Статья

Управление доступом по-русски: современные функции и доступная поддержка

Экспертиза RedSys
, Текст: Полина Осокина

Одним из основных ИТ-трендов последних лет является курс на импортозамещение. Коснулся он и такой отрасли, как информационная безопасность, открыв для отечественных разработчиков систем идентификации и аутентификации новую нишу, ранее в основном занятую западными производителями. Примером такого нового продукта стал «RS: Управление доступом» — решение бизнес-ИТ интегратора RedSys.

Надстройка над всем

Система идентификации и управления доступом (Identity and Access Management, IdM, IAM) — это решение, являющееся неким ядром, которое объединяет все данные о сотруднике в организации: не только ФИО и уникальный идентификатор, но и когда он устроился, какую должность занимает, какие права имеет, и, соответственно, к каким системам он может иметь доступ. Они могут быть самые разные, начиная с Active Directory, где находится учетная запись сотрудника и заканчивая системами, которые необходимы для его повседневной работы. Доступ ко всем информационным системам управляется посредством IdM. Если такой системы нет, зачастую происходит дублирование функций, то есть, сотрудник, выходя на новую работу, вынужден формировать несколько заявок на получение доступа к различным информационным системам, и администратор создает несколько учетных записей. Это влечет как временные затраты, так и трудовые. При этом права доступа могут не быть сформированы до недели, получается некий временной лаг, приносящий убытки организации в виду невозможности выполнения сотрудником его должностных обязанностей. Если говорить о парольной защите, то сотрудник без использования решений класса Access Management вынужден запоминать несколько паролей для входа в каждую из этих систем, что влечет риски в плане безопасности. Разумеется, человек не в состоянии запомнить все пароли, он начинает их записывать, а бумажку может положить под клавиатуру или приклеить на монитор, что является потенциальной угрозой информационной безопасности организации.

Не плодить «сиротские» учетки

Кроме того, заявки на блокировку прав доступа может вообще не быть, то есть сотрудник уходит, а учетная запись и права доступа остаются. То же самое происходит, если человек уходит в отпуск и просто передает свой пароль другому лицу.

Рассказывает Дмитрий Шумилин, директор центра информационной безопасности RedSys: «В одной из компаний, где мы внедряли такую систему, существовала практика составления отчетов по правам доступа, обусловленная нормативной базой. Для этой задачи все администраторы снимались с текущих задач. Неделю администраторы формировали отчеты, занимаясь этой работой в ущерб текущей деятельности. Это крайне неэффективно, поскольку данной цели можно достичь автоматизированно с помощью IdM, причем получить не только актуальный срез прав доступа и учетных записей по всем сотрудникам, но и исторический – например, состояние прав доступа на прошлую неделю или месяц назад».

"Эффективность, связанная с экономией на лицензиях при миграции с западного решения на наше — практически в три раза"

Другой момент, с которым сталкивается крупная организация, не использующая в своей работе систему идентификации и аутентификации — это избыточность лицензий. «По нашей практике, в одной из компаний при выгрузке учетных записей и прав доступа было выявлено, что существует порядка тысячи учетных записей, которые не персонифицированы, никому не принадлежат. То есть, человек был либо уволен, либо переведен куда-то. На эту учетную запись есть рабочая лицензия, тратятся деньги на ее поддержку. При использовании IdM такое невозможно, поскольку каждой учетной записи сопоставлен сотрудник, а «сиротские» и несанкционированные учетные записи и права доступа автоматизированно выявляются», — делится опытом Даниил Казаков, директор департамента технологий управления доступом RedSys.

Импортозамещаем идентификацию

Одним из основных современных трендов в сфере управления доступом, как и во многих других областях, является импортозамещение. Предпосылки этого явления очевидны. В первую очередь, это изменение внешней конъюнктуры. Речь идет, конечно, о санкциях, контрсанкциях, невозможности поставок решений из-за рубежа, с которой столкнулись многие компании, нестабильность поддержки таких систем, неопределенность их будущего. Особенно сильно эти явления затронули банковскую сферу, финтех, госсектор. Кроме того, импортные решения сильно подорожали. Накладные расходы на их покупку значительно выросли и пропорционально начала бить по карману поддержка. Эти условия, тем не менее, позволили создать новый конкурентный рынок IdM-систем — российский. Многие компании, которым раньше было невыгодно продвигать свои решения данного класса, сейчас взяли курс на импортозамещение.

Оно идет в двух направлениях. Есть компании, которые идут по пути собственной разработки, это предпочтительная дорога. Но есть и те, кто берет зарубежные open source-решения, локализует их и выдают за отечественные. Одна из проблем заключается в том, что эти решения «не заточены» под российский рынок.

На линии фронта

С точки зрения качества решений и услуг, интеграция IdM-решения и его сопровождение — достаточно длительный процесс. Если компания поставляет зарубежное ПО и сталкивается с какими-то проблемами, то их разрешение происходит довольно медленно, потому что российские компании для таких разработчиков — это своего рода линия фронта. Для российских вендоров ситуация складывается иначе. Тут каждый клиент важен, и все вопросы решаются максимально быстро.

Еще одна из предпосылок импортозамещения — это изменение законодательной базы. После введения санкций и контрсанкций российское законодательство изменилось. Было вынесено несколько постановлений Правительства в сфере импортозамещения, в том числе и в области информационной безопасности. Не так давно была опубликована Доктрина Информационной Безопасности, в которой президент Путин заявил, что импортозамещение — это один из текущих трендов, причем информационной безопасности, как стратегического направления, важного для всей страны, это касается в первую очередь. Взят курс на приоритет отечественного ПО при госзакупках.

Все это — объективно хорошо: и с точки зрения производителей IDM-решений, и с точки зрения заказчиков, потому что на этой волне Россия может получить конкурентоспособные продукты, весьма недорогие и очень достойные в плане функционала.

Также стоит отметить, что зарубежные решения ориентируются на западную специфику. Это связано, в частности, с особенностями таких процессов, как прием на работу, совмещение должностей и пр. В российском и западном трудовом законодательстве эти моменты работают по-разному. Соответственно, в западных решениях эти бизнес-процессы и обыгрываются иначе. По словам Дмитрия Шумилина, «западные решения приходится адаптировать под наши компании. Это вопрос времени и денег. Мы знаем, как это делать, но гораздо проще, когда решение заранее сориентировано под российскую специфику. Наше решение все эти нюансы учитывает. У нас был опыт внедрений IdM-продуктов Oracle, IBM и SailPoint практически во всех отраслях: в промышленности, банковском секторе, образовании и пр. — и мы весь наш опыт учитываем при создании и внедрении собственного решения. То есть мы имеем весь передовой функционал, учитывая всю актуальную экспертизу».

Базовые функции по-русски

IAM-решение «RS: Управление доступом» предоставляет все базовые возможности, типичные и необходимые для данного класса систем. Во-первых, это полный цикл управления учетной записью: синхронизация данных из кадровых источников; процесс согласования заявок на предоставление доступа и автоматическое согласование таких заявок, в ближайшей перспективе – с использованием ЭЦП. Сотрудник может сам зайти в интерфейс системы и подать заявку, и, если процесс согласования прошел, то права доступа назначаются автоматически. То же самое касается блокировки и приостановления доступа. Если человек ушел в отпуск, его доступы автоматически блокируются. Так как данные исходят из кадровых источников, система фиксирует, когда человек ушел в отпуск или уволился. Во-вторых, это функции делегирования прав доступа, например, на время отпуска. Заместителю права доступа даются только на время отпуска основного сотрудника. Затем, конечно, составление отчетности. Решение предоставляет полную отчетность по всем сотрудникам и правам их доступа, причем как оперативную, так и в историческом срезе. Это так называемый Identity Management, управление идентификаторами учетных записей.

Что в модулях?

Поскольку решение модульное, можно какой-то модуль исключить или добавить. Кроме базового продукта есть еще пять модулей.

Один из них — модуль сквозной аутентификации с двухфакторной аутентификаций (Access Management). С точки зрения пользователя данный модуль обеспечивает отсутствие необходимости повторно вводить логин и пароль при переходе из системы в систему — естественно, с контролем сессии. Рассказывает Даниил Казаков: «С точки зрения администратора или офицера ИБ мы всегда можем посмотреть, какие люди с каких компьютеров какими ресурсами каких информационных систем пользуются. При необходимости мы можем заблокировать любую сессию. Также стоит отметить модуль централизованной авторизации (Entitlements Management). Если у заказчика много систем сторонней разработки, то все они снабжены своими подсистемами хранения прав доступа, и IdM управляет ими на уровне ролей. Благодаря модулю централизованной авторизации мы выносим точку принятия авторизационных решений во внешний ландшафт и контролируем уже гранулированные права доступа – роль бухгалтера дает права нажимать такие-то кнопки, просматривать такие-то списки и формы, и т.д. То есть управляем доступом уже не на уровне ролей, а на уровне их атомарных составляющих».

Еще один интересный модуль — это блок централизации. Если у заказчика много филиалов, распределенная структура или какие-то приобретенные компании, целесообразно интегрировать эту надстройку. Это, по сути, возможность объединить все IAM-системы от любых производителей в единый информационный ландшафт без дорогостоящей миграции.

Суть следующего модуля — блока миграции — понятна из названия. С его помощью вендор помогает мигрировать с западного на отечественное решение с сохранением всей оперативной и исторической информации.

«RS: Управление доступом» масштабируется от 500 сотрудников до самых крупных компаний. Стоимость может также варьироваться в зависимости от нужд заказчика. Как любая интеграционная система, «RS: Управление доступом» требует внимания и тогда, когда ее уже внедрили. Обычно такие системы внедряются очередями: сначала затрагиваются бизнес-критичные системы, потом – системы второй очереди. В процессе жизни предприятия могут появляться новые решения, которые важны для бизнес-процессов и должны быть интегрированы в бизнес-ландшафт. «Параллельно с этим мы говорим о техподдержке: не только об устранении сбоев, а о расширенном сопровождении, когда изменяются процессы согласования, предоставления доступа к тем или иным системам и так далее. Все это влияет на стоимость», — комментирует Даниил Казаков.

Российский вендор начинает и выигрывает

Техническую поддержку компания RedSys может предоставлять сама, а может и разделить с заказчиком, обучив его специалистов. У большинства зарубежных вендоров есть авторизованные учебные центры на территории РФ, но у некоторых таких центров нет. И, чтобы получить в штат сертифицированного специалиста, заказчики посылают своих сотрудников учиться за рубеж, неся серьезные издержки. RedSys осуществляет обучение специалистов заказчика на базе собственного центра компетенции. Тогда поддержка первого уровня осуществляется специалистом заказчика, а более сложные проблемы вендор берет на себя.

Поскольку сейчас система находится в состоянии разработки, то проектов по внедрению «RS: Управление доступом» пока не много. Как рассказал Дмитрий Шумилин, «сейчас у нас есть пилотный проект на три экземпляра системы, в рамках которого мы осуществили миграцию с западного решения на наше. Эффективность, связанная с экономией на лицензиях, — практически в три раза». 

Итак, подведем итог. Преимущества отечественной IDM-системы: экономия на лицензиях и поддержке; упрощение процедуры необходимых доработок в рамках самой системы; упрощение процесса кастомизации. «Мы не переводим «RS: Управление доступом» в разряд коробочного решения. Это живой организм, мы над ней работаем, будем ее совершенствовать, у нас есть над чем поработать», — резюмирует Дмитрий Шумилин. 

В заключение стоит отметить, что в настоящий момент решение внесено в реестр отечественного ПО и подана заявка на сертификацию во ФСТЭКе. Руководство компании надеется, что к концу лета – началу осени 2017 г. данный сертификат будет получен.

Видео