Информационная инфраструктура и информационная безопасность в "одном флаконе". Часть 4, заключительная

Информационная инфраструктура и информационная безопасность в "одном флаконе"

Часть 4, заключительная

Знаешь, я никогда не думаю новые мысли. Я думаю те мысли, которые
люди уже думали до меня. Я их просто переставляю. А Сара думает такие
мысли, которых раньше не было.

Линус Торвальдс, Дэвид Даймонд. Just for fun

Станислав Ясько, эксперт, к.т.н., доцент

Николай Нашивочников, эксперт

Проблема обоснования выбора поставщика технологии

Предположим, что компания подошла к тому, что для повышения эффективности бизнес-процессов, обеспечения конфиденциальности персональных данных и снижения расходов на управление идентификацией, необходимо внедрение СУИД. Одно из первых, с чем придется столкнуться компании, - это выбор поставщика решения. Кому отдать предпочтение?

Задача определения поставщика технологии характеризуется, прежде всего, относительно высокой стоимостью большинства решений по управлению идентификационными данными, что требует комплексного подхода к выбору конкретных средств.

Способы выбора поставщика технологии

При выборе конкретного решения заказчик может воспользоваться услугами международной консалтинговой организации, но данный подход не всегда может быть экономически оправдан.

В другом случае при обосновании выбора СУИД заказчик может опереться на периодически появляющиеся аналитические материалы по данному классу средств. Однако и у этого способа имеются свои слабые стороны, хотя бы потому, что здесь приходится оперировать общими показателями эффективности, самостоятельно учитывать конкретные условия и формулировать требования к создаваемой системе. Главный недостаток этого способа состоит в том, что необходимо иметь в штате специалистов-аналитиков высочайшей квалификации, стоимость содержания которых - непозволительная роскошь для предприятий, в чью сферу деятельности не входит бизнес по созданию ИТ-инфраструктур или, в частности, СУИД.

Самым правильным выходом для заказчика в подобной ситуации является привлечение к решению этой задачи специализированной компании - системного интегратора, выполняющей наряду с обоснованием выбора поставщика технологии весь комплекс работ по проектированию и внедрению СУИД. В этом случае успех проекта во многом гарантирован возможностями такой компании.

Состояние современного рынка

В настоящее время рынок СУИД представлен довольно широко. Практически все признанные мировые лидеры в области ИТ готовы предложить программные средства для управления идентификационными данными как отдельно, так и в составе комплексных решений по управлению доступом и IT-ин-фраструктурой в целом.

Какие требования следует учитывать при сравнении этих решений? Исключительное значение приобретают размер, состав и качество партнерской сети, через которую осуществляется сбыт продукции, и механизмы поддержки продаж, внедрения и эксплуатации:

• совокупная стоимость владения системой;
• кроссплатформенность, масштабируемость и интегрируемость с другими системами заказчика;
• локализация продукта на российском рынке;
• наличие успешных внедрений на территории РФ;
• методическое обеспечение, наличие руководств по применению на русском языке, типовых сценариев и т.п.;
• круглосуточная техническая поддержка;
• наличие персонала, обученного работе с продуктами, и авторизованных центров по его переподготовке и повышению квалификации;
• доступность продуктов, заявленных в прайс-листах, их постоянное наличие на складах партнеров по всей стране.

Применительно к государственному сектору на окончательный выбор решения может влиять перспектива сертификации программного средства по требованиям безопасности информации РФ, а также возможность аттестации системы на соответствие заданному классу защищенности (профилю защиты).

Итак, кто у нас лидеры? По материалам аналитической компании Gartner за второе полугодие 2007 г. (Magic Quadrant for User Provisioning), компании Sun Microsystems, IBM Tivoli, а теперь и Oracle продолжают доминировать на рынке СУИД. Им "дышат в затылок" Novell и Courion. Замыкают список компании Microsoft, CA, HP, BMC Software, Siemens, M-Tech и Beta Systems.

К сожалению, далеко не все компании-производители публикуют свои данные по объему продаж и количеству успешных внедрений именно в России, поэтому мы будем опираться на общие данные и рассмотрим группу лидеров в следующем составе:

• Sun Java Systems Identity Manager;
• Oracle Identity Manager;
• IBM Tivoli Identity Manager;
• Novell Identity Manager.

Каждое из решений этих компаний имеет свои сильные и слабые стороны. Остановимся далее на них более подробно, уделяя внимание тем особенностям каждой СУИД, которые выделяют ее среди конкурентных аналогов, имеющих типовую архитектуру, представленную на рисунке.

Sun Java System Identity Manager

Это одно из первых в отрасли централизованное инфраструктурное решение по управлению сетевой идентификацией и правами доступа пользователей.

Решение хорошо себя зарекомендовало на рынке средств класса Identity Management (IdM) и вот уже длительное время удостаивается высоких оценок различных аналитических агентств. В его основе лежит безагентная модель управления ресурсами (целевыми системами) и распределенное хранение идентификационных данных (атрибутов пользователей) без создания метакаталогов. Вместе с тем при реализации данной модели не удалось полностью отказаться от центрального хранилища (репозитория), а также безагент-ного управления таким ресурсом, как, например, служба каталогов Microsoft AD.

Sun Java System Identity Manager имеет высокие показатели реализации следующих функций:

• управление ресурсами (целевыми системами);
• проведение аудита событий по управлению учетными данными и формированию на его основе широкого спектра отчетов;
• реализация делегированного администрирования, основанного на ролевой модели управления доступом;
• создание и внедрение, наряду с имеющимися модификациями, собственной бизнес-логики с помощью встроенных средств - редактора бизнес-процессов;
• предоставление пользователям локальных административных прав.

Кроме того, нельзя не отметить результаты совместной работы компаний Sun Microsystems и "КРИПТО-ПРО" по интеграции Sun Java System Identity Manager и СКЗИ "КриптоПро JCP", которые позволяют теперь применять отечественный криптографический алгоритм ГОСТ 34.10-2001 для реализации механизма ЭЦП заявок на получение доступа к ресурсам.

К одному из первых и наиболее крупных проектов на территории России по внедрению данного решения можно отнести создание в сентябре 2006 г. СУИД в ОАО "Мобильные Телесистемы" (МТС).

Oracle Identity Manager

Несмотря на то что компания Oracle сравнительно недавно пришла на рынок средств класса IdM, она успела добиться высоких показателей в этой области. Решение Oracle IdM уже занимает прочные позиции среди лидеров.

Оracle IdM легко интегрируется с другими средствами, входящими в семейство продуктов Identity and Access Management (IAM), обладает мощными средствами решения следующих задач:

• управление идентификационными данными пользователей и их доступом к ресурсам;
• разработка новых адаптеров (коннекторов) к целевым системам;
• мониторинг и аудит системы, в том числе на определенный момент времени в прошлом.

Примером известного внедрения решения можно считать внедрение Oracle IdM в ОАО "Аэрофлот". Проект интересен тем, что в ходе его реализации компанией-интегратором были разработаны коннекторы для нестандартных целевых систем.

IBM Tivoli Identity Manager

Компания IBM является одним из признанных лидеров в области средств управления IT-ин-фраструктурой и уделяет немалое значение решениям по управлению идентификационными данными и доступом пользователей (IAM). Tivoli IdM представляет собой часть программного пакета Tivoli Enterprise, который объединяет программные продукты для управления корпоративными клиент-серверными средами. IdM поддерживает большинство из имеющихся платформ для внедрения и реализует устойчивые и полнофункциональные технологии: распространение учетных данных в целевые системы, управление ими; делегированное администрирование и управление паролями пользователей.

Следует отметить комплексный подход компании IBM к интегрированному и безопасному управлению учетными данными пользователей и их доступом к корпоративным ресурсам, а также наличие хорошей технической и методической поддержки. В качестве примера успешного внедрения отметим совместный проект компаний CompuTel и корпорации IBM по созданию в октябре 2007 г. системы ИБ компании "Вымпелком" на базе данного решения.

Novell Identity Manager

Является одним из первых среди продуктов класса IdM кроссплатформенным решением для управления идентификационными данными и доступом к ресурсам, обладает развитыми возможностями визуального моделирования, автоматизации бизнес-процессов и предоставления пользователям локальных административных прав. Это решение тесно интегрируется с такими средствами, как Novell Access Manager, Sentinel From Novell, Novell Secure Login, позволяя обеспечить комплексное решение по управлению ИБ предприятия.

Следует отметить, что решение Novell IdM имеет минимальную стоимость по сравнению с вышерассмотренными конкурентными аналогами. Вместе с тем, в отличие от них, в общедоступных источниках пока не найдено сведений о крупных успешных проектах на территории России. Не лучшим образом в настоящее время обстоят дела и с обучением этому продукту.