Что будет, если доверить управление правами доступа IDM-системе?

Представим ситуацию, когда рядовой специалист финансовой организации по какой-либо причине обладает избыточными правами доступа к корпоративной информации или конфиденциальным данным. Злонамеренные действия такого работника могут привести к критическим последствиям: в его распоряжении окажутся клиентские базы данных, возможность выполнять несанкционированные операции и передавать третьим лицам любую информацию для подрыва репутации компании. Почему подобные ситуации случаются и можно ли их количество свести к нулю?

Такое возможно, если контроля или мер безопасности со стороны службы ИБ недостаточно для соблюдения утвержденного в организации регламента доступа. Вообще, постоянный контроль над многочисленными действиями пользователей представляет большую сложность, а усугубляет задачу нехватка информации для принятия правильного решения сотрудниками службы информационной безопасности.

Решить эти проблемы и автоматизировать разграничение доступа помогают специализированные системы для управления доступом и идентификационными данными, называемые IDM (Identity Management) или IAM (Identity and Access Management). 

Что может IDM?

IDM может в максимально автоматизированном режиме выполнять все рутинные задачи по созданию учетных записей и выдачи прав на основе заранее настроенных правил и политик. Всем участникам процесса предоставляется понятный централизованный каталог возможных прав для заказа, а также понятная система заявок и согласования.

Главное бизнес-преимущество IDM - скорость. Если набор прав доступа у сотрудника меняется или выходит новый сотрудник, без IDM согласование заявок и внесение изменений в ИТ-системы может занимать дни и недели, а с IDM сотрудник включается в работу за минуты, максимум часы. Это происходит именно за счет прозрачного и понятного процесса.

Второе главное преимущество IDM - исключение риска мошенничества со стороны сотрудников или критических ошибок, существенно влияющих на безопасность данных и приложений в компании.

Кстати, среди решений по безопасности IDM – редкий случай, когда возможно посчитать ROI (окупаемость инвестиций), сопоставив до и после внедрения трудозатраты на согласование и исполнение заявок на изменение прав доступа, первоначальное создание учетных записей для новых пользователей, контроль изменений прав доступа, анализ избыточных и критических прав и других операций. Причем, сделать это можно уже на этапе пилотного проекта.

IDM — комплекс мер, а не готовая система

Понятие IDM не сводится лишь к программному обеспечению. Чтобы все заработало как нужно, придется выполнить целый комплекс организационных и технических: определение целей, для которых внедряется решение, и подхода для достижения этих целей, строительство процессов, регламентов и процедур, выбор решения для, собственно, управления учетными данными и правами сотрудников и, конечно, сам процесс внедрения IDM-решения, настройка, тестирование.

Как понять, что вам нужна система класса IDM?

В первую очередь, по размеру компании. Если у вас несколько информационных систем и немного пользователей (до нескольких сотен), внедрять IDM едва ли целесообразно. С задачами по управлению правами доступа справится системный администратор в ручном режиме.

Если пользователей тысяча и более, и в организации функционирует не менее трех информационных систем, то IDM-система существенно облегчит работу администратора и повысит безопасность. А во многих случаях без нее не обойтись совсем.

Если в компании меняется организационная структура (поглощение других организаций, открытие новых представительств) или высокая текучка кадров (характерно для сферы ритейла), то IDM может стать единственно верным вариантом.

Кроме ритейла, на практике решения IDM востребованы в финансовых, промышленных, нефтегазовых, телекоммуникационных компаниях. 

Какие будут сложности?

В реальной жизни внедрять такие системы непросто. Существуют две ключевые проблемы. С одной стороны, это их дороговизна, связанная с тем, что лидерами в этой области исторически были крупные западные компании, не имеющие значимой конкуренции. С другой стороны, это сложность внедрения, связанная, в первую очередь, с необходимостью корректно построить полноценную ролевую модель для организации с большим количеством сотрудников и множеством ролей.

Еще до того запуска непосредственно процесса внедрения, необходимо понимать, какие кадровые процессы действуют в компании, кто, что и как решает, к чему каждый пользователь должен иметь доступ, какие существуют роли, какие сервисы должны быть доступны каждому из пользователей, как синхронизировать обновление данных в различных бизнес-системах, какие процедуры должны применяться, какой аудит должен осуществляться в системе. И таких вопросов множество. И упустить ничего нельзя, иначе система безопасности будет «дырявой».

Часто ИТ- и ИБ-специалистам в процессе запуска IDM-систем приходится в корне пересматривать подходы к управлению доступом, вносить изменения в действующие бизнес-процессы, перестраивать информационные системы.

Не имея сильной собственной службы ИБ (а также ИТ), осуществить весь комплекс мер самостоятельно не только контрпродуктивно, но и бессмысленно. Не получится приступить к внедрению, лишь согласовав бюджет и найдя интегратора. Не получится обойтись без высококлассных дорогостоящих специалистов. Поэтому разумным шагом представляется передача внедрения IDM на аутсорсинг. В большинстве случаев это сэкономит средства и избавит от нежелательных, а порой и критических ошибок.

Залог успеха — в выборе правильного решения и интегратора

Среди конкретных решений IDM, которые предлагает заказчикам Softline, чаще всего применяются два – оба вполне эффективных в выполнении названных выше задач. Это американское решение One Identity, дистрибьютором которого является компания Aflex (входит в ГК Softline), и российское решение Solar InRights от «Ростелекома».

В любом случае специалисты Softline подбирают решение индивидуально для каждого заказчика исходя из требований, задач и бюджета. Во многих случаях мы готовы проводить пилотные проекты (пилотирование ресурсоемко, но доступно на нескольких распространенных системах, не требующих серьёзной доработки). А еще мы подключаем IDM практически ко всем информационным системам (SAP, 1C, ERP, портфель Microsoft).