В современной корпоративной среде системы управления идентификацией и доступом (IDM) перестали быть просто инструментом информационной безопасности, превратившись в важный элемент выстраивания бизнес-процессов в компаниях. За последние 12 лет мне довелось участвовать в реализации более тридцати проектов внедрения таких систем в организациях различного масштаба и отраслевой принадлежности. Этот опыт позволил оценить значимость выстраивания стратегии внедрения с учетом целей и задач Заказчиков.

В этой статье мы кратко расскажем о современных тенденциях в области внедрения IDM-систем и рассмотрю основные подходы, которые применяются в нашей практике.

Традиционный подход

Этот подход мы назвали традиционным, так как около 80% наших проектов реализовывались по следующей, привычной схеме: имеется существующая инфраструктура и ставится цель автоматизировать базовые процессы управления доступом к информационным системам Заказчика путем внедрения технического решения класса IDM. Основные акценты делаются на управлении жизненным циклом учетных записей, запросе и согласовании ролей, процедурах аттестации и ресертификации доступа. Особое внимание уделяется интеграциям с информационными системами, число которых служит ключевой метрикой для оценки стоимости и продолжительности проекта.

Особенностями такого подхода являются умеренный бюджет, возможность отложить реализацию сложных компонентов (например, ролевой модели) на последующие этапы, фокусировка на интеграциях и автоматизации жизненного цикла учетных записей. Такой подход позволяет получить быстрый результат, так как базовые функции можно запускать на ранних стадиях проекта. Для быстрого достижения результата мы применяем гибкие методологии управления, позволяющие поэтапно вводить систему в эксплуатацию.

Реализацию таких проектов можно разделить на четыре фазы. Первая включает в себя проектно-изыскательские работы: сбор и анализ требований, проектирование. Затем формируется ядро системы: интеграция с источниками кадровых данных, подключение службы каталогов и других базовых инфраструктурных сервисов, управление жизненным циклом доступов. Это позволяет начать эксплуатацию и получить ощутимый эффект уже через 4–6 месяцев. Параллельно с опытной эксплуатацией происходит масштабирование системы: подключение новых информационных систем и расширение списка автоматизируемых процессов. Завершающая фаза — перевод системы в промышленную эксплуатацию. В результате Заказчик получает систему, закрывающую требования в части автоматизации управления базовыми и расширенными доступами, а также фундамент для дальнейшего развития IDM.

Расширенный подход

Прежде чем переходить к следующему подходу, рассмотрим основные причины внедрения IDM-систем.

Ключевыми бенефициарами внедрения IDM-системы обычно являются три стороны: ИТ, ИБ и бизнес. ИБ получает инструмент контроля, аудита и обеспечивает соблюдение регламентов. ИТ — способ автоматизации рутинных задач, что помогает оптимизировать ресурсы и снижать число ошибок при ручном администрировании доступов. А бизнес заинтересован в снижении операционных расходов за счет оптимизации бизнес-процессов и минимизации финансовых потерь, связанных с внутренними утечками или компрометацией учетных данных.

И если интересы первых двух сторон закрывает традиционный подход, то для решения запросов бизнеса внедрения одного только технического средства уже недостаточно. Теперь для решения комплексных бизнес-задач IDM-проект обрастает значительным объемом консалтинга. Помимо базовой автоматизации реализуется управление рисками, процессы управления доступом встраиваются в бизнес-процессную модель компании, разрабатывается и внедряется RBAC-модель разграничения доступа. При этом формируются и проводятся организационные изменения, необходимые для успешного решения бизнес-задач. Целью становится создание не просто технического средства, а комплекса методик и практик, позволяющего в разрезе операционно-хозяйственной деятельности организации создать глобальную среду управления доступом, которая помимо основных функций IDM решает задачи авторизации, аутентификации и контроля привилегированных пользователей.

Для решения таких задач мы пришли к подходу, который мы называем расширенным. Суть его заключается в следующем: акцент делается не на техническом решении, а на методологии и интеграции IDM в бизнес-процессы компании. При этом для удовлетворения потребностей всех заинтересованных сторон применяются стандарты и лучшие практики, что позволяет достичь максимального бизнес-эффекта.

Подход предполагает реализацию проекта строго по каскадной модели с 7 последовательными фазами: инициация, определение, проектирование, разработка, тестирование, развертывание и завершение. Система вводится в эксплуатацию на этапе развертывания, все предыдущие фазы являются подготовительными. В рамках проекта выделяются отдельные треки: бизнес-процессы, техническая реализация (интеграции, кастомизация, доработка функционала), консалтинг по ролевой модели, риск-менеджменту, бизнес-процессам и организационным изменениям.

Трек технической реализации, помимо внедрения основных функций IDM-систем, может включать в себя выстраивание процессов управления привилегированным доступом за счет интеграции с PAM, единого процесса управления аутентификацией и авторизацией пользователей за счет интеграции с IAM и MFA. На наш взгляд, включение этих процессов в скоуп проекта является одним из шагов на пути к созданию глобальной среды управления доступом.

Трек организационных изменений позволяет провести трансформацию бизнес-процессов без ущерба для деятельности организации. Мы тщательно прорабатываем все изменения, определяем новые функциональные роли, предлагаем выделить или реорганизовать необходимые для функционирования IDM-системы и связанных бизнес-процессов подразделения. Вся эта подготовка проводится до этапа развертывания, чтобы осуществить плавный запуск системы и избежать нарушений в функционировании информационных систем и бизнес-процессов.

Треки, связанные с ролевой моделью и риск-менеджментом, включают в себя глубокий анализ ролей и полномочий в информационных системах, выстраивание корреляции между ролями участников бизнес-процессов и наборами доступов, необходимых для выполнения требуемых бизнес-операций. Также на данном этапе ролям определяется и присваивается индекс риска, позволяющий управлять избыточными и конфликтными назначениями ролей и полномочий.
Такие проекты требуют значительно больше временных, финансовых и человеческих ресурсов по сравнению с традиционным подходом, при этом осязаемый результат Заказчик получает только на финальных стадиях. Однако в силу глубокой проработки результат получается более целостным, функциональным и не требует значительных доработок на этапе эксплуатации, что значительно снижает стоимость владения системой.

Гибридный подход

Третий подход мы называем гибридным. Он сочетает в себе преимущества первых двух, обеспечивая гибкость в управлении сроками и ресурсами, а также позволяет оперативно реагировать на любые изменения внутри организации на протяжении внедрения системы. На старте проекта определяются правила работы, формулируются ключевые цели и образ конечного результата. Далее проект делится на последовательные циклы, в рамках каждого цикла формируются актуальные требования Заказчика с учетом приоритетов и текущих потребностей, а также определяются границы работ. Внутри цикла может применяться как традиционный, так и расширенный подход к организации работ. По завершении каждого цикла результат принимается Заказчиком и вводится в эксплуатацию.

Такой подход особенно эффективен, когда в процессе внедрения:

происходят постоянные организационные изменения внутри компании — приобретение новых активов, открытие новых филиалов, разделение юридических лиц;
меняется инфраструктура — внедряются новые сервисы, выводятся из эксплуатации или модернизируются устаревшие информационные системы;
меняются требования регуляторов или политика в области обеспечения информационной безопасности;
эксплуатирующая сторона глубже понимает возможности системы и формулирует новые требования.

Подведем итоги

Традиционный подход дает быстрый результат при ограниченном бюджете, позволяет вводить систему поэтапно. Ему свойственны жесткие проектные границы, функционал системы ограничен исходными требованиями. Расширенный подход обеспечивает максимальный бизнес-эффект и позволяет построить глобальную среду управления доступом, но требует значительных временных и финансовых ресурсов при достижении результата только на завершающей стадии проекта. Гибридный подход предлагает гибкость в управлении изменениями в требованиях, дает возможность перераспределять ресурсы и варьировать результат в зависимости от текущих потребностей организации, но требует бо́льших усилий в части проектного управления и значительной вовлеченности всех стейкхолдеров.

Без ответа остался ключевой вопрос, который мы часто слышим от наших Заказчиков: «Какой подход выбрать?». Чтобы ответить на этот вопрос, мы проводим большую индивидуальную работу с каждым Заказчиком, анализируем все факторы, которые могут повлиять на выбор подхода. И только после этого формируем предложения и рекомендации. Но однозначно могу сказать: если не уделить должного внимания предпроектному консалтингу и выбору стратегии внедрения — вы рискуете получить бесконечный проект с непредсказуемым результатом.

Автор: Андрей Каганский, начальник отдела систем управления учетными данными и доступом, УЦСБ

Подпишитесь на нашу рассылку

Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы

Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных