Системы идентификации и управления доступом к информационным ресурсам предприятия - IDM (рынок России)
Российские компании к использованию систем управления доступом стимулируют рост киберпреступности и использование злоумышленниками «дыр» в ИБ,возможный выход информационных систем за периметр предприятий. Среди наиболее важных примеров: системы ДБО и Интернет-банкинга, аутсорсинг, работа предприятий в кластерах «электронного бизнеса». Новые риски создают и облачные технологии, принцип BYOD и т. д. IDM-решения подразумевают наличие полномасштабной корпоративной ролевой модели пользователей. В ней учитываются все информационные активы предприятия, а также описываются бизнес-роли персонала и порядок доступа для каждой из них к каждому активу.
Содержание |
2023: Названы факторы, повлиявшие на развитие российского рынка аутентификации
В компании RooX назвали 6 факторов, повлиявших на развитие российского рынка аутентификации. Об этом RooX сообщил 28 декабря 2023 года.
Среди основных — появление отраслевых стандартов, новые виды пользователей и усложнение интеграций, а также импортозамещение и гибридная разработка.
Аналитики RooX выделили несколько ключевых факторов развития российского сегмента систем управления идентификацией и аутентификацией.
Фактор 1. Движение к продуктовому подходу
До 2010-х отечественный сегмент решений IAM развивался по проектному пути, когда бизнес закрывал эту потребность при помощи заказной или внутренней разработки. На декабрь 2023 года на рынке появились сильные отечественные вендоры, предлагающие как линейки коробочных продуктов, так и платформы для развертывания кастомных функциональных решений.Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
Фактор 2. На место разрозненных технологий пришли отраслевые стандарты
Заметным драйвером развития идентификации и аутентификации стало появление технических стандартов, над которыми работают международные группы и российские институты. На многие кейсы существует свой стандарт или спецификация. Например, технический комитет по стандартизации «Защита информации» (ТК 362) ФСТЭК опубликовал ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Продолжается работа над новыми документами. Развитие отраслевых стандартов упрощает разработку решений и помогает в обеспечении необходимого уровня защиты.
Фактор 3. Новые виды пользователей и усложнение интеграций
С развитием бизнеса и технологий в ИТ-контур компаний добавляются различные приложения, появляются новые типы пользователей. Например, получили распространение внеофисные форматы работы сотрудников: удаленно, на аутсорсе, «в поле». Кроме того, усиливается взаимопроникновение между информационными системами разных компаний. Примеры: межведомственное взаимодействие, доступ подрядчиков к действиям внутри ИС заказчика, сервисы формата B2B2E.
Раньше на каждый такой бизнес-сценарий могли существовать независимые модули управления доступом. Теперь, чтобы обеспечить единые стандарты безопасности, повысить управляемость парком систем, а также снизить расходы на ИБ, бизнес стремится объединить все сценарии идентификации, аутентификации и авторизации на единой платформе.
Фактор 4. Актуальность Zero Trust
Значительно на российский сегмент IAM повлияли последствия пандемии в 2020 году (взрывной рост удаленно работающих сотрудников) и возросшее количество кибератак на бизнес и госсектор в 2022 году. Вследствие этого ИБ-службы компаний стали предлагать применять концепцию Zero Trust ко всем пользователям, хотя ранее она считалась необходимой только для внешних пользователей (например, клиентов).
Фактор 5. Импортозамещение как возможность осовременить ИТ-комплекс
Использовать зарубежные решения для управления доступом становится все более рискованно. Поэтому российские компании стали активно решать задачу импортозамещения. Многие из них пользуются этой возможностью не только с целью «перейти на российское», но и нарастить функциональность и осовременить архитектуру решения.
Фактор 6. От инхаус к гибридной разработке
На фоне роста киберугроз в 2022-2023 годах возникли повышенные требования к компетенциям сотрудников в области обеспечения кибербезопасности. Такую экспертизу невозможно быстро нарастить внутри компании, но и полностью отдавать вопросы DevSecOps подрядчику в настоящее время неразумно. Поэтому возник спрос на «гибридную разработку» заказчика и вендора. Забирая на себя дорогостоящую задачу аутентификации и контроля доступа пользователей, IAM облегчает и удешевляет разработку остальных бизнес-приложений.
Все больше возрастает вариативность сценариев использования информационных систем, интеграции между системами становятся все более сложными, так что спрос на современные решения для аутентификации и авторизации продолжит расти, как и требования к их безопасности функциональности и UX, — сказал Алексей Хмельницкий, генеральный директор RooX. |
2022: Опубликован новый стандарт по идентификации и аутентификации
8 сентября 2022 года компания "Аладдин Р.Д." сообщила о публикации национального стандарта ГОСТ Р 70262.1-2022 "Защита информации. Идентификация и аутентификация. Уровни доверия идентификации" на сайте Росстандарта. Он вступит в действие с 1 января 2023 г. В разработке стандарта активно участвовали специалисты "Аладдин Р.Д." Подробнее здесь.
2021
Компании из РФ сталкиваются с киберинцидентами из-за управления доступом сотрудников к ИТ-системам
17 мая 2021 года специалисты компании «Ростелеком-Солар» указали на проблему регулирования доступа сотрудников организаций к ИТ-системам. Так, 20% респондентов сообщили о том, что столкнулись с киберинцидентами из-за этой проблемы. При этом 46% представителей бизнеса сообщили о средней и высокой критичности неприятных случаях, связанных с информационной безопасности.
Больше половины респондентов заявили о «полной неудовлетворенности» либо «средней удовлетворенности» существующей в компании системой. Больше недовольны используемыми решениями и подходами представители частных компаний — 58% по сравнению с 52% в госучреждениях. Ни у одной из опрошенных российских организаций нет полной автоматизации управления правами доступа.
Руководитель направления по управлению доступом Центра прикладных систем безопасности «Инфосистемы Джет» Татьяна Лабеева в разговоре с газетой отметила, что расходы на разработку и внедрение системы доступа «несопоставимы с выгодами от ее внедрения». По данным «Инфосистемы Джет», в России за 2014–2018 гг. было выполнено только 99 IDM-проектов (проекты систем управления доступа), что, тем не менее, вдвое больше, чем в 2009–2013 годах.
Как пишет «Коммерсантъ» со ссылкой на исследование «Ростелеком-Солара», уровень доступа к ИТ-системам у разных специалистов в компаниях отличается. Ручная настройка может привести к наделению работников избыточных прав или сохранения их в течение какого-то времени после увольнения. Это создает дополнительные возможности для мошенников.
Эксперт по информационной безопасности Денис Батранков говорит, что основная проблема с внедрением систем автоматизации доступа в том, что они дороги, сложны в разработке, а также требуют индивидуализации под клиента и постоянной поддержки. По мнению главы департамента аудита информационной безопасности Infosecurity a Softline Company Сергея Ненахова, основные сложности.[1]
Росстандарт утвердил два стандарта по защите информации в части управления доступом
Федеральное агентство по техническому регулированию и метрологии (Росстандарт) утвердило национальные стандарты ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения» и ГОСТ Р 59453.2-2021 «Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификация формальной модели управления доступом». Основным их автором является ГК Astra Linux, которая и сообщила об этом 14 мая 2021 года. Подробнее здесь.
2018: Число внедрений IdM-систем в российских организациях за 5 лет выросло в 2 раза
7 ноября 2019 года ИТ-компания «Инфосистемы Джет», проанализировав российский рынок IdM-решений за период с 2014 по 2018 годы, пришла к выводу, что за последние 5 лет количество внедрений систем управления доступом в российских организациях выросло в 2 раза — с 49 до 99 проектов.
Решения Identity Management (IdM) предназначены для централизации и автоматизации управления учетными записями пользователей и правами доступа к информационным системам предприятия, а также повышения уровня контроля над использованием ИТ-инфраструктуры. Интеграция таких решений с корпоративной системой кадрового учета позволяет автоматизировать бизнес-процессы управления доступом при трудоустройстве работников, их переводе на другую должность, на время отпуска, а также в случае увольнения.
Отраслевая востребованность IdM-решений коррелирует с востребованностью ИБ-решений в целом. Согласно результатам исследования компании «Инфосистемы Джет», системы управления доступом наиболее востребованы в финансовых организациях (31% всех внедрений). При этом в отрасли наблюдается небольшой спад интереса к IdM-решениям: за последние 5 лет количество проектов снизилось на 8%. Это обусловлено тем, что большая часть финансовых организаций уже внедрила подобные продукты.
Второе место по числу внедрений занимают предприятия государственного сектора (17%). В отличие от финансовых компаний, повышение их интереса к IdM-проектам объясняется государственной политикой импортозамещения и в целом нарастающей тенденцией к информатизации госпредприятий.
Замыкают тройку лидеров нефтегазовые компании. За рассматриваемый период количество проектов в этой отрасли сократилось более чем в 2 раза. Такая динамика связана прежде всего с высоким количеством ранее реализованных внедрений: в период 2004-2008 компании этого сектора активно внедряли системы управления доступом, и их доля в общем числе проектов составляла существенные 29%. На 2019 год наметилась тенденция к миграции с одного продукта на другой, но первоначальные внедрения до сих пор преобладают.
«Рост внедрений систем управления доступом в ближайшие 3 года будет сохраняться. Это связано, с одной стороны, с появлением спроса на IdM-решения в новых секторах, с другой – с повышением спроса на облачные IdM-решения. По данным на ноябрь 2019 года подобные проекты составляют примерно 2% от общего числа всех внедрений, но мы ожидаем рост в этом сегменте рынка. Также не стоит забывать о курсе на импортозамещение, которого придерживаются госкомпании. За последние годы отечественные разработчики существенно продвинулись на пути создания IdM, в результате чего они сравнялись с зарубежными по количеству внедрений», отметил Ярослав Жиронкин, начальник отдела IdM-решений Центра прикладных систем безопасности компании «Инфосистемы Джет» |
При проведении исследования специалисты «Инфосистемы Джет» анализировали информацию, предоставленную вендорами и дистрибьюторами, открытые данные о проектах по внедрению IdM-систем, собственную статистику и экспертные данные архитекторов интегратора. В рамках исследования также был составлен рейтинг вендоров по количеству реализованных проектов, рассмотрены вопросы миграции с решения одного вендора на решение другого и проанализирована востребованность IdM-систем, в зависимости от численности компаний.
2014
По оценкам экспертов, опрошенных TAdviser, российский рынок IDM-решений в 2014 году вырос на 10% - с 800 млн до 880 млн рублей. В долларах он сократился на 8%.
По оценкам генерального директора компании «Аванпост» Андрея Конусова, к концу 2014 года российский рынок IDM в денежном исчислении распределялся между ведущими IDM-вендорами следующим образом: Oracle – 40%, «Аванпост» – 30%, IBM – 20%.
Оставшиеся 10% распределены между другими представленными в России вендорами, среди которых следует отметить Microsoft, «Инфосистемы Джет», «ТрастВерс», а также двух новичков на российском рынке – SailPoint и Dell.
По данным компании «Инфосистемы Джет», число вендоров, работающих на российском рынке, заметно увеличилось. Если в 2013 году лидерами отечественного рынка IDM-решений были две компании, то в 2015 году можно говорить о четырых-пяти конкурирующих вендорах.
2013
По оценкам компании WALLIX, объем рынка IDM в России составлял примерно $20 млн. Учитывая стоимость IDM-систем ($1 млн), можно сделать вывод, что в России ежегодно реализуется порядка 20 проектов.
По оценкам компании «Инфосистемы Джет», в 2013 году объем мирового рынка IDM достиг $5,13 млрд. Доля российского рынка в 2012 году составляла 0,5% от мирового рынка. Таким образом, вероятный объем российского рынка в 2013 году составлял примерно $25-30 млн.
Генеральный директор компании «Авантпост» Андрей Конусов так оценивал доли основных игроков на российском рынке IDM-решений. В денежном выражении 65-75%% рынка занимали зарубежные вендоры (Oracle Identity Manager с долей 45-50% и IBM Security Identity Manager с долей 20-25%. На продукт Avanpost IdM приходится 15-18%; Microsoft Forefront Identity Manager с долей 5-6%. TrustVerse,Dell (после покупки компании Quest) и SailPoint вместе занимали тогда не более 10%.
2012
Специальных оценок по России нет, однако опрошенные порталом Anti-Malware.ru эксперты оценивали рынок в 0,5% от мирового. Динамика и объем мирового рынка IDM-решений в 2012 году оценивался Gartner и Forrester в $10-11 млрд. Поэтому объем российского рынка по итогам 2012 года можно оценивать в $50–60 млн.
По оценкам компании Avanpost, в 2012 году объем российского рынка IDM достиг $60-70 млн. Эксперты объясняли: IDM-решения используются в 80% бизнеса уровня Enterprise в США и Европе, что отчасти продиктовано нормативными актами. В России только 20% Enterprise-компаний применяют IDM. Сегмент малого и среднего бизнеса и вовсе не использует IDM-решения из-за их высокой стоимости.