Михаил Башлыков:
Как управление рисками доступа повышает уровень
ИБ
В России существует, пожалуй, немного компаний, в которых доступ сотрудников к корпоративным информационным ресурсам никак не регламентируется. Управление идентификационными данными и доступом так или иначе осуществляется. Но что делать, если с ростом бизнеса привычные решения перестают быть эффективными? Михаил Башлыков, руководитель направления информационной безопасности компании КРОК, рассказывает о том, как связаны уровень зрелости компании-заказчика и готовность внедрять инструменты класса IAM.
CNews: Что представляют собой современные системы класса IAM, каков их функционал?
Михаил Башлыков: Компании используют
множество информационных систем и бизнес-приложений. Доступ ко всем этим
ресурсам предполагает разный уровень — в зависимости от функциональных
обязанностей каждого сотрудника. Данные о том, кто имеет соответствующие права,
часто не структурированы, а потому управление ими затруднено. В результате
возникает путаница: кто из сотрудников и куда имеет доступ, на основании чего
он его получил? Повышение нагрузки на системных администраторов в связи с
решением задач предоставления доступа приводит к тому, что стоимость владения
информационными системами возрастает, а риски ИБ увеличиваются.
Под системами класса
управления идентификационными данными и доступом (Identity & Access
Management; IAM)
подразумевается целый пласт различных инструментов, которые позволяют решать
задачи от самых простых (или базовых) до уникальных. Это и синхронизация
нескольких каталогов идентификационных данных между собой, и создание учетных
записей со сложными цепочками согласований — как с владельцами ресурсов, так и
с представителями служб информационной безопасности (ИБ). Сюда также входят
задачи контроля доступа к информационным системам.
Один из наиболее
актуальных трендов в сегменте IAM
сегодня – управление рисками доступа. Этот вопрос мы в числе прочего планируем
рассмотреть в рамках масштабного мероприятия,
включающего в себя турнир среди сильнейших white-hat-хакеров страны, а также
конференцию, посвященную обсуждению решений, направленных на повышение
уровня информационной безопасности в корпоративной среде.
Дело в том, что информация только лишь о правах доступа пользователей может ни
о чем не говорить сотруднику, ответственному за принятие решения. Как в
действительности он должен поступить: утвердить этот уровень доступ или
отклонить? Механизм управления рисками доступа для данного сотрудника дает
согласующему дополнительную, более детально просчитанную информацию об уровне
риска в соответствии с существующими правами доступа, а потому позволяет
принять гораздо более взвешенное решение.
Другой подход к
управлению рисками состоит в том, чтобы контролировать доступ на основании заданных
правил – к примеру, такого: в рабочие часы сотрудник не должен находиться в
определенной комнате и осуществлять работу с кадровыми системами. Проверка, кто
же в действительности получил доступ в помещение, требующее повышенного уровня
безопасности, осуществляется с помощью IAM-системы, которая может сравнить
данные идентификатора (например, смарт-карты), предъявленного при доступе в
помещение, с данными модуля распознавания лица, полученными от системы
видеонаблюдения. В случае несовпадения запускаются заданные цепочки событий,:
так, доступ для сотрудника может быть заблокирован с немедленным уведомлением
службы безопасности.
CNews: Как Вы оцениваете изменение российского рынка систем IAM?
Михаил Башлыков: В последнее время спрос
на подобные проекты вырос, и тому есть объяснение. Рынок уже хорошо «разогрет»
как производителями, так и интеграторами, и уровень зрелости ИТ и бизнеса в
российских компаниях неуклонно повышается. Расти действительно есть куда:
сегодня еще не все предприятия готовы к внедрению IAM-систем — и не с технической точки
зрения, а скорее, с идеологической. Зачастую компании ожидают, что система IAM будет
представлена в виде коробочного продукта, внедрение которого ограничится
установкой и небольшой настройкой. Но это представление далеко от реальности.
Самая большая сложность заключается в непонимании заказчиком, что внедрение IAM – это по
большей части консалтинговый проект. До 60 % всех работ отводится на
описание, перестраивание бизнес-процессов компании, подготовку организационно-регламентной
документации и т. д. Соответственно, наличие формализованных
бизнес-процессов — требование номер один. Получается, создание IAM-систем
сейчас — фактически роскошь, доступная лишь крупным игрокам с высоким уровнем
зрелости бизнеса. Чаще это финансовый сектор, металлургические, нефтегазовые
компании.
CNews: Как долго длится проект по внедрению IAM-системы?
Михаил Башлыков: Исходя из опыта, могу
сказать, что длительность комплексных проектов начинается от года. При этом
лучше разбить проект на этапы (чем больше — тем лучше) для более быстрого
получения видимых результатов по выбранным ключевым параметрам. Сроки проекта
напрямую зависят от степени прозрачности бизнес-процессов в компании, зрелости
самого бизнеса, а также понимания руководством необходимости внедрения систем
подобного класса. Привычка сотрудников работать по-старому является наиболее
сильным препятствием. На сроки выполнения проекта также влияет количество
внедряемых подсистем и их возможности по интеграции с системами заказчика. Само
по себе число пользователей в компании имеет слабое значение. Общее количество
управляемых объектов в информационных системах: атрибутов и ролей, которые
нужно использовать при построении ролевой модели доступа, учитывающей правила
разграничения полномочий, — гораздо важнее.
CNews: Какие явления можно назвать драйверами IAM-проектов?
Михаил Башлыков: Это в первую очередь
естественное развитие ИТ-инфраструктуры заказчиков, при котором ее сложность
увеличивается до такого уровня, что управление учетными записями и доступом
начинает требовать значительных вложений. Из-за недостаточности прав доступа к
информационным системам и ошибок их администраторов учащаются простои в работе
конечных пользователей. Отсутствие прозрачности в понимании того, кто из
сотрудников и к каким информационным системам должен иметь доступ, порождает
ситуации с избыточными правами. Нередки ситуации, когда остаются активными
учетные записи бывших сотрудников. Все это приводит к прямым финансовым и
репутационным потерям компаний.
К внедрению IAM-систем часто
проводит желание автоматизировать процессы управления учетными записями и
доступом к ресурсам при изменении кадровой информации сотрудников. Например,
если сотрудник перешел из одного отдела в другой, то доступ к одним системам
ему теперь должен быть закрыт, а к другим, напротив, разрешен. Совершение этих
действий вручную требует усилий и времени администратора, а с помощью IAM-системы все
происходит автоматически. Хотя, как правило, заказчики просят, чтобы
администратор или руководитель отдела все-таки имел возможность видеть эти
изменения. Совсем без контроля подобные процессы оставлять нельзя. Кроме этого,
сотрудники могут самостоятельно запросить необходимые права доступа через
портал самообслуживания.
Частыми
предпосылками к внедрению IAM-систем
являются также требования западных материнских компаний соответствия
корпоративным правилам информационной безопасности или отраслевым стандартам.
CNews: Как давно КРОК развивает эту практику?
Михаил Башлыков: Первый проект был
реализован в 2004 году для одной крупной промышленной компании. Стояла задача,
которая сейчас уже является типовой, — синхронизировать несколько каталогов
идентификационных данных.
Своего рода
переломным моментом в развитии этого направления в КРОК стал исследовательский
проект по изучению рынка, на который мы решились в 2012 году. Потратив более
полугода на серьезнейшее сравнение существующих на рынке продуктов как с
технологической точки зрения, так и с организационной (степень присутствия
производителя, маркетинговая поддержка и т. п.), мы в итоге определили
круг производителей, по продуктам которых сейчас развиваем компетенции. Мы
постарались также выделить категории заказчиков IAM-систем и их потребности.
CNews: Кто основные игроки на рынке производителей IAM-систем?
Михаил Башлыков:: На рынке IAM-решений хорошо
известны продукты традиционных игроков – Oracle, IBM, Microsoft, NetIQ и Dell/Quest. Существуют и
компании, специализирующиеся исключительно на IAM. К ним относятся, например, SailPoint, Trustverse
и др.
CNews: Расскажите о команде КРОК, занятой в IAM-проектах.
Михаил Башлыков: IAM-системы в равной степени относятся
как к информационной безопасности, так и к системным решениям, поэтому данным
направлением в нашей компании занимаются сразу два соответствующих
подразделения. Команда сертифицированных специалистов насчитывает более 20
человек.
CNews: Давайте поговорим о проектах. О каких наиболее
интересных можете рассказать?
Михаил Башлыков: В прошлом году мы
закончили создание системы организации ролевого доступа в одной очень крупной
добывающей компании. Ее филиалы распределены по всей территории страны, от
Москвы до Сахалина, и объединены одной инфраструктурой. Общее количество
пользователей насчитывает порядка 10 тыс. человек. Проект был завершен всего за
полгода – это очень хороший показатель.
Основной проблемой было то, что в
организации существует несколько кадровых систем, в которые постоянно вносятся
изменения: прием на работу новых сотрудников, увольнение, кадровые
перестановки. На поддержание в актуальном состоянии соответствующих «хранилищ»
администраторы со стороны как ИТ, так и HR тратили огромные ресурсы, поэтому бизнес был крайне
заинтересован во внедрении инструмента автоматизации таких процессов. Кроме
этого, на предприятии шел проект по реализации системы документооборота и
финансового прогнозирования – очень крупных промышленных решений, поэтому
возникла необходимость автоматизировать ролевое разграничение доступа
пользователей к информационным ресурсам компании.
Основой решения стал продукт Microsoft
Forefront Identity Manager. Он позволил автоматизировать процесс управления
учетными данными, сделать его экономичным, а также удобным и простым как для
пользователей, так и для администраторов. Заказчику требовалась гибкость
управления идентификационными данными, прозрачность администрирования ими,
поэтому в проекте также был использован продукт Quest ActiveRoles Server – своего рода
портал самообслуживания. Однако сегодня схожий по функциональности портал
предусмотрен и в последней версии Microsoft FIM R2.
Проект
завершился успешно. Хорошим базисом, ускорившим реализацию проекта, стало то,
что у заказчика инфраструктура ИТ уже была развита, также были
регламентированы бизнес-процессы. Теперь всегда можно доподлинно восстановить
всю цепочку согласования прав доступа пользователя: кто, по какой заявке, с
какой целью разрешил доступ. «Бесхозных» учетных записей, которые ни за кем не
закреплены, теперь попросту нет. Еще один ощутимый результат проекта –
отсутствие несоответствий между учетными записями и кадровой базой, которых
раньше могло быть до 30 % от общего числа учетных записей (ошибки традиционны:
путаница с латинскими буквами C
и S, несоблюдение правил
транслитерации и пр.). За счет автоматизации создания и проверки вводимых
данных подобные ошибки теперь исключены, как и вопросы наподобие «Почему не
заводится почтовый ящик?». Раньше на поиски ответа могли потребоваться часы и
дни, сейчас вне зависимости от того, где находится пользователь — на Сахалине
или в Москве — почтовый ящик создается практически мгновенно и в том
организационном подразделении, в той базе данных и на том сервере, которые
нужны.
CNews: Интересны ли IAM-системы госсектору?
Михаил Башлыков: А почему нет? Во второй
половине прошлого года мы занялись масштабным проектом в госстуктуре,
отвечающей за сеть поликлиник Москвы.
Его специфика
заключается в том, что вся ИТ-инфраструктура, рассчитанная на более
50 тыс. пользователей, строилась с нуля. Это позволило заложить в ее
основу изначально правильные и современные подходы к управлению
идентификационными данными и доступом. Мы провели большую консалтинговую работу
и подошли к построению IAM-решения
с точки зрения сервисно-ориентированного подхода. Это позволило разнести логику
IAM-системы на
функциональные блоки, каждый из которых можно заменить на новый без ущерба для
работы остальных.
Речь идет о
проекте создания Единой медицинской
информационно-аналитической системы (ЕМИАС) г. Москвы. Одним из
подводных камней бизнес-процессов заказчика в данном случае является
возможность работы сотрудников по совместительству: один и тот же медработник
может быть на службе в разных организациях, к тому же в различных должностях
(другими словами, он может представать в медицинских ИС в различных ипостасях).
Скажем, в одной поликлинике он работает хирургом, в другой — терапевтом. Многие
IAM-системы не
понимают таких различий – для них это просто разные пользователи.
CNews: Сервисно-ориентированный подход – это ваше ноу-хау?
Михаил Башлыков: Можно и так сказать.
Интегрировать IAM с какими-то
информационными системами можно по-разному. Например, с помощью своего рода
коннекторов – это самый распространенный способ. Однако ограничения большинства
IdM продуктов таковы, что
в случае обновления ИС, коннектор перестает работать и его также нужно
адаптировать, что зачастую может потребовать программной доработки как самого
коннектора, так и IAM-системы.
Ввиду постоянного изменения ИС описанный процесс доработки может происходить до
бесконечности.
В части
интеграции c ИС в проекте для ЕМИАС
мы решили предложить совсем другой подход – унифицированный, заключающийся в
предъявлении единых требований к интерфейсу взаимодействия между IAM-системой и ИС.
Это позволило заказчику абстрагироваться от проблемы версионности коннекторов и
не зависеть от специфики управления идентификационными данными в ИС.
CNews: Какова доля импровизации в проектах IAM?
Михаил Башлыков: Каждый проект
нестандартен, это обусловлено уникальностью инфраструктуры и бизнес-процессов
заказчика. Так, в 2011 году мы закончили проект для одной крупной страховой
компании. Потребности были классические: создать инструмент для
централизованного управления идентификационными данными и доступом для
пользователей, количество которых было порядка 4 тыс. На начало работ в
компании централизованного администрирования учетных записей не было вообще.
Принятые процессы управления идентификационными данными были сильно
фрагментированы. ИТ-инфраструктура включала в себя большое число уникальных
информационных систем, созданных программистами самой компании.
На уровне
каждого ресурса, – будь то базовые ИТ-сервисы или бизнес-приложения, такие как
интернет-магазин, — существовали собственные механизмы контроля доступа и
аутентификации пользователей.
Внедрение IAM-системы
позволило заказчику централизовать процессы как управления идентификационными
данными, так и непосредственного контроля доступом. Теперь создание и изменение
данных происходит только через цепочку согласования с ответственными лицами —
владельцами ИС и сотрудниками службы безопасности. Вместо разрозненных
механизмов аутентификации для интегрированных ИС теперь применяется единая
подсистема доступа. Кроме этого, реализован процесс аттестации доступа
сотрудников: на периодической основе введена проверка соответствия выделенных
прав доступа на предмет их избыточности.
CNews: Сколько стоит внедрение систем и отчего зависит цена?
Михаил Башлыков: Стоимость зависит от
задач, которые заказчик хочет решить, от выбора решения, потому как его
технические и технологические ограничения накладывают довольно большой отпечаток
на объем внедренческих работ, доработки и т. д. Это то, что касается
интеграции. Порядок стоимости консалтинга определяется тем, как выстроены и
формализованы существующие бизнес-процессы, насколько быстро их удастся
привести к тому виду, который требуется.
CNews: Велики ли трудозатраты со стороны заказчика при
внедрении?
Михаил Башлыков: Да, велики, и это
важно. В первую очередь мы работаем с бизнесом, и нам не обойтись без
сотрудничества с владельцами тех бизнес-процессов, которые затрагивает внедрение
IAM-системы. Кроме
них к работе должны подключиться также архитекторы информационных систем,
ответственные за их развитие, и технические специалисты, непосредственно
эксплуатирующие и обслуживающие их. Мы ожидаем полного вовлечения заказчика в
проект – только так можно рассчитывать на успех.
Кроме того, мы
выступаем за то, чтобы на стороне заказчика был создан центр развития IAM-системы, в
ключевых аспектах повторяющий ее, функционирующую в промышленной эксплуатации.
Такой центр позволяет заказчику тестировать изменения функционала и внутренней
логики IAM-системы,
которые по той или иной причине не могут быть апробированы в условиях
промышленной эксплуатации непосредственно после внедрения.
CNews: Сколько проектов ведет КРОК сейчас?
Михаил Башлыков: Сегодня на разной
стадии реализации у нас находятся три проекта. За все время развития этого
направления КРОК осуществил более 10 проектов для крупных компаний из сфер
финансов, телекома, производственного и государственного секторов, бизнес
которых достиг соответствующего уровня зрелости.
CNews: Какое сценарий развития этого направления вы прогнозируете?
Михаил Башлыков: Количество запросов на
построение таких систем растет. В ближайшей перспективе мы ожидаем возрастание
спроса на решения класса IAM.
Соглашаются с этим и аналитики, прогнозирующие к 2017 году увеличение
российского рынка cистем
идентификации до 10 раз (по сравнению с 2012
годом). Стоит также отметить, что сейчас происходит постепенная конвергенция
технологий IAM
cо смежными технологиями
безопасности, такими как GRC,
SIEM и DLP, что позволяет
подходить к решению задач обеспечения ИБ на принципиально ином уровне. КРОК
готов следовать за конъюнктурой рынка, способен подстроиться под любые
требования заказчика и предложить уникальные решения.