Ekaterina Danilina, 20.04.18
Автор: Сергей Прохоров, академик МАС
Управление правами пользователей и учетными записями (Identity Management) можно считать таким же важным направлением в управлении информационными технологиями на предприятиях и в организациях, как и управление лицензиями, изменениями, конфигурациями, инцидентами, проблемами и иными процессами, достаточно хорошо описанными в библиотеках ITIL. И хотя IDM не является базовым процессом ITIL, ее роль со временем только растет. Среди причин повышения значения IDM можно выделить повышение роли ИБ с ростом как внешних, так и внутренних угроз, гетерогенность и сложность ландшафтов системного и прикладного ПО.
Управление IDM решает важные в структуре ИТ предприятия задачи:
1. Повышение уровня информационной безопасности ИТ-систем.
2. Оптимизация нагрузки на информационные системы и их производительность.
3. Оптимизация работы пользователей в информационных системах, а также ИТ-специалистов.
Заметим, что в российской практике управления правами доступа больше употребляется терминология IDM, в то время как на Западе больше используется аббревиатура IDA (Identity Governance&Administration).
Особенности внедрения IDM-систем
Внедрение IDM-решения, как и любой ИТ-системы, автоматизирующей бизнес-логику, нельзя рассматривать в отрыве от изменений в бизнес-процессах организации. Таковыми являются процессы учета и управления кадрами, а также процессы управления доступом. Зрелость этих процессов напрямую влияет на качество внедрения IDM-системы. Организациям, планирующим у себя внедрение и последующее развитие IDM-направления, желательно заранее описать и формализовать эти процессы. Уже на этой стадии могут быть выявлены "перекосы", исправление которых оптимально производить до стадии собственно внедрения IDM-системы.
На предварительной стадии внедрения организация должна пройти через внешний или внутренний консалтинг, по результатам которого должны быть не только формализованы соответствующие процессы управления доступом и его учета, но и произведены соответствующие доработки существующих информационных и учетных систем и, прежде всего, как уже говорилось, системы учета и управления кадрами. Хорошим результатом по окончании стадии консалтинга является разработка ролевой модели доступа.
В выборе IDM-системы ключевым, пожалуй, является оценка релевантности системы к существующему в организации ИТ-ландшафту, функциональность и гибкость внедряемого решения. Ценовой фактор также является важным.
Можно выделить несколько признаков, по которым можно судить о необходимости внедрения IDM в организации:
Большая численность персонала, работающего в информационных и учетных системах
Если в организации в системах учета работает несколько тысяч человек, в ИТ- и ИБ-стратегиях такой организации однозначно необходимо уделить место IDM. Например, в США 80% компаний с численностью 1000 человек и более используют IDM-системы. В России этот процент ниже, что объясняется обычно нежеланием тратить деньги на IDM и низким приоритетом IDM в общем объеме задач. К этому можно добавить также малый процент эффективных и успешных внедрений IDM в России в общем проценте внедряемых IDM-решений. Как правило, бюджетодатели неохотно выделяют средства на IDM, отдача от которого часто не очевидна, особенно в условиях массовой оптимизации бюджетов.
Сильная гетерогенность ландшафта
В таком ландшафте управление доступами зачастую затруднено и может требовать значительных ресурсов.
Специфика бизнеса организации
В организациях, где цена потери или утечки данных значима для бизнеса, управление доступами играет одну из важных ролей как в ИТ, так и в ИБ организации.
Статичность ИТ-ландшафта
Вряд ли имеет смысл внедрять IDM в небольших компаниях, в которых каждый год появляется или меняется очередное юридическое лицо и, соответственно, под него разворачивается, например, очередная "1С Бухгалтерия предприятия". Напротив, если значительная гетерогенность оправдана, при этом ландшафт более-менее статичен, а учетные системы крупные, то IDM-система здесь может оказаться действительно полезной для сокращения затрат на управление учетными записями, повышения уровня ИБ, сокращения простоев персонала, работающего в ИТ-системах.
Высокая текучесть кадров, работающих в учетных системах
Сам по себе этот признак может и не быть характерным, но в совокупности с большим размером компании и значительной стоимостью потерь данных он становится существенным.
Реорганизация бизнеса через слияния и поглощения
При таких реорганизациях, очевидно, одним из ключевых вопросов является трансформация ИТ-ландшафта. Часто, прежде чем объединившиеся компании "пересядут" в единые учетные системы, определенное, может быть даже достаточно продолжительное время они остаются работать в своих прежних ИТ-системах, при этом получая доступ в новые для выполнения тех же самых функций.
Рынок современных IDM-систем
Рынок IDM-систем за последние 10 лет с выходом на него новых игроков значительно вырос. В 2017 г. Gartner обновила свой магический квадрант (см. рис.), выделив 15 поставщиков решений, предлагающих модели IDaaS.
Поставщики решений, предлагающие модели IDaaS. Магический квадрант Gartner, данные за 2017 г.
В лидерах отмечены шесть поставщиков -- Oracle, IBM, Microsoft, CA Technologies, Okta и PingIdentity. Все лидеры в новом магическом квадранте имеют доход в размере $100 млн или больше, хотя многие из них все еще строят этот доход для более старых продуктов, выпущенных на рынок в 90-х гг. Okta, которая набрала наибольшее место в отчете, получила высокую оценку от Gartner за счет быстрых внедрений, надежности и уровня поддержки.
В России в крупном бизнесе наиболее распространены решения от Oracle и IBM. Их уровень традиционно в течение ряда лет остается достаточно высоким. Microsoft предлагает более бюджетное решение, что также сказывается на росте его популярности. Отечественные же IDM-системы все еще не в состоянии конкурировать с ведущими западными прежде всего в силу ограниченной функциональности, малого количества внедрений и отсутствия необходимой гибкости. При этом стоимость российских решений существенно ниже западных, отечественные IDM-решения позиционируются для организаций со значительно меньшим количеством сотрудников, чем западные.
Отдача от инвестиций
Отдачу от вложений на IDM просчитать непросто. Напрямую на управление основным производством IDM не влияет и в добавленной стоимости не участвует. Первоначальные затраты на внедрение IDM, как правило, значительны, но по мере роста организации их доля общем объеме затрат снижается, а роль растет. Поэтому инвестиции в IDM следует рассматривать не только как составную часть вложений в информационную безопасность организации, но больше как инвестиции в стратегическую стабильность и устойчивость роста организации. Можно обозначить ряд подходов, которые помогут в расчете экономического эффекта от постановки процессов IDM, выделении на это ресурсов и внедрение IDM-систем.
Управление рисками
Очевидно, что в каждой информационной системе существуют риски того, что те или иные ее пользователи в зависимости от их функций в системе могут совершать действия, последствия которых будут значительными для бизнеса компании. Слабо контролируемый доступ пользователей к критичным для бизнеса процессам в информационных системах может привести не только к значительным финансовым потерям, но даже и к потере самого бизнеса. Такие примеры достаточно подробно описаны. Так, например, потери критичных данных в информационных системах по вине пользователей составляют в общем ряде причин потерь данных более 10%. А среди 10 основных угроз информационной безопасности неправомерные действия пользователей в информационных системах стоят на втором месте по количеству инцидентов (по оценкам Ernst&Young).
Управление работой пользователей в системах
Часто роли и уровни доступа пользователей в информационных системах пересекаются или задублированы. Обоснованность такого дублирования оставляет желать лучшего. Это приводит к повышению издержек, связанных с увеличением временных и ресурсных затрат на функции. Однако своевременное отсутствие возможностей у пользователей осуществлять необходимые функции в информационных системах также может повлечь финансовые потери. Наиболее часто встречающиеся случаи потерь связаны с потерей рабочего времени пользователей из-за несвоевременного предоставления им доступа к необходимым для работы информационным ресурсам. Внедрение IDM в таких случаях, особенно в сложных многопользовательских средах, приносит ощутимый экономический эффект, связанный с сокращением временных ресурсов для выполнения тех или иных функций пользователями в системах.
Конфиденциальность, целостность, доступность
Еще один подход для оценки отдачи от инвестиций в IDM можно связать с оценкой потерь по трем основным свойствам (сервисам) информационной безопасности: конфиденциальности, целостности и доступности. Потери при таком подходе рассчитываются как сумма потерь по нескольким составляющим (потери от несвоевременного оказания услуг по доступу; потери от несанкционированного изменения информации; потери, связанные с восстановлением работоспособности; потери, связанные с простоем; потери, связанные с потерей дохода). Методики расчетов таких потерь достаточно хорошо освещены в современной литературе.
