Контакты
Подписка
МЕНЮ
Контакты
Подписка

IdM-решения для автоматизации бизнес-процессов: у любой монеты есть две стороны

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

IdM-решения для автоматизации бизнес-процессов:у любой монеты есть две стороны

Практически вся информация в любой организации, будь то детский сад с картами учащихся или ракетный завод с чертежами секретных разработок, оцифрована и обрабатывается с помощью вычислительных машин и программного обеспечения. Бизнес-процессы, разделенные на отдельные операции, выполняются сотрудниками организаций в специализированных (базовых или проприетарных) прикладных системах. Чем больше пользователей, тем сложнее предоставлять и контролировать доступ к прикладным системам и тем актуальнее и нужнее становится для организации внедрение системы управления учетными записями
Алексей Плешков
Редактор рубрики "Управление идентификацией"

IdM-решения как системы для идентификации пользователей и управления реквизитами доступа давно и успешно зарекомендовали себя в качестве основного инструмента администратора для автоматизации процедур предоставления и контроля доступа.

Практические выгоды IdM

В организации, где в повседневных бизнес-процессах участвуют одно и более структурных подразделений, функциональные роли неравномерно распределены между работниками, чьи рабочие места территориально разнесены, а степень их участия и полномочия регулярно меняются, система управления учетными записями и ролевая модель доступа являются единственным возможным вариантом автоматизации и сохранения тем самым таких дорогостоящих ресурсов, как время, рабочие места и деньги на оплату штата прикладных администраторов.


IdM не может существовать в вакууме – она требует интеграции и не работает сама по себе без настройки и сопровождения со стороны высококлассных ИТ-специалистов. Но даже это во многих случаях не мешает владельцам организации в долгосрочной перспективе, при быстром увеличении атомарных бизнес-операций и при желании так же быстро реагировать на эти изменения на рабочих местах сотрудников, оптимизировать свои затраты на ИТ и существенно экономить, по сравнению с ручным вводом и наделением работников правами по традиционной схеме.

Ограничение доступа

Для владельцев или руководителей бизнеса, которые на высоком уровне понимают схему работы своего персонала и не приземляют на прикладные системы основные функциональные роли, базовыми принципами с точки зрения информационной безопасности в любом случае остаются ограничение доступности обрабатываемой в системах чувствительной информации и организация непрерывного контроля за соблюдением выстроенных ограничительных мер.

Ограничение доступности информации третьим лицам может быть реализовано:

  • техническими средствами в рамках прикладного или системного программного обеспечения;
  • наложенными (внешними) средствами контроля: служба каталогов, сетевые и локальные политики безопасности, средства шифрования и др.;
  • организационно – путем выпуска соответствующих административно-распорядительных документов.

При этом контроль за соблюдением выбранных мер чаще всего выполняется с помощью технических средств мониторинга событий и подсистемы уведомления о наступлении события с признаками инцидентов. Такие системы предполагают мониторинг действий пользователей в прикладных системах, мониторинг сетевой активности, мониторинг актуальных уязвимостей и другие виды мониторинга.

Цели и задачи

В качестве основных целей при внедрении автоматизированных средств управления учетными записями в любой компании чаще всего выбирается компиляция из нескольких пунктов, представленных ниже:

  1. Автоматизация внутренних процессов предоставления и контроля доступа к автоматизированным системам.
  2. Увеличение скорости внесения и качества отслеживания изменений прав доступа пользователей.
  3. Снижение числа технических сбоев и ошибок в процессе эксплуатации и администрирования прикладного и системного программного обеспечения.
  4. Построение централизованной и управляемой архитектуры для ИТ-подразделений в организации.
  5. Унифицированный подход к предоставлению доступа в масштабах единой организации/ группы компаний.
  6. Существенная экономия ресурсов на эксплуатацию автоматизированных систем.
  7. Проведение организационно-штатных и оптимизационных мероприятий в ИТ-подразделениях и сокращение внутренних финансовых расходов.

Мировой и российский рынок IDM

Рынок IdM-решений в мире с 2013 г. представляет собой ограниченное множество промышленно поддерживаемых, в большой степени интегрируемых между собой и дополняющих друг друга решений. По данным аналитических отчетов Gartner, 7–10 крупнейших игроков рынка ежегодно остаются в фокусе, несущественно меняясь местами и поглощая более мелкие компании.


Рынок IdM в России традиционно представлен не более чем дюжиной промышленных решений, некоторые из которых, что не может не радовать, являются высокотехнологическими разработками отечественных компаний. Эти разработчики в нише мирового рынка только начинают конкурировать с цифровыми гигантами класса IBM и Oracle, но в России они уже хорошо себя зарекомендовали и имеют широкую клиентскую базу из организаций, придерживающихся стратегии замещения импорта.

Успешные кейсы

Крупные компании сознательно идут на риск и внедряют у себя IdM, руководствуясь целями и задачами по автоматизации рутинных процедур. Одним из самых известных кейсов по внедрению IdM в кредитно-финансовых организациях последних лет является положительный опыт Банка Москвы. Бывший начальник управления информационной безопасности Банка Москвы Василий Окулесский в своих интервью неоднократно отмечал, что "появление системы управления доступом в Банке Москвы позволило поменять существующие на тот момент акценты. Те аспекты, на которые при обычных и привычных процессах в Банке вообще бы не обратили внимания, сейчас обрели большую значимость. Если раньше сама процедура управления заявками пугала своей сложностью и бесконтрольностью (напомню – бумага, скан, электронная версия, опять бумага), то сейчас она полностью автоматизирована. Проект по ходу своего выполнения потребовал усовершенствования бизнес-процессов, повысился уровень компетенций специалистов в части методики управления правами, а также произошло качественное изменение отношения к процессу управления доступом".

Подводные камни

Не все компании оптимистично настроены и тем более готовы тратить бюджет на внедрение систем управления учетными записями, а именно – компании и/или отдельные ИТ-руководители, имеющие негативный опыт внедрения IdM. К числу основных спорных моментов с точки зрения оптимизации и экономии чаще всего относят:

  • непрогнозируемо растянутые по времени сроки ввода в эксплуатацию целевого решения внутри инфраструктуры заказчика при количестве подключаемых систем более 10;
  • неоправданно высокая стоимость внедрения и владения решением класса IdM в перспективе 3–5 лет для небольшой организации;
  • неготовность мировых и отечественных вендоров гибко реализовать интеграцию своих продуктов с проприетарными прикладными автоматизированными системами и вносить изменения в архитектуры решения в процессе нетипового внедрения;
  • высокие трудозатраты на сопровождение и негибкость схемы работы IdM при условии изменения компонентов внешней по отношению к IdM инфраструктуры;
  • статичность и/или прямая зависимость корректной работы IdM от стабильности и неизменности смежных систем;
  • негибкость системы к жизненным ситуациям и/или невозможность заложения в алгоритм работы IdM всех вероятных сценариев, связанных с последствиями изменения реквизитов доступа пользователей;
  • большое количество сбоев в результате реализации ошибок первого и второго рода и, как следствие, увеличение на первом этапе внедрения недовольства качеством ИТ-сопровождения со стороны бизнес-пользователей.

Внедрять или не внедрять?

Применять IdM в организации или нет – это сознательный выбор ИТ-руководителя, который видит и чувствует возможности и особенности автоматизации внутри подконтрольной ему инфраструктуры. Решения на отечественном рынке есть, они опробованы, многие имеют более чем десятилетнюю историю постоянного улучшения и интеграции. Но, как и в других сферах и областях ИТ-индустрии, не стоит забывать о том, что у любой монеты есть две стороны.

Опубликовано: Журнал "Системы безопасности" #1, 2018
Посещений: 3354

  Автор

Алексей Плешков

Алексей Плешков

Независимый эксперт по информационной безопасности

Всего статей:  3

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций