В компаниях, где постоянно происходит набор сотрудников, совершаются внутренние кадровые перемещения, расширяется география присутствия – все больше бизнес-задач решается при помощи специализированных корпоративных приложений, вследствие чего растет число критичных для бизнеса многопользовательских систем. Поэтому не удивительно, что тема организации централизованного доступа к ИТ-ресурсам становится одной из самых обсуждаемых.
Появилось множество законодательных актов, которые напрямую или косвенно связаны с необходимостью внедрения IdM-решений: серия международных стандартов ISO 2700х, Sarbanes-Oxley Act, различные требования и рекомендации по построению информационных систем, такие как CoBIT, ITIL и пр. Также необходимо отметить стандарт Банка РФ и Федеральный закон «О персональных данных».
Синхронизировать работу таких систем, выстроить логику доступа к ИС позволяют решения класса IdM, призванные уменьшить риски и сократить затраты на администрирование.
При подборе IdM-системы для конкретного банка многообразие предлагаемых решений и подходов поначалу может привести в замешательство. Как правильно выбрать подходящее решение? Какие нюансы следует учесть? Какую компанию привлечь в качестве генерального подрядчика? Что поставить на первый план: стоимость проекта или качество предоставляемых услуг?
Скорее всего, выбор решения будет основан на принципе «цена-качество». Компании, претендующие на роль подрядчика, должны будут стать не только ИТ-консультантами, но и консультантами по бизнесу. Кроме того, важнейшими критериями станут совместимость новой системы с системами ИТ-инфрастуктуры банка и получение положительного результата для бизнеса в целом. Именно поэтому компания «Инфосистемы Джет» при построении IdM-систем реализует ролевую модель доступа к информационным ресурсам, которая делает доступ более гибким, чем при мандатном и дискреционном принципах построения.
Если компании используют традиционный принцип (мандатная и дискреционная модель) организации доступа к ИС, то каждому сотруднику предоставляются уникальные права доступа. На практике часто наблюдается ситуация, когда новый сотрудник вынужден долго ждать окончания процесса согласования этих прав. Зачастую из-за нежелания терять собственное время на бюрократические проволочки, руководство компаний принимает решение о предоставлении сотруднику избыточного доступа к информации. В результате теряется время, растут операционные риски и расходы на администрирование.
Ролевая модель построения IdM-системы делает управление правами доступа более легким, контролируемым и безопасным. В нее закладываются несколько типовых профилей пользователей с целью присвоения одному сотруднику нескольких ролей. При этом крайне важен тот факт, что сотрудник обычно исполняет несколько функциональных ролей. В IdM-системе заложен модуль, позволяющий проанализировать и распознать взаимоисключающие роли, чтобы избежать дублирования полномочий сотрудника (принцип разделения полномочий – Segregation of Duties).
Например, в банке установлена некая HR-система, используемая для получения сведений о сотрудниках и рассматриваемая в качестве эталонной. При поступлении в HR-систему информации о новом сотруднике в IdM-системе автоматически создается новая запись, которая после необходимых согласований будет транслирована в управляемые системы. Соответственно все временные блокировки (например, при уходе сотрудника в отпуск) и удаление учетной записи из IdM-системы будут производиться автоматически, как только сотрудники отдела кадров внесут необходимые изменения в HR-систему.
Внедрение IdM-системы в организации требует значительных средств, и чаще всего расходы ложатся на ИТ-бюджет. Но доказать целесообразность подобных вложений достаточно легко. Помимо качественной составляющей проекта, можно показать сроки окупаемости решения путем вычисления параметра ROI, в который входят такие показатели как: производительность Help Desk, уровень эффективности управления проектами, затраты на внешний аудит и т.д.
Функциональные возможности IdM-системы охватывают полный спектр потребностей в управлении доступом. Разработка такого решения – процесс трудоемкий и сложный, он требует от подрядчика знаний в области консалтинга, технического бэкграунда и опыта программных разработок.
На первом этапе внедрения необходимо разработать ролевую модель, которая в будущем даст возможность оперативно управлять доступом, и провести анализ бизнес-процессов банка, с целью выявления дальнейшей потребности сотрудников в доступе к информационным системам.
На втором этапе разрабатываются и формализуются процессы согласования предоставления доступа сотрудников банка к ИС. Во многих компаниях этот процесс довольно сложен, так как включает в себя ветвления и возвраты. Зачастую подобные процессы не оптимизированы, например они не обеспечивают должного уровня ИБ или неоправданно трудоемки. Если сотрудник по требованию бизнеса наделяется дополнительными правами, которые отклоняются от принятой ролевой модели, то вопрос согласования прав доступа прорабатывается отдельно.
На третьем этапе производится автоматизация разработанных бизнес-процессов согласования и ролевой модели средствами внедряемого IdM решения. Самый большой объем работ выполняется при подключении управляемых ИТ-систем, связанных с программированием. Хотя большинство из них имеют стандартные коннекторы, участие программистов обязательно.
Выбрав в качестве основы для внедрения IdM решения ролевую модель, заказчик в первую очередь заботится об обеспечении информационной безопасности внутри банка. Это значит, что- акая модель поможет не только регламентировать разграничение прав доступа, но и разработать механизмы их изменений, например, при изменении бизнес-процессов банка. Переход к ролевой модели позволит значительно повысить эффективность бизнеса.