|
|
Что должны уметь системы Identity&Access management
По информации IDC, ведущие мировые компании около 30 % своих ИБ бюджетов направляют на внедрение систем класса Identity&Access Control Management. Россия же идет в этом направлении пока с небольшим отставанием. В последнее время тема управления информационной безопасностью стала очень модной. Редкая компания в мире ИБ не упоминает о том, что занимается этими вопросами. Это хорошо объясняется стремлением доказать, что компания не просто занимается решением конкретных задач, но и оказывают действительно комплексные услуги. Как оказалось, после беглого анализа предложений на сайтах специализированных компаний и результатов поиска в интернете, под термином «управление информационной безопасностью» каждый понимает Избавиться от хаоса Прежде всего, хотелось бы понять, когда же компании выходят на тот уровень, когда без управления информационной безопасностью им больше «не жить». Так, на первых этапах, когда компания только осознает необходимость обеспечения информационной безопасности, руководство и специалистов по ИБ интересуют, прежде всего, меры защиты от самых очевидных угроз: антивирусы, межсетевые экраны, контроль за обращением информации и т.д. По мере развития Кроме того, необходимо разбираться не только со специализированными средствами защиты, но и с действием штатных механизмов операционных систем и приложений. В противном случае все пользователи обращаются к В какой то момент руководитель службы информационной безопасности начинает задумываться над тем, как управлять всеми имеющимися Часто приходится слышать фразы о том, что безопасность — это инвестиции, а инвестициями надо управлять, и что если сделать процессы информационной безопасности прозрачными для Признаки необходимости Итак, перед руководителем службы информационной безопасности стоит задача управлять имеющимися механизмами ИБ. Ведь не секрет, что внедрение любого средства защиты — косвенное снижение удобства и/или качества пользования информационной системы. Чего только стоят лишние процедуры аутентификации — по статистике, эта несложная процедура занимает у пользователей более 10 минут рабочего времени. Этим дело не ограничивается. При наличии большого числа приложений и пользователей, препятствием для работы с ИС становятся и процедуры предоставления доступа (если, конечно, пользователям не предоставляется безграничный доступ ко всем ресурсам). Ведь для нормальной работы пользователя ему нужен доступ к определенным прикладным системам. В свою очередь у Таким образом, можно выделить несколько основных признаков, указывающих на необходимость внедрения систем управления безопасностью. Сущность систем Identity&Access management В идеале управление ИБ должно быть построено следующим образом. Необходимо единое хранилище информации о пользователе и синхронизация учетных записей пользователя в различных приложениях. В чистом виде работа системы Identity management выглядит так: заводится информация о пользователе в неком базовом справочнике (допустим, это может быть Active Directory), это событие отлавливает специализированный агент и сообщает о нем ядру системы Identity management, ядро системы дает команду своим агентам, контролирующим все остальные подсистемы, завести учетные записи для этого пользователя. Заведение учетных записей может быть реализовано как в автоматическом режиме, так и через выдачу неких инструкций администратору, который должен сделать это вручную. Пользователь же информационной системы автоматически становится опознаваем всеми прикладными и системными компонентами ИС. В чистом виде системы Identity management встречаются сегодня редко. Причина здесь в том, что описанный функционал пока недостаточен для контроля и управления системой. Перед нами стоят еще две задачи. Необходимо не только завести учетную запись пользователя, но и наделить ее «правильными» правами. Также нужно позволить пользователю помнить только одну учетную запись для аутентификации в информационной системе. Для этого системы Identity management интегрируются с решениями Access Control Management и решениями Single Системы Access Control Management завязываются на Позволить пользователю аутентифицироваться во всех приложениях при помощи одного набора учетных данных — не столь простая задача, как кажется на первый взгляд. Прикладные системы поддерживают ограниченный и часто непересекающийся набор способов аутентификации. Кроме того, формат учетных данных в разных системах может не совпадать (от запрета на использование отдельных символов до проблем с кодировкой). Решение этой задачи требует специализированных агентов, которым приложение готово делегировать функции аутентификации (при условии, что приложение вообще способно делегировать эту функцию) а также промежуточных серверов аутентификации, которые будут производить конвертацию учетных данных из одного формата в другой. Как уже говорилось, в чистом виде системы Identity management уже не встречаются. Чаще сегодня приходится говорить о решениях IAM (Identity&Access control Management). Принципы управления Необходимо еще раз подчеркнуть в чем же Чтобы подобное распределение ответственности стало возможным, необходимо, чтобы все подразделения компании могли общаться между собой. Для этого в системах Identity management предусмотрена возможность организовать документооборот: формализованные электронные заявки, в которых формулируется требования на предоставление доступа. Тесная интеграция с кадровыми приложениями может позволить упростить часть рутинных процедур: увольнение сотрудника будет означать полное приостановление его доступа к информационной системе, уход в отпуск — временная блокировка с восстановлением в правах на день возвращения. Критерии сравнения Сегодня наиболее заметными системами на этом рынке считаются Oracle Xellerate Id Provisioning v.8.5.3, Sun Java Identity Management Suite v7, HP OV Select Identity 3.3.1, Select Access 6.1, Select Federation, Select Audit (to be released), Microsoft Identity Integration Server 2003, CA eTrust Identity and Access Management Suite, IBM Tivoli Identity Management 4.6, IBM Access Management 5.1, система КУБ от компании «Информзащита». Необходимо рассмотреть основные показатели, на которые нужно ориентироваться при выборе той или иной системы. Организация управляющего документооборота. Первым делом необходимо ознакомиться с предлагаемой схемой организации документооборота — насколько она приемлема для организации. Ключевыми моментами являются способ составления заявки (чем больше свободы у пользователя, тем хуже) и то, в какой степени система оперирует Взаимодействие с управляемыми платформами. Здесь нужно смотреть на перечень поддерживаемых систем и платформ. Стоит интересоваться, умеют ли агенты автоматически выполнять инструкции на этих платформах. Кроме того, надо держать в голове, что агенты часто реализованы в самом общем виде, и если потребуется действительно полное управление, агента придется дорабатывать в процессе внедрения. Сразу следует оценить возможности системы по разработке/доработке агентов под используемые в вашей информационной системе специфические платформы. Управление системой. Тут, прежде всего, стоит обратить внимание на систему отчетов, готова ли она выдать необходимую информацию и возможно ли корректировать внешний вид и наполнение отчетов по необходимости. Внедрения и сопровождения системы. Безусловно, системы от всех крупных производителей имеют описанные методики внедрения в информационную систему. Из этого документа можно понять и оценить трудоемкость внесения изменений в ИС, а также ограничения процесса внедрения. Сам процесс очень кропотливый и может занимать несколько месяцев. Стоимость. Необходимо разделять цену компонентов и порядок лицензирования. Системы такого класса достаточно дороги изначально. Сама цена состоит из трех компонент: стоимость ядра системы, стоимость услуг по внедрению и стоимость сопровождения. При этом стоимость ядра обычно вычисляется легко, но это абсолютно не информативно, поскольку стоимость услуг по внедрению системы зачастую ее превосходит. Под сопровождением подобного рода систем стоит понимать не только техническую поддержку, но и постоянные «довнедрения»: ведь информационная система вряд ли «заморозится», а подключение каждого нового прикладного или системного ПО будет равносильно небольшому внедрению. Это, в свою очередь, требует тщательнейшего выбора не только поставщика, но и подрядчика по внедрению. Игра стоит свеч Внедрение систем управления безопасностью требует существенных материальных вложений и чревато сложностями, связанными с выбором и внедрением подобных систем. Поэтому у клиента должна быть серьезная мотивация, чтобы сделать выбор в пользу использование систем класса Identity&Access management. К серьезным выгодам от применения подобных систем можно отнести, Михаил Савельев |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP