Опыт практического внедрения Identity Management-решений в крупных компаниях

Опыт практического внедрения Identity Management-решений в крупных компаниях

A. Лаврухин, руководитель направления IdM-решений Центра информационной безопасности, компания "Инфосистемы Джет"

B. Буряков, директор по комплексным корпоративным ИТ-решениям, middleware и терминальным продуктам, компания Sun Microsystems

Необходимость внедрения IdM-решений

Рост количества информационных систем, вовлеченных в бизнес-процессы современных корпораций любой из отраслей бизнеса, делает все более актуальным вопрос контроля и управления доступом к информационным ресурсам (ИР) компании.

Классические модели организации доступа к ИР, такие как мандатная и дискреционная, зачастую не удовлетворяют основным бизнес-требованиям, предъявляемым к процессу предоставления и контроля доступа как со стороны производственных подразделений, так и со стороны ИТ- и ИБ-служб. Единственным выходом из данной ситуации для многих крупных компаний является внедрение более сложных механизмов управления доступом, основанных на ролевом принципе.

Потребность в решениях такого рода вызвала массовый рост рынка такого ПО, которое позволяет автоматизировать процессы управления учетными записями и идентификационными данными пользователей, а также обеспечивает автоматизацию процессов внутреннего согласования при предоставлении доступа к ИР компании. Свои решения в области Identity Management (IdM) представили практически все лидеры рынка, такие как Sun Microsystems, Oracle, IBM, Novell и другие.

Внедрение IdM-решений обеспечивает эффективную реализацию многих бизнес-задач и позволяет в значительной степени оптимизировать управление ИТ-инфраструкту-рой компании. Кроме того, в России, как и на Западе, появилось множество законодательных актов, прямо или косвенно указывающих на необходимость внедрения подобных систем, например Sar-banes-Oxley Act, серия международных стандартов ISO 2700X, различные требования и рекомендации по построению информационных систем, такие как CoBIT, ITIL и пр. Стоит отдельно отметить серию стандартов Банка России, определяющих требования к построению систем обеспечения и управления информационной безопасностью в кредитно-финансовой сфере, а также Закон "О персональных данных", существенную часть требований которых можно реализовать путем внедрения IdM-решения.

Этапы внедрения

Как правило, внедрение IdM-систем состоит из двух основных этапов: консалтингового и прикладного. На первом этапе компания, осуществляющая внедрение IdM-решения, разрабатывает ролевую модель, на основе которой будет производиться последующая автоматизация процессов управления доступом к ИР, а также совместно с заказчиком формализует и описывает бизнес-процессы по управлению согласованием, предоставлением и блокированием доступа к подключаемым ИР.

На втором этапе производится автоматизация разработанных бизнес-процессов на основе ролевой модели средствами внедряемого IdM-решения.

Внедрение ролевой модели предусматривает создание типовых профилей пользователей, связывающих функциональную роль (например, оператор биллинговой системы) с конкретными полномочиями доступа к информационным ресурсам различных автоматизированных систем. Поэтому на начальном этапе внедрения ролевой модели в компании необходимо разработать описание типовых функциональных ролей, а также провести аналитическую работу по оценке необходимых и достаточных полномочий на доступ к информационным ресурсам в рамках выделенной функциональной роли. При этом крайне важно правильно спланировать архитектуру ролевой модели с учетом динамики развития информационной инфраструктуры компании и возможности последующего эффективного управления ролями.

Укрупнение ролевой модели, то есть включение в одну функциональную роль всех полномочий, которые могут понадобиться сотруднику компании для выполнения им своих должностных обязанностей, крайне затруднит последующее поддержание данной ролевой модели в актуальном состоянии. При добавлении или удалении части полномочий у пользователя в случае изменения его должностной инструкции появится необходимость пересмотра целых ветвей ролевой модели. Поэтому рекомендуется формировать набор типовых функциональных ролей, изменение которых производится крайне редко, но в то же время полномочия, входящие в данную роль, должны позволять выполнять одну или несколько функциональных задач. В этом случае для реализации всех полномочий на определенной должности сотруднику компании может быть назначено несколько функциональных ролей, комбинация которых обеспечит необходимый и достаточный доступ к информационным ресурсам. Данный подход обеспечивает эффективное решение многих задач, стоящих перед службой информационной безопасности, связанных с контролем доступа, таких как разделение полномочий (segregation of duties), периодический мониторинг списка пользователей, имеющих доступ к критичным информационным ресурсам, отчетность и т.п.

При выборе решения, на базе которого будет производиться дальнейшая автоматизация процессов управления доступом к ИР компании, следует обратить внимание на наличие адаптеров к автоматизированным системам, подключение к которым осуществляется в рамках внедрения. При этом предпочтение следует отдавать системам, реализующим "без-агентную архитектуру" адаптеров, то есть не требующих установки дополнительных программных агентов на серверы подключаемых систем.

Компании "Инфосистемы Джет" и Sun Microsystems имеют значительный совместный опыт успешной реализации комплексных проектов по автоматизации процессов управления учетными записями и идентификационными данными пользователей на базе решения Sun Java Identity Manager, что позволяет гарантировать заказчикам полную и качественную реализацию всех бизнес-требований, предъявляемых к IdM-решению.

Sun Java Identity Manager

Продукт Sun Java Identity Manager появился в портфеле Sun Microsystems в 2003 г. после приобретения ею компании Waveset, практически сразу после введения в США закона Sarbanes-Oxley Act, который, в свою очередь, стал катализатором бума технологии Identity Management (более 80% бизнеса Identity Management по-прежнему сосредоточено в США).

Жесткие условия и сроки выполнения закона Sarbanes-Oxley Act (июль 2006 г. для крупных корпораций), с одной стороны, и необходимость сохранить при этом нормальное бесперебойное функционирование корпоративных ИТ-инфраструктур - с другой, сформировали набор функций Identity Management, критически важных с точки зрения приемлемости крупных корпоративных заказчиков, в частности:

• отсутствие глобальной единой точки отказа для доступа пользователей к приложениям, с одной стороны, и максимальная централизация IdM для эффективного управления корпоративными пользователями - с другой;
• гарантированная безопасность самого IdM-решения, концентрирующего в одной точке ранее разрозненную конфиденциальную информацию о пользователях и ИТ-ресурсах;
• простота, быстрота и безопасность реального внедрения (с точки зрения влияния на нормальную работу ресурсов);
• масштабирование до сотен тысяч пользователей без ухудшения их QoS (Quality of Service) за счет нового фактора влияния централизованного узла IdM;
• наивысшая степень гетерогенности и кросс-платформенности, отражающая реалии большинства корпоративных ИТ-ландшафтов, с точки зрения сохранения всех работающих ИТ-ресурсов и ранее сделанных инвестиций;
• возможность внедрения и управления действующими ИТ-ландшафтами без необходимости их модификации и подстройки под выбранную IdM-платформу, в крайнем случае с минимально возможной подстройкой (безагентные адаптеры управляемых ресурсов);
• эффективное функционирование в условиях регулярных изменений (патчи, апгрейды) управляемых ресурсов после внедрения IdM.

Полное выполнение требований данного перечня может рассматриваться как существенный фактор не только для компаний, подпадающих под Sarbanes-Oxley Act, но и для любого другого заказчика, выбирающего IdM-платформу.

Sun Microsystems и "Инфосистемы Джет": партнерство

Сохраняя унаследованную от Waveset гетерогенность и кросс-платформенность как ключевой фактор успеха на рынке, Sun Microsystems продолжает поддержку и развитие решения с возможностью работы самого Identity Management на любой аппаратной платформе и ОС.

После приобретения компании Waveset вторым стратегическим шагом для Sun Microsystems стало заключение в 2004 г. мирового соглашения с Microsoft и подписание договора о 10-летнем технологическом сотрудничестве, направленном в первую очередь на сотрудничество в области наилучшей совместимости и интегрируемости Active Directory и Sun Identity Management. В настоящий момент среди ведущих вендоров Identity Management только Sun Microsystems является Active Directory Interoperability Partners.

Sun Microsystems накопила уже 5-летний опыт по внедрению IdM-решений и насчитывает более 1000 внедренных систем. Наибольшее по масштабу и успеху внедрение в России -внедрение IdM-решения на 20 тыс. пользователей в ОАО "Мобильные ТелеСистемы". Компания имеет сеть партнеров, подготовленную к внедрению и поддержке IdM-решений, среди которых в настоящее время лидером по количеству квалифицированного персонала для реализации крупных проектов является компания "Инфосистемы Джет".

"Инфосистемы Джет" входит в число ведущих ИТ-консуль-тантов и системных интеграторов на рынке информационной безопасности. Identity Management является одним из ведущих направлений деятельности компании. В настоящий момент специалисты компаний "Инфосистемы Джет" и Sun Microsystems совместно выполняют проекты по внедрению IdM-решений для двух крупных компаний из нефтяного и финансового сектора рынка.