Дмитрий Бондарь, «Ростелеком-Солар» - о преимуществах внедрения и сценариях применения систем IDM/IGA в госсекторе
Системы IdM (Identity Management) или IGA (Identity Governance&Administration) обеспечивают централизованное управление правами доступа и учетными записями пользователей в различных информационных системах. О том, как такие решения используются в государственных ведомствах, какие проблемы они решают и какова специфика их внедрения, в интервью TAdviser рассказал Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар».
Для чего нужен IDM/IGA? Какова роль данных систем и какие задачи они решают?
Дмитрий Бондарь: Системы IDM/IGA применяются для централизации и автоматизации управления идентификационными данными и полномочиями пользователей в информационных системах организации. По сути, задачей такой системы является обеспечение необходимого доступа необходимым людям к необходимым информационным ресурсам – чтобы этот доступ не был избыточным, но в то же время у работника был доступ, нужный ему для выполнения своих должностных обязанностей.
Система также обеспечивает решение сопутствующих задач – автоматизация предоставления доступа работникам при выходе на работу, синхронизация данных о работниках между различными справочниками и информационными системами, своевременная приостановка доступа работников при увольнении, подача и согласование заявок на доступ и т.д.
В какой момент государственному ведомству следует рассмотреть внедрение системы управления доступом?
Дмитрий Бондарь: О внедрении такой системы задумываются, когда возникает потребность в наведении порядка с учётными данными и доступом к информационным системам, когда требуется миграция учётных данных и поддержание их достоверности и целостности, автоматизация ручных операций по управлению учётными данными.
Эта система централизует управление пользователями информационных систем, уменьшает число ручных операций в процессах управления доступом, автоматизирует управление и контроль политик доступа. Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
Какие проблемы характерны для государственных организаций?
Дмитрий Бондарь: Характерные проблемы – это активный доступ уволившихся, это избыточность прав доступа, это неэффективность процессов, которая проявляется во временных издержках, большом количестве рутинных операций и высокой трудоёмкости аудита.
Есть ли специфика внедрения систем IDM и IGA в госсекторе? Какие сложности ожидают заказчика?
Дмитрий Бондарь: Безусловно, у каждой организации своя специфика, но в государственных учреждениях чаще приходится сталкиваться с неготовностью инфраструктуры и нехваткой специалистов. Например, кадровый учёт ведётся в файлах или в legacy-системе, с которой нет технической или организационной возможности интегрироваться. Это не позволяет системе IdM оперативно получать данные о работниках и автоматизировать сквозной процесс управления доступом. Для настройки необходимых интерфейсов взаимодействия и соответствующих доступов просто может не хватать рук, что приводит к затягиванию сроков проекта. Помимо этого, реализация проекта в государственном учреждении предполагает более сложный и длительный процесс приёмки системы, чем в коммерческих организациях. Большой комплект сопутствующей документации, множество согласующих. Всё это следует учитывать при планировании проекта.
Как подойти к выбору поставщика?
Дмитрий Бондарь: Проекты IdM – это довольно длительные и высокобюджетные проекты, поэтому к выбору поставщика и формулировке требований к нему нужно отнестись очень внимательно.
Конечно, хороший поставщик – это надёжный поставщик, с которым у вас есть успешно выполненные проекты. Однако процесс закупок накладывает определенные ограничения. В этой части в критериях оценки важно обозначить значимость релевантного опыта у поставщика, масштаба организации, её ресурсных и финансовых возможностей. Выбор поставщика с низкой квалификацией, небольшими ресурсными возможностями может привести к потерям и даже срыву проекта.
Расскажите об окупаемости IDM/IGA-систем в организации. Как ее можно оценить?
Дмитрий Бондарь: Есть подход к оценке окупаемости «в лоб» - проанализировать, какое количество операций система автоматизирует, сколько времени на их исполнение тратит работник, и перевести это в денежное выражение. Это понятный подход, однако он оценивает частный аспект, и, зачастую, не показывает приемлемых показателей окупаемости. Система даёт гораздо больше выгод в целом, но их непросто перевести в денежное выражение. Она показывает полную картину прав доступа к информационным ресурсам. Поддерживает порядок с учётными данными пользователей и полномочий – своевременно предоставляет и отзывает доступ, обеспечивает заявочный процесс, отслеживает несогласованный доступ. Предоставляет исчерпывающую отчётную информацию о процессе управления правами доступа в несколько кликов. Оценить это в деньгах непросто.
Например, известно, что процесс аудита прав доступа может парализовать работу ИТ-отдела на несколько недель, в зависимости от размера организации и числа информационных систем, которые под этот аудит попадают. Отчётность из системы IDM/IGA позволяет получить необходимые данные за несколько минут. Но сколько организация реально тратит на этот процесс, оценить довольно сложно. Для этого нужно целенаправленно начинать измерять показатели – такого обычно никто не делает. И кажется, что экономия на аудите – это просто слова, не подкреплённые конкретными цифрами. Много выгод от внедрения системы связано со снижением рисков. Их перевести в денежное выражение без соответствующего организационного процесса тоже практически нереально, особенно если в истории организации не было конкретных инцидентов и конкретных потерь.
Нередко компании руководствуются логикой – если инцидентов не было, то и незачем говорить про соответствующие риски. Например, как оценить потенциальный ущерб от риска избыточных полномочий?
С одной стороны – в том или ином виде избыточность доступа у пользователей есть всегда, её можно снизить, но побороть в силу её природы практически нереально. С другой стороны, эта самая избыточность в отдельных случаях может приводить к взлому всей инфраструктуры предприятия. И получается, что определённый уровень риска всегда присутствует, и это норма, но в редких случаях это может вылиться в ощутимый ущерб. Системы IDM/IGA в этой части позволяют сделать так, чтобы этот риск выше определённого уровня в среднем по предприятию не поднимался.
В итоге получается, что выгода от таких систем заключается в более эффективной организации процессов управления доступом и контроля соответствующих рисков. А перевод в денежную форму осуществляется индивидуально для каждой компании, основываясь на том, что в ней измеряется, есть ли подход к оценке рисков, были ли соответствующие инциденты.
Какие выгоды государственные организации получают от внедрения систем IDM/IGA?
Дмитрий Бондарь: Выгоды складываются из повышения прозрачности, автоматизации операций и снижения рисков процессов управления правами доступа. Отчасти я говорил об этом в предыдущем вопросе.
Прозрачность заключается в том, что вы в любой момент времени знаете, куда и с какими правами работник имеет доступ. Кто с каким полномочиями допущен к конкретной информационной системе. Можете выгрузить отчёт о том, кто куда имеет доступ, откуда он его получил – кто подал и согласовал соответствующую заявку, какие кадровые изменения привели к изменению прав доступа пользователей, какой доступ у работника был на дату в прошлом и многие другие. В организации настроен единый процесс подачи и согласования доступа к информационным системам.
Помимо этого, процесс ещё и автоматизирован. Доступ при приёме сотрудника на работу выдаётся автоматически. При переводе по должности автоматически изменяется. При увольнении автоматически отзывается. Согласованные заявки на доступ к подключенным информационным системам автоматически исполняются. Данные о работниках в подключенных информационных системах целостны и актуальны. Можно также автоматизировать такие процессы, как миграция на новый корпоративный каталог. Всё это позволяет тратить меньше труда на многочисленные рутинные операции – как по управлению пользователями, так и по подготовке отчётных данных.
Снижение рисков является следствием предыдущих пунктов. Своевременная блокировка доступа уволенных работников и подрядчиков, пересмотр доступа при переводах по должности, обнаружение несогласованных полномочий – всё это снижает риски несанкционированного доступа. Позволяет поддерживать порядок и приемлемый уровень рисков доступа в рамках всей организации.
В чем преимущества внедрения продукта от российского вендора?
Дмитрий Бондарь: Основные преимущества в изначально большей готовности наших решений под реалии российских предприятий, наличии модулей интеграции с информационными системами российского производства и готовности адаптировать свой продукт под нужды заказчиков.
У наших организаций есть свои особенности. Как построена инфраструктура, как организованы процессы, какие есть сложности и проблемные места. Многие вещи от компании к компании повторяются. Например, в наших организация нередко встречается практика, когда переводы по должности проводятся через увольнение. Либо когда работнику требуется доступ до момента ввода данных в кадровую систему. Либо когда доступ работникам на период отпуска нужно блокировать, но есть исключения, и иногда этого делать не нужно. Все эти особенности требуют соответствующей поддержки на стороне функционала ПО и его настройки. И в этом смысле российские решения, в том числе Solar inRights, изначально учитывают такую специфику, а иностранные не всегда могут её поддержать.
Разумеется, у российских решений есть модули для интеграции с информационными системами российского производства, которые всё больше замещают собой иностранные решения. Российские производители могут не только иметь в поставке готовые модули, но и поддерживать их актуальность при выходе новых версий, сертифицировать их у производителей, как, например, сделали мы для платформы 1С и ряда других отечественных разработчиков.
Сложный для большинства западных производителей аспект – это адаптация своего продукта под требования российских заказчиков. Российский рынок слишком мал в общей доле выручки западных поставщиков, и возможность наших заказчиков влиять на функционал их ПО также крайне мала. А в силу сказанного выше это требуется отнюдь нередко. Российские поставщики – напротив – охотно адаптируют свои продукты под требования заказчиков. Мы, например, даже разработали для этого специальную систему плагинов, которая позволяет нашим заказчикам обновлять ПО с сохранением проектных доработок.
Расскажите о наиболее частых сценариях применения системы в государственных организациях?
Дмитрий Бондарь: Типовые сценарии заключаются в централизованном администрировании, автоматизации процессов и реализации функций безопасности государственных информационных систем.
В сценарии централизованного администрирования система IDM/IGA внедряется, как единая система управления пользователями информационных систем предприятия. Это некая «единая консоль управления». При таком подходе ключевые системы подключаются к IDM/IGA, а управление пользователями в них осуществляется вручную, но из единой консоли. Это сокращает затраты на администрирование пользователей информационных систем и их полномочий и позволяет избежать существенных изменений в процессах.
Автоматизация процессов включает в себя предыдущую схему реализации, только с добавлением элементов автоматизации операций управления доступом. Она может быть в варианте автоматизации операций администрирования учётных записей, когда автоматизируются базовые процессы, такие как предоставление работнику доступа при приёме на работу или блокирование при увольнении без возможности доступа к системе самих работников. А может включать в себя функционал подачи, согласования и исполнения заявок на доступ. При таком варианте работники имеют доступ к личному кабинету в системе, посредством которого они могут запросить и согласовать доступ к информационным ресурсам, а согласованные заявки исполняются автоматически.
Ещё одним сценарием использования системы IDM/IGA является обеспечение необходимой сертификации государственных информационных систем. В этом случае функции аутентификации и авторизации пользователей выносятся из специализированного программного обеспечения государственной информационной системы на сторону внешней системы, которой выступает связка IDM/IGA, системы федеративной аутентификации и единого каталога. Последняя сертифицируется, а специальное программное обеспечение избавляется от такой необходимости, что упрощает и её работку, и последующее внесение изменений.