Принципи успішного впровадження IDM. Бізнес-кейси

Ринок систем інформаційної безпеки, а саме до нього ставляться IDM рішення, за останніми віянням на Заході, зростає величезними темпами. Ця тенденція спостерігається, в останні кілька років, у країнах Східної Європи та Росії. IDM-рішення сьогодні затребувані і великим та середнім бізнесом…
 
 image
 
На російському ринку IDM присутні як західні, так і вітчизняні вендори. Найпоширеніші на сьогодні IDM-системи — це Oracle Identity Manager, IBM Security Identity Manager, Microsoft Forefront Identity Manager, КУБ, Avanpost. У них багато спільного, але є і свої функціональні особливості та при виборі рішення, замовнику безсумнівно потрібно познайомитися з кожним з них, щоб зрозуміти, яка з систем найбільш повно відповідає його вимогам. Що ж таке IDM? Це система управління обліковими записами. Зазвичай в IDM є два способи надання доступу: на основі кадрових змін (посадовий доступ) і через веб-портал самообслуговування (індивідуальний доступ). Сутності, якими управляє IDM — облікові записи. IDM створює облікові записи і управляє членством переднастроєних груп.
 image
 
Всі існуючі IDM-системи мають значно ширший функціонал, а деякі з них дозволяють управляти «гранульованими правами», налаштовувати типовий доступ (створення груп і зв'язування їх з ресурсами) і навіть створювати нові ресурси.
 
До останнього часу використання IDM російськими компаніями було прерогативою галузевих гігантів, представництв західних компаній і найбільших банків. Це компанії з чисельністю від декількох тисяч чоловік, величезним «зоопарком» інформаційних систем, багато з яких створені спеціально для цих компаній і більше ніде не використовуються, і бюджетом вимірюваним в десятках, а то й сотні мільйонів. Чому?
 
Справа в тому, що більшість IDM-рішень на російському ринку представлені лідерами ринку, законодавцями моди, такими як, Oracle, IBM, Microsoft.
 
Дані рішення є конструкторами, вони володіють можливістю кастомізації під будь-які бізнес-процеси. Фактично західні IDM є платформами. Але вартість ліцензій цих систем досить висока, а впровадження може тривати роками. При цьому, якщо бізнес-процеси замовника змінюються, то рішення потрібно практично переписувати заново.
 
Останнім часом ситуація на ринку змінюється. Компанії чисельністю понад 200-500 чоловік бажають знизити ризики нелегітимного доступу до своїх інформаційних ресурсів і використовувати IDM системи для автоматизації процесів надання та контролю доступу. Що ж змінилося?
 
 
     
  1. Виросла компетенція інтеграторів, які сформували «типові» тиражовані рішення, підвищили компетенцію своїх інженерів, що призвело до зниження витрат на проекти.
  2.  
  3. Західні компанії з великої трійки змінили політику цін, пропонуючи значні знижки, що доходять до 70% від первісної вартості. Це викликано, в тому числі, появою конкурентів вітчизняних вендорів зі значно більш вигідними пропозиціями.
  4.  
  5. Підвищується складності та кількості використовуваних інформаційних системи кваліфікація співробітників російських компаній.
  6.  
Але ринок IDM в Росії як і раніше не має того обсягу як на Заході (в США 4 з 5 компаній понад 1000 чоловік використовують IDM-рішення). Що ж необхідно зробити, щоб продукт класу IDM був успішний в Росії?
 
Компанія ТрастВерс є вітчизняним розробником IDM-рішення успішно впровадженого, як у великих організаціях, так і в компаніях чисельністю до 1000 чоловік. Ми сформували кілька тез, які, на наш погляд, можуть бути запорукою успішного впровадження IDM в Російській компанії.
 
1. Проект з впровадження IDM повинен тривати, в середньому, 3 місяці. Це можна забезпечити декількома способами:
 
     
  • Коннектори до цільових системам повинні працювати «з коробки». Будь інтегратор, впроваджував Oracle вам скаже, що більшість конекторів «допілівать» на етапі впровадження і тиражованою їх умовна, що призводить до збільшення термінів і вартості впровадження.
  •  
  • Система повинна налаштовуватися, а не програмуватися, тобто повинен існувати інтерфейс з налаштування ядра системи. Це зменшує гнучкість системи, але дозволяє налаштувати її значно швидше. Потрібен баланс.
  •  
  • Бажано присутність в IDM-системі модуля аналітики, який створює та оптимізує рольову модель на основі поточного стану інформаційних систем та діючої політики ІБ. Принцип інвентаризація оптимізація експлуатація. Це дозволить інтегрувати етап обов'язкової передпроектної аналітики в процес впровадження системи, що значно скоротить тимчасові витрати та автоматизує процес.
  •  
2. IDM повинна працювати в комплексі з іншими системами, що забезпечують інформаційну безпеку компанії. Рідко в яких компаніях IDM починають використовувати з «чистого аркуша». У переважній більшості випадків, в компанії вже використовується одна з систем класу ITSM, SIEM, SSO, PKI, СКУД. Давайте докладніше розглянемо, як можна використовувати систему класу Identity Management в комплексі з суміжними рішеннями.
 
     
  • З ITSM цікава інтеграція, як з «єдиною точкою входу». Співробітники організації створюють заявки в service desk і, якщо це заявка на надання доступу, вона автоматично транслюється в IDM, де узгоджується, виповнюється (так само автоматично) і контролюється в подальшому.
  •  
 image
 
     
  • Інтеграція «КУБ» з SIEM огранізувати за наступною схемою: IDM «КУБ» виробляє моніторинг цільових систем на предмет змін налаштувань безпеки (зміна прав доступу, створення, видалення облікових записів, поява нових ресурсів) і зіставляє з вимогами заявок. У тому випадку, коли зміни відбулися безпосередньо в цільовій системі, в «обхід» заявочного механізму, IDM повідомляє про невідповідність відповідальна особа, а так само відправляє звіт в SIEM. Гідність даної інтеграції в тому, що SIEM не розрізняє події, що відбулися в обхід заявочної системи від узгоджених, тому офіцер ІБ отримує «купу» змін, в яких складно розібратися.
  •  
 image
 
     
  • Інтеграція зі СКУД . Як часто ви стикаєтеся з ситуацією, коли співробітники підприємства використовують чужі дані для роботи в системі? Наскільки прийнятною є дана ситуація? На це питання кожен з вас може відповісти самостійно, але, в більшості випадків, з даною проблемою намагаються боротися. Спільне використання IDM і СКУД дозволить контролювати доступ користувачів до цільової системі, у тому числі до домену. Поки людина не пройшов систему контролю, не увійшов до периметр СКУД, обліковий запис в AD заблокована, як тільки співробітник приходить на роботу, у нього з'являється можливість авторизуватися в домені. Звичайно, існує багато обмежень, в тому числі з втратою пропуску і віддаленим доступом, але і це можна реалізувати через IDM (наприклад, через заявку, яку оформляє керівник співробітника, який забув карту).
  •  
 image
 
 
     
  • Управління PKI -інфраструктурою за допомогою IDM. Найбільш популярний сценарій — автоматична видача та відкликання сертифікату при прийомі / звільнення співробітника. Але IDM може видавати сертифікат і за запитом, наприклад, коли співробітник запросив доступ до системи, що вимагає сертифікат безпеки. PKI-IDM дозволяє значно знизити навантаження на СІБ та ІТ в тому, що стосується управління сертифікатами, їх автоматичною видачею та відкликанням, а так само транспортуванням. Другий, не менш затребуваний функціонал — використання ЕП на етапі створення та погодження заявки, в тому числі з використанням кваліфікованої ЕП (напр. крипто про).
     
  •  
 image
 
     
  • SSO . Коли новий співробітник приходить на роботу, на основі даних в кадровій системі IDM видає йому привілеї на підставі посади, генерує одноразовий пароль.
    При першому доступі до свого комп'ютера користувач вказує ім'я доменної облікового запису та пароль. Після успішного входу в систему користувач може налаштувати для подальшого використання альтернативні аутентифікатор (смарт-карту, токен, генератори одноразових паролів, засоби біометричної аутентифікації і т.д.). У «КУБ» дана процедура проводиться засобами Агента Indeed-Id Enterprise SSO. Повний спектр доступних для використання аутентифікатор визначається настройками Indeed-Id Enterprise SSO. Після того як всі необхідні настройки виконано, користувач може використовувати вибрані аутентифікатор для доступу в домен і до всіх додатками. Потреба в запам'ятовуванні паролів до ІС відпадає.
     
  •  
 image
 
3. IDM рішення має бути вигідним у використанні. На жаль, в силу завищених очікувань, відсутності корпоративної етики використання регламентів створення заявок, недосвідченість інтегратора, не завжди проект з впровадження IDM-рішення приносить компанії очікувані ефекти. Як же домогтися максимального ефекту від впровадження IDM?
 
     
  • Одним з найголовніших чинників — зручність використання для бізнес-підрозділів. Матриця доступу і структура ролей повинні бути зрозумілі, пошук їх повинен здійснюватися за кількома критеріями, необхідна можливість коригування заявки согласующими. При цьому саму процедуру запиту ролей необхідно звести до мінімуму за рахунок налаштування посадових привілеїв. У співробітників повинна бути можливість запиту повноважень, як у колег.
  •  
  • Формалізований регламент взаємодії служб автоматизації та інформаційної безпеки, а так само експлуатації IDM. Якщо співробітники служби ІТ будуть діяти в обхід заявочної системи, наприклад, виконуючи усні прохання співробітників, то офіцерів ІБ завалять «невідповідностями» і робота служби ІБ буде паралізована. У розділ кута використання IDM необхідно поставити електронний документообіг заявок. Зробити IDM єдиною системою запиту прав доступу. У деяких випадках має сенс використовувати операторів для інтерпретації запитів в КУБ або призначати відповідальних у підрозділах, щоб вони створювали заявки для доступу своїх колег.
  •  
  • Участь у проекті, виконання зобов'язань по заміщенню співробітників, робота позаштатних співробітників вимагає формування певного набору бізнес-ролей, що складається з типових привілеїв в різних цільових системах. Використання наборів ролей, об'єднання дочірніх в батьківські, значно спрощує процедуру запиту доступу і дозволяє спростити контроль і ресертифікацію повноважень.
  •  
  • Докладне вивчення функціоналу, підвищення кваліфікації адміністраторів IDM, навчання рядового персоналу роботі з порталом самообслуговування дозволить мінімізувати труднощі переходу на нове рішення в будь-якій організації.
  •  
Придбання IDM-рішення — відповідальний крок і для успішного впровадження, і подальшої експлуатації системи необхідно ретельно розібратися у функціональних особливостях різних IDM, вибрати досвідченого інтегратора і провести навчання фахівців. Рішення про впровадження повинно прийматися колегіально, за участю бізнесу, співробітників служби ІТ і СІБ.
 
Олексій Павлов, Presale Manager
ТОВ «ТрастВерс»
 http://trustverse.ru

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.