IAM-системы и информационная безопасность

Михаил Савельев, компания «Информзащита»

2006-12-26

С каждым днем в нашу жизнь вторгается все большее число специфических терминов и сокращений. Причем некоторые из них даже становятся именами нарицательными. Помнится, на одной из выставок, исчерпав немногие шаблоны в попытке объяснить мне суть работы некой системы, представитель компании заявил следующее: «Ну вот что такое ERP, вы представляете? У нас приблизительно то же самое, но только по отношению к…»

С каждым днем в нашу жизнь вторгается все большее число специфических терминов и сокращений. Причем некоторые из них даже становятся именами нарицательными. Помнится, на одной из выставок, исчерпав немногие шаблоны в попытке объяснить мне суть работы некой системы, представитель компании заявил следующее: «Ну вот что такое ERP, вы представляете? У нас приблизительно то же самое, но только по отношению к…»

Меня очень развеселило такое сравнение. И я задумался: а что в принципе можно отнести к классу «подобных ERP» систем? Если руководствоваться первыми 10 толкованиями этого термина, почерпнутыми в Интернете, то понимать его следует как нечто сложное, комплексное, предназначенное для автоматизированного сквозного учета и управления. А в контексте обеспечения информационной безопасности первая аналогия, которая приходит в голову, — системы Identity&Access Control Management (IAM).

Древние верили, что имя определяет судьбу. Иной раз они оказываются правы. По крайней мере, в области систем, если присмотреться к ним повнимательнее, можно заметить, что у тех из них, которые можно отнести к классу «ERP-подобных», достаточно схожи как описания (полные красочных и радужных перспектив их использования), так и проблемы, связанные с выбором, внедрением и эксплуатацией.

Обоснование идентичности

Итак, ERP- системы служат для управ ления производством: начиная от закупки материалов и комплектующих до продажи товара клиенту. Внутри ERP предусмотрены механизмы управления, поддерживающие и учитывающие особенности работы в условиях нескольких часовых поясов, нескольких языков, различных национальных валют и тех или иных систем бухгалтерского учета и отчетности.

Оказывается, всему этому можно найти прямые аналогии в информационной системе. Правда, основной сферой, которой тут приходится управ лять, является доступ пользователей к различным ресурсам и приложениям. Ведь если разобраться, то это одна из составляющих нормальной работы IT-системы. От того, насколько оперативно и в каком объеме предоставлен доступ, зависят и возможность решения персоналом компании производственных задач, и защищенность информации.

Иными словами, это решение сразу двух из трех основных задач обеспечения безопасности: доступность и конфиденциальность. Ведь наиболее часто встречающаяся проблема, с которой сталкиваются службы информационной безопасности, — неверное разграничение доступа, в результате чего пользователи получают доступ к информации, которая им не предназначена. Пытаться обеспечить безопасность такой информации любыми дополнительными средствами контроля — чаще всего бессмысленная трата времени. В чем отличие IAM- от ERP-систем? ERP-системы часто служат для учета и принятия управленческих решений, а IAM — это, скорее, просто управление конвейером. Но давайте попробуем разобраться во всем по порядку.

Описание проблем

Всем известны так называемые «болезни роста». В сфере бизнеса эти болезни выражаются в том, что издержки начинают расти быстрее доходов. Применительно же к информационной системе (ИС) они выражаются в полной неразберихе с тем, что происходит внутри ее. Издержки на производстве в значительной степени зависят от его специфики. Издержки же администрирования — одинаковы для любой крупной информационной системы. Связано это в первую очередь с тем, что на определенном уровне развития ИС ее уже не способен осмыслить целиком ни один человек. Для исполнения функции администрирования набирается целый отдел, причем каждый работник в нем занимается своей узкой задачей и часто не отвечает за окружение.

Издержки администрирования выражаются в том, что прежде чем получить доступ куда-либо или начать использовать то или иное приложение, обычные пользователи тратят дни, пока администратор без ошибок выполнит определенные настройки. Сотрудники же, лично знакомые со специалистами IT-департамента, напротив, обычно могут легко получить любой доступ и инсталлировать любую программу. Однако нередко случается, что даже и близкое знакомство с администратором не в силах помочь: скажем, если для работы приложения нужно не только установить его, но и настроить несколько смежных систем. Решение такой задачи опять-таки требует затрат времени. К тому же многие администраторы, полагая, что они хорошо знают свою систему, на этом основании никак не документируют ее настройки. Проблемы начинаются, когда администратор увольняется или когда на него взваливают новый фронт работ, который постепенно вымывает из его головы представление о первой системе.

Сроки жизни приложений в корпоративных информационных системах сегодня достаточно большие. Кроме того, замена старых приложений на новые происходит нечасто. А иногда старые приложения остаются работать наравне с новыми: когда, например, разработчикам не удалось достигнуть полной интеграции. И нередко получается, что в корпоративной ИС одновременно функционирует несколько десятков приложений. Вот тут-то проблемы начинаются и у пользователей. И хотя, слава богу, большинство современных приложений используют совместимые типы аутен тификации, пользователям, тем не менее, приходится зачастую помнить несколько паролей для доступа к различным системам.

«Пожалуйста, скажите, что вам нужно?» — этот вопрос, в случае если он звучит из уст IT-специалистов, тоже один из маячков болезни роста, который может означать, что контроль над системой потерян и новому сотруднику и/или его начальнику придется потратить уйму нервов и времени только на то, чтобы просто получить возможность работать со всеми необходимыми службами и приложениями.

Ну а последним сигналом, связанным, кстати, не только с неудобством, но и с безопасностью, служит наличие в информационной системе фантомных учетных записей сотрудников, которые либо уже давно уволены, но еще сохраняют некоторые полномочия в системе, либо имеют несколько учетных записей, заведенных в одном и том же приложении. Причем все указанные проблемы обостряются, если организация отдает работы по администрированию информационной системы на аутсорсинг.

Как же выйти из положения?

Столкнувшись с описанными проблемами, руководители IT-подразделений часто говорят себе: «Стоп! Надо-таки взяться за дело системно и навести порядок». Однако в большинстве случаев тяжкий гнет текучки позволяет наладить лишь отдельные участки, не давая никакого видимого эффекта в масштабах всей IT-системы.

Сегодня многие компании тщетно пытаются формализовать и упорядочить вопросы администрирования. Так или иначе, они приходят к следующим выводам:

1. Необходимо понимать, кто и к чему имеет доступ сегодня.
2. Необходимо понимать, какой доступ вообще нужен тем или иным сотрудникам.
3. Необходимо, чтобы доступ, не описанный в пункте 2, предоставлялся после некой формальной процедуры согласования этого доступа.
4. Необходим строгий контроль за функционированием системы, убеждающий, что в ней нет и не появляется несанкционированных настроек доступа.
5. Процедуры предоставления доступа тесно связаны с кадровыми процедурами, например:
   а) прием нового сотрудника сопряжен с предоставлением ему только необходимого доступа;
   б) перемещение сотрудников между должностями связано с отъемом у них лишнего и предоставлением необходимого доступа;
   в) увольнение или уход сотрудника в отпуск сопровождается удалением или временным приостановлением прав его доступа.

Вывод относительно того, что и как должно производиться, можно получить только после детального обследования информационной системы и автоматизированных бизнес-процессов.

Для проведения процедур согласования в системах Identity Management предусмотрена возможность организовать документооборот: формализованные электронные заявки, в которых формулируются требования на предоставление или изменение доступа.

Тесная интеграция с кадровыми приложениями способна упростить часть рутинных процедур. Например, увольнение сотрудника будет означать полное приостановление его доступа к информационной системе, уход в отпуск — временную блокировку с восстановлением в правах на день возвращения.

Функционал систем Identity&Access Management

По сути, системы IAM представляют собой собственное или внешнее, но обязательно некоторое единое хранилище информации о пользователях. Их основная задача состоит в том, чтобы во всех необходимых пользователю приложениях вовремя появлялись учетные записи, наделяющие необходимыми правами (а желательно, чтобы вообще была одна, единая для всех приложений запись).

Выглядит этот процесс так.

• В системе составляется заявка о необходимости предоставления некой группе пользователей некоторых прав (возможно — путем получения данных о кадровых операциях из соответствующей системы).
• Заявка согласуется со всеми ответственными лицами, в число которых входят и специалисты по ИБ, способные оценить последствия такого доступа.
• При согласовании этой заявки она транслируется в инструкции и поступает на исполнение администраторам системы.
• Администраторы системы выполняют необходимые настройки.
• Система контролирует безошибочность этих настроек, их полноту и достаточность.

Выполнение инструкций может быть реализовано и в автоматическом режиме.

Для того чтобы дать возможность пользователю помнить только одну учетную запись, системы Identity management интегрируются с решениями Access Control Management и решениями Single Sign-On.

Позволить пользователю аутентифицироваться во всех приложениях при помощи одного набора учетных данных — задача далеко не такая простая, какой она, возможно, кажется на первый взгляд: прикладные системы поддерживают ограниченный и часто не пересекающийся набор способов аутентификации. Кроме того, формат учетных данных в разных системах может не совпадать (от запрета на использование отдельных символов до проблем с кодировкой).

Решение этой задачи требует:

• специализированных агентов, которым приложение готово делегировать функции аутентификации (при условии, что приложение вообще способно делегировать эту функцию);
• промежуточных серверов аутентификации, которые будут производить конвертацию учетных данных из одного формата в другой.

Основными показателями, характеризующими IAM-системы, являются:

• свойства управляющего документооборота:
• насколько он гибок для использования в действующей организации с ее традициями;
• возможность интеграции с действующими системами документооборота;
• возможность применения ЭЦП при составлении и согласовании заявок и т. д.;
• перечень контролируемых платформ и приложений, в том числе заявленные скорости создания новых агентов под новые платформы;
• развитость системы отчетов.

Во главе угла — внедрение

Опрос, проведенный компанией «Информзащита» среди ее клиентов, проявлявших интерес к системам IAM, показал, что самым животрепещущим моментом в жизни систем Identity&Access Control Management являются сложность и сроки внедрения системы. Этот вопрос сочли первоочередным 71% опрошенных из 80 респондентов. Ни стоимость системы, ни ее базовый функционал (48% и 45% соответственно) не волнуют специалистов по информационной безопасности в той же степени.

Следующий по важности вопрос — где будет храниться «основной» перечень учетных записей пользователей (62% опрошенных). На третьем месте — вопросы о наличии возможности использовать электронно-цифровую подпись для протоколирования действий персонала по управлению доступом. Также на третьем месте — реализация механизма SSO (53% опрошенных обеспокоены и той и другой проблемой).

И хотя заранее понятно, что сложность и сроки внедрения зависят от сложности системы, не надо забывать, что как внедрение ERP порой требует кардинальной переделки некоторых процессов, так и внедрение IAM-системы требует от ИС некоторой подготовительной фазы, а от администраторов — привычки к новым методам управления системой.

Причины неудач ERP. Не ждет ли IAM та же судьба?

Бытует мнение, что не существует ни одного в полной мере работающего ERP-решения. Законный вопрос: а не ждет ли та же участь системы управления в информационной безопасности? И стоит ли пытаться сделать что-то для минимизации этих проблем в компаниях, уже ступивших или собирающихся ступить на путь их внедрения? Сравнивая круг проблем ERP-систем (по большому числу опубликованных статей), приходишь к выводу, что для ERP-систем и систем управления доступом характерны одни и те же проблемы на одних и тех же этапах принятия решения и внедрения.

Проблема принятия решения

Первые проблемы с системами IAM, так же как и с ERP-системами, появляются еще на этапе выбора и принятия решения об установке той или иной из них. Чаще всего, необходимость такой системы начинают понимать именно специалисты по ИБ. Однако внедрение системы — это процесс в такой степени комплексный, что в его ходе требуется изменение принципов работы IT-службы, а кроме того, именно IT-службе придется обслуживать саму систему, поддерживать работоспособность ее агентов. Такое решение в современных российских компаниях просто некому принимать. К тому же зачастую службы безопасности не обладают достаточным бюджетом, а их заявки на подобную систему не рассматриваются руководством в силу опять же того, что «система слишком комплексна и ее внедрение нужно обсудить с IT-директором». Последний, в свою очередь, не признает проблем в своем хозяйстве и скажет, что нужно тщательно продумать вопросы интеграции и… Словом, эту сказку про белого бычка можно продолжать бесконечно.

Многие руководители связанных с IT служб очень боятся, что вслед за внедрением подобной системы встанет вопрос о кадрах: мол, систему внедрили, обещанный эффект — сокращение трудозатрат на администрирование ИС, так что давайте подумаем о сокращении штата. Их начинает тревожить будущее собственное положение в компании. Хочется думать, что менталитет TOP-менеджеров и менеджеров среднего уровня все же изменится (да он уж и меняется сегодня), и ценить IT-службы начнут не за штат подразделения и не за ожесточенную работу с IT-системой, а за порядок и оптимизацию деятельности. А людей всегда найдется чем занять: проблем с автоматизацией у нас ведь еще много.

А где взять деньги?

Следующая сложность, связанная с «недопониманием» со стороны руководителей, состоит в том, что ими не до конца осознается выигрыш от налаживания бизнеспроцессов. «Сейчас же работаем без этого…», «А сколько это позволит нам заработать?..» — эти и другие подобные вопросы приходится слышать сплошь и рядом. Безусловно, подход весьма резонный: вкладывая деньги, нужно получать отдачу. Но в том-то и проблема, что в данном случае прямой связи между звеньями этой цепочки нет. Организовав процессы управления IT-системой, мы сможем быстро реагировать на запросы пользователей, обеспечивать их работу с системой без простоев. Возможно, что вырученное время пойдет именно на зарабатывание дополнительных денег, но… скорее всего, следует говорить о создании подобных предпосылок.

На пуговицах не экономят

Еще одна глобальная проблема — стремление сэкономить на внедрении подобных систем. К сожалению, часто экономия касается самой содержательной части работ, а именно той, которая сводится к бизнес-анализу. Постоянно приходится напоминать, что консалтинг это не предлог, прикрываясь которым консалтинговые компании стремятся вытянуть как можно больше денег, а важнейшая фаза внедрения. Простая установка системы без детального изучения процессов чревата тем, что уже при эксплуатации придется столкнуться с неправильным поведением системы. Это, в свою очередь, приведет к тому, что придется «по живому» адаптировать ее к текущему положению вещей. Помимо трудозатрат и дополнительных денег это будет подрывать отношение к системе окружающих и менеджмента: только они к чему-то привыкли — а тут опять изменения…

Стремление экономить на всем и вся часто заставляет предприятие отказываться от обучения своих сотрудников основам эксплуатации внедряемых систем. В результате — несколько месяцев собственные сотрудники со священным страхом относятся к внедряемой системе и работают в ней методом «научного тыка», что опять же, мягко говоря, не способствует получению от нее полной отдачи.

Взгляд за горизонт

Системы управления безопасностью — отнюдь не самостоятельные механизмы. Чтобы интегрировать их с другими системами, нужны время и деньги, а главное — план интеграции, который должен быть не только составлен, но и выполнен. В противном случае мы получаем исходную информационную систему с нерешенными проблемами управления плюс еще одну, наложенную систему, которая должна бы эти проблемы решать, но на деле представляет собой самостоятельную проблему.

Кроме того, сделав шаг по пути автоматизации, нельзя останавливаться, нужно быть последовательным. Отныне каждая новая внедряемая система или приложение должны интегрироваться с системой управления. Если это сложный процесс, то деньги на него необходимо закладывать в стоимость каждой приобретаемой системы. Иначе очень скоро наша система обрастет отдельно управляемыми сегментами.

Не свойственные IAM проблемы

И все-таки ERP-системы порой бывает очень сложно или почти невозможно адаптировать под специфические бизнес-процессы конкретной компании. В отличие от них IAM-системы вполне реализуемы в рамках любой информационной системы, особенно если не пренебрегать этапом внедрения, о чем мы говорили выше.

ERP-системам свойственно страдать и от так называемой проблемы «слабого звена» — когда эффективность всей системы может быть нарушена одним департаментом или партнером, недобросовестно предоставляющим сведения.

Единожды внедренная, IAMсистема будет функционировать вне зависимости от окружающей обстановки. Свести на нет эффект от ее применения в рамках всей сети смогут только появившиеся в большом количестве не интегрированные в нее приложения и ресурсы.

Заключение

Рынок систем Identity&Access Control Management в России находится сегодня в подвешенном состоянии. С одной стороны, видно, что системные и специализированные в области ИБ интеграторы готовы к внедрению. С другой стороны, ряд компаний уже начал осознавать необходимость подобных систем. Но вот на конкретные действия решаются не многие. Сами же системы Identity&Access Control Management переросли стадию юношеской незрелости и вполне готовы к внедрению.

Сегодня у систем IAM есть три типа клиентов:

• компании, у которых уже проявляются «болезни роста» и они начинают искать подходящие решения;
• компании, в которых только подходят к вопросу управления доступом к ресурсам и где еще недостаточно остро стоят проблемы, свойственные этапу зрелости (вложиться в технологии Identity&Access Control Management для них слишком резкий шаг вперед);
• наконец, существует малая прослойка компаний, которые уже приобрели опыт неудачного внедрения одной из известных систем (на стадии юношеских болезней), имеют особое мнение на этот счет, и теперь втройне сложнее убедить их попробовать внедрить что-то подобное еще раз.

По информации агентства IDC, в ведущих мировых компаниях уже сегодня около 30% бюджета на информационную безопасность направляется на внедрение систем класса ERP — системы Ident ity&Access Cont rol Management. Их опыт показывает, что без подобных систем становится сложно требовать отдачи и от других вложений в IT. Возможно, стоит присмотреться к этому опыту и, вместо того чтобы идти своим путем, путем проб и ошибок, сэкономить время и уже сегодня задуматься об их внедрении у себя в компании.