Принципы успешного внедрения IDM

Принципы успешного внедрения IDM.
Бизнес-кейсы.
Автор: Павлов Алексей
Компания: Трастверс
Рынок систем для информационной безопасности, а именно к нему относят IDM решение,
по последним веяниям на Западе, растет огромными темпами. Эта тенденция наблюдается,
в последние несколько лет, в странах Восточной Европы и России. IDM-решения становятся
популярными в компаниях как крупного, так и среднемалого бизнеса.
Управление правами доступа
=
IDM
(Identity Management)
В брэнд IDM вложено огромное количество денег, и несмотря на то, что большинство
систем – Oracle, IBM, Microsoft, КУБ являются представителями других классов систем, в
целях «узнаваемости» в названии позиционировании каждой из них звучат заветные слова
Identity Management. Что же такое IDM? Это система управления учетными записями.
Системы класса IDM имеют два способа предоставления доступа: на основе кадровых
изменений (должностной доступ) и через веб-портал самообслуживания. Сущности,
которыми управляет IDM – учетные записи. IDM создает учетные записи и управляет
членством преднастроенных групп.
СИСТЕМА КАДРОВОГО УЧЕТА
IDM
УЧЕТНЫЕ ЗАПИСИ
Все существующие IDM–системы имеют значительно более широкий функционал, а
некоторые из них позволяют управлять «гранулированными правами», настраивать типовой
доступ (создание групп и связывание их с ресурсами) и даже создавать новые ресурсы.
До последнего времени использование IDM российскими компаниями было прерогативой
отраслевых гигантов, представительств западных компаний и крупнейших банков. Это
компании с численностью от 20 тысяч человек, огромным «зоопарком» информационных
систем и значительным бюджетом. Почему?
Дело в том, что большинство IDM-решений на российском рынке представлены гигантами,
законодателями моды, такими как, Oracle, IBM, Microsoft.
Данные решения являются конструкторами, они обладают возможностью кастомизации под
любые бизнес-процессы. Фактически западные IDM являются платформами, с высокой
стоимостью лицензий и длительным процессом интеграции.
Последнее время ситуация на рынке меняется, IDM становится осязаемым, желанным и
используемым даже в компаниях в 200-500 человек. Что же изменилось?
1. Выросла
компетенция
интеграторов,
которые
сформировали
«типовые»
тиражируемые решения, повысили компетенцию своих инженеров, что привело к
снижению затрат на проекты.
2. Западные компании из большой тройки изменили политику цен, предлагая
значительные скидки, доходящие до 70% от первоначальной стоимости. Это вызвано,
в том числе, появлением конкурентов со значительно более выгодными
предложениями.
3. Повышается уровень информатизованности (рост сложности и количества ИС) и
квалификация сотрудников российских компаний.
Но рынок IDM в России по-прежнему не имеет того объема как на Западе (в США 4 из 5
компаний свыше 1000 человек используют IDM-решения). Что же необходимо сделать,
чтобы продукт класса IDM был успешен в России?
Компания ТрастВерс является разработчиком отечественного IDM-решения и имеет
большое количество реализованных проектов, как в крупных организациях, так и в
компаниях численностью до 1000 человек. Мы сформировали несколько пунктов, которые,
по нашему мнению, являются залогом успеха для внедрения IDM.
1. Проект по внедрению IDM должен длиться, в среднем, 3 месяца. Это можно
обеспечить несколькими способами:
 Коннекторы к целевым системам должны работать «из коробки». Любой
интегратор, внедрявший Oracle вам скажет, что большинство коннекторов
«допиливаются на этапе «внедрения» и тиражируемость их условная, это
приводит к увеличению сроков и стоимости внедрения.
 Система должна настраиваться, а не программироваться, то есть должен
существовать интерфейс по настройке ядра системы. Это уменьшает гибкость
системы, но позволяет настроить ее значительно быстрее. Нужен баланс.
 IDM должен обладать модулем аналитики, который создает и оптимизирует
ролевую модель на основе текущего состояния информационных систем.
Принцип
инвентаризация>оптимизация>эксплуатация.
Это
позволит
интегрировать этап обязательной предпроектной аналитики в процесс
внедрения системы, что значительно сократит временные затраты и
автоматизирует процесс.
2. IDM должна работать в комплексе. Редко в каких компаниях IDM начинают
использовать с «чистого листа». В подавляющем большинстве случаев, в компании
уже используется одна из систем класса ITSM, SIEM, SSO, PKI, СКУД. Давайте
подробнее рассмотрим, как можно использовать систему класса Identity Management
в комплексе.
 С ITSM интересна интеграция, как с «единой точкой входа». Сотрудники
организации создают заявки в service desk и, если это заявка на
предоставление доступа, она автоматически транслируется в IDM, где
согласуется, исполняется (так же автоматически) и контролируется в
последующем.

Компания Трастверс имеет опыт интеграции с SIEM по следующей схеме: IDM
КУБ производит мониторинг целевых систем на предмет изменений настроек
безопасности (изменение прав доступа, создание, удаление УЗ, появление
новых ресурсов) и сопоставляет с требованиями заявок. В том случае, когда
изменения произошли напрямую в информационной систем, в «обход»
заявочного механизма, IDM уведомляет о несоответствии ответственное лицо,
а так же отправляет отчет в SIEM. Достоинство данной интеграции в том, что
SIEM не различает события произошедшие в обход заявочной системы от
согласованных, поэтому офицер ИБ получает «ворох» изменений, в которых
сложно разобраться.

Интеграция со СКУД. Как часто вы сталкиваетесь с ситуацией, когда
сотрудники предприятия используют чужие данные для работы в системе?
Насколько приемлемой является данная ситуация? На этот вопрос каждый из
вас может ответить самостоятельно, но, в большинстве случаев, с данной
проблемой пытаются бороться. Совместное использование IDM и СКУД
позволит контролировать доступ пользователей к целевой системе, в том
числе к домену. Пока человек не прошел систему контроля, не вошел в
периметр СКУД, учетная запись в AD заблокирована, как только сотрудник
приходит на работу, у него появляется возможность авторизоваться в домене.
Конечно, существует много ограничений, в том числе с потерей пропуска и
удаленным доступом, но и это можно реализовать через IDM (например заявка,
которую оформляет руководитель сотрудника, забывшего карту).

Управление PKI-инфраструктурой с помощью IDM. Наиболее популярный
сценарий
–
автоматическая
выдача
и
отзыв
сертификата
при
приеме/увольнении сотрудника. Но IDM может выдавать сертификат и по
запросу, например, когда сотрудник запросил доступ к системе, требующей
сертификат безопасности. PKI-IDM позволяет значительно снизить нагрузку на
СИБ и ИТ в том, что касается управления сертификатами, их автоматической
выдачей и отзывом, а так же транспортировкой. Второй, не менее
востребованный функционал – использование ЭП на этапе создания и
согласования заявки, в том числе с использованием квалифицированной ЭП
(напр. крипто про).
Система кадрового учета
1
Сотрудник
6
5
Уведомление
Контроль
Регистрация
пользователя
Исполнение инструкций
2
3
КУБ
Заявка
Согласование
4
КриптоПро УЦ

SSO. Когда новый сотрудник приходит на работу, на основе данных в кадровой
системе IDM выдает ему привилегии на основании должности, генерирует
одноразовый пароль.
При первом доступе к своему компьютеру пользователь указывает имя
доменной учетной записи и пароль. После успешного входа в систему
пользователь
может
настроить
для
последующего
использования
альтернативные
аутентификаторы
(смарт-карту,
токен,
генераторы
одноразовых паролей, средства биометрической аутентификации и т.д.).
Данная процедура производится средствами Агента Indeed-Id Enterprise SSO.
Полный спектр доступных для использования аутентификаторов определяется
настройками Indeed-Id Enterprise SSO. После того как все необходимые
настройки выполнены, пользователь может использовать выбранные
аутентификаторы для доступа в домен и ко всем приложениями. Надобность в
запоминании паролей к ИС отпадает.
5
5
5
Сотрудник
Агент Indeed-Id ESSO
Active Directory
3
Коннектор
AD
1С
Lotus Notes
3
Коннектор
1С
3
Коннектор
Lotus Notes
Коннектор
Indeed-Id
ESSO
4
Indeed-Id ESSO
2
Коннектор
HR
IDM
HR система
1
Сотрудник
3. IDM должно быть выгодным в использовании. К сожалению, в силу завышенных
ожиданий, отсутствия корпоративной этики использования регламентов создания
заявок, неопытности интегратора, не всегда проект по внедрению IDM-решения
приносит компании ожидаемые эффекты. Как же добиться максимального эффекта
от внедрения IDM?
 Одним из самых главных факторов - удобство использования для бизнесподразделений. Матрица доступа и структура ролей должны быть понятны,
поиск их должен осуществляться по нескольким критериям, необходима
возможность корректировки заявки согласующими. При этом саму процедуру
запроса ролей необходимо свести к минимуму за счет настройки должностных
привилегий. У сотрудников должна быть возможность запроса полномочий, как
у коллег.
 Формализованный регламент взаимодействия СИБ и ИТ, а так же эксплуатации
IDM. Если сотрудники службы ИТ будут действовать в обход заявочной
системы, например, исполняя устные просьбы сотрудников, то офицеров ИБ


завалят «несоответствиями» и работа СИБ будет парализована. Во главу угла
использования IDM необходимо поставить электронный документооборот
заявок. Сделать IDM единой системой запроса прав доступа. В некоторых
случаях имеет смысл использовать операторов для интерпретации запросов в
КУБ либо назначать ответственных в подразделениях, чтобы они создавали
заявки для доступа своих коллег.
Участие в проекте, выполнение обязательств по замещению сотрудников,
работа нештатных сотрудников требует формирования определенного набора
бизнес-ролей, состоящего из типовых привилегий в различных целевых
системах. Использование наборов ролей, объединение дочерних в
родительские, значительно упрощает процедуру запроса и позволяет проще
производить контроль и ресертификацию полномочий.
Подробное
изучение
функционала,
повышение
квалификации
администраторов IDM, обучение рядового персонала работе с порталом
самообслуживания позволит минимизировать трудности перехода на новое
решение в любой организации.
Приобретение IDM-решения – комплексный проект и для успешного внедрения, и
последующей эксплуатации системы необходимо тщательно разобраться
в
функциональных особенностях различных IDM, выбрать опытного интегратора и провести
обучение специалистов. Решение о внедрении должно приниматься коллегиально, с
участием бизнеса, сотрудников службы ИТ и СИБ.