О неизбежности импортозамещения в разных сферах российской ИТ-отрасли уже сказано немало. Но как его реализовать на практике, как решать возникающие проблемы в условиях санкций? Рассмотрим практику импортозамещения на примере управления доступом (Identity and Access Management, IdM / IAM) в отечественных компаниях.
- Введение
- Зарубежные vs российские подходы к управлению доступом
- Страхи импортозамещения
- Этапы перехода на новое IdM-решение
- Если у вас уже был IdM — это очень хорошо!
- Как подготовить организацию к импортозамещению IdM
- Какими процессами управляет IdM-система
- Как доработать IdM по пожеланиям заказчика
- Выводы
Введение
Почему важно импортозамещение систем управления доступом? Прежде всего потому, что вследствие сбоя в работе зарубежных систем из-за прекращения деятельности вендора в России отечественные компании не будут вовремя обеспечены необходимыми правами доступа. Следовательно, может прерваться обслуживание клиентов и снизиться производительность, будет упущена выгода.
Кроме того, последствием отсутствия своевременного контроля доступа и его автоматизации станет возникновение инцидентов в ИБ. Это и накопление излишних прав доступа, и несанкционированное использование этих прав, и нарушения парольной политики, и кражи, и разглашение конфиденциальной информации. Связанные с этим финансовые и репутационные потери не заставят себя ждать.
В общем, потребность ясна. Но в чём разница во внедрении решений в области управления доступом в России и за рубежом? С чем придётся столкнуться компании переходящей на отечественное?
Ранее редакция Anti-Malware.ru публиковала руководство по импортозамещению систем информационной безопасности в условиях санкций, с которым настоятельно рекомендуем ознакомиться. По этой теме будет также интересен анализ российского рынка информационной безопасности. Кроме того, нюансы процесса описаны в статье «На что необходимо обратить внимание при внедрении IAM-системы».
Зарубежные vs российские подходы к управлению доступом
Первые решения IdM (Identity Management) появились за рубежом и позиционировались как системы позволяющие автоматизировать рутинные операции по созданию учётных записей пользователей и выдаче прав доступа, а также как единая точка создания «учёток» и выдачи полномочий администратором. При дальнейшем развитии эти системы выросли в полноценные порталы самообслуживания для пользователей, где те могут самостоятельно управлять своими доступами в информационные системы (ИС) компании.
Чем отличается зарубежная практика управления доступом от российской? Прежде всего наличием стандартов по управлению доступом, которые существуют весьма давно. Эти стандарты содержат чёткие требования к процессам управления правами доступа в западных организациях.
Так, помимо общего пакета международных стандартов COBIT для управления ИТ существует множество отраслевых регламентов, предписывающих выполнять контроль доступа и управление им: стандарты FFIEC, законы Сарбейнза-Оксли и Грэмма-Лича-Блайли, стандарт PCI DSS — для финансовой сферы; акт HIPAA — для медицинской сферы; стандарты Североамериканской электрической корпорации надёжности (NERC) — для отрасли электроэнергетики; стандарты NIST по управлению доступом для федеральных агентств. Кроме того, есть общеотраслевые стандарты ISO: серия ISO 27000 касается требований к управлению доступом и широко используется в качестве эталона для аудита таких систем в компаниях. Наконец, в Европе есть GDPR, охватывающий широкий спектр вопросов безопасности и защиты данных, включая требования к управлению доступом.
Все названные стандарты охватываются возможностями IdM-решений зарубежных вендоров, так как эти решения создавались именно на основе существующих регламентов.
Как выглядит процесс внедрения зарубежной IdM-системы? Принятию решения о внедрении предшествует консалтинг по бизнес-процессам организации. В результате формируется перечень узких мест в бизнес-процессах и компания получает набор рекомендаций для их устранения. Например, компании может быть рекомендовано принять меры по перенаправлению или изменению потоков информации, приведению потоков к единому стандарту, а также может быть предоставлен список ПО, которое необходимо установить и настроить для автоматизации. После того как эти рекомендации будут реализованы, внедрение IdM пройдёт вполне просто. Ведь IdM-система изначально строится в соответствии со сценариями использования и все выявленные на этапе консалтинга особенности будут учтены.
Подход ко внедрению IdM в российских организациях — кардинально иной. Процесс внедрения автоматизированного управления доступом в России не регламентирован. У нас нет соответствующего законодательства. Исключение составляет финансовая отрасль, где уже в ранние 2000-е начали появляться стандарты, соответствие которым контролируется регулятором в лице Банка России. Это СТО БР ИББС (Стандарт Банка России по обеспечению информационной безопасности) и позже ГОСТ 57580.1 (Стандарт РФ по защите информации финансовых организаций). Также, учитывая, что российские банки являются дистрибьюторами платёжных карт, для них обязателен международный стандарт PCI DSS. Соответственно, процессы управления правами доступа могут сильно разниться от организации к организации. Внедрению IdM-решений у нас, как правило, не предшествуют консалтинг и подготовка требований ко внедряемому ПО в том виде, в котором они могли бы быть применимы при внедрении.
Приведу пример. В одной из организаций сферы энергетики осуществлялось внедрение системы IdM. Внедрению предшествовало обследование бизнес-процессов управления правами доступа — по результатам был написан отчёт. Но когда стартовало внедрение, оказалось, что информация в отчёте об обследовании настолько скудна, что используя только её внедрить IdM-решение невозможно. В результате обследование проводилось заново в рамках проекта внедрения.
Почему так получилось? Причины могут быть самыми разными. Например, если внедрялось зарубежное решение, то отчёт об обследовании мог не учитывать всех российских реалий. Или же консалтинг мог быть проведён слабо — пока отечественный консалтинг в сфере IdM находится на начальной стадии развития, в России мало компаний, которые имеют компетенции в этой области.
Резюмируя вышесказанное, в российских реалиях зарубежное IdM-решение при внедрении обрастает многочисленными модулями, которые обеспечивают выполнение всех требований организации к устанавливаемому решению. Объективно, западные системы не адаптированы под российскую специфику, поэтому и приходится делать много дополнительных доработок под запросы отечественных заказчиков.
Страхи импортозамещения
Итак, мы выяснили, что внедрение зарубежного IdM-решения в российской организации получается сложным и длительным за счёт проведения консалтинга и разработки дополнительных функций, «заточенных» под конкретного заказчика. Как следствие, увеличиваются затраты на поддержку получившегося продукта: нужна поддержка не только вендора системы, но и интегратора, который осуществлял внедрение.
При описанном подходе складывается ощущение, что IdM в организации — это штучное решение, которое разрабатывается исключительно по требованиям заказчика на базе какого-то продукта, возможности которого не повторяются от организации к организации. Но это не так! Просто для того чтобы определить перечень требований к IdM-решению, который актуален для большинства организаций в условиях отсутствия / раннего зарождения государственных стандартов, необходимо провести большую работу по классификации и анализу требований в различных организациях. И наилучший результат заказчик получит, если разработкой требований, внедрением и сопровождением проекта на каждом этапе будет заниматься одна компания.
На одном из недавних мероприятий мы провели опрос (см. результаты ниже) среди заказчиков использующих зарубежные IdM-решения, узнав, насколько они готовы к их импортозамещению российскими аналогами. Результаты показали, что немногим менее 20 % респондентов уже выбирают отечественную IdM-систему, на которую собираются мигрировать. Пока немал процент и тех, кто думает, что можно кое-как протянуть и на зарубежных решениях. Рисковые люди!
Рисунок 1. Готовность компаний к импортозамещению IdM
Интересны некоторые ответы в солидной по объёму категории «Другое». Так, некоторые вообще предпочитают самостоятельно разработать для себя IdM. Конечно, это хорошо с точки зрения учёта всех нюансов и потребностей компании, но очень сложно и долго реализуемо. Если у компании есть такие ресурсные возможности и столько времени на реализацию проекта, ей можно только позавидовать. Некоторые отмечали, что пока лишь изучают сферу управления доступом — очевидно, в сложившихся условиях сразу с прицелом на российские разработки.
Этапы перехода на новое IdM-решение
В проектах перехода на новое IdM-решение мы условно выделяем пять этапов: анализ, определение стратегии, подготовка решения, развёртывание и доработка до полнофункционального замещения. Самыми важными в данном случае будут первые два этапа: от того, насколько качественно было проведено обследование и насколько правильно была выбрана стратегия перехода, будет зависеть успешность проекта.
Первый этап — анализ уже используемого в компании решения и существующих регламентов управления доступом. Изучаются данные, функции и правила поведения системы. Выявляются результаты первоначального внедрения IdM-решения, которые могут быть переиспользованы, начиная с документации и заканчивая отдельными модулями системы. В результате анализа должен быть сформирован перечень задач, которые необходимо решить для того, чтобы перейти на новую IdM-систему.
Второй этап — выбор стратегии перехода. В зависимости от целей, которые ставятся в проекте импортозамещения, может быть выбран одномоментный переход на новое решение или же постепенный, при котором в переходный период в организации работают два IdM-решения и осуществляется постепенное переключение с одного на другое. При определении этапности перехода систему IdM можно условно разделить на три блока: пользователи, подключённые учётные записи (УС) и функции. Определяя группы объектов, участвующих в переключении на новое решение, можно сформировать этапность перехода.
Этап выбора стратегии является самым сложным, так как именно в этот период выявляются все особенности дальнейшего хода проекта и принимаются решения, которые должны обеспечить его успешность.
Третий и четвёртый этапы заключаются в подготовке решения к развёртыванию и собственно интеграции. Они практически ничем не отличаются от аналогичных этапов при внедрении решения «с нуля», за тем исключением, что, возможно, придётся интегрировать в новое решение некоторые модули замещаемой IdM-системы. На данном этапе вендор или интегратор конфигурирует и при необходимости дорабатывает решение под требования заказчика.
И, наконец, пятый этап — это доработка внедрённой системы до полнофункционального решения, необходимая только в случае поэтапного перехода на новый продукт.
Приведу пример поэтапной смены IdM-системы. Одна из организаций нефтедобывающей сферы решила плавно сменить зарубежное решение на отечественное. В качестве первого шага на новую систему перевели около 5 тыс. пользователей и три основные информационные системы компании (Microsoft Active Directory, почтовую подсистему и систему документооборота). На втором этапе к новой IdM подключили свыше 10 ИС, в которых осуществлялось управление учётными записями и правами доступа пользователей. Параллельно с присоединением дополнительных ИС к решению подключали остальных сотрудников организации, охватив в итоге свыше 150 тыс. пользователей. На завершающем этапе были подключены дополнительные функции IdM и модули, например модуль работы со справочниками и модуль работы с файлами.
Отдельно отмечу, что в данном случае второй и третий этапы проекта были реализованы параллельно, что сократило время перехода с одного решения на другое.
Если у вас уже был IdM — это очень хорошо!
Если в вашей организации уже был внедрён IdM, который вы решили заменить, то у вас есть сразу несколько поводов для радости. Какие — давайте разбираться.
Во-первых, это значит, что уже была проведена оптимизация процессов управления доступом. Автоматизации управления доступом всегда предшествует консалтинг — систематизация и классификация процессов и участвующих в них данных. Также процессы управления доступом адаптируются к использованию в электронном виде: например, исключаются лишние шаги согласования за счёт наличия достоверных данных в системе IdM и автоматического выбора маршрута.
Как это выглядит на практике? При бумажном согласовании доступа для сотрудника запрос будет направлен руководителю (подтверждает потребность в доступе), кадровику (подтверждает, что сотрудник и руководитель действительно работают в компании), ИТ-специалисту (подтверждает, что такой доступ есть и может быть назначен сотруднику), ИБ-службе (проверка соответствия заявки политикам ИБ компании).
В электронном же виде согласование сведётся к двум шагам: согласованию руководителем и ИБ-специалистом. Согласование работником кадровой службы исключено, так как IdM получает данные из кадровой системы и создать заявку на отсутствующего в ней сотрудника нельзя. Согласование в ИТ также не требуется: сотрудник сможет создать заявку в системе только на те полномочия, которые доступны для запроса. Кроме того, при согласовании сотрудником ИБ уменьшено количество проверок, поскольку создать заявку, которая не будет соответствовать регламенту, невозможно.
Во-вторых, если ранее уже использовался IdM, то, значит, в системе уже были реализованы интерфейсы взаимодействия. Подключение любой информационной системы к IdM начинается с обследования её возможностей в части создания учётных записей и управления правами доступа: имеется ли возможность автоматического управления доступом, есть ли интерфейсы взаимодействия. Под интерфейсами взаимодействия понимается любая возможность передачи потоков информации между двумя ИС, начиная от полноценного API и заканчивая передачей файлов с данными в структурированном виде.
К сожалению, часто оказывается, что подключаемая к IdM информационная система не имеет интерфейсов взаимодействия; в таком случае эти интерфейсы разрабатываются в рамках внедрения IdM. А вот в проектах перехода с существующего IdM-решения на новое уже не нужно проводить такие работы — достаточно воспользоваться результатами предыдущего внедрения. Можно и немного доработать коннектор от предыдущей системы для взаимодействия с новой IdM, если нет юридических ограничений.
В-третьих, в компании уже сформирована ролевая модель в информационных системах. Для IdM-решений важно наличие ролевой модели, создание которой нередко может выливаться в отдельный большой проект по классификации и систематизации ролей. Поэтому если ИС уже была подключена к IdM, то, значит, все работы по формированию понятной для пользователей ролевой модели уже были проведены и этими результатами просто нужно воспользоваться в новом решении.
В-четвёртых, у заказчика уже сформировались пожелания по дальнейшему развитию системы: список того, что очень хочется исправить в существующем решении. У каждой организации получится свой перечень точек роста, начиная с моментов усложняющих работу пользователей и заканчивая техническими особенностями самого IdM-решения. Но есть две точки, о которых мы советуем обязательно подумать при планировании миграции на новый IdM.
- Коннекторы к управляемым системам. Если замещаемое IdM-решение управляет доступом во множестве информационных систем, можно реализовать универсальный коннектор, который позволит подключать практически любую ИС к IdM. Такой подход упрощает поддержку: администратору IdM не нужно помнить или искать в документации особенности работы каждого отдельного коннектора. Все особенности находятся на стороне ИС, которые поддерживаются их администраторами. Таким образом, в рамках проекта нужно продумать стандарт взаимодействия информационных систем, если его ещё нет в компании, и реализовать интеграции уже по новому стандарту, используя единый коннектор для всех ИС.
- Атрибутивный состав данных в IdM-решении. Иногда в IdM-системах может быть недостаточно или, наоборот, слишком много данных для принятия решений. В таком случае импортозамещение — очень удобный момент для того, чтобы исправить все недочёты, которые существуют в текущем атрибутивном составе объектов.
При определении точек роста главное — соблюсти баланс между исправлением недочётов и масштабной доработкой функций IdM-решения. Исправлять недочёты лучше сразу, а масштабную доработку функций — отложить на этап развития, чтобы уменьшить время, которое нужно на внедрение первого варианта нового решения.
Как подготовить организацию к импортозамещению IdM
При переходе на новый IdM прежде всего нужно актуализировать существующие в компании регламенты управления доступом — как теперь можно будет получить нужные полномочия, какие инструменты для этого использовать, в какой ИС какие полномочия могут быть запрошены — и проинформировать всех сотрудников компании об этих изменениях.
Важным моментом станет адаптация сотрудников компании. Все привыкли к интерфейсу прежнего решения. При появлении новой системы её разработчик предоставляет набор обучающих материалов, которые сотрудникам нужно будет изучить для более быстрого освоения системы. Желательно провести обучение, рассказав об основных функциях нового IdM.
При поэтапном внедрении IdM в компании какое-то время функционируют две системы — старая и новая. Чтобы с технической точки зрения оба решения работали эффективно и не мешали друг другу, организационно необходимо провести чёткую границу между зонами ответственности двух систем — скажем, настроить их на обслуживание разных категорий пользователей или разных ресурсов.
Например, можно сначала перенести в новую систему определённое количество пользователей, трудоустроенных в одном из подразделений или в головной компании, и обеспечить для них бизнес-процессы по управлению индивидуальными учётными записями. В дальнейшем следует постепенно расширять количество пользователей в новом IdM, одновременно отключая их от старого. После переключения всех пользователей можно приняться за технические «учётки» и дополнительные возможности по управлению объектами и контролю учётных записей и полномочий. Таким образом, на каждом этапе определяется граница того, что делаем в новой системе, а что оставляем в старой.
Какими процессами управляет IdM-система
Для внедрения или замены IdM важно понимать, какими процессами управляет IdM-система, какие задачи она сможет решить в компании. Все процессы можно разделить на два блока — основные и второстепенные.
К основным, базовым, относится всё то, что обеспечивает управление индивидуальными учётными записями пользователей. Это — обработка кадровых данных (в том числе выдача базовых прав доступа при приёме на работу), формирование заявок на запрос / отзыв / продление срока и пересмотр доступов, блокирование / разблокирование «учёток», смена пароля, а также базовый аудит прав доступа.
При планировании поэтапного импортозамещения мы рекомендуем начинать именно с базовых бизнес-процессов, без которых жизненный цикл индивидуальных учётных записей будет обеспечен не полностью.
Ко второстепенным процессам относятся управление объектами доступа и дополнительные формы контроля, а также ведение технических учётных записей.
Управление жизненным циклом объектов, которые участвуют в процессах управления доступом, и дополнительные формы контроля подразумевают:
- ведение через заявки различных объектов управления доступом — оргштатной структуры, базовых доступов, ролей для запроса и др.,
- расширенный аудит, аттестацию или расширенный пересмотр прав доступа,
- расширенную отчётность.
Что касается технических учётных записей, то их жизненный цикл серьёзно отличается от такового для пользовательских. Под техническими «учётками» подразумеваются все записи, которые не относятся к конкретному сотруднику. От таких учётных записей не требуется доступа в информационные системы для какого-либо пользователя. Как правило, они создаются для взаимодействия двух информационных систем либо появляются уже вместе с установкой системы.
С техническими учётными записями обычно связаны процессы их создания, блокирования и разблокирования, а также запроса и отзыва полномочий, пересмотра прав доступа, смены владельца.
Как доработать IdM по пожеланиям заказчика
Итак, мы проанализировали управление доступом в компании, выбрали стратегию перехода, подготовили компанию ко внедрению, развернули решение, и настал пятый этап, когда нужно доработать IdM по пожеланиям заказчика. Теоретически, доработать можно всё что угодно, это лишь вопрос времени, трудозатрат и бюджета на реализацию проекта.
Если вы задумались о доработке, прежде всего нужно определиться с бизнес-требованиями — с вариантами использования необходимых компании функций. Вполне может оказаться, что в новом решении нужные функции уже реализованы, просто немного по-другому. Действительно ли вам нужно их менять? Возможно, сценарий их работы в новой системе будет закрывать существующую потребность, что сократит время на внедрение системы, позволит в рамках поддержки получать обновления и улучшения в данном модуле. Ведь доработка какого-либо модуля в IdM под индивидуальные требования заказчика всегда требует дополнительного бюджета.
Когда можно обойтись стандартными модулями?
Например, если необходимо сформировать отчёт по расписанию и отправить его по электронной почте. В этой схеме сотруднику важно получить отчёт вовремя, неважно, по каким именно каналам. В результате может быть использована схема, когда отчёт автоматически формируется и сохраняется в IdM в нужную дату, а сотрудник получает на электронную почту уведомление со ссылкой на скачивание отчёта.
Или, например, требование «сроки назначения ролей должны быть ограничены датой окончания сотрудничества». Можно долго дорабатывать IdM под разные сценарии — создания заявок на запрос доступа, на изменение срока действия доступа, — доработать реакцию системы на изменение срока действия технической «учётки» и т. д. А можно просто использовать стандартную функцию IdM по автоматическому отзыву прав после истечения срока их действия и контролировать корректность выполнения этой функции при необходимости, например, отчётом.
Таких стандартных сценариев, решающих насущные задачи, — множество. Главное — хорошенько разобраться, а что же может IdM-система, на которую вы мигрируете в рамках импортозамещения.
Выводы
Итак, мы видим, что не всё так страшно в процессе импортозамещения решения по управлению доступом. Есть неоспоримые плюсы в том, что в компании ранее эксплуатировалось зарубежное решение: уже налажены процессы, разработаны и настроены интерфейсы взаимодействия, выстроена ролевая модель, подготовлена методологическая база. И всё это можно и нужно переиспользовать!
Конечно, к переходу надо подготовиться. Следуя рекомендациям выше, можно организовать для своей компании максимально безболезненную миграцию на отечественный IdM.
