…Всё началось с отдела маркетинга. Эти милые люди подумали и решили, что нам (специалистам пресейла и сервисов) следует написать некоторое количество статей «на разные интересные темы». Темы они, как водится, придумали сами, исходя из видящихся им «потребностей рынка». (При этом, если взглянуть на них с нашего ракурса, темы были, мягко говоря, «не очень»…)

Нашей команде, отвечающей за развитие системы управления доступом и учётными записями пользователей Solar inRights, пришла в голову идея миссионерства (как бы громко это ни звучало): если уж писать обращение «к граду и миру», то пусть оно будет полезным инструментом для принятия взвешенных решений. Поэтому решено составить целостный цикл материалов, который поможет чётко осознать, какие действия и процедуры сопровождают внедрение IdM-решения.



Постараемся избегать непонятной терминологии и всё пояснять. Если что-то будет непонятно или вызовет вопросы, всегда можете задавать их в комментариях. Мы открыты и для ваших предложений — каким аспектам уделить особое внимание.

На начальном этапе мы видим следующее разбиение по темам:

  1. Что такое IdM?
  2. Как определить, что стоит задумываться о внедрении IdM?
  3. Мы поняли, что IdM нужен – что дальше?
  4. О финансах…
  5. Мы заключили договор. С чего начнётся работа?
  6. Подготовка к внедрению.
  7. Работы в процессе собственно внедрения (несколько дней из жизни инженера внедрения).
  8. Перевод системы «в продуктив» и сопутствующие процедуры.
  9. «Мы строили, строили и наконец построили…». Что дальше?

Перечень и количество тем может несколько меняться в зависимости от интереса аудитории и вдохновения авторов :)

Итак, ближе к делу!

Часть 1. Что такое IdM?


Разговор об IdM стоит начать с пояснения, что же такое управление учётными записями и правами пользователей и что такое управление доступом.

Давайте разбираться. В первую очередь стоит понять, откуда пошло название класса IdM-решений. Это сокращение от «Identity Management», т.е. «управление учётными данными». Обратимся к Википедии (да, именно к ней, это же первая ссылка в Гугле):

«Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД) с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач». (Источник).

Это – выдержка из статьи на русском языке, которая, впрочем, этим абзацем и ограничивается, если не считать ссылок на статьи об идентификации, аутентификации, авторизации и контроле доступа. Определение не настолько плохо, как можно было бы ожидать. На что стоит обратить внимание в приведённом отрывке? Специально выделю для акцента курсивом:

«Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.»

Т.е. мы видим, что суть управления учётными данными и доступом не сводится просто к какой-то одной системе, которая будет своеобразной кнопкой «сделать, чтобы было хорошо». Это целый комплекс, включающий:

  • определение целей вышеуказанной деятельности,
  • конкретизацию подхода к достижению выбранных целей и решению поставленных задач,
  • выстраивание процессов и процедур,
  • распределение ролей в бизнес-структуре,
  • выбор решения, которое будет осуществлять управление учётными данными и правами пользователей,
  • а также, уже ближе к завершению – собственно процесс внедрения IdM-решения.

Хорошо, с этим разобрались. Но всё же:

  • Что именно включает в себя управление учётными данными?
  • Какие процедуры и процессы относятся к этой деятельности?

Мы подошли к самой интересной части. Интересна она тем, что сложно найти точное указание на то, что относится к управлению доступом и учётными данными, а что – уже не относится. Identity Management – очень широкий и, если позволите, «загруженный» и «безграничный» термин, который включает в себя массу понятий. На практике мы систематически сталкиваемся с тем, что в каждой организации свой подход к управлению доступом и свои представления о том, что относить к IdM-тематике, а что – нет.

Вспоминается притча о трёх слепых, пытающихся описать слона: один из них подошёл к слону сзади, ощупал хвост и сказал, что слон похож на верёвку; второй подошёл спереди, ощупал хобот и сказал, что слон похож на змею; третий же подошёл сбоку, ощупал ногу и сообщил, что слон напоминает столб или колонну. Суть в том, что каждый в отдельности имел неполные сведения и потому не мог осознать слона как целое, до этого со слоном не сталкиваясь и не имея понятия о том, что он такое.



С IdM похожая история – слишком много различных функций и возможностей, чтобы осознать системно всю полноту. Иногда возникают совсем неожиданные темы, о которых до начала работы с решением никто и не задумывался. Профессионалам ИБ и ИТ важно понимать не только техническую составляющую управления доступом и учётными данными, но и то, каковы потребности в отношении связанных с IdM процессов в каждой конкретной компании. Стоит учитывать, что с каждым годом инфраструктурный ландшафт усложняется, и прежде эффективные методы управления доступом и учётными данными (ручное управление группами доступа, службами каталога, попытки вести ролевые модели на бумаге, профили пользователей и т.д.) оказываются уже не способными соответствовать потребностям бизнеса. Потому со временем они будут заменены современными средствами управления идентификацией, аутентификацией, авторизацией (совокупно – управления доступом) и системами аудита.

Когда начинаем говорить о внедрении какого-то IdM-решения, представители компаний часто с удивлением открывают для себя, что ещё до запуска собственно процесса внедрения нужно во всей полноте понимать:

  • Какие кадровые процессы есть в компании.
  • Кто и как принимает решение о том, куда каждый из пользователей должен иметь доступ.
  • Какие есть роли.
  • Какие сервисы должны быть доступны каждому из пользователей.
  • Как синхронизировать обновление данных в различных бизнес-системах.
  • Какие процедуры должны применяться.
  • Какой аудит должен осуществляться в системе и т.д.

Стоит вспомнить о том, что есть несколько уровней управления доступом:

  • Административный (политики и процедуры, контроль и обучение персонала).
  • Физический (обеспечение безопасности периметра, разделение рабочих зон, резервирование данных).
  • Технический (разграничение логического и физического доступа к системам, пересмотр сетевой архитектуры, безопасность данных, аудит).

Все они влияют на то, каким будет процесс управления учётными данными и правами пользователей.

Общаясь с коллегами, которые уже пережили внедрение IdM-решения, я пыталась выяснить, а что же нового в связи с внедрением и освоением IdM приходилось делать ИТ- и ИБ-специалистам компаний-заказчиков. В ходе бесед выяснилось, что им пришлось пересмотреть подходы к управлению доступом, внести изменения в существующие бизнес-процессы, в ряде информационных систем произошли изменения и т.д.

Всё указанное привожу здесь не для того, чтобы отбить у кого-либо желание связываться с внедрением IdM-решений, а для того, чтобы каждому приблизительно стал понятен фронт работ, и чтобы не было обманутых ожиданий типа: «А мы-то думали, что с внедрением IdM сразу можно расслабиться…».



Внедрение IdM – это история не о том, как инженеры интегратора развернули выбранное вами решение, и «всё сразу стало хорошо».

Это история о том, как в процессе трансформации и роста зрелости сервисов ИТ и ИБ создаётся целая система управления доступом с понятными всем участникам процесса целями и задачами, учётными записями и правами пользователей, которая включает в себя перечень процессов и процедур, физических, технических и административных мер, а также само IdM-решение или IGA-платформу.

О том, как взвешенно и грамотно подойти к созданию такой системы, мы будем рассказывать в серии статей максимально подробно.

В качестве анонса приведу то, о чём расскажем в следующей статье:

  1. Как понять, что конкретной компании уже стоит внедрять IdM? Частые ситуации и проблемные истории.
  2. Возможные варианты внедрения процессов управления доступом сотрудников и использования IdM-решения.
  3. Про аудит и комплаенс.

Кроме того, полезно, на мой взгляд, ознакомиться со статьей нашего коллеги из Solar Security о том, как IdM работает в связке с ITSM.

Комментарии (0)