Роман Федосеев: Будущее IDM за проактивностью

Роман Федосеев: Будущее IDM за проактивностью

Роман Федосеев

Закончил с отличием Военно-воздушную инженерную академию им. проф. Н. Е. Жуковского по специальности «Радиоинженер». Во время службы в ВС РФ проходил курсы повышения квалификации в ИКСИ Академии ФСБ РФ. В ИТ-индустрии с 2004 года. Занимался развитием практики ITSM в «Аквариус Консалтинг».

До 2012 года руководил ИТ-департаментом в компании «ЭНТЕГРУМ». Сооснователь и генеральный директор ООО «ОДИН АЙДИЭМ» — компании-разработчика платформы «1IDM: управление учетными записями и правами доступа». Сертифицированный специалист ITIL Service Mаnager.

...

Генеральный директор компании «ОДИН АЙДИЭМ» Роман Федосеев поделился с  читателями Anti-Malware.ru своим видением ситуации на российском рынке систем управления идентификацией и аутентификацией при предоставлении доступа к ИКТ-ресурсам (IDM). Директор дирекции информационных технологий компании «НТВ-ПЛЮС» Дмитрий Мозжегоров рассказал об опыте внедрения 1IDM — о целях и основных его результатах.

Какова ваша оценка нынешнего объема российского рынка IDM, векторов и темпов его изменений?

Р. Ф.: По экспертным оценкам, российский рынок IDM (впрочем, как и весь наш рынок ИБ) не превышает 0,5-1% мирового. Ну а далее можно, ориентируясь на цифры иностранных аналитических агентств об общемировом рынке IDM, оценить и российский.

Рынок IDM у нас незрелый, при этом показывает динамичный рост. Мы это ощущаем по увеличению количества входящих запросов на демонстрацию нашего продукта 1IDM. Важно отметить, что значительная доля запросов поступает от компаний с числом пользователей не более 1-2 тыс. Два-три года назад подобных запросов у нас было заметно меньше.

Другая тенденция, которую хотелось бы отметить, — это запросы от заказчиков, уже использующих IDM-решения (в том числе и отечественные). Они ищут варианты замены. На вопрос «почему» отвечают, что, когда делали свой выбор, ничего другого российского на рынке не было. Сегодня же, по сравнению с трех-пятилетней давностью, из отечественных предложений можно выбрать IDM-продукт на любой вкус. Кстати, сейчас у нас идет проект, в котором мы заменяем внедренный ранее российский IDM-продукт на свой.

По каким параметрам вендоры систем IDM наиболее остро конкурируют в российских тендерах на эти системы?

Р. Ф.: IDM-системы достаточно сложны во внедрении, так как требуют перестройки рабочих процессов у заказчика, интеграции со многими информационными системами. Для этого используется сложный инструментарий, а квалифицированных специалистов мало. Это заставляет заказчиков выбирать решение на стадии подготовки тендеров, ну а в самой закупке основным критерием, как правило, уже является цена лицензий и квалификация команды внедрения. Если же выбор решения заказчиком предварительно не сделан, то в тендерах идет сравнение функциональности продуктов, архитектуры, стоимости лицензий и технической поддержки.

Каковы главные критерии, по которым российские заказчики сегодня выбирают систему IDM?

Р. Ф.: Отвечая на предыдущий вопрос, я частично ответил и на этот. Дополнительно скажу, что сейчас все особенно аккуратно считают деньги, поэтому стоимость владения системой становится одним из главных критериев выбора.

В этой ситуации заказчики обращают пристальное внимание на избыточность функциональности, трудоемкость кастомизации, простоту использования и обновления, доступность на российском рынке (не только в Москве) специалистов для сопровождения системы, открытый для заказчика исходный код, сроки внедрения.

При представлении своего продукта вы часто используете термин «платформа». Что подразумевается под этим термином в случае системы 1IDM?

Р. Ф.: Платформа — это программный комплекс, который сам по себе не решает никакой прикладной задачи, но используется в качестве основы для создания информационных систем определенного типа.

В нашем случае речь про системы управления учетными записями и правами доступа. Иными словами, 1IDM — это «движок» с программно реализованной информационной моделью и понятийным аппаратом, которой позволяет достаточно хорошо описывать процессы управления учетными данными пользователей. Еще раз хочу обратить внимание, что 1IDM изначально создавалась как платформа, на которой можно строить IDM-системы для широкого круга пользователей.

Некоторые псевдоэксперты, которые в глаза не видели наш продукт, заявляют, что мы используем какие-то opensource-движки. Так вот, поясняю: никаких opensource в 1IDM на сегодняшний день не используется! 1IDM — это полнофункциональное веб-приложение, работающее под управлением платформы 1С:Предприятие. Здесь же, по поводу архитектуры 1IDM, хочу отметить, что используемые нами технологии 1С позволяют создавать высокопроизводительные многопользовательские распределенные системы, хотя в части IDM подобные задачи встают не особенно часто. Подобные задачи решаются в условиях, когда надо управлять десятками тысяч учетных записей.

Насколько важна для российских заказчиков возможность сопровождать систему IDM своими силами?

Р. Ф.: На мой взгляд, это важная возможность. Попробую объяснить на примере. Вы выбрали и купили отличную машину Тесла (сейчас все говорят про феномен Илона Маска, поэтому и я себе позволю вспомнить про него). Если вы живете в Москве, то, наверное, сможете ее обслуживать без проблем. Ну а если живете в Тамбове, Рязани, Туле... и тоже хотите отличный автомобиль?

Поэтому когда мы говорим о доступности 1IDM, то мы под этим понимаем, что сопровождение и модернизация системы, построенной на нашей платформе, для заказчика любого масштаба из любого региона России не составит проблем.

Каков средний объем доработок платформы 1IDM под требования конкретных заказчиков? С чем эти доработки обычно связаны?

Р. Ф.: На сегодняшний день все наши проекты реализуются только (!) настройкой платформы 1IDM через пользовательский интерфейс. Доработки в наших проектах возникали лишь в части коннекторов, когда у заказчика используется «сильно доработанная» или полностью эксклюзивная информационная система, которую надо включать в контур управления, и наш стандартный коннектор не походит на 100%, или его совсем нет.

Если приходится разрабатывать специфический коннектор, то он включается в расширение основного релиза, т. е. коннектор будет доступен конкретному заказчику, при этом сложностей при обновлении основного релиза у других заказчиков не возникает. Это еще одно положительное свойство 1IDM на фоне некоторых иных IDM-продуктов, обновление версии которых по срокам и затратам фактически равноценно новому проекту. Кстати, 1IDM умеет получать обновления через интернет и обновляться в автоматическом режиме.

В целом развитие платформы 1IDM идет своим чередом и не зависит от потребностей какого-либо одного конкретного клиента. Мы внимательно смотрим за проектами, которые реализуются в России, скрупулезно анализируем требования наших потенциальных клиентов, с которыми общаемся. Безусловно, следим за мировыми лидерами рынка IDM, но с поправкой на то, что российский рынок находится на другом уровне развития.

Все это дает нам понимание того, как надо развивать нашу платформу. Говоря про конкретный проект у конкретного заказчика, могу отметить, что практически в девяти из десяти случаев внедрение системы 1IDM решается путем настройки из ее интерфейса. И только отдельные частные задачи решаем путем создания специальных доработок к платформе, которые нужны только данному конкретному заказчику. Вынесение таких доработок в расширения платформы позволяет обновлять ее практически полностью в автоматическом режиме, без прерывания работы системы.

Заказчики часто просят отчеты под свои конкретные задачи. Эти запросы мы практически полностью закрываем встроенными отчетами. Ну а что-то уж совсем особенное всегда можем настроить через конструктор отчетов, который работает в пользовательском интерфейсе. Еще раз подчеркну: наш продукт это платформа — бери и настраивай. Правда, нужно понимать, что настраивать.

Сколько внедрений 1IDM состоялось за три года ее существования? Сколько пилотных проектов было запущено в 2017 и в начале 2018 года?

Р. Ф.: В этом году нам будет уже 4 года. Первый пилотный проект мы сделали в 2015 году. На сегодняшний день количество пилотов составляет несколько десятков. Первые коммерческие проекты стартовали у нас в 2016 году, а в 2017 году их количество удвоилось. В настоящее время у нас параллельно идут два проекта, хотя нам хватает ресурсов, чтобы одновременно без потери качества вести четыре средних проекта.

Под внезапный рост спроса или под сложный проект мы достаточно быстро мобилизуем дополнительные ресурсы, потому что у нас нет проблем с кандидатами. Время, необходимое для подготовки технического специалиста для нас, составляет 2-3 месяца. С учетом того, что цикл продажи длится в среднем от года до двух, к старту внедрения мы не испытываем проблем с ресурсами для его реализации. Кроме того, у нас появляются партнеры со своими ресурсами и компетенциями.

Каких технологических и функциональных изменений в системах IDM, на ваш взгляд, следует ожидать в ближайшее время? Чем они обусловлены?

Р. Ф.: Любая информационная система, в первую очередь,  должна решать задачи бизнеса и быть удобной пользователю. Думаю, в этом направлении будет основное движение (по крайней мере нашего продукта).

IDM по сути учетная система, т. е. реактивная, но бизнес всегда просит больше, поэтому будущее IDM за проактивностью. Полагаю, что функциональное развитие будет происходить в области управления рисками. Механизмы учета рисков есть практически у всех производителей, а вот удобство их применения в процессах согласования, пересмотров или аудита можно и нужно улучшать — тут есть куда развиваться. Российский рынок созревает к этому очень быстро.

Есть ощущение, что российский IDM более активно пойдет «на сближение» с людьми: будет переходить на планшеты и смартфоны. Не надо забывать и про взаимодействие со смежными системами безопасности, которое дает дополнительные выгоды для заказчика. В этой части IDM должен стать более гибким и «дружелюбным».

 

Опыт внедрения платформы 1IDM

Директор дирекции информационных технологий компании «НТВ-ПЛЮС» Дмитрий Мозжегоров

Дмитрий Мозжегоров

Родился 18 сентября 1980 года. В 2003 году окончил Московский государственный технический университет радиотехники, электроники и автоматики по специальности «Конструирование и технология электронных вычислительных средств». В настоящее время учится на степень MBA в Российской академии народного хозяйства и государственной службы при президенте РФ.

С апреля 2000 года работал инженером отдела пусконаладочных работ в ООО «Компьютел». 

С декабря 2002 года — системный администратор ЗАО «ЦВ «Протек», в 2004 году  перешел на аналогичную должность в ИК «РОСБилдинг». 

С декабря 2006 года по июль 2008 года — начальник отдела информационных технологий ООО «Кэпитал Инвест», затем — начальник ИТ-отдела ООО «ДС Девелопмент». 

С августа 2009 года руководил департаментом ИТ группы компаний «Планета Фитнес».

С октября 2010 года — начальник управления ИТ компании «НИКИМТ-Атомстрой». 

В октябре 2016 года назначен директором дирекции информационных технологий ООО «НТВ-ПЛЮС».

Победитель конкурса Global CIO «Проект года», организованного отраслевым сообществом ИТ-директоров России при поддержке профессиональных ИТ-ассоциаций. Победа присуждена в номинации «Связь и коммуникации» за организацию вещания в формате сверхвысокой четкости (UHD) на всей территории России.  

Одним из заказчиков системы управления учетными записями и доступом на платформе 1IDM выступила компания «НТВ-ПЛЮС», оператор цифрового и спутникового телевидения. Более 20 лет НТВ-ПЛЮС занимает лидирующие позиции на отечественном рынке, формируя современные стандарты качественного вещания. Компания предлагает удобную и гибкую модель телесмотрения, а также дополнительные сервисы на базе самых современных платформ и технологических решений. Региональные центры и центры обслуживания абонентов действуют в 65 городах на территории вещания. Общее число автоматизированных рабочих мест системы — 500. Внедрение 1IDM заняло примерно четыре месяца (с октября 2017 по январь 2018 годов включительно).

О целях и основных результатах проекта рассказал директор дирекции информационных технологий компании «НТВ-ПЛЮС» Дмитрий Мозжегоров.

Что подтолкнуло вашу компанию к внедрению системы автоматизации управления пользовательским доступом к ИКТ-ресурсам?

Д. М.: Ситуация с оперативностью предоставления или изменения прав доступа на момент начала проекта не отвечала требованиям бизнеса нашей компании. Маршрутизация и исполнение запросов на доступы выполнялись в ручном режиме, что вызывало высокую нагрузку на ИТ-службу и определенные сложности с обеспечением гарантированного уровня обслуживания пользователей. Было затруднено получение актуальной и достоверной управленческой отчетности по правам доступа. В общем, мы поняли, что назрела потребность улучшить положение дел с управлением доступом.

Каковы были главные для вашей компании критерии выбора системы IDM?

Д. М.: В числе главных назову стоимость внедрения и владения, независимость от производителя, доступность специалистов по обслуживанию системы на рынке, скорость внедрения, гибкость полученного в результате решения.

Сколько продуктов рассматривалось на стадии отбора, и по каким параметрам была выбрана именно платформа 1IDM?

Д. М.: Мы ознакомились с зарубежными лидирующими на мировом рынке продуктами — SailPoint IdentityIQ, Oracle Identity Manager и One Identity Identity Manager — и поняли, что для нас это слишком дорогие и избыточные по функциональности решения. К тому же на российском рынке практически невозможно найти специалистов по их обслуживанию, а те, кто есть, плотно заняты и стоят очень дорого.

Обратили внимание на три интересных российских разработки: Avanpost IDM, Solar inRights и 1IDM. Информации по ним достаточно в открытых источниках. Все они достаточно гибкие, и скорость внедрения декларировалась примерно у всех одинаковая... Однако первые два продукта не подходили нам по стоимости, по доступности специалистов на рынке и независимости от производителя. Мы посчитали, что, выбрав из первых двух, будем обречены на постоянный договор сопровождения, или же нам придется растить своих специалистов для поддержки и одновременно выстраивать процесс программной разработки внутри компании. А к этому мы не были готовы.

В итоге было выбрано решение 1IDM: оно построено на платформе 1С:Предприятие и одновременно разработчик предоставляет заказчикам открытые исходные коды своей конфигурации. По факту получалось, что 1IDM соответствовал всем нашим главным критериям.

Насколько значимым для вас было то, что платформа 1IDM в свою очередь работает под управлением платформы 1С:Предприятие?

Д. М.: При выборе продукта мы вовсе не привязывались к платформе 1С:Предприятие. Главное, что платформа, на которой в свою очередь построена 1IDM как платформа для построения решений IDM, была распространенной. Да, в нашей инфраструктуре есть продуты 1С, но они не ключевые. Платформа 1С подходила под наши требования только в силу ее распространенности в стране, достаточным количеством специалистов по поддержке и разработке и возможностями интеграции с большим числом информационных систем.

С какими трудностями при развертывании 1IDM вы столкнулись? Как они повлияли на срок и стоимость внедрения?

Д. М.: Важно отметить, что все системы IDM зависимы прежде всего от информации о кадрах заказчика, поэтому службе ИТ при внедрении пришлось работать совместно с управлением по работе с персоналом. Нужно, чтобы они информацию в систему «Зарплата и управление персоналом» вносили своевременно и аккуратно, поскольку несвоевременное оформление нового сотрудника в базе данных кадрового учета влечет за собой задержку в организации учетной записи, предоставлении почты и базовых прав для сотрудника.

Для нормальной работы системы IDM должны быть налажены отношения между обслуживающим ее персоналом и ИБ-службой, а также владельцами ресурсов, доступом к которым IDM управляет. А это требует решения дополнительных организационных задач. Нам удалось решить эти задачи, не отступив от графика внедрения.

Во время привязки учетных записей к пользователям было найдено много незаблокированных учетных записей как собственных уволенных сотрудников, так и уже не работающих сторонних сотрудников. Конечно, выявленные недочеты были устранены. Кстати, существенного влияния на сроки и стоимость проекта возникшие трудности не оказали.

Несколько слов о ходе проекта. К платформе 1IDM было подключено десять наших информационных систем, включая 1С:Документооборот, 1С:Управление холдингом, 1С:Зарплата и Управление персоналом. Поэтапность их подключения позволила быстро начать эксплуатировать платформу. Отмечу, что необходимые настройки наши собственные ИТ-специалисты выполняли в интерфейсе 1IDM без привлечения партнера по внедрению. Недоверие ИТ-специалистов к тому, что делает 1IDM в автоматическом режиме, было преодолено за счет использования специальных режимов работы «Контроль Администратором» и «Исполнение Администратором».

Каковы сроки реализации и стоимость проекта? Что составило основную часть стоимости внедрения 1IDM?

Д. М.: Для начала о численности проектной команды. От вендора в нее входили (на постоянной основе): руководитель проекта, бизнес-аналитик и инженер внедрения. Со стороны заказчика: на постоянной основе руководитель проекта, а в зависимости от этапа проекта — системный администратор, администратор баз данных, специалист по программной разработке, специалист по интегрируемой с 1IDM информационной системе, т. е. одновременно пять человек.

О сроках. Внедрение заняло примерно четыре месяца (с октября 2017 по январь 2018 годов включительно). Поэтапно это: формирование требований к системе совместно с партнером — 10 дней; подготовка тестовой среды — 10 дней; настройка системы в тестовой среде, отладка — 20 дней; предварительные испытания — 30 дней; перенос в продуктивную среду, подключение кадрового источника и MS Active Directory — 10 дней; поочередное подключение систем с выверкой пользователей — 30 дней; тренинги для служб ИТ, ИБ и владельцев ресурсов — 10 дней; техподдержка (на протяжении всего проекта).

О стоимости проекта: основную долю составила стоимость лицензии на использование программного обеспечения разработчика.

Как бы вы охарактеризовали основные итоги проекта?

Д. М.: В режиме перечисления основного:

  • организована единая точка управления учетными записями и правами доступа пользователей во всех информационных системах организации. Автоматизирована процедура создания учетных записей и выдачи базовых наборов прав при приеме сотрудников на работу и процедура пересмотра прав доступа по кадровым событиям;
  • реализован автоматический контроль окончания срока действия полномочий и отзыв прав пользователей;
  • создано централизованное хранение информации обо всех действиях с учетными записями пользователей;
  • обеспечена возможность аудита прав доступа в автоматическом и ручном режимах;
  • разработан и внедрен каталог прав доступа, сформированы базовые права пользователей для автоматического назначения;
  • устранены бесхозные учетные записи в приложениях;
  • значительно сокращено время согласования и предоставления доступов пользователям.

Как вы оцениваете сроки окупаемости системы?

Д. М.: Думаем, что за 1,5 – 2 года окупим.

Исходя из опыта вашего проекта, как бы вы определили главные требования к заказчику, планирующему внедрение системы IDM?

Д. М.: Заказчик должен уметь грамотно управлять проектами. Нам, кстати, не пришлось для решения возникающих по ходу проекта задач обращаться на уровни выше руководителя проекта: он сам выстраивал отношения с руководством подразделений, в которые входили владельцы ресурсов, доступ к которым управляется 1IDM.

Благодарим за интервью и желаем успехов!