В процессе развития IdM-систем их облик заметно менялся, и, возможно, именно этим обусловлены различия в определении границ области IdM. Она появилась в далекие времена перехода от мэйнфреймов к персональным компьютерам и локальным сетям. С точки зрения безопасности это означало замену физических принципов защиты (ограничение непосредственного доступа в вычислительные центры) на логические (применение регистрационных данных). Впрочем, в ту пору задачи управления идентификационными данными мало напоминали сегодняшние, и только в результате бурного развития распределенных вычислений, Internet, удаленного доступа и беспроводных сетей дисциплина IdM обрела сегодняшний облик.
Повышению актуальности IdM способствовали не столько технические факторы, сколько изменения в бизнесе. Стремительное развитие компаний, слияния и поглощения неизбежно сопровождаются ростом числа сотрудников и их более активной карьерной миграцией (как в пределах организации, так и от одного работодателя к другому). Представители крупного и среднего бизнеса вплотную столкнулись с необходимостью внедрения единых политик информационной безопасности, практическая реализация которых невозможна без управления идентификацией. Не следует сбрасывать со счетов и ужесточение законодательства, которое распространяется на сведения персонального характера, внутрикорпоративную информацию и данные, составляющие государственную тайну. Примеры — хорошо известные акты Sarbanes-Oxley, Basel II и др.
Рост масштабов бизнеса и укрупнение компаний сопровождаются увеличением числа используемых информационных систем и ресурсов, что требует более тонкого регулирования доступа к ним и управления постоянной растущей массой идентификационных данных. В этих условиях актуальна задача снижения затрат на администрирование многочисленных сервисов и приложений, число которых также постоянно увеличивается.
Много шума — из-за чего?
Истинные масштабы проблемы роста административных расходов наглядно иллюстрируют результаты недавних исследований. Согласно данным META Group, в среднестатистической организации с 10 тыс. сотрудников около 48% обращений в службу технической поддержки связаны с необходимостью изменения или аннулирования пароля. В течение года в такой компании более 54 тыс. человеко-часов тратится на решение вопросов, связанных с администрированием пользователей, их аутентификацией и правами доступа. Только на регистрацию сотрудников в корпоративных приложениях ежегодно уходит почти 2700 человеко-часов.
А вот статистика для предприятия размером поменьше: из 1 тыс. конечных пользователей каждый в среднем за год звонит в службу поддержки 21 раз. И снова более 40% этих звонков (т.е. свыше 8 тыс.) связано с забытыми паролями. Обслуживание одного обращения обходится организации примерно в 25 долл. В итоге забывчивые сотрудники «нагревают» компанию на 200 тыс. долл. в год. Внедрение и эффективное использование IdM-систем может оказаться действенным способом сокращения этих расходов.
Чем и как управлять?
Gartner определяет IdM как процессы, технологии и системы для управления жизненным циклом идентификационных объектов. Эти объекты могут представлять собой:
-
идентификаторы индивидуальных пользователей;
-
учетные записи;
-
роли сотрудников (на уровне организационной структуры, бизнес-процессов или прав доступа);
-
права, которыми наделяют пользователей, исходя из их ролей, принадлежности к определенным группам или на основании идентификаторов;
-
индексы принадлежности к определенным группам;
-
индивидуальные профили сотрудников (имя и фамилия, домашний адрес, номер телефона, должность, название структурного подразделения).
Жизненный цикл любого из перечисленных объектов включает в себя создание, поддержание, изменение, блокировку и удаление в соответствии с изменением статуса сотрудника в организации (прием на работу, должностные ротации, перевод в другое подразделение, увольнение). Некоторые идентификационные объекты, относящиеся к одному и тому же пользователю, могут быть различными в разных информационных системах (ОС, базы данных, каталоги, корпоративные приложения, системы защиты), что заметно усложняет задачу управления.
Гетерогенность информационной среды современной компании обусловливает высокие издержки на управление идентификационными данными и правами доступа во множестве разрозненных систем, усложняет соблюдение единых политик безопасности, затрудняет отслеживание событий, связанных с доступом пользователей к ресурсам. Она порождает противоречивость идентификационных данных из разных источников, увеличивает число обращений в службу поддержки и, как следствие, простои в работе сотрудников, ожидающих обработки заявок.
При наличии нескольких систем аутентификации и множества идентификационных объектов для каждого сотрудника, многоэтапных процедур управления доступом с участием администраторов и дефиците эффективных средств самообслуживания управление идентификационными данными превращается в неподъемную проблему. Системы IdM нацелены на автоматизацию многочисленных задач, возникающих на протяжении жизненного цикла идентификационных данных. Они обеспечивают взаимодействие отдела кадров, службы безопасности и ИТ-администраторов, снабжая их необходимым программным инструментарием.
Организация непременно ощутит выгоды от корректного применения IdM-систем. Во-первых, снижаются расходы на администрирование благодаря уменьшению числа обращений в службу поддержки, автоматизации операций с учетными записями, сокращению затрат на развертывание средств защиты приложений. Во-вторых, повышается продуктивность работы сотрудников: их учетные записи создаются и модифицируются автоматически, а часть операций они выполняют самостоятельно (значит, снижается нагрузка на системных администраторов). В-третьих, повышается уровень информационной безопасности компании в связи с автоматической блокировкой и удалением идентификационных данных, снижением риска несанкционированного доступа, большей эффективностью политики назначения и смены паролей, широкими возможностями аудита и мониторинга.
Правда, отдельные эксперты говорят о возрастании рисков в области безопасности после внедрения IdM-решений. Речь идет о возникновении единой точки администрирования идентификационных данных, которая становится мишенью для хакерских атак. Кроме того, возникает соблазн неконтролируемо наращивать объемы этих данных, уповая на то, что все они находятся под надежным контролем IdM-системы.
В базовой классификации всю совокупность процессов, выполняемых либо поддерживаемых IdM-системами, разбивают на четыре ключевые категории:
-
аутентификация, т.е. проверка того, что пользователь или система является именно тем, за кого себя выдает;
-
авторизация, т.е. проверка права аутентифицированной стороны получить доступ к запрошенному ресурсу;
-
контроль над доступом, который применительно к IdM имеет более широкую функциональность, нежели описание правил обращения владельца идентификатора с конкретным ресурсом. Он может включать в себя привязку к конкретному времени суток, назначение правил для группы систем либо отдельных компонентов и т.п.;
-
аудит и отчетность, которые предполагают обязательную регистрацию всех событий с идентификационными данными.
Помимо управления жизненным циклом отдельных учетных записей и прав доступа к ИТ-ресурсам IdM-решения обеспечивают синхронизацию идентификационных объектов во множестве информационных систем и каталогов, функции самообслуживания (автоматизацию сброса пароля, запросы на предоставление прав доступа, обновление персональных сведений и т.п.), автоматизацию документооборота, связанного с предоставлением доступа к ресурсам, принуждение к исполнению политик безопасности (автоматическую блокировку или удаление идентификационных объектов уволенных сотрудников и др.). Они поддерживают периодический пересмотр текущих прав доступа и отслеживание изменений, внесенных в обход системы IdM, автоматическую синхронизацию процедур управления учетными записями с изменениями в кадровых системах, аудит прав доступа к ресурсам и действий, связанных с управлением этими правами и записями. В последнее время IdM-системы наделяются еще более широкими полномочиями, среди которых — управление ролями в организации, разграничение должностных обязанностей, интеграция с системами управления ИТ-услугами (ITSM).
Современный рынок IdM
В августе прошлого года Gartner Group выпустила отчет о состоянии мирового рынка систем управления идентификацией пользователей в корпоративной среде. (Точнее, отчет посвящен средствам предоставления доступа к информационным системам — user provisioning. Авторы подчеркивают, что это — лишь часть IdM-систем, функциональность которых включает в себя также разделение обязанностей, управление ролями на предприятии, отчетность по результатам аудита и администрирование доступа к ресурсам.) Аналитики отмечают, что данный рыночный сегмент уже достиг того уровня технической зрелости, который позволяет говорить о безусловной ценности IdM-решений для бизнеса — с точки зрения повышения эффективности систем информационной безопасности и соответствия требованиям регулирующих органов.
Зрелость рынка означает присутствие на нем крупных софтверных компаний и комплексных IdM-решений. Применительно к последним Gartner говорит о втором поколении функций управления идентификационными данными и правами доступа, которое характеризуется высокой структурированностью и эффективными конфигурациями. По оценкам аналитиков, в 2006 году мировой рынок IdM-решений вырос на 12,3% по сравнению с предыдущим годом, а его объем составил 740 млн долл. На средства управления идентификационными данными приходилось 8,9% всего мирового рынка ПО информационной защиты.
По оценкам Gartner, год назад 20–25% крупных и средних предприятий в той или иной мере уже использовали IdM-решения, а еще 25–33% рассматривали такую возможность. Лучшие IdM-системы примерно на 75% покрывали потребности бизнеса в областях предоставления доступа, управления бизнес-процессами, имеющими отношение к IdM, хранения идентификационных данных, аудита, генерации отчетов и интеграции с действующими корпоративными приложениями.
Дальнейшее развитие этого сегмента будет зависеть от преодоления ряда барьеров. Во-первых, внедрение средств управления идентификацией переросло рамки стандартного ИТ-проекта и превратилось в бизнес-проект, что требует более активной вовлеченности в него топ-менеджмента и руководителей бизнес-подразделений, их постоянного взаимодействия. Во-вторых, управление идентификацией и предоставление доступа к ресурсам малоэффективно без управления ролями сотрудников на всех этапах жизненного цикла ресурсов. Появление поддержки управления ролями в некоторых продуктах свидетельствует, что поставщики осознают это. В-третьих, ужесточение и конкретизация требований регулирующих органов к информационной безопасности требуют наличия развитых средств аудита и генерации отчетов, которые должны охватывать сферу управления идентификацией. В наделении IdM-решений соответствующими функциями уже сделаны первые шаги.
Кто в поле воин
Кульминацией отчета Gartner стал магический квадрант, в который попали два десятка компаний. Квадрант разбит на четыре зоны, и в правой верхней части (лидеры с точки зрения стратегического видения и способности реализовать его в конкретных продуктах) оказались пять разработчиков — Sun, IBM, Oracle, Novell и Courion. Немного не дотянули до IdM-Олимпа фирмы CA, HP и Siemens, а Microsoft и SAP год назад отставали от лидеров весьма существенно. Вот как Gartner оценивает рыночные позиции производителей, хорошо знакомых российским заказчикам.
BMC Software. В конце 90-х годов BMC предлагала собственный продукт для управления идентификационными данными Control-SA. Усилению ее сегодняшнего комплексного решения BMC Identity Management Suite способствовала покупка компаний Calendra и OpenNetwork в начале 2005 года. Сильными сторонами пакета является способность к обнаружению ресурсов и управлению изменениями, генерации отчетов о соответствии законодательным нормам в области защиты данных и гибкой поддержки прикладных сред, к интеграции управления идентификационными данными и ИТ-услугами. Успехом на рынке IdM фирма обязана и своим позиционированием как поставщика решений для управления бизнес-сервисами, а также привязкой инструментов IdM к бизнес-процессам.
Правда, ее рыночный путь не усеян розами. Неудачей закончилась попытка сформировать в начале 2006 года стратегический альянс с Microsoft, нацеленный на интеграцию Active Directory и ILCM с архитектурой BMC. В прошлом году сотрудничество было остановлено из-за недостаточного рыночного спроса и амбициозных планов самой Microsoft в сегменте IdM. Несмотря на расширение партнерства с крупными консалтинговыми и интеграционными компаниями, BMC все еще находится в начале этого пути. Ее главные конкуренты, IBM и Sun, продвинулись на поприще партнерства заметно дальше, да и активность других участников рынка ITSM постепенно подтачивает некогда очевидное конкурентное преимущество BMC.
CA. Фирма недвусмысленно обозначила свои претензии на лидерство в сегменте IdM, выпустив в начале 2006 года восьмую версию ПО CA Identity Management. Продукт вобрал в себя лучшие свойства более ранней разработки eTrust Admin, а главное, приложения Business Layers eProvision — одного из первых IdM-продуктов, нацеленных на удовлетворение бизнес-потребностей. Приложение досталось CA вместе с покупкой компании Netegrity в ноябре 2004 года.
Подобно BMC, фирма CA рассматривает дисциплину IdM в контексте интегрированного и эффективного управления ИТ-инфраструктурой и ее защиты, в том числе управления рисками. Она добилась неплохих результатов в формировании партнерской «экосистемы», предприняла ряд шагов для включения в выпускаемые продукты средств управления ролями и правами доступа. Завершив внутреннюю реструктуризацию, CA имеет все шансы активизировать деятельность в этом направлении, а также разработать средства построения коннекторов к разным прикладным системам на базе Java и Web-сервисов, в которых нуждаются ее клиенты.
Hewlett-Packard. Среди крупнейших разработчиков корпоративного ПО HP вступила в сегмент IdM одной из последних. Пришедшиеся на 2003–2005 годы покупки компаний TruLogica и TrustGenix, а также бизнеса Select Access у Baltimore Tecchnologies сформировали неплохой задел для выпуска ПО HP Identity and Access Management. Разработкам TruLogica корпорация обязана появлению в своем портфеле приложения Select Identity, которое обеспечивает управление паролями, политиками и документооборотом, делегирование полномочий в области управления правами и самообслуживание пользователей, IdM-аудит и генерацию отчетов.
Особенностью продукта Select Identity, недавно вошедшего в состав Identity Center, является сервисная модель, которая отделяет роли сотрудников от предоставляемых им ресурсов и позволяет управлять идентификаторами по группам пользователей. В отличие от ряда конкурентов, HP не грешит агрессивностью при продвижении IdM-решений, и складывается ощущение, будто данная категория продуктов не является для нее стратегической.
IBM ворвалась на рынок IdM благодаря приобретению в 1999 году Tivoli — одного из крупнейших поставщиков ПО системного администрирования, который успешно распространил свое лидерство на рынок средств управления доступом и идентификационными данными. Значительная клиентская база, узнаваемость брэнда, широкая партнерская сеть, собственное мощное консалтинговое подразделение — все это содействовало превращению пакета IBM Tivoli Identity Manager в один из лучших. Свою лепту в успех внесли упор компании на управление ИТ-инфраструктурой, рисками и соответствием требованиям законодательства, а также выпуск продукта Tivoli Identity Manager Express для сектора SMB. Приобретение фирм Consul, Internet Security Systems, WatchFire и др. привело к росту портфеля продуктов, наращиванию их функциональности и более тесной интеграции IdM-решений в инфраструктуру информационной защиты и среду разработки.
Недостатки решения Tivoli Identity Manager являются продолжением его достоинств. Комплексный характер этого ПО создает для клиентов неоправданные сложности, приводит к увеличению сроков планирования и выполнения проекта. Несмотря на конкурентоспособность цен, в предлагаемых IBM моделях ценообразования и системах скидок не так-то просто разобраться. Наконец, корпорации еще предстоит создать средства управления административными и разделяемыми учетными записями, достичь большей стандартизации компонентов отчетов.
Microsoft. В прошлом году Gartner была далека от мысли причислять эту корпорацию к лидерам рынка IdM. Комплексное решение Microsoft Identity Life Cycle Manager (ILM) вышло только в 2007 году. Правда, с его появлением компания перешла из категории нишевых производителей в класс «игроков», непосредственно следующих за лидерами рынка. Существенную роль сыграл рост популярности Active Directory и приложений коллективной работы, которые используют эту инфраструктуру, а также позиционирование IdM-решений как набора платформенных технологий и продуктов для управления жизненным циклом идентификационных данных, защиты информации, федеративной идентификации и служб каталогов.
Microsoft остается абсолютным лидером с точки зрения цен, предлагая базовые функции IdM и аудита за половину, а то и треть стоимости решений конкурентов. Не исключено, что благодаря своему весу в индустрии ПО и агрессивной рыночной политике Microsoft произведет заметные изменения в сегменте систем управления идентификацией и доступом. Устранение проблем, с которыми рискуют столкнуться пользователи решений этой компании, — вопрос времени. Не приходится сомневаться, что она создаст собственные средства управления ролями и генерации отчетов (помимо имеющихся в MS-SQL) и реализует поддержку языка SPML. Даже после подсчета суммарных затрат на протяжении жизненного цикла продукта, которые включают в себя стоимость других программных компонентов, решение Microsoft все равно остается самым доступным из имеющихся на рынке.
Oracle. В сегменте IdM компания появилась довольно поздно — после серии удачных приобретений (Phaos, Oblix, Thor Technologies, OctetString), пришедшихся на 2004–2005 годы. Она продолжает активно инвестировать в разработки систем управления идентификацией и доступом, покупать разработчиков точечных продуктов, стремясь быстро увеличить рыночную долю и рассматривая IdM как ключевой компонент своей стратегии в области информационной безопасности. Известность Oracle в ключевых сегментах рынка корпоративных приложений, особенно после поглощения PeopleSoft, Siebel и Hyperion, открыло путь к активным кросс-продажам, что позволило фирме в прошлом году набрать критическую массу крупных IdM-проектов. Рыночное лидерство дало основание Oracle продвигать свое решение в качестве IdM-системы, сконцентрированной на приложениях.
Флагманский продукт компании — Oracle Identity and Access Management Suite — в полной мере отражает ее стратегическое видение направлений развития IdM-технологий. Каждая его новая версия пополняется функциями, которые отвечают пользовательским запросам. В то же время Oracle еще предстоит выстроить полномасштабную эффективную партнерскую сеть, повысить активность в сегменте SMB (где она пока уступает IBM и менее именитым конкурентам) и сделать более удобными пользовательские интерфейсы.
SAP. Стратегия SAP на рынке IdM отличается от политики других фирм: вместо «лобовой» конкуренции с поставщиками автономных IdM-решений SAP предпочитает расширять функции управления идентификацией и доступом уже имеющихся продуктов, одновременно добиваясь более тесной интеграции с приложениями управления ролями и авторизацией. Именно этой цели послужило приобретение в июне прошлого года компании MaXware, известной своими разработками в области метакаталогов и средств управления доступом на базе Web-сервисов.
Ее продукт Identity System теперь поставляется под названием NetWeaver Identity Management и включает в себя механизм управления идентификационными данными и бизнес-процедурами, средства самообслуживания и управления паролями, функции аудита и генерации отчетов. В качестве дополнительного компонента для более сложных сред, например требующих федеративной аутентификации, предлагается ПО NetWeaver Virtual Directory Server и NetWeaver Data Synchronization Engine.
Siemens — один из немногих производителей, IdM-решение которого DirX Identity разрабатывалось в недрах самой компании (за исключением компонента управления Web-доступом, появившегося после приобретения фирмы Okiok в марте 2006 года). Другое отличие от конкурентов — стратегическое партнерство с SAP, для которой Siemens уже не первый год является предпочтительным партнером по интеграции средств управления идентификацией в продукты SAP.
К сильным сторонам ПО DirX Identity аналитики относят наличие большой библиотеки коннекторов, богатого набора функций управления ролями и многочисленных версий для разных вертикальных рынков. Вместе с тем основным рынком сбыта для Siemens остается Европа, и компании предстоит расширить сеть интеграторов, выполняющих IdM-проекты, дополнить свое решение недостающими функциями и утвердиться в роли одного из ведущих поставщиков IdM-систем.
Sun. Превращению Sun в лидера рынка способствовало приобретение фирмы Waveset Technologies в декабре 2003 года. Компании удалось создать симбиоз удачной технологической платформы Sun Java System Identity Manager, маркетинговой стратегии и разнообразных партнерских альянсов. Укреплению последних способствовало поглощение в 2006 году Neogent — поставщика средств автоматизации развертывания IdM-систем. Сегодня Sun предлагает решения, в первую очередь, для крупных экстрасетей, и именно на международные корпорации приходится большая часть ее IdM-контрактов. Одновременно она сохраняет приверженность ПО с открытым кодом: соответствующее решение присутствует и в IdM-портфеле. Из проблем можно назвать замедление развития данного направления вследствие реогранизации в 2006 году и отставание в предложении IdM-решений для мэйнфреймов и Windows.
Острые шипы IdM-проектов
Cовременные IdM-решения удовлетворяют потребности большинства организаций в управлении идентификационными данными. Однако ошибкой было бы думать, что их внедрение стало делом техники, а соответствующие проекты обречены на успех. Многие, на первый взгляд, грамотно спланированные IdM-проекты потерпели фиаско, и некоторые заказчики разочаровались в возможностях IdM-решений.
Причины неудач произрастают из внутренних сложностей, присущих сфере IdM. По сей день построение эффективной системы управления идентификацией в конкретной организации требует немалого искусства. Каждая компания предъявляет собственные требования к IdM-системе, которые поддаются типизации лишь отчасти. Удовлетворение запросов при одновременной интеграции средств IdM с имеющимися приложениями должно опираться на стандарты, которых в этой области несколько, и не все из них поддерживаются каждым продуктом.
Другая проблема: с ростом числа используемых информационных систем растет число учетных записей. Объемы идентификационных данных нарастают, как снежный ком, причем они разбросаны по разным каталогам и базам данных, фрагментированы, дублированы и порой противоречивы. Без изучения текущей ситуации и предварительной «очистки» идентификационных данных проект будет обречен на неудачу.
Как ни парадоксально, перечисленные факторы не являются решающими. Достигнутый уровень зрелости IdM-решений привел к тому, что при их внедрении технологические вопросы отходят на второй план. Отраслевые эксперты и системные интеграторы сходятся в том, что успех проектов развертывания IdM-систем и эффективность последующей эксплуатации на 80% зависят от решения организационных вопросов.
Серьезной проблемой было и остается четкое определение заказчиками запросов к IdM, которое должно воплотиться в политической поддержке проекта топ-менеджментом и разработке адекватных мер преодоления неизбежных трудностей. Существенную роль играют соответствие целей проекта потребностям бизнеса, определение владельцев данных и зон их ответственности, целостность данных и методы их использования, корпоративная политика информационной безопасности, требования законодательства и регулирующих органов, учет имеющихся бизнес-процессов.
Среди наиболее распространенных причин неудач IdM-проектов эксперты называют недостаточное знание технологий и запросов бизнеса, индифферентное отношение к проекту руководства, отсутствие формализованных процессов и процедур защиты данных, недостаточно тщательное планирование и ограниченность выделяемых средств, ошибочное восприятие IdM-решений как ограничивающих гибкость компании, игнорирование важности управления ролями, неэффективность менеджмента. Эксперты подчеркивают важность участия в проекте системного архитектора, аналитиков, инженеров и разработчиков, представителей подразделений, сотрудников отделов кадров, ИТ и информационной безопасности. Другими словами, внедрение IdM-систем относится к числу наиболее сложных «матричных» ИТ-проектов.
Федерация и идентификация
Одной из «горячих» тем на рынке IdM является федеративная идентификация, или федеративная аутентификация. Речь идет о распространении сферы действия IdM-системы за пределы одной организации, хотя при определенных обстоятельствах федеративная схема может применяться и в пределах компании.
Потребность в расширении традиционного подхода к IdM возникает при большом количестве внешних пользователей, которые могут быть сотрудниками партнерской организации либо клиентами, обслуживаемыми через Internet. По мнению Дениса Мурунова, эксперта группы системных инженеров компании «Крок», федеративная идентификация упрощает интеграцию приложений как между партнерскими организациями, так и на самом предприятии (особенно при наличии несовместимых методов аутентификации), позволяет предоставить доступ к корпоративным приложениям сотрудникам другой фирмы, облегчает совместную работу представителей разных подразделений, полезна при аутсорсинге некоторых бизнес-процессов.
Применение федеративного IdM между партнерами требует предварительного согласования процедуры создания новых учетных записей, аудита уровня надежности средств аутентификации в каждой из компаний, разграничения зон ответственности в случае несанкционированного доступа. Понятно, что схема будет работоспособна при условиях использования открытых стандартов, поддержки нескольких операционных платформ и отсутствия тесной привязки к решениям конкретного производителя.
В технологическом плане федеративное управление идентификацией реализуется на пользовательском и системном уровнях. В первом случае пользователь получает после процедуры однократной аутентификации доступ к разным приложениям партнеров и возможность работать с несколькими системами идентификации через одного или нескольких сервис-провайдеров. Здесь активно применяются такие стандарты, как SAML, Liberty ID-FF и WS-Federation. Федеративное управление на системном уровне позволяет разным информационным системам взаимодействовать через прикладные интерфейсы при использовании общего «жетона» аутентификации. Оно обеспечивает персонализацию взаимодействия на уровне информационных систем, сопоставление учетных записей, используемых партнерами, интеграцию приложений через Web-сервисы.
Федеративные схемы управления идентификацией сулят бизнесу очевидные выгоды — от снижения затрат на управление идентификационными данными до возможностей реализации новых бизнес-процессов и ускоренной интеграции информационных систем при слияниях и поглощениях.
Мнение эксперта
Евгений Акимов, заместитель директора Центра информационной безопасности компании "Инфосистемы Джет"
- Чем обусловлен наблюдаемый последние пару лет всплеск интереса корпоративных клиентов к системам IdM?
Он вызван, во-первых, внедрением сложных прикладных систем для автоматизации бизнеса, а во-вторых, увеличением количества пользователей этих систем и высокой ротацией кадров. Это факторы связаны с развитием бизнеса компаний: открытием новых направлений деятельности, выходом на новые рынки (в том числе и международные), а также процессами слияния-поглощения. Кроме того, с развитием бизнеса информация, обрабатывающаяся в корпоративных системах, становится критичным фактором успешной деятельности. Нарушение ее конфиденциальности или недоступность может привести к тяжелым коммерческим и юридическим последствиям.
Если раньше задача распределения учетных записей пользователей обычно решалась путем создания единой службы каталогов, то сегодня ситуация изменилась. Во главу угла ставится вопрос обеспечения информационной безопасности при доступе к критичным бизнес-приложениям и организация централизованного управления учетными записями пользователей. Таким образом, количественные изменения потребовали качественно иного подхода к управлению правами доступа. В последние годы многие крупнейшие мировые ИТ-производители представили свои решения в этой области.
- Насколько заметен спрос на такие системы в России?
Сейчас происходит лавинообразный рост спроса на решения IdM. Разумеется, первые внедрения IdM-систем осуществлялись за пределами России, однако первые российские проекты вызвали огромный интерес, так как появились отечественные оценки бизнес-эффекта от их использования. Следует отметить, что ряд международных холдингов сегодня начинают внедрение IdM-систем именно со своих российских подразделений.
- Существует ли какая-то специфика в использовании технологий и решений IdM в российских компаниях? Если да, то чем она обусловлена?
Специфика есть. Приведу конкретные примеры. Отсутствие на рынке IdM-решений, сертифицированных соответствующими органами, затрудняет их внедрение в государственные организации и силовые структуры. Эту особенность я отнес бы к разряду технологической специфики.
Есть еще организационная специфика. Для успешного внедрения IdM-решения необходимо, чтобы в организации уже была разработана ролевая модель доступа к информационным ресурсам, а также был формализован процесс согласования предоставления этих прав. Как правило, все это появляется, когда компании начинают всерьез заниматься оптимизацией своей деятельности. Реалии российского бизнеса таковы, что чаще всего подобные модели не работают, и первым этапом внедрения IdM-систем становится изменение существующих или создание новых бизнес-процессов по управлению правами доступа.
- Каковы первые уроки внедрения систем IdM в российских организациях? С какими сложностями приходится сталкиваться системным интеграторам при выполнении соответствующих проектов?
Если проследить эволюцию развития систем управления учетными записями пользователей и предоставления прав доступа, то можно выделить несколько основных стадий. Сначала управление учетными записями в каждой прикладной системе осуществлялось отдельно, посредством внутренних инструментов системы. Затем создание учетных записей пользователей и их распространение по всей информационной среде предприятия стали осуществлять через службу единого каталога. Сейчас внедряют IdM-системы, представляющие собой наполовину организационное решение, а наполовину – средство поддержки автоматизации процессов. И такой переход от «чистого» ИТ-решения к комплексному решению подчас воспринимается только как расширение функциональных возможностей уже используемых ИТ-систем. Такое понимание является серьезным препятствием.
Очень часто инициировав внедрение IdM как технологический проект, многие компании приходят к пониманию, что внедрения одних лишь средств автоматизации недостаточно для построения эффективной системы централизованного управления правами доступа. Необходимо правильно организовать бизнес-процессы компании, связанные с этой деятельностью. В результате проявляется эффект, который можно выразить известной поговоркой: аппетит приходит во время еды.
Компания, внедряющая у себя IdM-систему, начинает формировать новые требования к проекту и проектной команде, в которой обязательно должны присутствовать консультанты. В конечном итоге бюджет проекта, сроки его исполнения сильно возрастают, а интегратору приходится изыскивать дополнительные ресурсы.
Кроме того, успешному внедрению IdM-решений мешает желание заказчика либо полностью отдать реинжиниринг процессов управления доступом в руки компании-исполнителя, либо обратное стремление выполнить эти работы силами своих специалистов. Ни в том, ни в другом случае успех не будет достигнут. Только совместная работа специалистов компании-заказчика и компании-исполнителя приведет к построению эффективной системы централизованного управления правами доступа, которая будет приносить реальную пользу организации.