделить выбору системного интегратора, ведь, повторюсь, тематика IDM — одна из самых непростых в ИБ. И если вендора можно выбрать, основываясь на четких требованиях технического задания и заявленного функционала, то к выбору интегратора такой подход не применим. Проанализируйте опыт интегратора, поговорите с его представителями, чтобы понять, какими компетенциями в тематике IDM он обладает. Пусть представитель интегратора расскажет вам, как будет создаваться ролевая модель и матрица доступа и какую методологию предполагается заложить в основу развертывания решения. Ну и, само собой, на данном этапе в критерии выбора уже необходимо включать и цену.
Большинство неудачных попыток внедрения IDM, на мой взгляд, потерпели фиаско именно из-за того, что люди начинали планирование сразу с последнего шага. Как говорится, определились с бюджетом — и вперед. Но не всё можно решить деньгами, их количество не определяет напрямую качество и сроки внедрения IDM. Далеко не факт, что дорогой западный продукт автоматически решит ваши проблемы. Как, впрочем, совсем не факт, что более бюджетное решение не оправдает все ваши ожидания.
Александр Санин, коммерческий директор Аванпост
В данной статье мы перечислим наиболее важные вехи, на которые стоит обратить внимание при выборе и внедрении решений подобного класса.
Что необходимо делать
Первое и, вероятно, главное, что необходимо сделать, — это решить, как именно будет происходить переход от текущей анархичной структуры к строгой ролевой модели. Важно продумать будущий необходимый функционал решения.
Определите масштаб необходимого функционала
За последние 10 лет развития тематики IDM-решений, они постепенно обрастали новым функционалом и эволюционировали в системы класса IAM и затем уже в решения класса IGA, которые способны контролировать различные риски в области предоставления доступа.
К существенному и интересному функционалу IGA можно отнести:
- Проактивная работа с мертвыми душами
- Превышение полномочий
Сертификация «легитимизирует» доступ, полученный до внедрения IdM, либо в обход неё. В процесс вовлечены ответственные лица, подтверждающие или отвергающие необходимость и правомерность наличия таких прав у пользователя. Права, прошедшие сертификацию, в будущем считаются разрешенными для их владельца. Но значительная часть полномочий, исторически накопленных пользователем, отсекается на этапах рассмотрения и автоматически отзывается у пользователя, что позволяет в автоматизированном режиме навести порядок уже при внедрении IGA. Ценность данного процесса ещё возрастает благодаря тому, что для его запуска не требуется дорогостоящий этап анализа и построения ролевой модели. Более того, наиболее продвинутые IGA-решения могут обучаться в процессе сертификации и затем, на основе собранных данных, предлагать элементы для добавления в ролевую модель.
- Несовместимые полномочия (SoD конфликты)
- Компрометация привилегированных учетных записей
Определите информационные системы, с которыми будет интегрироваться IDM-решение
Важно понимать, что интеграция нужна не со всеми ИТ-системами, используемыми в компании. Из их множества необходимо выделить лишь те, в которых присутствует собственная аутентификация. То есть вас должны интересовать только такие инфраструктурные и прикладные элементы ИС, в каких существуют свои собственные учетные записи и соответственно используются свои группы безопасности и роли для управления доступом. Это важно, поскольку любое современное IDM-решение интегрируется с внешними системами посредством так называемых «коннекторов» (модулей интеграции). И нужно быть готовым к тому, что к некоторым вашим системам, особенно очень кастомизированным или вообще самописным, готовых коннекторов у производителя не будет, а значит, потребуется их разработка.
Не стоит этого пугаться. В принципе, процедура эта несложная, ведь фактически любой коннектор — это лишь набор правил и процедур сопоставления. Например, если описать это на уровне табличек в базе данных, то коннектор лишь говорит IDM-системе, какая ячейка из одной таблички (одной ИТ-системы) в какую ячейку из другой таблички (другой ИТ-системы) должна быть записана. Правда, при взаимодействии с западным вендором разработка будет долгой и дорогостоящей. Здесь существенные преимущества имеют отечественные поставщики IDM, которые в первую очередь ориентированы именно на российский рынок и прицельно занимаются созданием коннекторов не только к западным, но и к специфическим нашим системам.
Выработайте план создания ролевой модели
Как я уже отметил, для любой IDM-системы ролевая модель обязательна, а методология ее построения может стать ключевым моментом в выборе того или иного продукта и даже определяющим в решении, внедрять IDM или нет.
Несмотря на это еще несколько лет назад, когда IDM-системы только начали завоевывать рынок, созданию ролевой модели, на мой взгляд, не уделяли должного внимания. Обычно все это отдавалось на откуп интегратору, ведущему проект по внедрению, или даже самому заказчику. В результате в ряде случаев мы стали свидетелями колоссальных по трудозатратам консалтинговых работ, при этом не всегда имеющих на выходе работающую ролевую модель. Дело в том, что в крупной компании создание ролевой модели в ручном режиме не только крайне трудно, но и практически бессмысленно, поскольку условия бизнеса, оргструктура, должностные обязанности и сами информационные системы постоянно меняются, вследствие чего инвентаризационные сведения устаревают намного раньше завершения разработки ролевой модели. Соответственно и матрица доступа, на создание которой нередко требуется от полугода до года, не может быть введена в действие по причине ее устаревания. Единственным выходом из этого тупика являются автоматизированные инструменты, ускоряющие эту работу. И такие инструменты существуют в линейках компаний Oracle и Аванпост.
Выберите производителя IDM/IGA-решения и интегратора
На основании результатов анализа двух предыдущих шагов можно переходить к более приземленным вещам, таким как выбор вендора и интегратора. Большое внимание надо уделить выбору системного интегратора, ведь, повторюсь, тематика IDM — одна из самых непростых в ИБ. И если вендора можно выбрать, основываясь на четких требованиях технического задания и заявленного функционала, то к выбору интегратора такой подход не применим. Проанализируйте опыт интегратора, поговорите с его представителями, чтобы понять, какими компетенциями в тематике IDM он обладает. Пусть представитель интегратора расскажет вам, как будет создаваться ролевая модель и матрица доступа и какую методологию предполагается заложить в основу развертывания решения. Ну и, само собой, на данном этапе в критерии выбора уже необходимо включать и цену.
Большинство неудачных попыток внедрения IDM, на мой взгляд, потерпели фиаско именно из-за того, что люди начинали планирование сразу с последнего шага. Как говорится, определились с бюджетом — и вперед. Но не всё можно решить деньгами, их количество не определяет напрямую качество и сроки внедрения IDM. Далеко не факт, что дорогой западный продукт автоматически решит ваши проблемы. Как, впрочем, совсем не факт, что более бюджетное решение не оправдает все ваши ожидания.
Александр Санин, коммерческий директор Аванпост
ДРУГИЕ НОВОСТИ
контакты
Телефон
E-mail
129 085, г. Москва
ул. Годовикова, д. 9, стр. 17
ул. Годовикова, д. 9, стр. 17
Адрес
Все права защищены © Avanpost 2024
