Главной задачей внедрения системы управления идентификацией и доступом является построение обязательного каталога цифровых удостоверений (идентификаторы) (см. Рисунок 1). Однако практическое выполнение этого ставшего уже привычным требования вызывает самые большие трудности. Например, кто на предприятии знает, что под именем пользователя SchMaOS, электронным адресом martin.schmidt@fir-ma.de и учетной записью mschmidt скрывается один и тот же человек, а именно прокурист Мартин Шмидт, который в системе управления персоналом проходит под номером 2319?
В большинстве случаев ответ прост: никто. Если повезет, найдется один список Excel с соответствующей информацией, который ведет администратор.
НЕ ВСЕ И НЕ СРАЗУ
Для унификации цифровых удостоверений проекты IAM часто начинаются с требования подключить все приложения организации к центральной системе управления идентификацией (Identification Management, IdM) и таким образом консолидировать все данные о пользователях. В результате застой оказывается по сути запрограммированным: если предположить, что на предприятии используется сотня приложений, среди них наверняка найдется десяток-другой, для которых система предлагает соответствующие интерфейсы управления пользователями. Для остальных унаследованных приложений придется в индивидуальном порядке разрабатывать соответствующие коннекторы или агенты — причем в большинстве случаев с привлечением дорогостоящих специалистов извне.
В результате может пройти несколько лет и будет потрачено немало денег, пока все приложения наконец-то окажуться подключены к решению SSO. И даже тогда главная проблема, ради решения которой все затевалось, — соотнесение различных пользовательских записей с реальными личностями — остается в силе.
ВСЕ НАЧИНАЕТСЯ С ПОЛЬЗОВАТЕЛЯ
В качестве альтернативы такому трудоемкому внедрению рекомендуется начать с развертывания компонента системы IAM для управления доступом. Этот подход обладает двумя важными преимуществами: с одной стороны, благодаря применению однократной регистрации (Single Sign-On, SSO) достигается немедленная выгода для пользователей, а с другой — как бы само собой, в качестве побочного результата, появляется столь важное для успеха всей затеи хранилище электронных удостоверений. Метод основывается на использовании инфраструктуры SSO с поддержкой самостоятельной регистрации пользователей (см. Рисунок 2). И неважно, насколько сложен ландшафт приложений на предприятии: пользователь сам знает, как и в каком приложении ему следует регистрироваться.
Для этого на рабочем компьютере пользователя необходимо установить клиентский компонент SSO, который будет следить за взаимодействием с разными приложениями. На основе заданного производителем или администратором файла описания он распознает соответствующие маски для регистрации и берет на себя управление ими. Например, при самом первом обращении к приложению необходимо ввести регистрационное имя и пароль, после чего программное приложение SSO выполняет данную процедуру самостоятельно. Необходимая в большинстве приложений регулярная смена пароля также производится полностью автоматически.
ГЛАВНОЕ ХРАНИЛИЩЕ ДЛЯ ВТОРОЙ ФАЗЫ
Пользователю больше не придется запоминать никаких паролей, а благодаря автоматизации процесса регистрации он сможет сэкономить свое время. Кроме того, общий уровень безопасности заметно повышается, так как сложные пароли генерируются автоматически и больше не хранятся под клавиатурами, в записных книжках и прочих якобы надежных местах. Стоит также отметить, что заметно снижается нагрузка на службу поддержки пользователей — по данным имеющихся исследований, более 40% обращений касаются забытых паролей и схожих проблем.
В результате остается единственный пароль — для регистрации в Windows. Но даже его ввода можно избежать, если воспользоваться компонентом управления доступом, который позволяет проводить аутентификацию с помощью смарт-карт, накопителей USB, сертификатов или сканеров отпечатков пальцев. Решающим фактором становится то обстоятельство, что процесс регистрации опирается на центральный каталог, управляющий цифровыми удостоверениями: с помощью стандартного протокола LDAP V3 можно подключать все наиболее распространенные службы каталогов, включая Microsoft Active Directory, Sun Directory Server, Novell eDirectory, Lotus Domino и OpenLDAP. Кроме того, в каталоге содержатся регистрационные данные о различных приложениях и, таким образом, он становится главным хранилищем для всех цифровых удостоверений.
УПРАВЛЕНИЕ УЧЕТНЫМИ ЗАПИСЯМИ ВО ВТОРОЙ ФАЗЕ
Так закладывается фундамент для второй фазы: синхронизации цифровых удостоверений между приложениями и автоматизированным управлением регистрационными записями пользователей в отдельных приложениях. За этим следит программное обеспечение IdM, которое предлагает интерфейсы, к примеру с SAP HR, и, таким образом, позволяет автоматически предоставлять телефонный номер, адрес электронной почты и необходимые регистрационные записи новым сотрудникам при их зачислении на работу отделом кадров.
В отличие от первой фазы, где компоненты SSO взаимодействуют с приложениями исключительно при помощи имитации ввода данных с клавиатуры на клиенте, в данном случае понадобятся интерфейсы для соответствующего управления пользователями. Некоторые системы IdM предоставляют такие интерфейсы для самых распространенных приложений, однако в остальных случаях их необходимо разработать отдельно. Поэтому в целях быстрой окупаемости рекомендуется начинать с подключения нескольких самых важных приложений.
Автоматизация управления пользователями для пяти наиболее часто используемых приложений (как правило, к ним относятся системы ERP, CRM и электронная почта) позволяет добиться значительной экономии при создании и изменении информации о пользователях. Автоматическая дезактивация регистрационных записей уволенных сотрудников закрывает, помимо прочего, одну из самых больших брешей в системе обеспечения безопасности инфраструктуры ИТ.
ПРОГНОЗ НА БУДУЩЕЕ: ПРОЦЕССЫ
В третьей фазе, после всеобъемлющей автоматизации управления пользователями, необходимо сконцентрироваться на процессах, которые лежат в основе выдачи и отзыва прав. Вопреки распространенной практике задача такого рода не должна поручаться отделу ИТ — за это отвечает руководство компании.
Только руководитель может определять процессы, происходящие на предприятии, и решать, какими правами наделить тех или иных сотрудников его отдела. Лишь затем определяются соответствующие принятому решению роли и правила, которые сохраняются в системе IdM. Последняя предоставляет эти права в отдельных системах с помощью средств автоматического управления регистрационными записями пользователей.
Однако посредством ролей невозможно учесть все обстоятельства, ведь в таком случае меньше — значит, больше. Вместо этого следует воспользоваться компонентами для управления потоками заданий современных систем IdM, чтобы сотрудники могли вносить предложения, а руководители — одобрять их или отклонять. Таким образом, оптимизируются рабочие процессы, обеспечивается соответствие индивидуально предоставляемых прав и реальных потребностей и, наконец, достигается так называемое разделение обязанностей, которого требует, к примеру, закон Сарбейнса-Оксли: ответственность за использование данных лежит на отраслевых отделах, отдел ИТ лишь реализует необходимые требования.
ЗАКЛЮЧЕНИЕ
Итак, при внедрении решения IAM речь идет о процессе, который состоит из последовательных этапов. Каждый из них дает четко определенную выгоду и завершается в короткие сроки. Благодаря доступным сегодня программным решениям, связывающим в единую среду все компоненты, необходимые для управления доступом и идентификацией, а также ролями и потоками заданий, можно быстро достичь определенных успехов и, опираясь на них, в дальнейшем реализовать остальную часть проекта.
Норберт Дрекер — руководитель центра компетенции компании Evidian.
На стыке двух миров
правление идентификацией и контроль доступа к информационным ресурсам компаний находится на стыке двух миров — ИТ-услуг и информационной безопасности. Комплексные программные продукты по управлению идентификацией (Identity&Access Management, IAM) предлагают практически все ведущие мировые разработчики ПО: IBM, Microsoft, CA, Oracle, SUN, Novell позиционируют свои решения IAM как инструмент повышения надежности и безопасности бизнеса в целом.
В первую очередь эти решения предназначены для централизованного управления учетными записями пользователей — как внутренних, так и внешних. Они предусматривают единое хранилище информации о пользователях и синхронизацию их учетных записей в различных приложениях, т.е. служат в качестве единой точки управления правами доступа к различным информационным системам компании. В результате появляется возможность интегрировать распределенные филиальные и партнерские структуры в единую систему контроля доступа, в том числе предоставлять и контролировать доступ через интерфейсы Web. При внедрении решения по управлению идентификацией служба безопасности получает возможность постоянного аудита соблюдения политики доступа
к информационным ресурсам компании.
Внедрив решения по контролю доступа к информационным системам, компания получает целый ряд преимуществ. Во-первых, продукты Identity Manager позволяют организовать обмен данными из различных приложений и информационных систем за счет тесной интеграции с ними (посредством специализированных программных модулей). Так, интеграция с кадровыми приложениями открывает возможность для автоматизации части рутинных процедур: увольнение сотрудника будет означать полное приостановление его доступа к информационной системе, а уход в отпуск — временную блокировку с восстановлением прав в день возвращения. Автоматическое подключение/удаление пользователей и единая точка администрирования существенно снижает риски, связанные с уходом персонала из компании и утечкой информации.
Во-вторых, сотрудники могут аутентифицироваться во всех приложениях посредством одного набора учетных данных, чаще всего при входе пользователя в систему. Это значит, что для выполнения своих должностных обязанностей сотруднику уже не придется помнить несколько различных паролей.
В-третьих, автоматическое создание учетных записей экономит время администратора, помогает избежать ошибок при администрировании и существенно повышает продуктивность общей работы, поскольку вся информация о правах доступа сотрудников к тем или иным приложениям хранится в единой базе учетных записей.
В-четвертых, при необходимости можно настроить систему так, чтобы служба безопасности контролировала вход сотрудника в любую информационную базу компании и оперативно реагировала на инциденты.
С наибольшей эффективностью системы IAM применяются в крупных многофилиальных структурах, прежде всего в банках и страховых компаниях. С одной стороны, внедрение таких решений многократно снижает затраты на администрирование, а с другой — обеспечивает контроль за доступом к информационным системам в соответствии с требованиями безопасности компании, государственного законодательства и отраслевых стандартов.
Что касается государственного регулирования бизнеса в части обеспечения ИБ, большинство экспертов рынка ИТ сходятся в одном: требования Федерального закона РФ «Об информации, информационных технологиях и о защите информации», Федерального закона РФ «О персональных данных», стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы РФ» неизбежно приведут к повышению общего уровня зрелости ИТ в компаниях и к применению «лучших практик и решений» для укрепления ИБ.
Андрей Камбаров — руководитель направления ИТ-сервисов отдела информационных технологий и услуг компании «Черус»