Решения, призванные навести порядок в вопросах управления доступом, сделать управление учетными записями в разрозненных ИТ-системах централизованным, автоматизированным, контролируемым и, самое главное, удобным.

Плюсов от внедрения подобных систем масса — устранение задержки между кадровыми событиями и их корректным отражением в настройках доступа сотрудников, упрощение проведения аудитов информационной безопасности (ИБ), разгрузка ИБ и ИТ-персонала от рутинной работы.

В данной статье мы перечислим наиболее важные вехи, на которые стоит обратить внимание при выборе и внедрении решений подобного класса.

Что необходимо делать

Первое и, вероятно, главное, что необходимо сделать, — это решить, как именно будет происходить переход от текущей анархичной структуры к строгой ролевой модели. Важно продумать будущий необходимый функционал решения.

Определите масштаб необходимого функционала

За последние 10 лет развития тематики IDM-решений, они постепенно обрастали новым функционалом и эволюционировали в системы класса IAM и затем уже в решения класса IGA, которые способны контролировать различные риски в области предоставления доступа. К существенному и интересному функционалу IGA можно отнести:

• Проактивная работа с мертвыми душами

IGA-решения отслеживают активность учетной записи (с помощью прямой интеграции, интеграции с решениями класса Web SSO или через SIEM). Они выявляют неиспользуемые учетные записи действующих работников, обладающие схожими рисками, и позволяют — автоматически или с привлечением ответственных лиц — принять решение об изменении состояния каждой такой УЗ. Иными словами, они проактивно работают с группами риска, которые динамически возникают, меняются и исчезают в ходе работы предприятия.

• Превышение полномочий

IGA-решения, значительно сокращают рассматриваемые риски процессов аттестации и сертификации прав доступа пользователей и ролевой модели. Их цель — поддерживать актуальные наборы прав в точном соответствии с меняющимися бизнес-процессами и ИТ-ландшафтом организации.

Сертификация «легитимизирует» доступ, полученный до внедрения IdM, либо в обход неё. В процесс вовлечены ответственные лица, подтверждающие или отвергающие необходимость и правомерность наличия таких прав у пользователя. Права, прошедшие сертификацию, в будущем считаются разрешенными для их владельца. Но значительная часть полномочий, исторически накопленных пользователем, отсекается на этапах рассмотрения и автоматически отзывается у пользователя, что позволяет в автоматизированном режиме навести порядок уже при внедрении IGA. Ценность данного процесса ещё возрастает благодаря тому, что для его запуска не требуется дорогостоящий этап анализа и построения ролевой модели. Более того, наиболее продвинутые IGA-решения могут обучаться в процессе сертификации и затем, на основе собранных данных, предлагать элементы для добавления в ролевую модель.

• Несовместимые полномочия (SoD конфликты)

Механизм контроля SoD–конфликтов, являющийся обязательным атрибутом решений класса IGA, позволяет создать модель, определяющую отношения между множествами полномочий. Такая модель позволяет выявить несовместимые полномочия у работников, разрешить конфликты и предотвратить их появление в будущем, либо определить строгие компенсационные меры для такого лица. Причем всё это можно сделать как для отдельных ИС, так и для групп взаимосвязанных ИС — вплоть до масштабов всей корпоративной информационной системы территориально распределенной организации.

• Компрометация привилегированных учетных записей

Особого внимания требуют учетные записи администраторов (как системных, так и прикладных), а также пользователей, суммарный набор полномочий которых позволяет выполнить действия, чувствительные для бизнеса организации. В крупной организации таких аккаунтов может быть очень много. Для их выявления IGA-системы предлагают модель, основанную на оценке рисков. Эта сложная гибко настраиваемая математическая модель позволяет выявить и ранжировать потенциально опасных пользователей, которые имеют техническую возможность нанести ощутимый вред своей организации (по злому умыслу или в результате компрометации их аккаунтов). А упомянутые ранее процессы сертификации и аттестации, совместно с гибкими политиками управления паролями, позволяют определить компенсационные меры, достаточные для значительного снижения данных рисков.

Определите информационные системы, с которыми будет интегрироваться IDM-решение

Важно понимать, что интеграция нужна не со всеми ИТ-системами, используемыми в компании. Из их множества необходимо выделить лишь те, в которых присутствует собственная аутентификация. То есть вас должны интересовать только такие инфраструктурные и прикладные элементы ИС, в каких существуют свои собственные учетные записи и соответственно используются свои группы безопасности и роли для управления доступом. Это важно, поскольку любое современное IDM-решение интегрируется с внешними системами посредством так называемых “коннекторов” (модулей интеграции). И нужно быть готовым к тому, что к некоторым вашим системам, особенно очень кастомизированным или вообще самописным, готовых коннекторов у производителя не будет, а значит, потребуется их разработка.

Не стоит этого пугаться. В принципе, процедура эта несложная, ведь фактически любой коннектор — это лишь набор правил и процедур сопоставления. Например, если описать это на уровне табличек в базе данных, то коннектор лишь говорит IDM-системе, какая ячейка из одной таблички (одной ИТ-системы) в какую ячейку из другой таблички (другой ИТ-системы) должна быть записана. Правда, при взаимодействии с западным вендором разработка будет долгой и дорогостоящей. Здесь существенные преимущества имеют отечественные поставщики IDM, которые в первую очередь ориентированы именно на российский рынок и прицельно занимаются созданием коннекторов не только к западным, но и к специфическим нашим системам.

Выработайте план создания ролевой модели

Как я уже отметил, для любой IDM-системы ролевая модель обязательна, а методология ее построения может стать ключевым моментом в выборе того или иного продукта и даже определяющим в решении, внедрять IDM или нет.

Несмотря на это еще несколько лет назад, когда IDM-системы только начали завоевывать рынок, созданию ролевой модели, на мой взгляд, не уделяли должного внимания. Обычно все это отдавалось на откуп интегратору, ведущему проект по внедрению, или даже самому заказчику. В результате в ряде случаев мы стали свидетелями колоссальных по трудозатратам консалтинговых работ, при этом не всегда имеющих на выходе работающую ролевую модель. Дело в том, что в крупной компании создание ролевой модели в ручном режиме не только крайне трудно, но и практически бессмысленно, поскольку условия бизнеса, оргструктура, должностные обязанности и сами информационные системы постоянно меняются, вследствие чего инвентаризационные сведения устаревают намного раньше завершения разработки ролевой модели. Соответственно и матрица доступа, на создание которой нередко требуется от полугода до года, не может быть введена в действие по причине ее устаревания. Единственным выходом из этого тупика являются автоматизированные инструменты, ускоряющие эту работу. И такие инструменты существуют в линейках компаний Oracle и Аванпост.

Выберите производителя IDM/IGA-решения и интегратора

На основании результатов анализа двух предыдущих шагов можно переходить к более приземленным вещам, таким как выбор вендора и интегратора. Большое внимание надо уделить выбору системного интегратора, ведь, повторюсь, тематика IDM — одна из самых непростых в ИБ. И если вендора можно выбрать, основываясь на четких требованиях технического задания и заявленного функционала, то к выбору интегратора такой подход не применим. Проанализируйте опыт интегратора, поговорите с его представителями, чтобы понять, какими компетенциями в тематике IDM он обладает. Пусть представитель интегратора расскажет вам, как будет создаваться ролевая модель и матрица доступа и какую методологию предполагается заложить в основу развертывания решения. Ну и, само собой, на данном этапе в критерии выбора уже необходимо включать и цену.

Большинство неудачных попыток внедрения IDM, на мой взгляд, потерпели фиаско именно из-за того, что люди начинали планирование сразу с последнего шага. Как говорится, определились с бюджетом — и вперед. Но не всё можно решить деньгами, их количество не определяет напрямую качество и сроки внедрения IDM. Далеко не факт, что дорогой западный продукт автоматически решит ваши проблемы. Как, впрочем, совсем не факт, что более бюджетное решение не оправдает все ваши ожидания.

Автор публикации

не в сети 4 года

Anastasia Krasilova

2

Комментарии: 0Публикации: 45Регистрация: 02-07-2017