Что, на ваш взгляд, является правильным выбором заказчика: внедрение IdM от российского производителя или выбор и имплементация аналогичного иностранного решения?

Мария Ерохина:
На мой взгляд, заказчик сам может решить для себя этот вопрос.

Наша IGA-платформа Solar inRights успешно конкурирует на российском рынке как с российскими IdM-решениями, так и с западными. IdM выбирают не по принципу происхождения, хотя для ряда компаний это значимый критерий. Камнем преткновения становится выбор интегратора, у которого есть соответствующая экспертиза и который сможет выполнить проект. И, разумеется, заказчикам важен функционал, который реализован в том или ином IdM-решении, возможность обновления и масштабирования системы. Ценовая политика в последние годы также играет большую роль. Но, с учетом продолжения истории с санкциями, выбор западного решения становится все более рискованным.

Роман Федосеев:
Кому-то надо "шашечки", а кому-то – "ехать". Единого рецепта нет. Решение должно в первую очередь отвечать требованиям заказчика, и заказчик должен быть готов за него заплатить.

Алексей Лукацкий:
Я не сторонник национализма в ИБ. Качество продукта определяется не страной происхождения его разработчиков или владельца, а функциональностью и планами по развитию, в том числе и с учетом геополитических рисков. Кроме того, надо понимать, что иностранный сегмент рынка IdM появился гораздо раньше и он является более зрелым, чем российский. А в ряде ниш, например в решениях по контролю сетевого доступа и идентификации сетевых устройств, российских продуктов нет вообще и выбирать не приходится.

Расскажите о курьезном случае, если такой имел место в проектах по IdM в прошлом году.

Мария Ерохина:
К нам обратился заказчик из крупного концерна. На их предприятии на тот момент уже более полутора лет шло внедрение IdM другого российского производителя, позиционирующего себя технологическим лидером в сегменте Identity Management. Но никаких значимых результатов заказчик так и не получил: то система "не взлетала"; то работала, но не так, как надо; то разваливалась после установки патча, которого ждали полгода. Наши инженеры выполнили весь объем задач по проекту за девять недель. Для IdM это практически нереальный срок. Вот такие курьезы отечественного рынка!

Какие заказчики в 2017 г. чаще обращались к вам с задачами, связанными с работой IdM?

Мария Ерохина:
К нам приходят заказчики практически из всех отраслей, кроме малого бизнеса. Наибольший спрос наблюдается со стороны крупных компаний, которым очень не хватает упорядоченности в предоставлении доступа и автоматизации, а также со стороны банков, которые подчинены строгому регулятору в лице ЦБ.

Роман Федосеев:
Чаще всего к нам обращаются компании из реального сектора экономики – предприятия среднего и крупного бизнеса. Именно коммерческие предприятия находятся в жесткой конкурентной среде и вынуждены выбирать лучшие решения по параметру "цена/качество".

Алексей Лукацкий:
Наверное, наиболее прогрессивными в части проектов по сетевому IdM являются финансовые структуры, которые чаще других сталкивались с реальными атаками, наносящими измеримый деньгами ущерб. Они понимают, что защиты периметра уже недостаточно и надо четко фиксировать, кто или что, откуда, куда, когда и как подключается к корпоративной сети. Отсюда и необходимость проектов IdM, которые позволяют в любой момент отследить все попытки доступа пользователей и устройств, что и является залогом успеха если не в предотвращении инцидентов, то в их оперативном расследовании.

Если заказчик не хочет внедрять IdM, что в этом случае можно ему посоветовать в качестве альтернативы или компенсационных мер?

Мария Ерохина:
Организационные меры – выстраивание процессов управления доступом без технических средств, обучение персонала работе по заданной схеме. Однако стоит помнить, что это возможно лишь при высоком уровне зрелости компании.

Нередко до внедрения IdM используют таблицы Excel и скрипты – например, настраивают ежедневную/еженедельную выгрузку из кадровой системы, выгрузки из критичных целевых систем и сводят это в ручном режиме для осуществления контроля прав.

Алексей Лукацкий:
Любому проекту, в названии которого встречается слово Management, альтернативой можно назвать ручные операции, которые являются вполне нормальной практикой в небольших организациях, где просто нет потребности в централизации. Например, в небольшом офисе на 3–7 коммутаторов и маршрутизаторов не всегда необходимо внедрять системы управления сетевой идентификацией, можно ограничиться "поднятием" протокола 802.1x на сетевых устройствах. Например, в сети Cisco только маршрутизаторов 40 тыс. Понятно, что в ручном режиме настраивать на них правила идентификации пользователей и устройств – задача неподъемная. Поэтому я бы не стал говорить о какой-либо альтернативе или компенсации. Скорее речь может идти о том, что IdM – это осознанная необходимость организации, которая уже неспособна управлять своими пользователями и устройствами в ручном режиме.

Чего не хватает современным технологическим решения класса IdM, чтобы они получили массовое распространение?

Мария Ерохина:
В идеальном мире IdM-решения внедрялись бы быстрее, а стоили бы дешевле. Но вопрос тут скорее не в IdM-решениях как таковых, а в особенностях самой технологии. Разнообразие информационных систем, которые требуется интегрировать, сложность бизнес-процессов, которые требуется автоматизировать, организационные проблемы, которые требуется решить, – это те вещи, которые делают внедрение IdM сложным, а следовательно не столь массовым, как, скажем, DLP. Поэтому для перехода в сторону более массового распространения нужны изменения среды, в которой функционирует IdM.

Роман Федосеев:
Большинство современных IdM-решений очень сложные во внедрении и поддержке. Заказчики ждут простых и удобных решений с минимальной стоимостью владения.

Алексей Лукацкий:
Основная проблема любых сложных проектов – отсутствие стандартизации и унификации, позволяющей интегрировать решение в существующую инфраструктуру. Это напрямую касается и IdM, основное препятствие на пути массового распространения которых – сложность интегрирации с существующими приложениями, в том числе и так называемыми legacy-приложениями, разработанными по заказу много лет назад и по которым в компании отсутствует экспертиза и документация, чтобы доработать их до интеграции с IdM.

Что бы вы посоветовали заказчикам, которые задумываются о внедрении IdM?

Мария Ерохина:
В первую очередь нужно четко сформулировать, зачем нужен IdM, осознавая все плюсы и минусы внедрения, а также возможные выгоды (снижение рисков, автоматизация рутинных операций и высвобождение ресурсов ИТ для более значимых задач, снижение затрат на операционную деятельность и т.д.).

Вторым шагом будет формирование внутри компании группы, которая будет заниматься внедрением IdM (подготовка инфраструктуры и целевых систем к интеграции, взятие под контроль процедур предоставления доступа, формирование требований к функционалу системы и т.д.).

Роман Федосеев:
Выявить потребность (не надо гнаться за модой), определить цели проекта, оценить собственные ресурсы (IdM-проект требует серьезного вовлечения сотрудников заказчика), оценить расходы на систему в перспективе пяти лет, выработать критерии оценки решений.

Алексей Лукацкий:
Так сложилось, что под IdM-проектами обычно понимают только управление идентификационной информацией пользователей, напрочь забывая про идентификацию устройств, которые могут сами по себе стать мишенью для злоумышленников или плацдармом для незаметного развития атаки по внутренней сети. Поэтому я бы посоветовал посмотреть и в сторону систем контроля сетевого доступа или сетевой идентификации, которые позволят проверять права на доступ не только пользователей, но и устройств.

Какие изменения в законодательстве в 2017 г. поспособствовали более глубокому проникновению IdM-решений на отечественный рынок?

Мария Ерохина:
IdM, на мой взгляд, – это история не про законодательство, хотя требования по управлению доступом есть и в новом ГОСТе, и в требованиях ЦБ. Управление доступом – один из базовых принципов информационной безопасности, соблюдение которого позволяет избежать массы неприятных историй. По сути, управлять доступом просто разумно.

Алексей Лукацкий:
2017 год был достаточно спокойным с точки зрения законодательных новелл – ни одного нового нормативного акта, упоминающего IdM, не появилось. Скорее, наконец-то пришло осознание у организаций, попадающих под действие 17, 21, 31-го приказов ФСТЭК, а также нормативных документов Банка России, например 382-П. А вот в следующем году у многих начнет "болеть голова" по поводу нового ГОСТ 57580.1 Банка России и законодательства по безопасности критической информационной инфраструктуры.

Как менялось осознание проблематики IdM у ваших заказчиков до проекта, в процессе внедрения и по его завершении?

Мария Ерохина:
Часто на начальном этапе есть непонимание реальных процессов в организации, какую работу по их оптимизации придется провести, а также насколько важны те или иные проектные решения. Многие особенности процессов (например, наличие специальных типов сотрудников) могут выясняться только при опытной эксплуатации. Нередко процессы приходится менять по ходу внедрения, например что-то сделать с тем, что приказы о приеме сотрудников на работу могут вводится в кадровую систему с задержкой в пять дней. Многие вещи поначалу кажутся клиентам незначительными, а при переводе системы в эксплуатацию такие "мелочи" могут стать ключевыми для правильной автоматизации бизнес-процессов, и клиенты удивляются, почему раньше им об этом не сказали. Таким образом, по ходу внедрения осознание сильно меняется, но, к сожалению, происходит это только опытным путем.

Роман Федосеев:
Уровень зрелости заказчиков может быть разным. Зрелые заказчики больше ориентированы на основные цели проекта, точнее выражают свои требования и имеют более реалистичные ожидания от проекта.

Назовите основные технологические недостатки IdM-решений и способы их компенсации.

Мария Ерохина:
Системе IdM на вход нужны чистые кадровые данные в определенном формате. Практически всегда возникают проблемы с качеством данных (повторения, ошибки последовательности, несвязанность и т.п.) и с предоставлением их в нужном формате. В данном случае решение – это специальные скрипты для очистки данных.

Кроме того, с каждой целевой системой IdM работает на определенном уровне абстракции, например на уровне групп или ролей. А клиенты нередко хотят видеть более глубокий срез – не просто группы или роли, которые назначены пользователю в определенной целевой системе, но и полномочия, которыми обладают эти группы. Это ограничение преодолевается переработкой коннектора, но оно не всегда реализуемо в рамках имеющейся структуры данных.

Роман Федосеев:
Большинство IdM-решений построены с использованием особенных технологий разработки, поэтому на российском рынке мало квалифицированных специалистов. В этой ситуации советую заказчикам обращать внимание на решения с открытым исходным кодом и достаточной доступностью специалистов на рынке.

Как изменилась за последний год относительная стоимость проектов по внедрению IdM?

Мария Ерохина:
Думаю, она не изменилась. Проекты IdM запускаются в среднем 1,5–2 года. Для изменений это слишком короткий срок.

Роман Федосеев:
По нашим наблюдениям, стоимость IdM-проектов не изменилась за последний год. Но существенно увеличилось само количество запросов на проекты.

Алексей Лукацкий:
Относительная стоимость любого проекта по ИБ – понятие такое же относительное, как и средняя зарплата. Все очень сильно зависит от типа организации, ее масштаба, количества пользователей и устройств, зрелости и т.п. Но чаще всего мы видим, что ввиду немалых затрат ресурсов (не только финансовых, но преимущественно временных) заказчики предпочитают поэтапное внедрение IdM-решений, начиная с отдельных подсистем или сегментов, постепенно расширяя внедрение на всю организацию.