Без реализации (хотя бы) основного функционала систем идентификации и управления доступом пользователей к ИТ-ресурсам (IDM) невозможно наладить ни один бизнес-процесс. Серьезным сдерживающим фактором внедрения систем IDM является технологическая и организационная сложность построения ролевых моделей и матриц доступа, особенно для средних и крупных структур (более 500 компьютеризированных рабочих мест).
По словам генерального директора компании Avanpost Андрея Конусова, полномасштабное решение задачи соответствия между должностями сотрудников и правами доступа к корпоративным информационным системам для крупного бизнеса занимает месяцы, а порой и годы. Ведь количество должностей в крупных компаниях исчисляется сотнями (к тому же при развитой филиальной структуре возможны случаи различающихся названий для по сути одинаковых должностей), а количество задействованных информационных систем — сотнями и даже тысячами. В результате за месяц в любой крупной компании могут происходить десятки тысяч изменений в правах доступа сотрудников.
Для построения ролевых моделей и матриц доступа крупные российские компании нередко прибегают к помощи внешних консультантов. Однако после того, как эти консультанты завершают свою работу, оставляя после себя многостраничные документы с рекомендациями, в компании наступает период их согласования и утверждения. Как показывает опыт, этот период не проходит без трений и разногласий между структурными подразделениями и владельцами бизнес-процессов заказчика. Зачастую в ходе согласования выявляются недостатки действующей ролевой модели, и вместо эксплуатации начинается процесс ее перманентной оптимизации.
Однако, как показывает практика, чаще всего права доступа формируются и трансформируются в компаниях эволюционно — под выполнение текущих задач на уровне отдельных структурных подразделений компании, и практически остаются бесконтрольными на уровне высшего руководства. Ведь бизнес-руководителям важно предоставить сотрудникам права доступа — чтобы дело не стояло. Но ни у первых, ни у вторых нет мотивации закрывать избыточные права после выполнения временных заданий или завершения проектов. В результате у сотрудников накапливается шлейф избыточных прав доступа. Ситуация отягчается текучкой кадров, которая в среднем для российских организаций и компаний составляет примерно 20% в год.
Что же касается ИБ-службы, то у нее нет оснований как-то вмешиваться в сложившуюся структуру прав доступа, если не налажены или не действуют процедуры, предусматривающие получение службой указаний уполномоченных руководителей, не говоря уже о том, чтобы использовать для выполнения таких указаний автоматизированные средства в виде IDM-систем.
Для того чтобы построить ролевую модель доступа, г-н Конусов рекомендует придерживаться нескольких принципов. Во-первых, начинать построение модели не сверху, а с уровня подразделений, и по мере готовности консолидировать локальные модели на верхних уровнях. Во-вторых, построенную модель немедленно запускать в эксплуатацию, централизованно оптимизируя ее уже на ходу исходя из практических результатов. В-третьих, если построение модели делается вручную, то нужно задействовать не одну рабочую группу (консультантов или собственных специалистов), а несколько, примерно по количеству подразделений в компании, с тем чтобы работа шла одновременно широким фронтом и не растянулась на долгие месяцы (или годы) и согласованная модель не успела морально устареть до состояния непригодности для использования.
Для автоматизации процесса построения ролевой модели доступа (реализующего упомянутые выше принципы) компания Avanpost разработала и включила в свой IDM-продукт Avanpost функционал Role Manager.
Развертывание IDM Avanpost с функционалом Role Manager начинается сразу с интеграции IDM с другими информационными системами и с кадровой базой данных заказчика. В ходе первых включений система IDM собирает с тех прикладных систем, к которым подключена, реальные учетные записи сотрудников с реально действующими правами доступа и накапливает их в своей базе данных. Из кадровой базы данных IDM выкачивает информацию о сотрудниках с указанием их должностей. После этого система производит стыковку данных о ФИО пользователей, их должностях, учетных записях и правах доступа к ИТ-системам. Далее IDM выявляет группы сотрудников с одинаковыми должностями и производит сравнение предоставленных им прав доступа, выявляя совпадения. Затем наступает очередь экспертов со стороны заказчика, которые должны определить, доступ к каким системам следует закрепить за теми или иными должностями, иными словами они должны сформировать корпоративный набор базовых ролей доступа.
За каждым из сотрудников могут также закрепляться некоторые исключительные права доступа. Рекомендуется делать это по мере поступления запросов, изначально ограничив каждого сотрудника только доступом, соответствующим базовой роли (или нескольким базовым ролям). Стоит отметить, что Role Manager помогает также оптимизировать штатное расписание за счет объединения должностей с одинаковыми правами доступа.
Есть и другой подход: за сотрудниками изначально закрепляются все обнаруженные исключительные права доступа, а затем, после запуска IDM в штатный режим, ИБ-специалисты внимательно анализируют реальную потребность такого закрепления для каждого отдельного случая.
По оценкам г-на Конусова, функционал Role Manager позволяет внедрять IDM Avanpost за время, меньшее того, которое ранее уходило только на составление первичного документа, описывающего ролевую модель доступа у заказчика, что в свою очередь в разы увеличит спрос на IDM Avanpost.