Подписка

IdM: необходимость или излишество? Мнения экспертов

Мнения экспертов, 27/08/19

IdM-системы уже давно пользуются спросом и широко внедряются в самых разных отраслях. Эксперты компаний Ростелеком-Solar и SAP оценили текущую динамику российского рынка IdM, привели примеры успешных и не очень внедрений и объяснили, как можно измерить их реальную эффективность.
 

foto

Назовите три причины, по которым вы лично как эксперт выбираете решение класса IdM для внедрения в своей организации

Дмитрий Бондарь, Ростелеком-Solar

  1. IdM упорядочивает процесс управления доступом в компании. После внедрения IdM всем сотрудникам будет понятно, как доступ запросить, как согласовать, кто участвует в процедуре согласования, на какой стадии находится заявка и т.д. Процесс понятный и эффективный.
  2. Прозрачность положения с правами доступа в компании. Это значит, что я в любой момент могу узнать, кто из сотрудников в какие информационные системы имеет доступ. Или удостовериться, что к моим информационным системам не имеет доступ кто-то лишний.
  3. Автоматизация рутинных операций предоставления доступа. С помощью IdM можно значительно повысить эффективность процессов и снизить трудозатраты ИТ-подразделения на предоставление доступа.

Дмитрий Костров, SAP

  1. Минимизация нарушений (ошибок) при предоставлении доступа сотрудникам компании к ресурсам. Ошибки будут дорого стоить.
  2. Возможность контроля нарушений доступа. Выполнение регламентов, которые утверждены руководством компании.
  3. Облегчение работы отдела ИТ/ИБ. Управление учетными данными, полагаю, должно быть внедрено в организациях среднего и большого бизнеса. Для малого бизнеса это излишество.

Открытие доступа к важным или даже критическим системам без контроля и единой системы хранения исторической информации приводит к печальным последствиям. Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ставила им уровень "низкий". Но ИБ-подразделение, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обрабатываются персональные данные, с приоритетом "критический"

Какие риски для бизнеса могут быть минимизированы с внедрением решения IdM в организациях среднего и малого бизнеса в России в 2019 г.?

Дмитрий Бондарь, Ростелеком-Solar

Прежде всего, это риски избыточного и неправомерного доступа к информационным ресурсам со стороны как внутренних сотрудников предприятия, так и внешних подрядчиков. Наличие в организации избыточного доступа
порождает самые разные риски информационной безопасности. Например, вспоминается случай, когда компьютер сотрудника предприятия был заражен извне вирусом-шифровальщиком, а благодаря наличию у данного сотрудника избыточного доступа в некоторые информационные системы этот вирус смог на несколько дней парализовать работу всей организации.

ris1

В целом риски ИБ, связанные с избыточным доступом, могут быть самыми разными в зависимости от информационной системы и отрасли. Для СМИ избыточный доступ может нести
серьезные репутационные риски, для банковской сферы – значительные финансовые потери и т.д

Дмитрий Костров, SAP

По моему мнению, это ошибки при предоставлении доступа. Открытие доступа к важным или даже критическим системам без контроля и единой системы хранения исторической информации (сразу вспоминаем расследования в случае утечки информации) приводит к печальным последствиям.

Есть карта рисков, в которой организация оценивает, какие риски важны, а какие нет. Есть понятие "аппетит рисков". Например, в одной компании – операторе связи команда рисковиков всегда отвергала риски утечки персональных данных и ставила им уровень "низкий". Но ИБ-подразделение, понимая, что это глупая затея, всегда (с помощью ИТ-подразделения) вела контроль над ресурсами, где обрабатываются персональные данные, с приоритетом "критический".

Надо понимать, какие риски для организации в приоритете: обычно это или утечка данных (маркетинговых, финансовых планов/отчетов и др.), или живучесть/устойчивость самой системы (АБС для банков). Внедрение IdM для КВО (КИИ) – разговор отдельный и уже в области не IT Security, а ОТ Security.

Какие примеры успешно завершенных проектов по внедрению IdM в России в 2018–2019 гг. вам известны и какими метриками вы оцениваете успешность данного проекта?

Дмитрий Бондарь, Ростелеком-Solar

У Ростелеком-Solar имеется ряд успешно реализованных
проектов в сфере IdM, о них есть информация на нашем
сайте.

Что касается метрик, то проект успешен, если:

  • внедрение в целом уложилось во временные рамки и выделенные бюджеты;
  • вместе с заказчиком пройдены некоторые этапы развития проекта;
  • заказчик готов подключать новые системы, автоматизировать дополнительные процессы и т.д.

То есть система показала результативность, заказчик увидел пользу для бизнеса и готов развивать проект дальше. Для меня это важнейшие показатели.

Приведите примеры известных вам случаев незавершенных или закрытых до достижения результатов проектов по внедрению IdM в России в 2018–2019 гг. Что явилось основными причинами для закрытия/сворачивания проекта в указанных организациях?

Дмитрий Бондарь, Ростелеком-Solar

Знаете, это как у классика: "…каждая несчастливая семья несчастлива посвоему". Иногда причиной неудачи являются объективные внешние обстоятельства, например санкции, препятствующие внедрению зарубежных систем. Если решение уже выбрано, такие события застают компанию врасплох, и приходится сворачивать проект.

ris2

Бывают случаи, когда проект внедрения IdM заканчивается тем, что заказчик приходит к необходимости смены платформы по причине незрелости ПО и неготовности подрядчика оперативно решать сложности, возникающие при внедрении. Когда проект сильно затягивается и даже в такие затянувшиеся сроки результат показать не получается, становится очевидным, что проект не будет успешным. Несколько подобных примеров на рынке есть.

Какие три отличительных признака вы можете назвать, сравнивая IdM-решения отечественных и иностранных производителей?

Дмитрий Костров, SAP

  1. Охват клиентов и контролируемых ресурсов. До сих пор у меня внутреннее ощущение, что для больших и очень больших организаций лучше применять системы иностранного производства.
  2. Сертификация ФСТЭК России хотя бы по техническим условиям, наличие расширенного функционала. На одной из конференций уважаемый человек в области информационной безопасности сказал, что, беря импортные
    решения, заказчик использует всего 20% функционала, а отечественное (доверенное) решение дает хоть и Short List возможностей, но самых важных. Не соглашусь. Как специалист, который достаточно много понимает в области
    защиты информации, считаю, что именно расширенный функционал дает возможность "красиво тюнинговать" защиту.

А вот когда ты дорос до уровня эксперта и тебе надо ввести новый регламент, а он у тебя отсутствует, вот это беда. Я в своей машине тоже не использую 100% возможностей, потому что
в городе катаюсь. Но иногда (редко) бываю за городом, где нет дорог, и тогда мне очень помогает это "ненужное расширение".

Какой полезной функциональности, на ваш взгляд, не хватает
в современных IdM-решениях?

Дмитрий Бондарь, Ростелеком-Solar

Уже много лет работаю с IdM, и все это время заказчики периодически спрашивают, может ли IdM показать, какие права сотрудники компании действительно используют в работе, а
какие права, образно говоря, простаивают. Возможно, с технологической точки зрения это нецелевая задача IdM-систем, но с точки зрения бизнеса такая потребность у заказчиков есть.

Какими числовыми характеристиками можно измерить эффективность работы внедренного IdM-решения на этапе запуска и в процессе многолетней промышленной эксплуатации?

Дмитрий Бондарь, Ростелеком-Solar

Таких характеристик на самом деле много. Перечислю лежащие на поверхности действия:

  1. Оценить объем операций по управлению правами доступа, которые были автоматизированы в компании с помощью IdM (сколько заявок за определенный период выполнила
    система IdM).
  2. Измерить количество инцидентов с правами доступа, которые были выявлены в информационных системах предприятия с помощью IdM (количество несогласованных полномочий, активных записей уволенных сотрудников и т.д.).
  3. Посмотреть и на показатели изменения самих процессов, например, как долго в среднем происходило согласование заявки на доступ до внедрения IdM и после, сколько времени тратилось на реализацию одного шага согласования до внедрения и после и т.д.
  4. Посчитать, насколько меньше времени ИБ-специалисты стали тратить на подготовку отчетности для руководства по положению дел с правами доступа в компании.
  5. Прикинуть, насколько быстрее компания стала проходить процедуру внешнего аудита прав доступа.

И наконец, самые зрелые компании могут посчитать экономию времени, затрачиваемого на регулярный пересмотр прав доступа. Без системы IdM эта процедура настолько трудоемкая, что ее стараются не проводить вообще или проводить лишь по одной критичной информационной системе. IdM-решение автоматизирует процесс пересмотра прав доступа, и с его помощью можно, к примеру, оценить количество прав, которые были отмечены как неактуальные.

ris3

Дмитрий Костров, SAP

Возможно, критерием эффективности будет снижение числа Separation of Duties (Segregation of Duties, или SoD) либо количества сотрудников ИТ- и ИБ-подразделения, которые занимаются данной работой (без IdM).

Опубликовано в журнале "Системы безопасности" №3/2019

Стать рекламодателем

Темы:IdMСертификацияЖурнал "Системы безопасности" №3/2019

Хотите сотрудничать?

Выберите вариант!

 

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...