Принципы успешного внедрения IDM. Бизнес-кейсы. Автор: Павлов Алексей Компания: Трастверс Рынок систем для информационной безопасности, а именно к нему относят IDM решение, по последним веяниям на Западе, растет огромными темпами. Эта тенденция наблюдается, в последние несколько лет, в странах Восточной Европы и России. IDM-решения становятся популярными в компаниях как крупного, так и среднемалого бизнеса. Управление правами доступа = IDM (Identity Management) В брэнд IDM вложено огромное количество денег, и несмотря на то, что большинство систем – Oracle, IBM, Microsoft, КУБ являются представителями других классов систем, в целях «узнаваемости» в названии позиционировании каждой из них звучат заветные слова Identity Management. Что же такое IDM? Это система управления учетными записями. Системы класса IDM имеют два способа предоставления доступа: на основе кадровых изменений (должностной доступ) и через веб-портал самообслуживания. Сущности, которыми управляет IDM – учетные записи. IDM создает учетные записи и управляет членством преднастроенных групп. СИСТЕМА КАДРОВОГО УЧЕТА IDM УЧЕТНЫЕ ЗАПИСИ Все существующие IDM–системы имеют значительно более широкий функционал, а некоторые из них позволяют управлять «гранулированными правами», настраивать типовой доступ (создание групп и связывание их с ресурсами) и даже создавать новые ресурсы. До последнего времени использование IDM российскими компаниями было прерогативой отраслевых гигантов, представительств западных компаний и крупнейших банков. Это компании с численностью от 20 тысяч человек, огромным «зоопарком» информационных систем и значительным бюджетом. Почему? Дело в том, что большинство IDM-решений на российском рынке представлены гигантами, законодателями моды, такими как, Oracle, IBM, Microsoft. Данные решения являются конструкторами, они обладают возможностью кастомизации под любые бизнес-процессы. Фактически западные IDM являются платформами, с высокой стоимостью лицензий и длительным процессом интеграции. Последнее время ситуация на рынке меняется, IDM становится осязаемым, желанным и используемым даже в компаниях в 200-500 человек. Что же изменилось? 1. Выросла компетенция интеграторов, которые сформировали «типовые» тиражируемые решения, повысили компетенцию своих инженеров, что привело к снижению затрат на проекты. 2. Западные компании из большой тройки изменили политику цен, предлагая значительные скидки, доходящие до 70% от первоначальной стоимости. Это вызвано, в том числе, появлением конкурентов со значительно более выгодными предложениями. 3. Повышается уровень информатизованности (рост сложности и количества ИС) и квалификация сотрудников российских компаний. Но рынок IDM в России по-прежнему не имеет того объема как на Западе (в США 4 из 5 компаний свыше 1000 человек используют IDM-решения). Что же необходимо сделать, чтобы продукт класса IDM был успешен в России? Компания ТрастВерс является разработчиком отечественного IDM-решения и имеет большое количество реализованных проектов, как в крупных организациях, так и в компаниях численностью до 1000 человек. Мы сформировали несколько пунктов, которые, по нашему мнению, являются залогом успеха для внедрения IDM. 1. Проект по внедрению IDM должен длиться, в среднем, 3 месяца. Это можно обеспечить несколькими способами: Коннекторы к целевым системам должны работать «из коробки». Любой интегратор, внедрявший Oracle вам скажет, что большинство коннекторов «допиливаются на этапе «внедрения» и тиражируемость их условная, это приводит к увеличению сроков и стоимости внедрения. Система должна настраиваться, а не программироваться, то есть должен существовать интерфейс по настройке ядра системы. Это уменьшает гибкость системы, но позволяет настроить ее значительно быстрее. Нужен баланс. IDM должен обладать модулем аналитики, который создает и оптимизирует ролевую модель на основе текущего состояния информационных систем. Принцип инвентаризация>оптимизация>эксплуатация. Это позволит интегрировать этап обязательной предпроектной аналитики в процесс внедрения системы, что значительно сократит временные затраты и автоматизирует процесс. 2. IDM должна работать в комплексе. Редко в каких компаниях IDM начинают использовать с «чистого листа». В подавляющем большинстве случаев, в компании уже используется одна из систем класса ITSM, SIEM, SSO, PKI, СКУД. Давайте подробнее рассмотрим, как можно использовать систему класса Identity Management в комплексе. С ITSM интересна интеграция, как с «единой точкой входа». Сотрудники организации создают заявки в service desk и, если это заявка на предоставление доступа, она автоматически транслируется в IDM, где согласуется, исполняется (так же автоматически) и контролируется в последующем. Компания Трастверс имеет опыт интеграции с SIEM по следующей схеме: IDM КУБ производит мониторинг целевых систем на предмет изменений настроек безопасности (изменение прав доступа, создание, удаление УЗ, появление новых ресурсов) и сопоставляет с требованиями заявок. В том случае, когда изменения произошли напрямую в информационной систем, в «обход» заявочного механизма, IDM уведомляет о несоответствии ответственное лицо, а так же отправляет отчет в SIEM. Достоинство данной интеграции в том, что SIEM не различает события произошедшие в обход заявочной системы от согласованных, поэтому офицер ИБ получает «ворох» изменений, в которых сложно разобраться. Интеграция со СКУД. Как часто вы сталкиваетесь с ситуацией, когда сотрудники предприятия используют чужие данные для работы в системе? Насколько приемлемой является данная ситуация? На этот вопрос каждый из вас может ответить самостоятельно, но, в большинстве случаев, с данной проблемой пытаются бороться. Совместное использование IDM и СКУД позволит контролировать доступ пользователей к целевой системе, в том числе к домену. Пока человек не прошел систему контроля, не вошел в периметр СКУД, учетная запись в AD заблокирована, как только сотрудник приходит на работу, у него появляется возможность авторизоваться в домене. Конечно, существует много ограничений, в том числе с потерей пропуска и удаленным доступом, но и это можно реализовать через IDM (например заявка, которую оформляет руководитель сотрудника, забывшего карту). Управление PKI-инфраструктурой с помощью IDM. Наиболее популярный сценарий – автоматическая выдача и отзыв сертификата при приеме/увольнении сотрудника. Но IDM может выдавать сертификат и по запросу, например, когда сотрудник запросил доступ к системе, требующей сертификат безопасности. PKI-IDM позволяет значительно снизить нагрузку на СИБ и ИТ в том, что касается управления сертификатами, их автоматической выдачей и отзывом, а так же транспортировкой. Второй, не менее востребованный функционал – использование ЭП на этапе создания и согласования заявки, в том числе с использованием квалифицированной ЭП (напр. крипто про). Система кадрового учета 1 Сотрудник 6 5 Уведомление Контроль Регистрация пользователя Исполнение инструкций 2 3 КУБ Заявка Согласование 4 КриптоПро УЦ SSO. Когда новый сотрудник приходит на работу, на основе данных в кадровой системе IDM выдает ему привилегии на основании должности, генерирует одноразовый пароль. При первом доступе к своему компьютеру пользователь указывает имя доменной учетной записи и пароль. После успешного входа в систему пользователь может настроить для последующего использования альтернативные аутентификаторы (смарт-карту, токен, генераторы одноразовых паролей, средства биометрической аутентификации и т.д.). Данная процедура производится средствами Агента Indeed-Id Enterprise SSO. Полный спектр доступных для использования аутентификаторов определяется настройками Indeed-Id Enterprise SSO. После того как все необходимые настройки выполнены, пользователь может использовать выбранные аутентификаторы для доступа в домен и ко всем приложениями. Надобность в запоминании паролей к ИС отпадает. 5 5 5 Сотрудник Агент Indeed-Id ESSO Active Directory 3 Коннектор AD 1С Lotus Notes 3 Коннектор 1С 3 Коннектор Lotus Notes Коннектор Indeed-Id ESSO 4 Indeed-Id ESSO 2 Коннектор HR IDM HR система 1 Сотрудник 3. IDM должно быть выгодным в использовании. К сожалению, в силу завышенных ожиданий, отсутствия корпоративной этики использования регламентов создания заявок, неопытности интегратора, не всегда проект по внедрению IDM-решения приносит компании ожидаемые эффекты. Как же добиться максимального эффекта от внедрения IDM? Одним из самых главных факторов - удобство использования для бизнесподразделений. Матрица доступа и структура ролей должны быть понятны, поиск их должен осуществляться по нескольким критериям, необходима возможность корректировки заявки согласующими. При этом саму процедуру запроса ролей необходимо свести к минимуму за счет настройки должностных привилегий. У сотрудников должна быть возможность запроса полномочий, как у коллег. Формализованный регламент взаимодействия СИБ и ИТ, а так же эксплуатации IDM. Если сотрудники службы ИТ будут действовать в обход заявочной системы, например, исполняя устные просьбы сотрудников, то офицеров ИБ завалят «несоответствиями» и работа СИБ будет парализована. Во главу угла использования IDM необходимо поставить электронный документооборот заявок. Сделать IDM единой системой запроса прав доступа. В некоторых случаях имеет смысл использовать операторов для интерпретации запросов в КУБ либо назначать ответственных в подразделениях, чтобы они создавали заявки для доступа своих коллег. Участие в проекте, выполнение обязательств по замещению сотрудников, работа нештатных сотрудников требует формирования определенного набора бизнес-ролей, состоящего из типовых привилегий в различных целевых системах. Использование наборов ролей, объединение дочерних в родительские, значительно упрощает процедуру запроса и позволяет проще производить контроль и ресертификацию полномочий. Подробное изучение функционала, повышение квалификации администраторов IDM, обучение рядового персонала работе с порталом самообслуживания позволит минимизировать трудности перехода на новое решение в любой организации. Приобретение IDM-решения – комплексный проект и для успешного внедрения, и последующей эксплуатации системы необходимо тщательно разобраться в функциональных особенностях различных IDM, выбрать опытного интегратора и провести обучение специалистов. Решение о внедрении должно приниматься коллегиально, с участием бизнеса, сотрудников службы ИТ и СИБ.