Переход рынка информационной безопасности в фазу более высокой зрелости сопровождается изменениями в одном из ключевых компонентов системы обеспечения корпоративной ИБ — в организации и управлении доступом к информационным ресурсам.
О наиболее характерных, по мнению ИБ-интеграторов, проявлениях связанного с этими изменениями перехода к использованию промышленных систем управления доступом (IDM) и об особенностях внедрения IDM-систем на критически важных объектах научному редактору еженедельника PC Week/RE Валерию Васильеву рассказывает генеральный директор компании LETA Александр Малявкин.
PC Week: Как вы полагаете, управление доступом к ИТ-ресурсам — это функционал, который в компании проще и дешевле реализовать за счет применения специализированных IDM-систем, способных одновременно служить, так сказать, фундаментом и порталом для централизованного управления корпоративной ИБ, или за счет каких-либо иных, альтернативных, методов?
Александр Малявкин: Для начала хочу сказать несколько слов о том, зачем вообще нужен функционал управления доступом, ну а потом изложу свою точку зрения по поводу того, может ли IDM-система служить основой для централизованного управления корпоративной ИБ.
Особенность систем IDM заключается в том, что они работают на стыке решения задач ИБ, управления ИТ-ресурсами и бизнеса как такового (в той части, которая связана с предоставлением доступа к ресурсам и управлением им — в том, что наиболее близко конкретным бизнес-пользователям, с чем они сталкиваются каждый день, выполняя свои должностные обязанности, участвуя в бизнес-процессах).
Если говорить о способах реализации функционала управления доступом, то данная задача может решаться на базе тех возможностей, которые реализуются в отдельных информационных системах для управления учетными записями, с одновременным дополнением их соответствующими организационными мероприятиями, прежде всего предусматривающими назначение лиц, ответственных за управление, согласование, предоставление доступа. Однако, как показывает опыт, эксплуатация решений такого типа требует привлечения большого числа специалистов и заранее предполагает существенные задержки при принятии и исполнении управленческих решений и существенные сложности в контроле управления правами доступа.
Наиболее эффективным и полномасштабным мне представляется использование для управления доступом в качестве ядра специализированного промышленного IDM-продукта, который с помощью коннекторов или иных технологий “подключается” ко всем корпоративным информационным ресурсам. При полном охвате ИТ-ресурсов и адекватно прописанных правилах доступа даже один системный администратор сможет с помощью такой системы оперативно реагировать на прием, увольнения, должностные перемещения персонала, появление новых информационных систем, изменения ролевых политик…
Что же касается централизованного управления корпоративной ИБ, то в данном случае понимается все-таки не отдельная система (мне такие не известны), а набор мер и средств, которые подчинены единым правилам, которые и составляют систему управления ИБ. Безусловно одним из ключевых компонентов такой системы должна быть система IDM.
PC Week: А как обстоят дела на практике? Какой из двух вариантов управления доступом наиболее распространен в российских компаниях сегодня — через промышленные IDM-продукты или альтернативными способами?
А. М.: По моим оценкам, охват специализированными IDM-системами средних и крупных компаний, работающих в России, не превышает 10%. Примерно столько же предприятий и организаций из этого сегмента можно отнести к потенциальным заказчикам промышленных IDM-систем. Что же касается малого бизнеса, то, как показывает мой опыт, проблема полнофункционального управления доступом для него вообще неактуальна.
Тем не менее, со стороны среднего и крупного бизнеса интерес к IDM-системам растет. Как я уже сказал, от этих заказчиков можно ожидать удвоения объема рынка IDM-систем. Это связано именно с тем, что IDM полезна не только службе ИБ, но и ИТ-службе, и бизнес-подразделениям.
PC Week: Следовательно разработчики IDM-систем должны готовиться к резкому увеличению спроса на свою продукцию. А каких иных вызовов им следует ожидать сегодня со стороны ИТ-потребителей?
А. М.: Готовясь к росту спроса, разработчики IDM-систем должны учитывать в своих продуктах баланс интересов трех упомянутых мною внутрикорпоративных пользователей IDM-систем: ИБ, ИТ и бизнеса. У представителей каждого из них свои требования к IDM. Бизнесу, например, как никому другому внутри компании, нужны быстрые внедрение и окупаемость наряду с простотой использования. ИТ-подразделение ждет от IDM-системы сокращения затрат на управление ИТ-ресурсами и упрощения связанных с этим процедур. ИБ-служба надеется на то, что IDM-система поможет ей снизить риски, вызываемые некорректным предоставлением доступа, а также решить задачу выполнения требований регуляторов.
IDM-вендор должен быть готов к тому, что его продукту придется функционировать в многосистемной среде, взаимодействовать в том числе с системами, написанными заказчиками самостоятельно. При этом задача IDM-решения заключается в том, чтобы объединить под своим управлением все, что касается организации доступа. Следует иметь в виду, что написание коннекторов к отдельным из систем, с которыми IDM-вендор сталкивается у заказчика, может заметно увеличить срок реализации проекта внедрения IDM. Это тоже нужно учитывать в IDM-проектах.
PC Week: Можно ли говорить о вертикализации функционала IDM, о специфике спроса со стороны трех главных упомянутых вами внутрикорпоративных потребителей в разных рыночных сегментах — госсекторе, банках, на промышленных предприятиях, в учебных организациях, медицинских учреждениях, социальных сетях?
А. М.: Мне представляется, что отраслевая специфика в IDM-решениях представлена слабо — и бизнес, и ИТ, и ИБ самых разных компаний в большой степени ожидают от IDM одного и того же. Специфика управления доступом связана скорее с использованием некоторых технологий, таких, например, как криптография и электронная подпись (ЭП). И уже через технологии эта специфика распространяется на вертикальные рынки. Так, с особенностями применения той же криптографии и ЭП сталкивается любая компания любой вертикали, по тем или иным причинам решившая использовать эти технологии, и прежде других это структуры госсектора и банки, в которых они применяются наиболее часто.
PC Week: А какие технологии, характерные для ТЭК, определяют специфику построения IDM для этой вертикали? Ведь после целевых кибератак (таких, скажем, как Stuxnet, Flame и т. п.) на стратегически важные объекты, к которым, безусловно, относятся и объекты ТЭК, представляется целесообразным разобраться в этом. В чем эта специфика заключается для заказчиков данной категории?
А. М.: Сразу скажу, что никакая отдельная система (включая и IDM) от подобного рода атак не защитит. В первую очередь это проблема защищенности специфических для ТЭК промышленных систем.
Исходя из оценки допустимых рисков, к которым предприятия ТЭК чувствительнее предприятий многих других вертикалей, дополнительные требования по защищенности применяются там ко всем используемым в них информационным системам. Это относится и к IDM-решениям. Поскольку основная задача IDM заключается в управлении правами доступа, то от этой системы в данном случае требуются более четкое разграничение прав доступа и более жесткий контроль за их исполнением, в том числе и в отношении самих администраторов IDM-систем, что подразумевает использование специфических технологий и организационных подходов. Следует также предусмотреть варианты экстренного блокирования доступа на случай аварийных ситуаций, резервные системы и т. п.
В любом случае нужно иметь в виду, что IDM-систему в редких случаях можно поставлять как коробочное решение — чаще всего она требует доработки под заказчика, тем более если речь идет об организации доступа к критическим для бизнеса системам или к стратегически важным объектам, к которым относятся и объекты ТЭК.
Свои требования к безопасности таких объектов предъявляют и регуляторы. Однако на сегодняшний день это общие требования — пока нет документов, регламентирующих работу отдельных подсистем, в том числе IDM. В управлении правами доступа мы, будучи ИБ-интегратором, исходим из базовых требований документов ФСТЭК России, ФСБ России и других регуляторов. А вот когда такие специальные требования будут разработаны, для IDM-вендоров появятся еще один вызов.
PC Week: Итак, в адаптации IDM под требования заказчика значительный объем работ ложится на плечи разработчика системы. А что приходится делать в процессе развертывания IDM-системы ИБ-интеграторам?
А. М.: Если под интегратором понимать команду, которая занимается внедрением системы, то она оказывается промежуточным звеном между вендором IDM-системы и заказчиком. Именно этот посредник должен определить, что нужно доработать в IDM-продукте под специфику ИТ-среды и ИБ-политик заказчика, и выступить в проекте в роли консультанта. В этом заключается его основная задача. После того как необходимые доработки будут произведены, внедрить систему уже несложно.
PC Week: Как можно оценить надежность IDM-систем, прежде всего внедряемых на стратегически важных объектах?
А. М.: На стратегически важном объекте целесообразно оценивать надежность не отдельных систем, а ИБ в целом, руководствуясь методиками управления рисками: выявлять наиболее опасные места в бизнесе и анализировать, как на их безопасность влияет каждый компонент защиты, в том числе и IDM-система.
Для стратегически важных объектов нужно предусматривать более глубокое резервирование ИБ-компонентов, чем в менее критических средах. Возможно, что при этом одной IDM-системой не обойтись и придется применять какие-либо альтернативные решения, вплоть до развертывания второй IDM-системы. Нужно быть готовым к тому, что стремление повысить надежность приведет к удорожанию управления доступом и сделает его менее удобным в эксплуатации.
В оценке надежности IDM-системы, на мой взгляд, самое важное — многоуровневый контроль ее неизменяемости и контроль доступа к самой системе: доступ к ней тоже должен контролироваться. Скорее всего, для этого потребуются дополнительные технологии и более строгие организационные меры.
Для оценки надежности IDM-системы как таковой можно развернуть ее на испытательном стенде. Однако статистические показатели надежности функционала IDM-системы можно выявить только по результатам ее эксплуатации на протяжении довольно продолжительного времени в условиях работы разных заказчиков. Сейчас мне трудно сказать более определенно, как достичь необходимого уровня надежности IDM и как оценить его, тем более для такой специфической категории заказчиков, как предприятия ТЭК.
PC Week: Можно ли определить, насколько специальные требования к надежности повысят стоимость IDM для таких заказчиков?
А. М.: К настоящему времени мне неизвестны примеры внедрения IDM-систем в сегменте ТЭК, в которых учитывалась бы специфика стратегической важности относящихся к нему объектов. IDM-продукты, по моим наблюдениям, пока внедряются там “как есть”, и прежде всего в целях повышения удобства обслуживания корпоративных информационных систем для ИТ-подразделения.
PC Week: Благодарю за беседу.