Как правильно оптимизировать процессы управления доступом с помощью Identity Manager?

Алексей Лаврухин
Начальник отдела IdM-решений компании "Инфосистемы Джет"

Большое количество критичных для бизнеса многопользовательских информационных систем, увеличение числа абонентов ведут к снижению уровня информационной безопасности, росту затрат на администрирование ИТ-систем, усложнению процедур согласования прав доступа. Для решения перечисленных выше проблем крупные и средние компании все чаще применяют системы централизованного управления доступом, также известные как Identity Management-системы (IdM).

Активный интерес к системам централизованного управления доступом на российском рынке стал проявляться четыре года назад. Стартовал целый ряд крупных проектов по внедрению IdM в различные отрасли бизнеса, при этом в основе каждого из проектов лежали свои цели и задачи. Часть заказчиков рассматривали IdM-решения как ИТ-инструмент, позволяющий более гибко управлять учетными записями пользователей и их атрибутами, для других внедрение Identity Management было продиктовано потребностями бизнеса.

На основе опыта, полученного в ходе выполнения данных проектов, удалось сформулировать основные задачи, для решения которых внедряются централизованные системы управления доступом, а также определить критерии выбора технологической платформы IdM-решения.

Предпосылки внедрения IdM-систем

При отсутствии механизмов централизованного автоматизированного управления правами доступа пользователей крупные компании рискуют столкнуться с целым рядом проблем. Высокая вероятность наличия избыточных прав доступа (не соответствующих должностным полномочиям), а также наличие прав доступа у уволенных или ушедших в отпуск сотрудников увеличивают опасность утечки конфиденциальной информации. Отсутствие возможности оперативно получать информацию о правах доступа сотрудника не позволяет эффективно расследовать инциденты, связанные с несанкционированным доступом к данным. Как следствие, увеличивается ущерб от утечки информации.

Еще одной проблемой, связанной с управлением учетными записями и доступом пользователей, становится неэффективная система документооборота заявок. Согласование прав доступа сотрудника с помощью "бумажных" заявок способно занимать продолжительный период времени. В условиях большого числа автоматизированных информационных систем процесс предоставления прав доступа затягивается, что приводит к вынужденным простоям сотрудников и финансовым потерям.

Проблемы с управлением большим количеством учетных записей существуют и у службы ИТ. Рост числа применяемых в компании информационных систем и бизнес-приложений, увеличение количества пользователей приводят к росту объема работ по созданию, изменению и блокированию учетных записей в каждой информационной системе, что, в свою очередь, влечет за собой необходимость привлечения дополнительного персонала для обслуживания систем.

Подходы к внедрению систем централизованного управления доступом

Комплексное внедрение систем централизованного управления доступом включает в себя создание ролевой модели, оптимизацию процессов управления правами доступа, а также автоматизацию данных процессов путем внедрения программных продуктов Identity Management.

Для создания ролевой модели проводится:

• комплексное обследование бизнес-процессов компании и задействованных в них ИТ-ресурсов;
• формируется структура прав доступа пользователей к информационным ресурсам (структура ролей пользователей);
• выявляются требования к условиям назначения ролей;
• закладываются механизмы развития ролевой модели при изменении бизнес-требований.

Назначение пользователю той или иной роли, как правило, зависит от его должности и места работы в компании. Поскольку данные параметры сотрудника являются обязательными и регистрируются в системе учета кадров, всегда может быть определен минимальный набор прав его доступа к информационным системам, что согласно ролевой модели определяется как ролевой профиль пользователя.

Профили пользователей -в зависимости от требований заказчика - имеют различную степень детализации, ролевая модель может распространяться на все информационные ресурсы или только на базовые сервисы (почта, доступ к файловым каталогам, доступ в Интернет, основные бизнес-приложения и т.д.). При этом пользователи или их руководители получают возможность запроса доступа к информационным ресурсам, не входящим в типовой профиль, что позволяет начать внедрение системы до завершения работ по созданию всеобъемлющей ролевой модели в компании.

Результаты обследования процессов управления  правами доступа в различных компаниях показывают: подобные процессы зачастую не обеспечивают требуемого уровня информационной безопасности или неоправданно трудоемки.

На основании данных обследования специалисты компании "Инфосистемы Джет" оптимизируют процессы, охватывающие весь жизненный цикл учетных данных сотрудника в организации, в том числе разрабатывают процессы согласования предоставления сотрудникам прав доступа к информационным ресурсам.

Примеры внедрения комплексных систем управления доступом

Компания "Инфосистемы Джет" предлагает комплексное решение по внедрению систем централизованного управления доступом, включая создание ролевой модели, оптимизацию процессов управления правами доступа, а также их автоматизацию с помощью продуктов компаний-лидеров на рынке систем Identity Management. Требования комплексного подхода к решению вышеперечисленных задач все чаще закрепляется законодательно, в том числе в серии международных стандартов ISO 2700х, Sarbanes-Oxley Act, требованиях и рекомендациях по построению информационных систем (CoBIT, ITIL и пр.), а также в отечественных нормативных документах (например, в стандарте Банка РФ и Федеральном законе "О персональных данных").

В результате заказчик получает готовое IdM-решение, в котором автоматизированы следующие процессы:

• Процесс управления жизненным циклом учетных записей - прием на работу сотрудника, перемещение внутри компании, отпуск, изменение личных данных сотрудника, увольнение.
• Процесс управления учетными записями - создание, изменение, блокирование, восстановление активности и удаление учетных записей пользователей.
• Процесс управления правами доступа к корпоративным информационным ресурсам -назначение и изменение прав доступа пользователей в соответствии с ролевой моделью.
• Самообслуживание пользователей - управление паролями, запрос прав доступа к информационным ресурсам, которые не входят по умолчанию в ролевой профиль пользователя.
• Процесс согласования заявок - система электронных заявок на согласование доступа к информационным ресурсам, назначение согласующих лиц.
• Централизованный аудит доступа к информационным ресурсам - построение отчетов об учетных записях и правах доступа пользователей.
• Обеспечение соответствия стандартам информационной безопасности - использование ЭЦП и стандартов парольной защиты информации.
• Предоставление безопасного доступа к информационным ресурсам для заказчиков, партнеров и поставщиков.

Все перечисленные процессы осуществляются централизованно для всех бизнес-приложений, интегрированных с IdM.

Требования к технологической платформе IdM-решения

Для успешной реализации всех требований заказчика необходимо правильно выбрать технологическую платформу, с помощью которой будет проведена дальнейшая автоматизация. Продукт должен быть достаточно зрелым (т.е. не содержать большого количества ошибок, имеющихся в ранних версиях ПО), рассчитанным на последующее масштабирование и предполагающим внесение доработок в соответствии с требованиями заказчика.

Наиболее успешными - с точки зрения специалистов компании "Инфосистемы Джет" - продуктами в сфере Identity Management являются решения от компаний Oracle, Sun Microsystems, IBM, SAP. Продукты данных производителей обладают максимально полной функциональностью и позволяют внедрять системы корпоративного уровня любой степени сложности.

Секрет успешного внедрения IdM-решения

Для достижения целей внедрения IdM, установленных на начальном этапе проекта, важно не только правильно выбрать технологическую платформу, но и найти правильный подход к ведению и управлению проектом.

На основе опыта, полученного компанией "Инфосистемы Джет" в ходе реализации нескольких крупных IdM-проектов, был разработан метод, позволяющий максимально эффективно добиваться решения основных задач проекта с минимальными затратами. Он основан на комплексном и в то же время поэтапном внедрении решения. На начальной стадии компанией-исполнителем совместно с заказчиком разрабатывается концепция внедрения IdM-решения, содержащая основные цели реализации проекта с точки зрения бизнеса, ИТ и информационной безопасности. Затем на основе приоритетов и задач заказчика цели системы объединяются в группы, реализация каждой из которых выполняется в рамках отдельного подпроекта. Подобный сценарий позволяет получить работающую систему уже после реализации первой группы требований, при этом требования к следующим этапам могут уточняться по результатам выполненных работ. При этом в компании происходит плавный переход на модель Identity Management, что максимально упрощает адаптацию бизнес-пользователей к новым технологиям.

Системы, разработанные на базе подобного метода, становятся стандартом построения ИТ-инфраструктур крупных компаний, вытесняя прежний сегментированный подход к управлению правами доступа пользователей.

"Инфосистемы Джет" входят в число ведущих ИТ-консультан-тов и системных интеграторов на рынке информационной безопасности. Identity Management является одним из ведущих направлений деятельности компании. Специалистами компании реализовано уже более пяти крупных комплексных проектов по внедрению IdM-решений на территории России и стран СНГ на базе технологий ведущих производителей IdM-продуктов, таких как Oracle, Sun, IBM.