2017/04/10 11:39:12

Как выбрать и внедрить
систему управления доступом?

TADетали

Российский рынок систем управления доступом (IdM) переживает бурный рост. Постоянное появление всё новых вендоров затрудняет выбор подходящего решения. Кроме того, если 5-7 лет назад внедрением IdM-систем в нашей стране занималось всего несколько интеграторов, то сегодня ситуация кардинально изменилась - количество компаний, выполняющих подобные проекты, значительно выросло. Как в современных условиях выбрать IdM-решение и кому доверить его внедрение? Узнаем в рубрике TADетали.

Содержание

Кому и зачем необходима система управления доступом?

Сегодня внедрение IdM связано не столько с простым следованием тенденциям западного рынка или получением компанией дополнительного средства безопасности для контроля доступа к информационным системам, сколько с возможностью решить конкретные насущные проблемы: оптимизировать издержки бизнес-процессов, уменьшить затраты на ИТ, закрыть вопросы управления доступом по требованиям регуляторов (PCI DSS, ISO и т.д.).

Все чаще на первое место среди причин внедрения выходит сокращение времени на аудит прав доступа. Для компаний, у которых внешний аудит является обязательной частью бизнеса (банки, публичные компании и т.п.), этот фактор становится главным драйвером для внедрения IdM. Данная тенденция полностью соответствует мировой практике, где именно Compliance является причиной №1 для внедрения таких решений.

Каковы основные подходы к построению системы?

Эксперты компании «Инфосистемы Джет» выделяют два основных подхода к внедрению системы управления доступом. Первый - от централизации управления доступом к автоматизации процессов, второй - от управления заявками к автоматизации управления.

Таблица 1 - Подходы к внедрению системы управления доступом
От централизации управления доступом к автоматизации процессов
От управления заявками к автоматизации управления
1 этап
Состав работ

·Интеграция с кадровой системой
·Подключение управляемых систем
·Создание каталога ресурсов
·Настройка назначения базовых заявок на администраторов

·Интеграция с кадровой системой
·Создание виртуального каталога ресурсов
·Настройка процессов согласования

РезультатыВ результате работ этого этапа процессы управления доступом протекают обычным образом, за тем исключением, что для управления администраторы используют централизованную систему, а для назначения прав используется каталог.В результате работ этого этапа процессы создания и согласования заявок на доступ выполняются в системе. Кроме того, выполнена автоматизация создания заявок на основании данных кадрового источника.
2 этап
Состав работ

·Автоматизация процессов согласования заявок
·Введение ролей в системе для бизнес-пользователей
·Автоматизация внесения изменений в информационные системы

·Подключение управляемых систем
·Автоматизация внесения изменений в информационные системы

РезультатыПолноценная система централизованного автоматизированного управления доступом, которая обеспечивает функции создания, согласования и исполнения заявок в рамках подключенных информационных систем.
3 и последующие этапы
ОписаниеОсуществляется подключение дополнительных информационных систем. Управление доступом постепенно переходит к ролевой парадигме.

Какие вопросы предусмотреть в концепции создания системы, чтобы не собрать все грабли при реализации проекта?

Проекты по внедрению IdM-систем иногда сопровождаются большими усилиями, срывами запланированных сроков и бюджетами, превышающими сумму, которая планировалась вначале. В то же время весомая часть проектов завершается в запланированные сроки с минимальным периодом опытной эксплуатации и укладывается в бюджет. Если это получается у одних, что мешает другим? Для того чтобы внедрение IdM прошло с максимальной отдачей и минимальными рисками в компании «Инфосистемы Джет» выделили основные особенности и рекомендации, которые нужно учитывать при подготовке к проекту.

1. Зафиксировать цели и границы внедрения

Внедрение IdM, как и любой другой масштабной информационной системы, необходимо начинать с определения его целей и понимания его необходимости. В связи с тем, что такие проекты довольно длительны, четкое формулирование целей позволит избежать подмены ориентиров в процессе реализации. Но при всей очевидности данного подхода у клиента зачастую все равно возникает желание расширить изначально заявленные границы применения системы.

Пример из практики «Инфосистем Джет»

В одном из проектов инициатором и заказчиком системы являлась ИТ-служба компании, которой требовалась автоматизация процессов. Требования, цели, границы проекта они устанавливали самостоятельно, хотя и согласовывали их с сотрудниками службы информационной безопасности (ИБ). Когда проект уже подходил к сдаче, ИБ-шники решили расширить его цели – добавить соответствие контролей (Compliance). В итоге срок сдачи затянулся на 3 месяца, а изначальные требования были скорректированы. После согласования необходимых контролей специалисты ИБ решили дополнительно оптимизировать процессы назначения полномочий, что опять же не входило в изначальные цели. Проект был сдан с серьезным опозданием и деморализованной ИТ-службой, так как их задачи из-за дополнительных требований коллег и фиксированного бюджета были решены не полностью.

2. Учитывать возможности архитектуры системы

Одна из основных проблем, с которой ИТ-специалисты сталкиваются при внедрении, – это желание компании использовать IdM не по прямому назначению. По просьбе клиента исполнители пытаются реализовать на продукте функционал, который противоречит общей архитектуре системы. То есть они вынуждены вносить значительные изменения в функционал решения, которое для этого не приспособлено. Тем самым увеличивается риск возникновения непредвиденных ошибок и удорожания поддержки системы. Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149.2 т

Понимание возможностей решения позволит четко понять объем возможных доработок и кастомизаций, которые дадут возможность реализовать максимальный функционал без серьезных доработок архитектуры. Это позволит проводить доработки в сжатые сроки в ходе внедрения, а в процессе эксплуатации не снизит стабильность работы решения.

Чтобы не допустить появления проблем, связанных с ограниченностью архитектурных возможностей системы, необходимо до внедрения больше внимания уделить изучению не только ее плюсов, но и минусов. При этом консультироваться стоит не только с вендорами, но и с интеграторами, которые имеют реальный опыт работы с решением.

3. Заручиться поддержкой топ-менеджмента

IdM-проекты почти всегда отличаются длительностью и требуют участия различных департаментов и управлений. При этом, если у части сотрудников нет заинтересованности в изменениях, заставить их можно будет только директивным путем. Без поддержки высокого руководства сделать это не получится.

Также необходима единая точка принятия решений в ситуациях, когда появляются конфликты интересов различных подразделений. Коллегиальная ответственность в таких случаях превращается в коллективную безответственность, что приводит к отклонениям от целей и границ проекта и существенному затягиванию сроков.

4. Учесть возможные изменения процессов

Во многих компаниях процессы управления доступом формируются стихийно, и заявки на запрос/отзыв прав доступа носят неформальный характер, т.е. заявку может понять только живой человек (ее исполнитель). Если такую систему попытаться автоматизировать без значительных изменений, то это может привести к автоматизации хаоса, что в дальнейшем сильно снизит гибкость решения и качество поддержки. Для того чтобы не допустить такой ситуации, необходимо быть готовыми к тому, что значительную часть процессов управления правами придется пересмотреть, переписать, переделать, заменить и внедрить новые.

5. Выработать подход к внедрению

Как бы гладко ни шло внедрение IdM, это будет не дешево и не быстро. С этим нужно смириться и принять как есть, так как подобные кейсы одни из самых сложных с точки зрения проектного управления. Дело в том, что в процессе внедрения затрагиваются большое количество информационных систем и почти все отделы компании. Ускорение сроков, пропуск этапов или сокращение опытной эксплуатации крайне не рекомендуется. Это может привести не только к срыву сроков или превышению бюджетов, но и к неоправдавшимся ожиданиям и, как итог, к закрытию проекта на стадии разработки или после завершения работ.

В компании «Инфосистемы Джет», исходя из собственного опыта, считают, что наиболее предпочтительный вариант внедрения состоит из трех этапов.

Первый этап – это обследование, разработка технического задания, подключение основных информационных систем, автоматизация процессов управления правами доступа (автоматическое заведение учетной записи (УЗ) при приеме на работу, автоматический отзыв прав при увольнении или переводе сотрудника по должности). Этот этап очень важен для успешного внедрения, так как он позволяет выявить большое количество расхождений между регламентной документацией и фактическим состоянием дел. Если им пренебречь и сразу внедрить весь функционал, включая обработку заявок, сверку и т.д., есть риск, что решение будет неработоспособным и потребуются героические усилия на спешное исправление ситуации.

Второй этап - подключение дополнительных систем, реализация процессов согласования прав доступа, ролевая модель. На этом этапе разрабатываются коннекторы к оставшимся информационным системам, внедряются интерфейсы самообслуживания, ролевая модель, отчетность. Второй этап является самым сложным в реализации и внедрении. Именно в этот период системой начинают пользоваться рядовые сотрудники.

Осуществить его значительно проще, если к этому времени завершен предыдущий этап: в системе уже вычищены ошибки и недочеты кадровой информации, найдены владельцы большинства УЗ, удалены УЗ уволенных сотрудников. Если первый этап позволяет снизить издержки компании за счет автоматизации рутинных задач, то второй дает возможность использовать все преимущества IdM:

  • отчеты соответствуют необходимым контролям;
  • служба информационной безопасности получает инструмент контроля над выданными полномочиями;
  • администраторы систем получают возможность автоматического управления доступом.

Третий этап - расширение, доработки, пожелания. На этом и последующих этапах система уже полностью настроена, требуются лишь различные улучшения работоспособности, доработки интерфейсной части, подключения оставшихся систем.

Часто клиенты стараются совместить первый и второй этапы ради экономии бюджетов и времени, у некоторых это получается, но риск не всегда оправдан, считают в «Инфосистемах Джет».

6. Подготовить проектную команду

В том, что исполнитель проекта должен обладать квалифицированной командой специалистов, никто не сомневается. Но на стороне клиента также желательно иметь команду, которая будет понимать функциональные возможности продукта. Если у команды заказчика нет необходимой квалификации, есть риск, что внедренное решение не будет учитывать специфики и нюансы всех процессов компании и в результате будет неудобным в использовании. Не страшно, если изначально знания будут неглубокими и неполными. Однако, важно, чтобы у заказчика было хотя бы общее понимание.

По опыту «Инфосистем Джет», редко бывает так, чтобы один человек отвечал за весь процесс внедрения со стороны заказчика. Чаще всего это команда, состоящая из менеджера проекта, специалиста по кадрам, специалиста по ИБ и различных экспертов по интегрируемым с IdM системам. В любом случае обязательно нужен специалист, который будет непосредственно отвечать за успех проекта, принимать решения по вариантам реализации и аккумулировать всю информацию о будущей системе (чаще всего эту роль на себя берет менеджер проекта).

Если компания уже приняла решение внедрять IdM, желательно выделить сотрудника, который посетит несколько ИТ-выставок, на которых проводятся обзоры IdM-систем, по возможности ознакомится с уже реализованными решениями у партнеров по бизнесу, проведет обзор продуктов разных вендоров. IdM-проекты почти всегда отличаются длительностью, требуют участия различных департаментов, и если у части сотрудников нет заинтересованности в изменениях, то заставить их можно будет только директивным путем. Без поддержки высокого руководства сделать это не получится.

7. Актуализировать данные в кадровой системе

Кадровая информация для IdM является непогрешимым источником данных, и, если в ней есть ошибки или неточности, то они автоматически перейдут в IdM, а далее распространятся по всем системам. Чтобы этого не произошло, необходимо перед загрузкой кадровых данных провести проверку информации на корректность. Также нужно позаботиться о том, чтобы фактические кадровые данные и данные в кадровом источнике не отличались друг от друга.

У некоторых клиентов на начальных этапах проекта кадровые данные сильно различаются с фактическими и содержащимися в кадровом источнике. Это приводит к тому, что заявки теряются, идут на других людей и в первое время присутствует сильная неразбериха относительно путей согласования. В этом случае приходится вводить альтернативный кадровый источник, так как текущую кадровую структуру поменять не получается.

8. Обеспечить готовность информационных систем (необходимы интерфейсы взаимодействия между IdM и управляемыми системами)

Одной из основных работ в проектах внедрения IdM является интеграция с управляемыми системами. Прежде всего, на стороне систем должны быть доступны внешние интерфейсы управления доступом (создание, блокирование учетной записи, назначение/отзыв прав и т.д.). Если система самописная, то есть большая вероятность того, что таких интерфейсов у нее нет, и их придется разрабатывать самостоятельно. Для этого нужно заранее уточнить, справятся ли с задачей собственные специалисты или потребуется привлечение сторонних экспертов.

Кроме интерфейсов, в информационных системах могут быть еще две проблемы: гранулированный доступ и нестандартизированные названия ролей. Гранулированный доступ является особенностью больших и сложных систем, таких как ERP. Он выдается не одной ролью, а набором фильтров и галочек. Если каждый фильтр выделять в отдельную роль, это приведет к тому, что количество ролей, доступных для запроса, разрастется до 50 тыс. Понятно, что пользоваться такой системой невозможно. Чтобы этого избежать, из всех 50 тыс. выделяется 100–200 типовых ролей. Обычно это покрывает 99% всех потребностей, а оставшийся процент заявок выполняется вручную, либо при запросе нестандартного доступа сначала формируется новая роль, а затем уже проходит сам запрос.

Отсутствие стандартов на название ролей в определённой системе приводит к невозможности автоматизации управления правами доступа в ней. Это происходит, например, в тех случаях, когда доступ в компании запрашивается в свободной форме, через письма или СЭД, а далее такие заявки разбираются администратором.

Пример из практики «Инфосистем Джет»

На одном из обследований специалисты «Инфосистем Джет» были свидетелями того, как администратору пришла заявка с запросом полномочий: «Я хочу быть админом моего ноутбука». Обычно подобные обращения без вопросов отклоняют по причине их бессмысленности. Но администратор, даже не моргнув, поставил статус «Выполнено» и включил пользователя в группу локальных администраторов. В итоге присланная заявка и фактически назначенные права для непосвящённого человека (например, аудитора) никак друг с другом не согласуются. Все это в период пересмотра прав доступа или внешнего аудита может привести к появлению нежелательных вопросов и дополнительных проверок. Другая крайность - когда вместо человеческого «Доступ к цветному принтеру HP в комнате 329», пользователь оформляет заявку «Прошу включить мою учетную запись в группу CN=HPLaser12,OU=Маркетинг,DC=foo,DC=org».

9. Навести порядок с учётными записями

Одной из самых распространенных и болезненных проблем при внедрении IdM является отсутствие идентификаторов у учетных записей и правил, по которым можно определить, какому сотруднику принадлежит учетная запись в подключаемой системе.

Пример из практики «Инфосистем Джет»

У одной компании в подключаемой системе было 12 тыс. активных учетных записей вида: ddd1, petrov.f.r, firewall_192 и т.д. Из них 8 тыс. принадлежали уволенным сотрудникам, а около сотни являлись «кем-то созданными» и «для чего-то нужными» технологическими учетными записями, при этом не было ни одного опознавательного атрибута, по которому можно было бы определить владельцев. В итоге процесс поиска ответственных и блокировки уволенных занял больше месяца. Но даже после длительной и кропотливой работы остались несколько десятков учетных записей, для которых не нашли хозяев. Их заблокировали и восстановили те, по которым пришли жалобы, что пропал доступ или не работает сервис.

Кадровая информация для IdM является непогрешимым источником данных, и если в ней есть ошибки или неточности, то они автоматически перейдут в IdM и далее распространятся по всем системам. Универсального решения проблемы поиска владельцев нет. Если известно, что такая проблема существует, нужно заранее позаботиться о том, чтобы установить ответственных. Во внедряемых ИТ-системах необходимо сразу ввести регламент добавления к учетным записям атрибута, по которому можно точно определить, кто и зачем создавал запрос на новые учетные записи. Это может быть табельный номер, ФИО, e-mail и т.д.

10. Подготовиться к переходу на новую модель управления доступом

С начала внедрения IdM жизнь в компании хоть и не кардинально изменится, но точно пойдет по-новому. Появится новая система, новые правила и, что самое «плохое», новые ответственности и контроль. Сотрудникам, привыкшим к старым процессам, перестроиться будет непросто, поэтому на начальном этапе в компании должны быть внедрены соответствующие регламенты, подготовлены инструкции, проинформирована поддержка. Самое главное, чтобы в период внедрения регламенты свели к минимуму любые альтернативные пути получения прав доступа. Подчеркнем, какие бы меры по адаптации интерфейсов ни применяли, какое бы обучение ни проводилось, сотрудники первые месяцы сопротивляются внедрению новой системы. Они по-прежнему стараются запросить права доступа по-старому (по телефону, письмом и т.д.), мотивируя это тем, что новая система не работает. Такое поведение нормально, и к этому нужно быть готовыми.

Как оценить временные и денежные затраты на построение системы?

Специалисты «Инфосистем Джет» выделяют три основных блока, из которых складывается стоимость проекта:

1. Функциональность

Здесь не учитываются базовые возможности IdM: управление правами доступа, аудит, пересмотры прав. Однако, есть более сложные вещи, которые влияют на стоимость - это настройка ролевой модели и SoD-конфликтов, управление технологическими учетными записями, контроль доступа для субподрядных организаций.

2. Количество подключаемых систем

В этом пункте есть два аспекта, на которые необходимо обратить внимание. Первый - наличие готового коннектора, который поставляется вендором. Если подключаемая система довольно распространённая и к ней существует готовый коннектор, то затраты на её подключение будут минимальные. Однако, если коннектора нет или штатный не реализует необходимой функциональности, то стоимость подключения существенно возрастает.

3. Сложность и количество реализуемых бизнес-процессов

Это, пожалуй, самый сложный блок с точки зрения оценки его стоимости. В некоторых проектах количество автоматизируемых бизнес-процессов по управлению доступом исчисляется десятками, при этом в большинстве случаев они специфичны.

Что касается сроков внедрения, то в среднем, по оценке «Инфосистем Джет», проекты занимает от 8 месяцев до 1,5 лет. Такие сроки обусловлены тем, что процесс внедрения системы управления доступом включает в себя не только настройку и адаптацию системы, но и существенную часть, связанную с обследованием, формализацией бизнес-процессов управления доступом, формированием требований и их согласование со всеми заинтересованными лицами на стороне заказчика. Если процессы не выстроены или нуждаются в пересмотре, то нередко внедрению IdM предшествует этап консалтинга. На этом этапе специалисты проводят анализ существующих бизнес-процессов и информационных систем, а также предлагают методики оптимизации процессов управления доступом, основываясь на лучших отраслевых практиках.

Как выбрать решения для реализации системы?

Рынок IdM-решений в настоящее время переживает бурный рост. Его российский сегмент с каждым днём пополняется новыми вендорами, поэтому выбрать подходящий продукт становится всё сложнее. Ни для кого не секрет, что универсального решения не существует. Каждое решение хорошо по-своему, поэтому в компании «Инфосистемы Джет» выделили наиболее важные критерии, на которые стоит обратить внимание при выборе системы.

Оценки аналитических компаний – это мнение западных экспертов, таких как Gartner и Forrester. Они дают хорошее представление об общем состоянии и тенденциях развития современных IdM-решений. Такие оценки полезны в том случае, когда выбор необходимо сделать в короткие сроки, а также для его обоснования бизнес-руководству, особенно зарубежному.

Уровень доверия к вендору учитывает риски, связанные с банкротством, с приобретением вендора другой компанией, с его уходом с рынка IdM, а также с ресурсными возможностями. Этот уровень измеряется финансовыми показателями компании, известностью на российском и мировом рынке, составом продуктового портфеля, возможностями локальной поддержки. Есть важная составляющая, которую учесть нельзя – это опыт взаимоотношений с вендорами. Дело в том, что его нужно оценивать отдельно для каждого клиента. Уровень доверия является фундаментальным показателем. Он определяет риски вложения инвестиций в определённую систему и срок её жизни в компании.

Функциональная зрелость – это оценка удобства пользовательского интерфейса, объёма функций системы IdM, соответствующих её назначению, и гибкости их настройки. Данный показатель у решений мы оценивали на основании своего опыта внедрения IdM и ожиданий наших клиентов от продуктов. Удобство графического интерфейса очень важно, поскольку пользователями системы является подавляющее большинство сотрудников компании. Если интерфейс будет недостаточно удобным, начнутся проблемы на стадии промышленной эксплуатации IdM. Объём функций напрямую влияет на число задач, которые может решить система. Чем большим их количеством она обладает, тем более значительные результаты можно получить от внедрения. Гибкость – едва ли не более важный показатель. Поскольку от системы IdM требуется адаптация под инфраструктуру и бизнес-процессы компании, само по себе наличие некоторого функционала даёт не так много, как возможность реализовать его в соответствии с нуждами организации. Функциональная зрелость напрямую влияет на результативность внедрения IdM, на то, насколько компания сможет повысить эффективность своих процессов и снизить издержки, а также на стоимость проектных работ.

Опыт использования системы – это показатель ее работоспособности для решения реальных задач различных организаций. Он отражает готовность системы к enterprise-внедрениям, её способность интегрироваться и функционировать в информационной инфраструктуре предприятия, обеспечивать необходимые характеристики, в том числе отказоустойчивость и масштабируемость. Работоспособность системы можно оценить только по реальным внедрениям. При анализе опыта внедрения важно принимать во внимание такие особенности, как сектор экономики и величина компании, территориальное распределение и количество пользователей системы, место IdM в инфраструктуре. Опыт использования – один из ключевых показателей, поскольку только на его основании можно говорить о работоспособности системы в целом, о её применимости для решения бизнес-задач.

Пример из практики «Инфосистем Джет»

У одного из вендоров вышла новая версия системы IdM. Судя по документации, ее переработали достаточно серьезно, добавили много новых функций. Но когда мы начали ее внедрение в одной из компаний, столкнулись со следующим: если что-то работало не так, как описано в документации, вендор не дорабатывал продукт надлежащим образом, а вносил изменения в документацию, подгоняя ее под реальное положение дел. И даже в такой ситуации мы обеспечили необходимый для компании функционал.

Стоимость вхождения – это оценка затрат на первый этап внедрения системы. Другими словами, этот показатель отображает объём финансовых вложений в создание фундамента IdM. После этого, как правило, идут этапы развития и поддержки. Стоимость по каждому решению мы оценивали исходя из нашего опыта их внедрения. Здесь следует отметить, что компании гораздо сложнее пойти на риск внедрения новой системы, если объём инвестиций в неё превышает ожидаемые рамки. Показатель стоимости «входа» необходимо рассматривать в тесной связи с другими, такими как функциональная зрелость. Если продукт обладает низкой стоимостью и небольшой функциональной зрелостью, то основные расходы на него придутся на этапы развития и поддержки.

Как выбрать подрядчика?

Ещё 5-7 лет назад проекты по внедрению систем управления доступом в нашей стране выполняли всего несколько интеграторов и выбор был не велик. На сегодняшний день ситуация изменилась - количество компаний занимающихся внедрением систем подобного класса значительно возросло. Здесь следует выделить наиболее важные критерии, на которые стоит обратить внимание при выборе подрядчика:

1. Опыт внедрения или количество завершённых проектов по внедрению

Здесь особое внимание стоит уделить возможности подрядчика провести референсные встречи со своими заказчиками. Также важно обратить внимание на то, в каких сферах (банки, ритейл, промышленность и т.д.) и с какими вендорами производил внедрения интегратор.

2. Наличие выделенного подразделения и квалификация специалистов

Интеграторы, постоянно занимающиеся внедрение IdM, в большинстве случаев выделяют отдельное подразделение, в котором сосредоточен опыт и компетенции по решениям.

3. Время присутствия компании на рынке ИТ и IdM в частности

Так как проекты по внедрению достаточно длительны, подрядчик должен обеспечить завершение проекта и последующее его гарантийное сопровождение и развитие.

4. Наличие партнерских отношений с производителем IdM-решения

Налаженный процесс взаимодействия между подрядчиком и производителем ПО, значительно ускоряет решение вопросов, возникающих при внедрении.

Заключение

Внедрение IdM, как и любой другой крупной корпоративной ИС, которая охватывает информационные системы и бизнес-процессы – непростая задача. Поэтому к проекту нужно подготовиться заранее. Если на старте учесть все вышеперечисленные рекомендации, то можно быть уверенными, что внедрение пройдет проще. Вы получите ожидаемый результат и в конце сможете сказать, что, несмотря на все усилия, оно того стоило.

Подготовлено при поддержке компании "Инфосистемы Джет"

132