Система управления доступом (IDM):
как выбрать, внедрить и не разочароваться
TADетали
Неправомерный доступ сотрудников к информационным системам чреват для компании искажением и потерями важных данных, которые могут перерасти в потери финансовые и репутационные. Понимая это, все больше российских компаний внедряют решения для управления идентификационными данными. Чтобы система работала как надо, необходимо правильно выбрать решение и учесть различные нюансы. Как это сделать, TAdviser разбирался совместно с компанией «КРОК», реализовавшей более десятка проектов в этой области.
От IDM к IGA: разворот от систем к человеку
IDM-системы позволяют управлять идентификационными данными и правами доступа пользователей в информационных системах организации. На мировом рынке они появились достаточно давно, и с тех пор существенно эволюционировали. В России такие решения представлены более 10 лет.
Изначально решения этого класса были ориентированы на управление учетными записями в информационных системах компаний. Поскольку системы создавались постепенно, в большинстве организаций со временем образовались гетерогенные среды, где в каждой информационной системе управление учетными записями осуществляется по-своему. Задача IDM-систем состояла в том, чтобы упорядочить и централизовать управление и администрирование учетными записями, автоматизировать жизненный цикл учетных записей. Позже в них добавилась функция управления доступом, и тогда IDM-системы трансформировались в IAM-системы (Identity and Access Management).
В IDM-системах доступ предоставлялся на основе ролевых моделей пользователей, но в последние годы концепция стала меняться. Раньше в центре внимания были информационные системы и наведение порядка в них, однако теперь производители IDM-систем и методология решений концентрируются на пользователе как некой сущности, для которой нужно инвентаризовать текущие права доступа. Для этого производится аналитика процессов создания, управления и использования учетных записей. Такой подход реализовался в IGA-решениях (Identity Governance & Administration).
В то время как на российском рынке превалируют аббревиатуры IDM/IAM, на международном рынке уже прижилось понятие IGA. Мировые аналитики, например, Gartner, в своих исследованиях, оценках и прогнозах оперируют именно им.
Что IDM дает компании?
Большинство прикладных систем в компаниях имеют свое хранилище учетных записей, а управление производится разными системными администраторами. В результате, различные группы пользователей имеют различные права доступа, независимые друг от друга. IDM-система становится центральным узлом инфраструктуры, получая информацию об идентификационных данных из доверенного источника, в роли которого чаще всего выступает кадровая система, где ведется актуальная информация о сотрудниках.
В числе преимуществ, которые IDM дает организации, можно выделить следующие:
- Централизованный источник информации об учетных записях и правах доступа сотрудников в информационных системах повышает прозрачность управления доступами;
- Автоматизация управления учетными записями на основании кадровых событий сокращает число ошибок и повышает уровень ИБ;
- Сокращается время на ожидание сотрудниками предоставления им необходимых прав за счет более прозрачного процесса согласования заявок и внесения изменений в ИТ-системы.
Кому нужны IDM-системы?
Определяя необходимость внедрения IDM/IAM, в первую очередь необходимо отталкиваться от размера организации, отмечает руководитель направления информационной безопасности «КРОК» Андрей Заикин.
Если в компании есть лишь несколько информационных систем и несколько сотен пользователей, то внедрять решение этого класса для нее не имеет смысла. Такой организации проще нанять администратора, в чьи обязанности будет входить управление правами доступа в различных системах. Заявок на получение прав от пользователей будет не так много, ими несложно управлять, - поясняет он. |
Если же число пользователей в организации исчисляется тысячами сотрудников и более, и в ней насчитывается больше трех гетерогенных информационных систем, в этом случае можно задумываться о внедрении системы класса IDM/IAM/IGA.
Помимо размера организации есть дополнительные признаки того, что ей нужна IDM-система:
- В компании происходят слияния/поглощения других организаций, открываются новые представительства или филиалы - то есть, меняется организационная структура компании или группы компаний, и одновременно с этим меняется информационная инфраструктура;
- В компании наблюдается большая текучка кадров. Такая ситуация характерна, например, для сферы ритейла, где часто меняются продавцы и кассиры;
- Неправомерный доступ и утечка конфиденциальной информации может нести серьезные риски и последствия для компании.
В вертикальном разрезе, основываясь на опыте «КРОК», помимо ритейла к системам IDM/IAM наибольший интерес проявляют организации из финансовой, промышленной, нефтегазовой отраслей. Часто задумываются о внедрении и телеком-компании.
Актуальным часто можно назвать внедрение IDM/IAM-систем и в госсекторе, однако там подобные проекты зачастую идут сложно, так как приходится больше времени тратить на решение организационных вопросов отмечает Андрей Заикин.
Такие системы часто требуют определенных процессных изменений в организации. Вместе с тем, в государственном секторе оргструктура и бизнес-процессы устоявшиеся, жестко регламентированные, и их бывает проблематично менять, - поясняет он. |
От разочарования к спросу: отношение к IDM российских заказчиков
В «КРОК» говорят, что в 2006-2007 гг. их компания наблюдала всплеск интереса к IDM/IAM-системам, поскольку технология сама по себе - нужная. Однако на тот момент эти системы находились на начальном уровне технологического развития и были сложными.
Они были достаточно сложными: требовали большого количества разработок и доработок перед тем как могли быть запущены в эксплуатацию. Кроме того, эти решения были достаточно дорогостоящими. Поэтому ряд проектов, которые тогда стартовали на российском рынке, впоследствии закончились отказом от таких систем – их оказалось сложно эксплуатировать и развивать, - рассказывает Андрей Заикин. |
Из-за этого спустя некоторое время на российском рынке наблюдался спад спроса на IDM, но в последние несколько лет вновь наблюдается всплеск интереса к этим системам, отмечает представитель КРОК. В компании это связывают с тем, что на рынке появились более простые решения, не требующие «тяжелого» программирования для адаптации системы к бизнес-процессам компании, локализованные. За счет такого упрощения они и внедряются в 2-3 раза быстрее, чем системы предыдущего поколения: проект можно реализовать за полгода-год.
Продукты «новой волны» проще и с точки зрения внедрения, и с точки зрения применения сотрудниками и администраторами компании. Ряд вендоров реализовали в своих продуктах интерфейс запроса прав доступа по принципу интернет-магазина: запросы складываются в корзину, после чего отправляются на рассмотрение и согласование по прописанным в системе маршрутам, - говорит руководитель направления ИБ «КРОК». |
По его мнению, на рост спроса повлияло и то, что помимо западных продуктов к этому моменту на рынке появились и достойные российские решения.
Высокий интерес пользователей к IDM в России констатируют и игроки рынка. Так, один из российских разработчиков IDM - Avanpost - в 2016 году отмечал, что и количество заказчиков, и спрос на решения растут. В компании ожидали 20-процентного роста рынка в 2017 году[1].
Многообразие решений: как подобрать правильное
Вопрос выбора наиболее подходящей системы для заказчика - очень непростой, поскольку на рынке представлено достаточно много таких решений. В «КРОК» рекомендуют заказчику для начала посмотреть на свою ИТ-инфраструктуру и определить, насколько гетерогенной она является.
Если, к примеру, инфраструктура ориентирована на продукты Microsoft, то на рынке существуют достаточно простые и недорогие решения, которые позволяют управлять правами доступа к системам, интегрированным с Microsoft Active Directory. Эти системы стоят на порядок дешевле, чем традиционные IDM, но выполняют те же самые функции, - говорит Андрей Заикин. |
Подобного рода решение есть, к примеру, у компании One Identity, которая ранее принадлежала Dell.
Если же речь идет о компании с госучастием, то ей стоит в первую очередь ориентироваться на отечественные решения, отмечают в «КРОК». На рынке есть несколько российских IDM-решений, которые прошли путь формирования, являются достаточно зрелыми и по функционалу сравнимы с западными решениями. По мнению Андрея Заикина, к таковым можно отнести, например, решения Avanpost и Solar Security.
Из зарубежных, помимо One Identity, с точки зрения функциональности в КРОК выделяют решения компаний SailPoint, Micro Focus (NetIQ) и Oracle.
Несомненно, между зарубежными и российскими решениями есть отличия.
Основные зарубежные системы появились больше 10 лет назад. Они развивались и прошли определенный путь до стадии зрелости. В их пакетах зачастую можно обнаружить средства, являющиеся заготовками, которые можно сразу брать и использовать. Например, шаблонные маршруты процесса согласования заявок уже находятся в таких системах, и в том виде, в котором они есть, их можно применять в своей организации, - отмечает Заикин. |
Помимо этого, по мнению эксперта, в зарубежных системах зачастую присутствует больше функций, чем у российских. Все-таки они - законодатели мод, и часто новые функции сначала появляются именно в зарубежных системах, а потом уже в отечественных, говорит он.
Вместе с тем, касательно отечественных разработчиков можно отметить появление на рынке новых версий продуктов, в которых присутствует качественно иной, нежели ранее, интерфейс пользователя, указывает представитель «КРОК». Их интерфейс, во-первых, адаптирован под отечественные компании, что важно, поскольку своя специфика у российского бизнеса есть. И, во-вторых, этот интерфейс достаточно развитый, современный и удобный, не уступающий зарубежным продуктам.
По словам Андрея Заикина, в проектах, которые уже реализовала его компания, в основном использовались зарубежные решения. Российские продукты не так давно вышли на новый технологический уровень, и интерес к ним есть: по состоянию на середину 2017 года «КРОК» ведет ряд пилотных внедрений отечественных продуктов. В частности, в энергетической отрасли.
Этапы и сроки проекта
В проектах внедрения IDM первый этап – это обследование и «пилот». Последний обязателен в серьезном IDM-проекте, полагают в КРОК. Он необходим, чтобы доказать состоятельность своего выбора, получить одобрение концепции проекта и подготовиться к основному проекту.
В ходе пилотирования удается выявить какие-то подводные камни, получить исходные данные, необходимые для проектирования и дальнейшего внедрения решения. Подготовительный этап занимает порядка 1-2 месяцев, но в очень крупных проектах он может длиться и дольше.
В «КРОК» отмечают, что пилотные проекты IDM/IAM/IGA отличаются от стандартных пилотов сложностью и риском разрастания в полноценный проект внедрения. Без четкого определения границ пилота и фокуса на конкретном бизнес-процессе, пилот может затянуться на год и стоить заказчику больших сумм.
В связи с этим, по опыту нашей компании, на пилотах данных решений необходимо выделить самый критичный и затратный по времени бизнес-процесс, автоматизация которого позволит наглядно продемонстрировать эффективность и ценность внедрения подобных продуктов для компании, - отмечает Андрей Заикин. |
Следующий за пилотным проектом этап – проектирование, разработка основных проектных решений и специфичного для заказчика функционала, которые могут занимать от 2 месяцев и выше, в зависимости от сложности проекта.
После этого идет непосредственно внедрение. Оно тоже занимает от 2 месяцев. Если ИТ-инфраструктура очень большая, то внедрение необходимо дробить на очереди, привязанные к отдельным информационным системам, рекомендует Андрей Заикин.
После внедрения следует опытная эксплуатация, по итогам которой в систему и процессы компании вносятся дополнительные изменения. Потребуется также обучение пользователей и администраторов работе с системой.
Особенности и нюансы внедрения
Нередко в проектах по внедрению IDM возникают организационные сложности на стороне заказчика, затрудняющие их реализацию, отмечают в КРОК, исходя из собственного опыта. Например, рассогласованность подразделений в компании, участвующих в проекте.
IDM лежит на стыке ИБ и ИТ, в ее внедрении обычно задействованы оба подразделения заказчика. Оба они могут выступать и инициаторами проекта. ИБ чаще всего инициирует проект, чтобы упорядочить права доступа, решить проблему избыточных прав доступа, получения отчетности по текущим или ретроспективным правам. Если инициатор - ИТ, то чаще всего они хотят решить задачи автоматизации процессов заведения учетных записей и выдачи прав доступа, управления правами, снижения нагрузки на администраторов.
Бывает, что оба подразделения одновременно заинтересованы во внедрении IDM, понимая ее важность, но случается, что в компании отсутствует диалог между ИТ и ИБ. На это указывает КРОК, исходя из собственного опыта внедрений.
Когда возникает подобная ситуация, то это большая проблема, поскольку такую систему нельзя внедрить отдельно взятым подразделением. Необходимо задействовать и ИТ, и ИБ, и HR. Только при наличии конструктивного диалога между ними возможен успех проекта, - отмечает Андрей Заикин. |
Нередки случаи, когда проект инициируется подразделением ИБ, а ИТ-служба не заинтересована во внедрении, поскольку IDM фактически воспринимается как система, которая дублирует работу системных администраторов.
Сложности в проекте могут возникнуть и на уровне интеграции с другими информационными системами в компании, когда заказчик решает резко изменить что-то в системах, с которыми IDM должна интегрироваться, или и вовсе мигрировать на другую. Из-за этого изначально запланированные сроки проекта могут существенно сдвигаться.
Еще одна особенность - требовательность проектов к квалификации исполнителей. Это связано с тем, что IDM часто интегрируется с большим количеством систем, построенных на разнообразных технологиях. Помимо непосредственно исполнителей, в проекте также нужны аналитики, которые смогут провести аудит текущего состояния управления правами доступа и учетными записями в компании до внедрения IDM и помогут разработать оптимальные процессы, по которым IDM будет работать.
Потребуются и разработчики, т.к. какая-то часть доработки IDM в большинстве случаев необходима. В «КРОК» отмечают, что в крупных компаниях зачастую к внедрению привлекают подрядчика, а дальнейшее развитие системы происходит силами самого заказчика, имеющего разработчиков в штате.
Как это бывает: примеры внедрений
Нефтегазовый сектор
В качестве примера внедрения IDM в других сферах в КРОК приводят проект в нефтегазовой отрасли, который по состоянию на июнь еще не завершен. Система внедряется на несколько десятков тысяч пользователей. Ранее управление правами и доступом здесь велось на основании заявок, подаваемых в бумажном виде.
В этом проекте IDM интегрируется с десятками информационных систем, включая кадровые системы. Особенностью этого проекта Андрей Заикин называет масштабность инфраструктуры заказчика и использование в организации корпоративной шины передачи данных. С учетом этого КРОК предложил концепцию, предполагающую интеграцию IDM со всеми необходимыми ИТ-системами через эту шину. Для этого был разработан универсальный коннектор для передачи данных через шину в информационные системы и обратно.
Созданный универсальный механизм упрощает архитектуру решения с точки зрения дальнейшей эксплуатации и подключения новых информационных систем, поясняют в «КРОК».
Концепция была одобрена заказчиком. По состоянию на июнь ведется проектирование решений и их апробация.
Эксперт «КРОК» отмечает, что этот IDM-проект – один из крупнейших для КРОК. Самым же крупным для компании был проект, в котором решение рассчитано примерно на 50 тыс. сотрудников.
Финансовая отрасль
В числе последних завершенных проектов КРОК - внедрение IDM-системы на базе продукта One Identity в одном из российских банков. В головном московском офисе и 8 зарубежных региональных офисах банка работают около 2 000 сотрудников, каждому из которых необходим разный уровень доступа к бизнес-приложениям – внутрикорпоративному порталу, системам учета, трейдерской платформе и другим системам.
В ходе проекта IDM-решение было интегрировано со смежными инструментами банка – системой управления персоналом, службой каталогов и почтовым сервером. Теперь при приеме нового сотрудника ему автоматически присваиваются права доступа в соответствии с должностными обязанностями. При увольнении все права автоматически аннулируются. В случае изменения полномочий работники или их руководители могут подать заявку на доступ к необходимой системе или папке через интерфейс самообслуживания.
Здесь же раз в полгода, в соответствии с внутренними регламентами банка, происходит проверка руководящим составом и специалистами отдела безопасности уровня доступа сотрудников (ресертификация).
Внедрение инструмента автоматизации процессов управления информационной безопасностью в разы снизило нагрузку на специалистов внешней службы техподдержки, предоставив банку возможность сократить затраты на аутсорсинговые ИТ-услуги.
Продукт One Identity, лежащий в основе решения, позволяет контролировать права доступа к системам и неструктурированным данным в рамках всей компании. В КРОК отмечают, что в отличие от альтернативных продуктов, представленных на рынке, он позволяет наиболее гибко настраивать сложные сценарии и политики доступа, которые присутствуют практически во всех крупных организациях.
В частности, в этом уже убедился крупнейший банк мира – HSBC, а также целый ряд других организаций самых разных отраслей – телеком-операторы, ритейлеры, банки. В общей сложности в мире реализовано более 6000 проектов с использованием One Identity Management.
По состоянию на июнь 2017 года «КРОК» ведет внедрение IDM еще в одном банке – «ДельтаКредит». Внедрение идет примерно на 800 пользователей. Инициатором этого проекта выступала служба ИБ банка.
2019: Магический квадрант Gartner: лидеры рынка
В октябре 2019 года аналитическая компания Gartner опубликовала результаты исследования рынка программного обеспечения для администрирования и управления идентификационными данными (Identity Governance and Administration, IGA). Был составлен так называемый магический квадрант, в котором перечислены крупнейшие производители таких решений.
В докладе Gartner говорится, что лидеры рынка IGA предоставляют комплексный набор инструментов для администрирования и управления идентификационными данными и доступом пользователей. Эти поставщики успешно сформировали значительную клиентскую базу и поток доходов, а также имеют высокие рейтинги жизнеспособности и устойчивый рост выручки.
Лидеры также демонстрируют превосходное видение и исполнение ожидаемых заказчиком требований, связанных с технологией, методологией или средствами доставки. Лидеров обычно характеризует удовлетворенность клиентов возможностями IGA и/или соответствующими сервисами и поддержкой, — указано в отчёте. |
В 2019 году в число лидеров мирового рынка софта для администрирования и управления идентификационными данными вошли следующие компании: SailPoint, Saviynt, IBM, Omada и One Identity.
Oracle покинула лидирующую группу и вошла в категорию претендентов на неё (Challengers). Участники этого сегмента имеют существенную долю рынка и крупные проекты, но пока не дотягивают до показателей лидеров.
По словам экспертов, рыночная доля Oracle сокращается, поскольку бизнес компании рос в основном благодаря развитым рынкам, но именно там все больше клиентов ищут решения взамен Oracle Identity Governance (OIG).
Динамика развития инноваций у Oracle пошла на спад, и компания не учла в своих продуктах ошибки, упомянутые в предыдущем магическом квадранте. Клиенты по-прежнему говорят о трудностях внедрения OIG: компании не могут найти, обучить или переобучить сотрудников, которые бы могли развернуть решение. Это повышает требование к долгосрочным профессиональным услугам, отмечают авторы исследования.
В то же время заказчики отмечают и положительные стороны OIG. Среди них — глубина функциональных возможностей, гибкость и адаптация под требования высокоразвитых компаний и их сложных проектов. К плюсам Oracle также относятся глобальное присутствие вендора и большое количество партнеров по всему миру.
Говоря о достоинствах IBM на рассматриваемом рынке, аналитики отмечают конкурентоспособные цены ниже средних по рынку, эффективно работающую техническую поддержку и удобный пользовательский интерфейс, позволяющий клиентам самостоятельно разбираться с функциями продукта.
Минусы IBM следующие: облачное решение IBM Cloud Identity не имеет базовых для IGA функций, неэффективная модель обработки данных на сервере и проблемы при развёртывании и управлении IBM IGI.
По прогнозам Gartner, внедрение ПО для администрирования и управления идентификационными данными, которому предшествует применение аналитических инструментов, к 2022 году обеспечит вдвое большую окупаемость инвестиций по сравнению с проектами, где такие инструменты предварительно не используются.
К 2021 году клиенты, использующие облачное решение IGA, сэкономят в среднем 30% первоначальных затрат на интеграцию и 40% в общем объеме профессиональных услуг в течение трехлетнего периода и сократят время окупаемости в среднем на 25%.
К 2022 году больше половины производителей решений IGA будут предлагать предиктивные и рекомендационные механизмы, использующие аналитику на основе машинного обучения и искусственного интеллекта (AI). К 2019 году доля таких вендоров не превышает 15%.[2]