Так сложилось, что не получилось! Правильный подход к внедрению IdM

Почему нельзя просто взять и внедрить IdM-решение

Как правило, компании подходят к внед­рению IdM так же, как и к реализации любо­го другого проекта. Обычно данный подход состоит из нескольких этапов.

Этап 1. Формирование общих требований

Сначала компании формируют перечень требований к IdM-­решению. В большинстве случаев это происходит следующим обра­зом. Компании отправляют запрос под­рядчику с просьбой оценить стоимость IdM­-решения. Подрядчик в ответ присы­лает опросный лист, состоящий из типо­вых вопросов. Как правило, они касаются четырех факторов:

• количество пользователей (внутренних и внешних);
• подключаемые информационные систе­мы;
• автоматизируемые процессы;
разрабатываемые документы.

Далее компании формируют перечень требований. Такими требованиями могут быть:

• автоматизация процессов: прием на работу, перевод, увольнение;
• наличие штатного коннектора к системам MS AD, Exchange, 1C;
• запрос прав доступа по заявке;
• ведение справочника внешних пользо­вателей.

Эти требования являются верхнеуровневыми и не отражают всех особенностей того, как это должно быть сделано в проек­те. Так, в крупной металлургической ком­пании одним из требований было ведение справочника внешних пользователей — ра­ботников подрядных организаций. Данный функционал был реализован в следующем объеме: куратор в IdM­-системе регистри­рует внешнего пользователя, после чего IdM­-система предоставляет ему необходи­мый доступ в информационные системы. Однако в ходе промышленной эксплуатации системы выяснилось, что данного функци­онала недостаточно. Из компании уволился сотрудник, за которым было закреплено больше 50 внешних пользователей, и всех их потребовалось перевести на другого работ­ника. Для этого компании пришлось созда­вать 50 отдельных заявок, так как в системе не было возможности массового переноса подрядчиков в рамках одной заявки. В ре­зультате решение пришлось дорабатывать, что привело к дополнительным расходам на реализацию проекта. Однако этого мож­но было избежать, добавив на начальном этапе требование реализовать массовый перенос внешних пользователей в рамках одной заявки.

Этап 2. Выбор платформы

На данном этапе компании ищут реше­ние, которое бы соответствовало общим требованиям. При выборе они используют сведения из открытых источников, а так­ же запрашивают данные у вендоров и интеграторов. На основе этой информации компании формируют сравнительную та­блицу, в которой отмечают наличие того или иного функционала, стоимость реше­ния, количество внедрений, наличие реше­ния в рейтингах аналитических агентств Gartner и Forrester. В большинстве случаев ключевыми критериями для выбора явля­ются функционал и стоимость. Если про­вести сравнение представленных на рос­сийском рынке решений на основе общих требований, то можно прийти к выводу, что все они одинаковые. Соответственно, это приводит к тому, что зачастую выбор осуществляется на основе одного крите­рия — стоимости решения. На самом деле отличия в системах есть, только для их выявления требуется проводить более де­тальное сравнение.

Этап 3. Пилотный проект

Еще одним фактором, влияющим на окончательный выбор решения, явля­ется демонстрация его работы. Для этого вендор или интегратор выполняет пилот­ный проект. Как правило, для пилота соз­даются «лабораторные условия»: выделя­ются тестовая среда и тестовые данные в кадровой и информационных системах, а также выбирается наиболее простой для реализации и последующей демон­страции функционал (например, интеграция с системами AD и Exchange, управление учетными записями при приеме на работу и увольнении сотрудников). Однако зачастую «лабораторные условия» в корне отличают­ся от реальных данных и процессов. В ходе пилотного тестирования крайне сложно обнаружить ситуации, которые могут воз­никнуть при промышленной эксплуата­ции системы. Как это произошло в случае с внешними пользователями. В ходе пи­лотного проекта был продемонстрирован функционал по регистрации внешних поль­зователей, что соответствовало требованию к решению. А потребность в массовой заявке по переназначению внешних пользователей не была выявлена, так как в лабораторных условиях подобная ситуация едва ли может возникнуть.

Как мы пытались решить эти проблемы «по-простому»

Казалось бы, чтобы избежать перечис­ленных проблем, необходимо составлять более детальные требования и проводить пилотное тестирование наиболее слож­ного функционала с использованием ре­альных данных. Но, по нашему опыту, на практике такой сценарий не работает. Для составления детальных требований мы отправляли компаниям расширенные опросные листы, сгруппированные по те­матикам: бизнес-­процессы, интеграция с информационной системой, нефункцио­нальные требования и т.д. Каждый из них содержал в среднем 70–80 вопросов. Од­нако мы ни разу не получили полностью и корректно заполненные опросные листы. Это связано с тем, что, во­-первых, ответы на такое большое количество вопросов (для компании с 5 системами — около 800 вопросов) требуют много времени, а во-­вторых, делать это должен опытный специалист, по­нимающий специфику работы IdM-системы и особенности ее внедрения.

Что касается пилотного проекта, то для его проведения в условиях, наиболее приближенных к реальным, необходимо выполнить большой объем подготовитель­ных работ. В основном это обследование автоматизируемых процессов и подключае­мых систем, доработка IdM-­системы, созда­ние копий продуктивных данных. В этом случае пилотный проект перерастает в пол­ноценный проект по внедрению, что при­ водит к увеличению стоимости и срока его проведения. Поэтому в большинстве слу­чаев ни компания, ни подрядчик не готовы брать на себя такие расходы.

Правильный подход к подготовке IdM-проекта

Чтобы не столкнуться с вышеописанны­ми проблемами, мы предлагаем исполь­зовать следующий подход при подготовке к проекту по внедрению IdM (см. рис. 3).

Шаг первый. Определение проблем

Сначала необходимо выяснить, какие проблемы должно решить внедрение IdM, и определить, подходит ли для этого по­добный класс систем. Мы сталкивались с ситуациями, когда средствами IdM ком­пании пытались решить задачи, для ко­торых она не предназначена. Так, напри­мер, в одной компании ключевой задачей перед проектом по внедрению IdM было мгновенное оповещение специалистов ИБ о несанкционированном изменении прав доступа в информационных систе­мах. Действительно, эту задачу можно решить и с помощью IdM, разработав мо­дуль, реализующий такой функционал. Однако IdM не предназначена для выпол­нения подобного рода задач. Для этого целесообразно применять другой класс решений — SIEM. Поэтому на данном этапе важно определить, правильный ли инструмент компания планирует ис­пользовать для решения существующих проблем.

Шаг второй. Аудит процессов и ИС

Как правило, IdM-­проекты являются сложными и масштабными и затрагивают множество областей в компании. Поэто­му на следующем этапе после определе­ния проблем необходимо провести аудит, то есть обследовать те области, на которые влияет и от которых зависит внедрение IdM. Мы предлагаем аудит следующих об­ластей (см. рис. 4).

В ходе обследования процессов управления доступом важно определить два основных момента. Во­-первых, необходимо выяснить, как в действительности в ком­пании осуществляются процессы управ­ления доступом. Ведь зачастую процессы, описанные в регламентах или других до­кументах компании, в жизни исполняются лишь частично либо по совершенно другому сценарию. Во­-вторых, нужно оценить воз­можность автоматизации этих процессов. В случае, если текущие процессы автома­тизировать невозможно, нужно определить необходимость и возможность их измене­ния. Бывают ситуации, когда текущие про­цессы изменить нельзя и это становится стоп-­фактором для внедрения IdM. Напри­мер, в одной компании в начале каждого месяца существует 10­-дневный тайм­аут по внесению информации о кадровых ме­роприятиях в кадровую систему, то есть в этот период IdM не сможет получать дан­ные о кадровых мероприятиях и выпол­нять операции по управлению правами доступа. Изменение текущего процесса не представлялось возможным, поскольку это требовало изменений процедуры рас­чета заработной платы и работы кадровой системы. В результате кадровые процессы были автоматизированы частично.

На следующем шаге нужно провести аудит систем компании. Требуется сфор­мировать их перечень, определить кри­тичность, а также необходимость и целе­сообразность подключения к IdM. Кроме того, необходимо выявить внутреннюю логику управления доступом и выбрать способы подключения информационных систем к IdM. В случае, если у системы нет механизма для взаимодействия, рассмат­риваются варианты его разработки либо подключения системы как неуправляемой. После этого следует выяснить внутреннюю логику управления доступом в системах, то есть установить, какие объекты внутри них отвечают за предоставление доступа. Это делается, для того чтобы определить варианты переноса такой логики в IdM. Идеология работы IdM­-решений основана на модели RBAC (Role Based Access Control). Это означает, что IdM управляет доступом только на основе ролей без управления ато­марными полномочиями. Однако сущес­твуют системы, в которых, помимо ролей для управления доступом, используются дополнительные параметры. Это могут быть профили, группы, справочники и т.д. Для распространенных систем, например SAP, производители IdM­решений разрабо­тали коннектор, который позволяет управ­лять доступом, используя не только роли, но и дополнительные параметры. Однако это единичные примеры, и для нераспро­страненных или самописных систем есть два варианта подключения к IdM. Первый подразумевает, что IdM будет управлять доступом в этих системах только на уров­не ролей, а второй — что вся внутренняя логика управления доступом будет пере­несена в IdM. В последнем случае компа­нии должны быть готовы к существенно­му увеличению стоимости подключения данной системы, а также к тому, что любое изменение логики управления доступом внутри системы потребует переработки функционала подключения этой системы.

Еще одна область, которую необходимо обследовать в рамках аудита, — кадровая система. Следует проанализировать те­кущие кадровые данные, чтобы выявить их специфику и определить полноту. Это нужно, для того чтобы оценить, достаточ­но ли текущих данных в кадровой системе для автоматизации процессов в IdM. Пред­положим, в компании 5000 сотрудников и десятой части из них не требуются ра­бочее место и доступ в системы. Создание учетных записей в IdM и информацион­ных системах для них влечет за собой из­быточный расход лицензий. Чтобы этого не произошло, IdM­-решение должно по­лучать информацию о том, что для этих сотрудников не требуется создавать учет­ные записи. Соответственно, нужно, чтобы в кадровой системе существовал признак необходимости рабочего места и его кор­ректно заполняли специалисты кадрового учета.

Шаги третий и четвертый. Оценка возможности внедрения IdM и выполнение рекомендаций

После проведения аудита необходимо оценить, возможно ли в текущий момент внедрить IdM в компании и достичь по­ставленных целей. На данном этапе анали­зируются все данные, полученные в ходе аудита, проверяется, есть ли стоп-­факто­ры, и определяются дальнейшие действия. Здесь может быть множество вариантов:

• старт проекта по внедрению IdM­-решения в полном объеме;
• выполнение рекомендаций, доработка систем и изменение процессов, старт про­екта после выполнения этих действий;
• разделение проекта по этапам, старт пер­вого этапа, доработка систем и изменение процессов, подключаемых на дальнейших этапах;
• и др.

Cуть этапа наглядно продемонстрирова­на в табл. 1 и 2. В результате этих действий мы по­лучаем перечень подключаемых систем, процессов и разделение работ по этапам.

Таблица 1. Оценка возможности подключения систем и автоматизации процессов

Таблица 2. Оценка возможности внедрения IdM

Исходя из нашего опыта, мы можем ска­зать, что проведение оценки помогает сни­зить вероятность возникновения проблем на проекте. Так, в одной энергетической компании на начальном этапе требова­лось за полгода внедрить централизо­ванную IdM-­систему в 40 юридических лицах компании и подключить к ней 16 ин­формационных систем. После проведения аудита стало понятно, что в каждом юри­дическом лице был собственный кадровый источник, большинство информационных систем не имели механизмов взаимодей­ствия и во многих из них управление про­исходило без использования ролей. Ре­зультаты оценки возможности внедрения показали, что IdM-­проект можно запустить лишь после выполнения определенных действий. При этом проект по внедрению требовалось разделить на этапы: 1) сначала подключить системы, в которых есть меха­низмы для взаимодействия и используется ролевое управление доступом; 2) параллель­но доработать другие информационные системы; 3) только после этого подключить оставшиеся системы. При таком сценарии первоначально запланированные 6 месяцев реализации превращаются в 3 года. Нетруд­но представить, к каким проблемам привел бы запуск проекта без проведения аудита.

Шаг пятый. Формирование детальных требований

Удостоверившись в том, что рекомендо­ванные действия выполнены и внедрение возможно, переходим к следующему эта­пу — формированию детальных требований. После проведения аудита подготовить этот документ не составит труда. По результа­там аудита формируется детальный отчет, в котором отражается текущая ситуация по всем обследуемым системам и процес­сам. Информация из данного отчета упро­щает процесс формирования требований, а сам отчет можно использовать в качестве приложения к RFP. К тому же еще один этап подготовки к проекту — выбор решения — будет происходить как бы в фоновом режи­ме, так как при наличии детальных требова­ний сделать это гораздо проще: нужно лишь направить перечень требований вендору или интегратору, который ответит, удов­летворяет ли предлагаемый им продукт указанным требованиям.

Таблица 3. Сравнение конкурсов с использованием традиционного и предлагаемого нами подходов к подготовке к IdM-проекту