Поделиться
Дмитрий Бондарь: Характер решаемых задач с помощью IdM/IGA зависит от уровня зрелости организации
Централизованное управление правами доступа и учетными записями пользователей все чаще поручают системе IdM (Identity Management) или IGA (Identity Governance&Administration). С ее помощью компании разного масштаба рассчитывают снизить издержки на предоставление и изменение прав доступа, нагрузку на системных администраторов, свести к минимуму риски информационной безопасности. О функциональных различиях классических и продвинутых систем, направлениях их развития, правилах выбора и внедрения таких решений рассказал директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь.
Системы интегрируют потоки информации в единую базу
CNews: Дмитрий, расскажите, пожалуйста, что представляют собой современные IdMили IGA системы?
Дмитрий Бондарь: IdM/IGA — это системы, обеспечивающие порядок с правами доступа к информационным ресурсам организации. Их задачи состоят в том, чтобы к информационным ресурсами получали доступ те, кому это разрешено, причем только к требуемым ресурсами и только в рамках предусмотренных полномочий. Системы интегрируют потоки информации, связанные с учетными данными и полномочиями, в единую базу, позволяют автоматизировать операции по управлению данными и предоставлять отчетность.
CNews: Чем отличается классическая система от продвинутой?
Дмитрий Бондарь: Системы IdM различаются стеком процессов, которые они могут автоматизировать на основании имеющихся данных. Базовые возможности системы охватывают синхронизацию учетных данных между информационными системами, предоставление основных прав доступа при приеме на работу сотрудника, блокировку доступа при увольнении, подачу и согласование заявок на доступ.
Системы с расширенными функциями могут предоставлять возможность автоматизации процесса пересмотра полномочий сотрудников, когда руководители периодически подтверждают актуальность имеющихся у сотрудников прав доступа. Кроме того, это могут быть процессы управления ролями, информационными ресурсами, организационно-штатной структурой — система позволяет управлять жизненным циклом этих объектов, включая согласование изменений. Благодаря глубокому пониманию потребностей рынка мы смогли реализовать все эти возможности в системе Solar inRights.
Среди других функций современных систем стоит отметить автоматизированный контроль конфликтов разделения ответственности, когда система отслеживает конфликтующие полномочия сотрудников и позволяет учитывать это в процессах управления доступом. В новых решениях предусмотрена возможность оценки рисков — система ассоциирует с объектами процесса определенный уровень риска, что можно учитывать при управлении доступом.
CNews: Различаются ли системы глубиной реализации функций и инструментов их настройки?
Дмитрий Бондарь: Безусловно. Например, в Solar inRightsв рамках функции управления заявками поддерживаются возможности последовательных и параллельных согласований, прикрепления файла к заявке, возврата заявки на уточнение, делегирования, эскалации. Подобные варианты предусмотрены для каждой функции.
Настройка может требовать соответствующей экспертизы — от программирования до полностью графической настройки, свойственной более зрелым системам. Однако простота настройки не означает, что помощь подрядчика не потребуется. Для системы характерно большое количество взаимовлияющих факторов. Неправильный их учет может привести к непредвиденным ситуациям, когда доступ части сотрудников неожиданно окажется заблокированным.
Спрос на системы стабильный
CNews: Какова динамика спроса на такие системы на российском рынке? Кто их заказчики, какие задачи решают с помощью инструментов IDM/IGA?
Дмитрий Бондарь: На протяжении последних десяти лет спрос на такие системы более-менее стабильный. Однако заметны изменения в структуре спроса — системы становятся востребованными в компаниях меньшего масштаба. Впрочем, известен порог, до которого потребность в таких системах не актуальна. Пока существующая в компании система управления доступом не создает заметных сложностей, в автоматизации нет смысла. Характер решаемых с помощью систем IdM задач зависит от уровня зрелости организации. В целом это задачи повышения прозрачности и оптимизации процессов. Получение прозрачной картины доступа к корпоративным системам, снижение трудозатрат на выполнение определенных типов задач, уменьшение участия людей в процессах компании, сокращение времени операций и многое другое.
CNews: Как вы оцениваете готовность компаний применять сложные комплексные решения для автоматизации управления доступом? В каких случаях это обоснованно?
Дмитрий Бондарь: Решения для автоматизации доступа компании внедряют чаще всего, когда уже не могут без этого обходиться. Например, существующая система сложна и непрозрачна, при автоматизации процессов управления доступом придется потратить время на приведение ее в порядок.
CNews: Наводить порядок вручную?
Дмитрий Бондарь: Первоначально да, если вы не хотите получить автоматизированный хаос. Следует помнить также о принципе ручного аудита большого количества данных. Когда работа подходит к концу, ее впору делать заново, поскольку полученные вначале результаты устаревают и перестают быть актуальными. Если ограничиться наведением порядка вручную, то очень быстро все вернется к изначальному хаотичному виду. Поэтому после наведения порядка важно тут же заключить его в автоматизированное русло, чтобы сохранить (в значительной степени) и в дальнейшем поддерживать.
Краткая биография
Дмитрий Бондарь
- В 2015 году возглавил продуктовое направление IdM в компании Solar Security.
- С 2019 года является руководителем департамента систем IGA компании «Ростелеком-Солар».
- В 2020 году возглавил в компании Центр компетенций управления доступом Solar inRights.
- Ранее работал в компаниях ТТ-Капитал и «Инфосистемы Джет».
- Образование: Московский технический университет связи и информатики (МТУСИ), специальность «Прикладная математика».
CNews: Какая служба — ИТ или ИБ — чаще всего выступает инициатором реализации такого проекта? Что показывает опыт вашей компании?
Дмитрий Бондарь: По нашему опыту, чаще (правда, с незначительным перевесом) заказчиком выступает служба ИБ. Для ИТ-подразделения такие системы повышают эффективность, а для ИБ дают важные дополнительные функции и возможности. Имеются в виду полная картина доступа к информационным ресурсам компании, полномочия, предоставленные без соответствующей заявки, отражение истории доступов сотрудника на определенную дату. Без такой системы все это невозможно либо очень трудно получить — поэтому для ИБ решение представляет большую ценность.
На старте таких проектов слишком многое еще неясно
CNews: Какие нюансы следует учитывать на этапе выбора, а затем и внедрения таких систем? Какие рекомендации вы могли дать потенциальным заказчикам?
Дмитрий Бондарь: Основная рекомендация — итерационное внедрение. На старте таких проектов слишком многое еще неясно. Нередко заказчик понимает, что ему по-настоящему нужно от такой системы, только когда уже реализовал требования, изначально сформулированные в техническом задании. По мере развития системы многие вещи приходится переделывать. Чтобы этого избежать, лучше планировать задачи только на обозримую, понятную перспективу. Даже несмотря на то, что это противоречит ряду подходов.
CNews: С какими трудностями сталкиваются компании при реализации таких проектов, какие ошибки допускают?
Дмитрий Бондарь: Трудностей хватает. Это и необходимость изменения процессов — чтобы система работала, как задумано, нужно пересмотреть смежную процедуру, например, кадровую. И задача упорядочивания модели управления полномочиями в конкретных системах, обеспечение на их стороне технологических интерфейсов для интеграции. Да и сложность и противоречивость требований различных заинтересованных сторон дают о себе знать.
Поскольку системы этого класса находятся на стыке ИТ и ИБ, затрагивают интересы бизнес-пользователей, то довольно непростая задача договориться о том, чего ждать от системы, чтобы проект получился реализуемым в обозримой перспективе. Даже если не принимать во внимание тот факт, что в компании могут иметь место конфликты интересов различных подразделений.
Предлагать класс решений «из коробки» наряду с другими услугами
CNews: В каком направлении развиваются системы IdM и IGA, на основе каких перспективных технологий?
Дмитрий Бондарь: Стоит отметить, что это довольно консервативный класс систем. В нем не очень широко представлены новые технологии — в силу технических особенностей IdM. Почти нет задач, которые уместно было бы решать с помощью современных технологий типа машинного обучения.
В основном речь идет о смене контекста. Так, западные аналитики некоторое время назад ввели понятие класса систем CIAM — это системы управления доступом, но устройствами конечных потребителей.
Что касается трендовых технологий, то недавно один из западных производителей систем IdM применил в своем решении бот, через который сотрудники могут запрашивать себе права. Насколько мне известно, эксперимент оказался неудачным, а функция — невостребованной. В целом системы развиваются в сторону более близких бизнесу понятий, таких как риски.
CNews: Каких качественных изменений можно ожидать на рынке систем IdM/IGA в ближайшие пять лет?
Дмитрий Бондарь: В силу сказанного выше качественного технологического рывка на этом рынке не прогнозируется. IdM, как и другие ИТ-системы, будут развиваться в сторону человеко-ориентированности — удобства использования, простоты настройки.
Переходным вариантом будет облачная модель. Благодаря унификации информационных систем удастся сократить сроки и стоимость их подключения. Но модель станет возможной только с появлением в России заметного рынка SaaS. В этом смысле мы сильно отстали и, похоже, будем двигаться своим путем.
Безусловно, будут набирать популярность адаптивные контекстные механизмы предоставления доступа пользователей к информации. Но в большей степени это касается смежных систем. IdM, скорее, будет видоизменяться в направлении к встроенному механизму управления доступом сервис-провайдеров — когда поставщик приложений будет предлагать такой класс решений «из коробки» наряду с другими услугами.
CNews: Каким вам видится вектор развития вашей системы Solar inRights? По какому пути она пойдет в ближайшие несколько лет?
Дмитрий Бондарь: Из планов в краткосрочной перспективе — развитие пользовательского опыта. По отзывам наших клиентов, у Solar inRights наиболее удобный пользовательский интерфейс в своем классе решений. Конечно, мы не намерены останавливаться на достигнутом. На очереди расширение сертифицированных модулей интеграции для информационных систем, инструменты аналитики, прогнозирования, предоставления рекомендаций — все то, что упрощает управление доступом к информационным ресурсам.
В долгосрочной перспективе планируем расширять возможности продукта за счет смежных технологий, таких как контроль привилегированных пользователей и файловых ресурсов. Это позволит решать задачи управления доступом более целостно. В будущем можно говорить об облачной модели как способе упростить и ускорить доставку продукта до потребителя.
Так ситуация видится сейчас. Притом что мы гибкие, внешнее окружение меняется все более динамично. Поэтому будем ориентироваться на рынок и потребности клиентов, как, впрочем, делаем и сегодня.
Короткая ссылка
