03 июня 2019
Почему Вам нужна IDM-система или проблемы безопасности в больших компаниях
IDM-система — это комплексное решение для автоматизации процессов управления доступами и жизненным циклом учетных записей. По мере роста компании необходимость интеграции системы с подобным функционалом в информационную инфраструктуру возрастает. Однако как гласит известная цитата: если автоматизировать бардак, получится автоматизированный бардак. Так и с IDM-системами: внедрение решений этого класса зачастую оказывается куда более сложным и влияющим на бизнес процессом, чем задумывалось изначально. Почему это так, мы расскажем в данной статье.
Что такое IDM-система?
Строгого определения системы IDM (от IDentity Management — управление учетными данными) не существует — различные источники дают описания, отличающиеся в той или иной степени. Однако в целом под данным термином подразумевается решение, выполняющее задачи по централизованному управлению учетными данными пользователей, аутентификационной информацией и правами доступа. Стоит отметить, что для данного класса систем могут использоваться обозначения IDAM или IAM (Identity & Access Management), а также IGA (Identity Governance & Administration). Обозначение «IGA» очень распространено на Западе, в России же чаще используют IDM/IAM. Хотя в определенном приближении на текущий момент все данные термины можно считать синонимами.
Управление большим количеством учетных записей и соответствующими им правами доступа (что понимать под словами «большое количество», обсудим чуть позже) — задача весьма рутинная. Ежедневно администратор должен создавать учетные записи и назначать корректные права для каждого нового пользователя, следить за наличием «бесхозных» аккаунтов и удалять их, интегрировать доступ из одной системы в другую и т. д. В случае если в организации предоставляется временный доступ к информационным системам для удаленных пользователей (клиентов, дистанционно работающих сотрудников, контрагентов и др.), необходимо обслуживать еще и их. Умножаем количество всех пользователей на количество систем в компании, учитываем разномастные и часто меняющиеся права доступа — вуаля: либо мы получаем очередного нервно дергающегося системного администратора, либо часть перечисленных задач попросту не выполняется. Любой из этих двух случаев влечет за собой повышение рисков информационной безопасности (ошибки при назначении прав доступа, отсутствие контроля за парольной политикой или принципом минимальных привилегий, нелегитимное использование «бесхозной» учетной записи и т. д.). На данном этапе логично задуматься об автоматизации подобных процессов, что в свое время и сделали создатели IDM. По задумке именно этот класс систем призван решать описанные проблемы. Но как показывает практика, подобный шаг является, во-первых, весьма дорогостоящим, а во-вторых, сложно осуществляемым в современных реалиях.
Немного истории развития IDM-систем
Изначально в ряд задач, выполняемых данными системами, входили только автоматизированное создание учетной записи и предоставление прав в системе при приеме сотрудника на работу в соответствии с его должностью и подразделением, изменение прав при переводе на другую должность, отзыв прав и блокирование учетных записей при увольнении. Со временем оказалось, что данного функционала уже недостаточно. В реальной жизни сотрудники, находящиеся на одинаковых (по названию) должностях, могли выполнять разные должностные обязанности, предполагающие существенно различающиеся полномочия по доступу к информационным ресурсам.
В связи с этим появились IAM-решения (Identity & Access Management). В данных системах стала использоваться комбинированная ролевая модель доступа, где каждому пользователю присваиваются роли в зависимости от должности с базовым набором прав доступа, а все остальные права добавляются по заявке сотрудника, которая затем подтверждается (или нет) владельцем ресурса (информационной системы). Также появился механизм SSO (Single Sign-On), предоставляющий возможность единого входа в комплекс систем. Благодаря данному механизму пользователю достаточно ввести свои аутентификационные данные только в одной точке входа, а далее SSO осуществляет авторизацию на всех остальных системах, к которым у пользователя предоставлен доступ. Это позволяет экономить время, которое тратится на повторный ввод логина/пароля. Помимо этого, у пользователя отпадает необходимость помнить весь набор паролей для получения доступа к системам, права к которым ему предоставлены. Это в свою очередь уменьшает количество заявок к администратору на восстановление пароля в случае его утраты пользователем. Однако не может быть плюсов без минусов: важность пароля для той единственной точки входа возрастает многократно. В случае попадания данного пароля в руки злоумышленника, у того сразу появится доступ ко множеству ресурсов.
С развитием технологий автоматизации бизнеса, а также ростом киберугроз стало понятно, что IDM должен не только оптимизировать деятельность ИТ, но и соответствовать актуальным вызовам информационной безопасности. В связи с этим IDM/IAM-решения были развиты до IGA (Identity Governance & Administration) путем внедрения таких механизмов, как:
- контроль конфликтных полномочий или, иначе, контроль SOD-конфликтов (Segregation of Duties) — под конфликтными полномочиями понимаются права доступа, которые не могут находиться у некоторых двух ролей одновременно;
- оценка рисков — системы научились осуществлять подсчет рисков для каждой роли, права и ресурса (например, значение риска, связанного с доступом к информации с высоким грифом конфиденциальности, будет, соответственно, больше, чем у аналогичного права доступа к информации с более низким грифом);
- ведение логов предоставления доступа к информационным ресурсам.
Сложности внедрения IDM-системы
С одной стороны, преимущества систем подобного класса очевидны: это и автоматизированный контроль прав доступа, и централизованное хранение учетных данных пользователей, и возможность ведения логов предоставления доступа к ресурсам, и повышение уровня информационной безопасности. Но, с другой стороны, за все хорошее всегда приходится платить. Как уже говорилось ранее, характерными особенностями IDM-систем являются их высокая стоимость и сложность внедрения.
Для того, чтобы внедрить IDM, необходимо провести большой комплекс работ, который часто остается за рамками планирования при подобных закупках:
- Анализ процессов в кадровых системах. Кадровые данные являются одним из главных источников информации для наполнения IDM. Необходимо осознавать, какая информация хранится в системах кадрового учета, какой структурой она обладает. Возможны ситуации, когда при внесении информации о сотруднике в IDM некоторые факторы могут быть не учтены (например, время пребывания сотрудника в отпуске) или данные могут быть внесены с ошибками (семантическими, грамматическими). Учитывая это, возникает потребность в стандартизации формата ввода данных еще на уровне информационной системы, чтобы упростить интеграцию с IDM.
- Подготовка информационных систем, которые будут интегрироваться в IDM. Для начала необходимо определиться, какие именно информационные системы будут интегрироваться в IDM. В разных системах могут использоваться различные интерфейсы управления доступом. В силу чего необходимо установить формат данных, доработать интерфейсы взаимодействия, чтобы избежать проблем в дальнейшем.
- Разработка ролевой модели доступа. Для каждой роли в информационной системе формируется список её базовых полномочий. В дальнейшем данный список дополняется для каждого отдельного представителя данной роли в других информационных системах. В организациях с сотнями ролей и тысячами пользователей часто используется принцип наследования прав. Например, роль «Администратор» включает в себя права, которыми обладает роль «Гость».
- Обучение сотрудников. Следует быть готовым к тому, что на первых стадиях внедрения нового решения сотрудники организации, привыкшие к старым процессам, будут испытывать значительные трудности, что поубавит энтузиазм (если он в принципе был). В таких случаях необходимо не просто разработать инструкции по использованию IDM, но и провести обучение: какие при этом цели преследуются, какие преимущества от нового подхода, как обращаться с новым интерфейсом и т. д.
Целесообразность внедрения IDM-системы
Учитывая стоимость IDM-системы и все трудности, связанные с ее внедрением, необходимо оценить целесообразность ее покупки. Для этого нужно проанализировать следующие аспекты:
- Масштабы и характер информационной инфраструктуры. Существует, некоторый порог численности штата (например, до 500 или 1000 человек), до которого не особо целесообразно внедрять IDM, так как с этой задачей справится и администратор. Это порой зависит от разнородности используемых систем и предоставляемых прав.
- Изменчивость информационной инфраструктуры. Данный аспект подразумевает под собой то, насколько часто в информационной инфраструктуре происходят слияния и разделения между ее различными компонентами. Если данные события происходят достаточно часто, то это еще один довод в пользу приобретения IDM.
- Интенсивность текучки кадров, а также риски по сотрудникам контрагентов, которые могут иметь доступ во внутренние системы. Чем выше текучка кадров, тем чаще происходят операции по добавлению/удалению учетных записей, назначению прав доступа. Следовательно, тем сложнее администрировать учетные записи. Аналогичная ситуация и с предоставлением временного доступа сотрудникам контрагентов.
- Высокий уровень рисков ИБ. В случае если утечка конфиденциальной информации или ее искажение из-за ошибки администрирования учетных записей влечет за собой серьезные убытки, то покупка IDM позволить снизить данные риски.
Выводы
Таким образом, IDM-система — продукт с относительно высокой стоимостью и сложной процедурой внедрения. Далеко не в каждой компании затраты на внедрение такой системы окупятся в приемлемые сроки. По мере развития и роста организация рано или поздно столкнется с проблемами, описанными выше. И уже тогда покупка IDM станет необходимым и целесообразным решением.
Ярослав Плотников
Менеджер по сопровождению корпоративных клиентов, Акрибия
Менеджер по сопровождению корпоративных клиентов, Акрибия
Другие публикации по теме