Внедрение IdM. Часть 1: что такое IdM и какая функциональность к нему относится

    …Всё началось с отдела маркетинга. Эти милые люди подумали и решили, что нам (специалистам пресейла и сервисов) следует написать некоторое количество статей «на разные интересные темы». Темы они, как водится, придумали сами, исходя из видящихся им «потребностей рынка». (При этом, если взглянуть на них с нашего ракурса, темы были, мягко говоря, «не очень»…)

    Нашей команде, отвечающей за развитие системы управления доступом и учётными записями пользователей Solar inRights, пришла в голову идея миссионерства (как бы громко это ни звучало): если уж писать обращение «к граду и миру», то пусть оно будет полезным инструментом для принятия взвешенных решений. Поэтому решено составить целостный цикл материалов, который поможет чётко осознать, какие действия и процедуры сопровождают внедрение IdM-решения.



    Постараемся избегать непонятной терминологии и всё пояснять. Если что-то будет непонятно или вызовет вопросы, всегда можете задавать их в комментариях. Мы открыты и для ваших предложений — каким аспектам уделить особое внимание.

    На начальном этапе мы видим следующее разбиение по темам:

    1. Что такое IdM?
    2. Как определить, что стоит задумываться о внедрении IdM?
    3. Мы поняли, что IdM нужен – что дальше?
    4. О финансах…
    5. Мы заключили договор. С чего начнётся работа?
    6. Подготовка к внедрению.
    7. Работы в процессе собственно внедрения (несколько дней из жизни инженера внедрения).
    8. Перевод системы «в продуктив» и сопутствующие процедуры.
    9. «Мы строили, строили и наконец построили…». Что дальше?

    Перечень и количество тем может несколько меняться в зависимости от интереса аудитории и вдохновения авторов :)

    Итак, ближе к делу!

    Часть 1. Что такое IdM?


    Разговор об IdM стоит начать с пояснения, что же такое управление учётными записями и правами пользователей и что такое управление доступом.

    Давайте разбираться. В первую очередь стоит понять, откуда пошло название класса IdM-решений. Это сокращение от «Identity Management», т.е. «управление учётными данными». Обратимся к Википедии (да, именно к ней, это же первая ссылка в Гугле):

    «Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД) с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач». (Источник).

    Это – выдержка из статьи на русском языке, которая, впрочем, этим абзацем и ограничивается, если не считать ссылок на статьи об идентификации, аутентификации, авторизации и контроле доступа. Определение не настолько плохо, как можно было бы ожидать. На что стоит обратить внимание в приведённом отрывке? Специально выделю для акцента курсивом:

    «Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.»

    Т.е. мы видим, что суть управления учётными данными и доступом не сводится просто к какой-то одной системе, которая будет своеобразной кнопкой «сделать, чтобы было хорошо». Это целый комплекс, включающий:

    • определение целей вышеуказанной деятельности,
    • конкретизацию подхода к достижению выбранных целей и решению поставленных задач,
    • выстраивание процессов и процедур,
    • распределение ролей в бизнес-структуре,
    • выбор решения, которое будет осуществлять управление учётными данными и правами пользователей,
    • а также, уже ближе к завершению – собственно процесс внедрения IdM-решения.

    Хорошо, с этим разобрались. Но всё же:

    • Что именно включает в себя управление учётными данными?
    • Какие процедуры и процессы относятся к этой деятельности?

    Мы подошли к самой интересной части. Интересна она тем, что сложно найти точное указание на то, что относится к управлению доступом и учётными данными, а что – уже не относится. Identity Management – очень широкий и, если позволите, «загруженный» и «безграничный» термин, который включает в себя массу понятий. На практике мы систематически сталкиваемся с тем, что в каждой организации свой подход к управлению доступом и свои представления о том, что относить к IdM-тематике, а что – нет.

    Вспоминается притча о трёх слепых, пытающихся описать слона: один из них подошёл к слону сзади, ощупал хвост и сказал, что слон похож на верёвку; второй подошёл спереди, ощупал хобот и сказал, что слон похож на змею; третий же подошёл сбоку, ощупал ногу и сообщил, что слон напоминает столб или колонну. Суть в том, что каждый в отдельности имел неполные сведения и потому не мог осознать слона как целое, до этого со слоном не сталкиваясь и не имея понятия о том, что он такое.



    С IdM похожая история – слишком много различных функций и возможностей, чтобы осознать системно всю полноту. Иногда возникают совсем неожиданные темы, о которых до начала работы с решением никто и не задумывался. Профессионалам ИБ и ИТ важно понимать не только техническую составляющую управления доступом и учётными данными, но и то, каковы потребности в отношении связанных с IdM процессов в каждой конкретной компании. Стоит учитывать, что с каждым годом инфраструктурный ландшафт усложняется, и прежде эффективные методы управления доступом и учётными данными (ручное управление группами доступа, службами каталога, попытки вести ролевые модели на бумаге, профили пользователей и т.д.) оказываются уже не способными соответствовать потребностям бизнеса. Потому со временем они будут заменены современными средствами управления идентификацией, аутентификацией, авторизацией (совокупно – управления доступом) и системами аудита.

    Когда начинаем говорить о внедрении какого-то IdM-решения, представители компаний часто с удивлением открывают для себя, что ещё до запуска собственно процесса внедрения нужно во всей полноте понимать:

    • Какие кадровые процессы есть в компании.
    • Кто и как принимает решение о том, куда каждый из пользователей должен иметь доступ.
    • Какие есть роли.
    • Какие сервисы должны быть доступны каждому из пользователей.
    • Как синхронизировать обновление данных в различных бизнес-системах.
    • Какие процедуры должны применяться.
    • Какой аудит должен осуществляться в системе и т.д.

    Стоит вспомнить о том, что есть несколько уровней управления доступом:

    • Административный (политики и процедуры, контроль и обучение персонала).
    • Физический (обеспечение безопасности периметра, разделение рабочих зон, резервирование данных).
    • Технический (разграничение логического и физического доступа к системам, пересмотр сетевой архитектуры, безопасность данных, аудит).

    Все они влияют на то, каким будет процесс управления учётными данными и правами пользователей.

    Общаясь с коллегами, которые уже пережили внедрение IdM-решения, я пыталась выяснить, а что же нового в связи с внедрением и освоением IdM приходилось делать ИТ- и ИБ-специалистам компаний-заказчиков. В ходе бесед выяснилось, что им пришлось пересмотреть подходы к управлению доступом, внести изменения в существующие бизнес-процессы, в ряде информационных систем произошли изменения и т.д.

    Всё указанное привожу здесь не для того, чтобы отбить у кого-либо желание связываться с внедрением IdM-решений, а для того, чтобы каждому приблизительно стал понятен фронт работ, и чтобы не было обманутых ожиданий типа: «А мы-то думали, что с внедрением IdM сразу можно расслабиться…».



    Внедрение IdM – это история не о том, как инженеры интегратора развернули выбранное вами решение, и «всё сразу стало хорошо».

    Это история о том, как в процессе трансформации и роста зрелости сервисов ИТ и ИБ создаётся целая система управления доступом с понятными всем участникам процесса целями и задачами, учётными записями и правами пользователей, которая включает в себя перечень процессов и процедур, физических, технических и административных мер, а также само IdM-решение или IGA-платформу.

    О том, как взвешенно и грамотно подойти к созданию такой системы, мы будем рассказывать в серии статей максимально подробно.

    В качестве анонса приведу то, о чём расскажем в следующей статье:

    1. Как понять, что конкретной компании уже стоит внедрять IdM? Частые ситуации и проблемные истории.
    2. Возможные варианты внедрения процессов управления доступом сотрудников и использования IdM-решения.
    3. Про аудит и комплаенс.

    Кроме того, полезно, на мой взгляд, ознакомиться со статьей нашего коллеги из Solar Security о том, как IdM работает в связке с ITSM.
    Solar Security 318,78
    Безопасность по имени Солнце
    Поделиться публикацией
    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое