Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Что должны уметь системы Identity&Access management

По информации IDC, ведущие мировые компании около 30 % своих ИБ бюджетов направляют на внедрение систем класса Identity&Access Control Management. Россия же идет в этом направлении пока с небольшим отставанием.

В последнее время тема управления информационной безопасностью стала очень модной. Редкая компания в мире ИБ не упоминает о том, что занимается этими вопросами. Это хорошо объясняется стремлением доказать, что компания не просто занимается решением конкретных задач, но и оказывают действительно комплексные услуги.

Как оказалось, после беглого анализа предложений на сайтах специализированных компаний и результатов поиска в интернете, под термином «управление информационной безопасностью» каждый понимает что-то свое. Под это определение, так или иначе, попадают системы Identity management и Access management, средства SingleSign-On, решения по управление рисками, универсальные консоли управления, системы корреляции событий и даже сертификация на ISO 27001:2005.

Избавиться от хаоса

Прежде всего, хотелось бы понять, когда же компании выходят на тот уровень, когда без управления информационной безопасностью им больше «не жить».

Так, на первых этапах, когда компания только осознает необходимость обеспечения информационной безопасности, руководство и специалистов по ИБ интересуют, прежде всего, меры защиты от самых очевидных угроз: антивирусы, межсетевые экраны, контроль за обращением информации и т.д. По мере развития ИТ-инфраструктуры, увеличения числа работающих приложений служба ИБ начинает осознавать, что внедрение каждого нового приложения — это новые угрозы, а внедрение каждого нового средства защиты — это устранение одной-двух угроз в обмен на трудозатраты на его управление. Каждое новое средство защиты — это либо дополнительный сотрудник, либо обучение старого, который только-только начал разбираться с предпоследним продуктом.

Кроме того, необходимо разбираться не только со специализированными средствами защиты, но и с действием штатных механизмов операционных систем и приложений. В противном случае все пользователи обращаются к какой-нибудь СУБД с одинаковыми правами, и системы аутентификации как таковой нет. Это требует людских ресурсов, денежных затрат и т.д. Да и руководство все менее охотно выделяет деньги на приобретение новых систем. И оно понятно: еще не понятен эффект от уже внедренных систем.

В какой то момент руководитель службы информационной безопасности начинает задумываться над тем, как управлять всеми имеющимися ИБ-решениями, собственными подчиненными и простыми пользователями. В дальнейшем разговор о системах управления безопасностью будет вестись именно с этой позиции.

Часто приходится слышать фразы о том, что безопасность — это инвестиции, а инвестициями надо управлять, и что если сделать процессы информационной безопасности прозрачными для топ-менеджмента компании, то бизнес от этого выиграет и т.п. Скорее всего, тут возникает путаница сразу нескольких понятий.

Во-первых, информационная безопасность (за редким исключением) не является определяющим фактором в развитии бизнеса. Вот простой пример, подтверждающий это: при выборе страховой компании для автомобиля мы интересуемся выплатами, размером страховой премии и прочими основными характеристиками для этого вида деятельности. Можно предположить, что на зрелом рынке, мы будем обращать внимание и на другие параметры, но также вероятно, что на зрелом рынке будет существовать некий стандарт по безопасности, которому все будут соответствовать, а без соответствия игроков просто не будет. Предполагать, что решение о выборе того же страховщика когда-либо будет осуществляться на основании длины пароля на доступ в ЛВС, конечно, можно, но денег на такой долгий заклад бизнес не даст.

Во-вторых, расходы на средства защиты никак нельзя рассматривать как инвестиции, также, как и расходы на электроэнергию. Лучше говорить про управление рисками: вот столько мы можем потерять, вот столько стоит защита. И тут самое главное — понимать защищаемый бизнес. Одно дело, если на ИТ-системы завязано производство, и совсем другое, если большая сеть используется в качестве средства доступа к централизованному телефонному справочнику, бумажная копия которого лежит у каждого на столе. Здесь действительно расходы на ИБ надо обосновывать, но это уже никак не связано с управлением безопасностью.

Признаки необходимости

Итак, перед руководителем службы информационной безопасности стоит задача управлять имеющимися механизмами ИБ. Ведь не секрет, что внедрение любого средства защиты — косвенное снижение удобства и/или качества пользования информационной системы. Чего только стоят лишние процедуры аутентификации — по статистике, эта несложная процедура занимает у пользователей более 10 минут рабочего времени.

Этим дело не ограничивается. При наличии большого числа приложений и пользователей, препятствием для работы с ИС становятся и процедуры предоставления доступа (если, конечно, пользователям не предоставляется безграничный доступ ко всем ресурсам). Ведь для нормальной работы пользователя ему нужен доступ к определенным прикладным системам. В свою очередь у ИТ-подразделений и служб безопасности часто нет четкого понимания, куда именно нужен доступ конкретному пользователю. В результате, последнему даются настолько минимальные права, что для выполнения каждой новой задачи он должен обращаться в ИТ-подразделение за разъяснением ситуации. По статистике 30-40 % обращений во внутренние службы технической поддержки компаний связано именно с вопросами предоставления доступа. Стоит ли говорить о том, что во время урегулирования этих вопросов работа сотрудника простаивает? Кроме того, в таких условиях сложно говорить и об эффективной работе службы безопасности, ибо ее сотрудники львиную долю времени начинают уделять не анализу угроз и устранению уязвимостей, а решением вопросов доступа.

Таким образом, можно выделить несколько основных признаков, указывающих на необходимость внедрения систем управления безопасностью. Во-первых, это избыточность и дублирование однотипной информации о пользователях, хранящейся в разных приложениях (т.е. пользователь имеет уникальные учетные записи в каждом приложении). Во-вторых, большой штат специалистов, основной задачей которых становится поддержание этого массива информации в согласованном и актуальном состоянии. Неэффективность их работы приводит к появлению в системе фантомных учетных записей сотрудников, которые давно уволены, но еще сохраняют некоторые полномочия в системе — еще один, четвертый, признак. Следующим этапом является несоответствие пользователей и их привилегий (слишком частые обращения в службу поддержки по вопросам предоставления доступа или слишком широкие права у непривилегированных пользователей). В конце концов, специалисты начинают сетовать, что им приходится поддерживать несколько разнородных систем одновременно.

Сущность систем Identity&Access management

В идеале управление ИБ должно быть построено следующим образом. Необходимо единое хранилище информации о пользователе и синхронизация учетных записей пользователя в различных приложениях. В чистом виде работа системы Identity management выглядит так: заводится информация о пользователе в неком базовом справочнике (допустим, это может быть Active Directory), это событие отлавливает специализированный агент и сообщает о нем ядру системы Identity management, ядро системы дает команду своим агентам, контролирующим все остальные подсистемы, завести учетные записи для этого пользователя.

Заведение учетных записей может быть реализовано как в автоматическом режиме, так и через выдачу неких инструкций администратору, который должен сделать это вручную.

Пользователь же информационной системы автоматически становится опознаваем всеми прикладными и системными компонентами ИС.

В чистом виде системы Identity management встречаются сегодня редко. Причина здесь в том, что описанный функционал пока недостаточен для контроля и управления системой.

Перед нами стоят еще две задачи. Необходимо не только завести учетную запись пользователя, но и наделить ее «правильными» правами. Также нужно позволить пользователю помнить только одну учетную запись для аутентификации в информационной системе. Для этого системы Identity management интегрируются с решениями Access Control Management и решениями Single Sign-On.

Системы Access Control Management завязываются на орг-штатную структуру организации. При их внедрении требуется выявить все ресурсы (под ресурсами понимаются не только файловые каталоги, но и целые отдельные приложения, и блоки обрабатываемых в этих приложениях данных — в зависимости от требуемой детализации процессов управления) и провести четкое соответствие между бизнес-процессами (исполнение сотрудником определенной должности, участие в той или иной проектной группе) и минимально необходимыми и достаточными правами на доступ к ресурсам ИС

Позволить пользователю аутентифицироваться во всех приложениях при помощи одного набора учетных данных — не столь простая задача, как кажется на первый взгляд. Прикладные системы поддерживают ограниченный и часто непересекающийся набор способов аутентификации. Кроме того, формат учетных данных в разных системах может не совпадать (от запрета на использование отдельных символов до проблем с кодировкой).

Решение этой задачи требует специализированных агентов, которым приложение готово делегировать функции аутентификации (при условии, что приложение вообще способно делегировать эту функцию) а также промежуточных серверов аутентификации, которые будут производить конвертацию учетных данных из одного формата в другой.

Как уже говорилось, в чистом виде системы Identity management уже не встречаются. Чаще сегодня приходится говорить о решениях IAM (Identity&Access control Management).

Принципы управления

Необходимо еще раз подчеркнуть в чем же все-таки заключается подспорье рассматриваемых систем в обеспечении процесса управления информационной безопасностью. Они позволяют избежать ошибок администрирования и существенно повысить скорость реакции информационной системы на изменения. Эффективное управление безопасностью возможно лишь в том случае, если в нем участвуют бизнес-подразделения наравне с ИТ-подразделением и службой безопасности. Бизнес-подразделения в данном случае как раз и выступают в роли заказчиков изменений. Ведь именно они, а не служба безопасности должны определять, какая информация им нужна для решения задач. Служба безопасности должна помогать определить достаточный способ защиты этих данных и оценивать лояльность персонала.

Чтобы подобное распределение ответственности стало возможным, необходимо, чтобы все подразделения компании могли общаться между собой. Для этого в системах Identity management предусмотрена возможность организовать документооборот: формализованные электронные заявки, в которых формулируется требования на предоставление доступа. Тесная интеграция с кадровыми приложениями может позволить упростить часть рутинных процедур: увольнение сотрудника будет означать полное приостановление его доступа к информационной системе, уход в отпуск — временная блокировка с восстановлением в правах на день возвращения.

Критерии сравнения

Сегодня наиболее заметными системами на этом рынке считаются Oracle Xellerate Id Provisioning v.8.5.3, Sun Java Identity Management Suite v7, HP OV Select Identity 3.3.1, Select Access 6.1, Select Federation, Select Audit (to be released), Microsoft Identity Integration Server 2003, CA eTrust Identity and Access Management Suite, IBM Tivoli Identity Management 4.6, IBM Access Management 5.1, система КУБ от компании «Информзащита».

Необходимо рассмотреть основные показатели, на которые нужно ориентироваться при выборе той или иной системы.

Организация управляющего документооборота. Первым делом необходимо ознакомиться с предлагаемой схемой организации документооборота — насколько она приемлема для организации. Ключевыми моментами являются способ составления заявки (чем больше свободы у пользователя, тем хуже) и то, в какой степени система оперирует бизнес-терминами (заявка с множеством ИТ–терминов может вызвать шок у непосвященных в эти тонкости людей). Особняком стоит вопрос о безопасности самого документооборота, возможности использования в нем ЭЦП для подтверждения авторства заявки. Опыт внедрения подобных систем говорит о том, что кадровые службы не готовы вести двойной учет, поэтому важно наличие возможностей интеграции с кадровыми системами.

Взаимодействие с управляемыми платформами. Здесь нужно смотреть на перечень поддерживаемых систем и платформ. Стоит интересоваться, умеют ли агенты автоматически выполнять инструкции на этих платформах. Кроме того, надо держать в голове, что агенты часто реализованы в самом общем виде, и если потребуется действительно полное управление, агента придется дорабатывать в процессе внедрения. Сразу следует оценить возможности системы по разработке/доработке агентов под используемые в вашей информационной системе специфические платформы.

Управление системой. Тут, прежде всего, стоит обратить внимание на систему отчетов, готова ли она выдать необходимую информацию и возможно ли корректировать внешний вид и наполнение отчетов по необходимости.

Внедрения и сопровождения системы. Безусловно, системы от всех крупных производителей имеют описанные методики внедрения в информационную систему. Из этого документа можно понять и оценить трудоемкость внесения изменений в ИС, а также ограничения процесса внедрения. Сам процесс очень кропотливый и может занимать несколько месяцев.

Стоимость. Необходимо разделять цену компонентов и порядок лицензирования. Системы такого класса достаточно дороги изначально. Сама цена состоит из трех компонент: стоимость ядра системы, стоимость услуг по внедрению и стоимость сопровождения. При этом стоимость ядра обычно вычисляется легко, но это абсолютно не информативно, поскольку стоимость услуг по внедрению системы зачастую ее превосходит.

Под сопровождением подобного рода систем стоит понимать не только техническую поддержку, но и постоянные «довнедрения»: ведь информационная система вряд ли «заморозится», а подключение каждого нового прикладного или системного ПО будет равносильно небольшому внедрению. Это, в свою очередь, требует тщательнейшего выбора не только поставщика, но и подрядчика по внедрению.

Игра стоит свеч

Внедрение систем управления безопасностью требует существенных материальных вложений и чревато сложностями, связанными с выбором и внедрением подобных систем. Поэтому у клиента должна быть серьезная мотивация, чтобы сделать выбор в пользу использование систем класса Identity&Access management. К серьезным выгодам от применения подобных систем можно отнести, во-первых, оперативность в администрировании. В этом заинтересованы не только ИТ-подразделения, но и высший менеджмент, и руководство. Во-вторых, высвободившиеся в результате автоматизации временные и кадровые ресурсы можно направить на решение иных важных производственных задач. В-третьих, при использовании таких систем отсутствуют ошибки администрирования. В-четвертых, появляется возможность действительно централизованного управления доступом ко всем информационными подсистемами и владения ситуацией о правах доступа к ресурсам ИС.

Михаил Савельев