Кому с IdM жить хорошо?
17 апреля 2010 IT-managerIT-manager
Апрель, 2010 г.
Системы управления учетными записями (IdM, Identity Management) многими крупными компаниями считаются отправной точкой инфраструктуры безопасности и неотъемлемым звеном проекта по подготовке к выполнению требований закона о защите персональных данных.
Разработчики подобных систем — крупнейшие мировые IT-корпорации — позиционируют свои решения похожим образом. О том, чем же на самом деле отличаются друг от друга IdM-системы, кому они могут быть полезны и кто без них может обойтись, а также о том, какие нестандартные задачи можно решать, управляя учетными записями, рассказали эксперты компании Открытые Технологии Василий Посполита (менеджер по продаже программных решений), Павел Болотин (начальник отдела программных платформ) и Алексей Филатенков( начальник отдела ИБ).
Есть из чего выбирать
Наиболее популярными IdM-системами на данный момент являются решения от IBM, Oracle и Novell. Самая известная и многофункциональная IdM-cистема — от IBM. Наиболее простая в установке — от Novell. Хотя IdM-решения от этого вендора и присутствуют в лидерах по методике оценки Gartner Magic Quandrant, но в целом позиция компании на российском рынке вызывает у специалистов некоторый скепсис. Тем не менее объективно у этой фирмы, как, впрочем, и у IBM, имеется наибольшее число готовых коннекторов к сторонним информационным системам. Кроме того, в системах от IBM и Novell основные действия можно настраивать из визуального интерфейса, чем не могут похвастать конкуренты. В свою очередь, Oracle в процессе развития IdM-направления использовала опыт приобретенных разработчиков, в частности фирмы Xelerate. В результате при внедрении IdM от Oracle можно задействовать различные технологии. Это неплохо (при реализации проекта можно выбрать наиболее подходящую платформу), но усложняет предпроектную работу консультантов.
Когда-то вендоры говорили о преимуществах своих IdM в плане наличия адаптеров и независимости систем от оборудования. Сейчас важнее всего программные платформы. Если заказчик привык работать с базой данных и сервером приложений Oracle, ему удобнее ставить IdM-решение от той же фирмы. Более того, компания Oracle запрещает использовать чужие IdM-адаптеры для управления своими бизнесприложениями. Если предприятие завязано на технологии IBM (WebSphere, DB2, Lotus, System i, z/OS и т. п.) — предпочтительнее не менять вендора при покупке IdM. Но в плане интеграции с платформами не все так однозначно. Системы IdM достаточно открытые. У ведущих вендоров есть коннекторы к 150 информационным системам, и вопрос выбора той или иной платформы всегда обсуждается с точки зрения функциональной и экономической целесообразности.
IdM и Закон
Заявлять, что системы IdM являются панацеей и одно только их внедрение позволит кому-то полностью соответствовать закону о защите персональных данных, нельзя. Но ряд функций IdM непосредственно направлен на выполнение закона о ПДн.
Автоматизация процесса жизненного цикла учетных данных. Хотя в тексте ФЗ № 152 явно не указано на наличие средств управления жизненным циклом, встречаются требования по возможности отзыва или исправлений персональных данных по заявлениям от субъектов, а также требования по уничтожению персональных данных при достижении целей их обработки.
Автоматизация обработки списка допущенных лиц к обработке персональных данных. Список допущенных лиц можно вести как бумажным способом, так и воспользовавшись техническими решениями, позволяющими реализовать ролевой доступ. Правда, потребуется учесть при проектировании необходимость создания юридически значимой ЭЦП с применением сертифицированных СКЗИ. Шифрование каналов передачи информации с ПДн и защищенное хранение информации с ПДн. Закон предписывает применять организационные меры или технические средства при передаче информации, содержащей ПДн, по каналам связи. Во всех имеющихся системах есть возможность применения алгоритмов шифрования как при передаче по каналам связи, так и при хранении данной информации.
Кому это выгодно?
Мировой опыт говорит о том, что IdM интересует компании со штатом от тысячи сотрудников, а наиболее активно решения покупают фирмы, где в IT-системах зарегистрировано более 4 тыс. человек. IdM необходима структурам, готовящимся к поглощению, и организациям с большой текучкой кадров. Кроме того, наличие IdM-решения сокращает срок внедрения бизнес-приложений.
Лицензии на IdM продаются на пользователя, поэтому средняя стоимость внедрения — $50 на человека. При этом IdM в крупной организации справляется с работой пяти или семи администраторов, ответственных за приведение учетных записей в соответствие с политикой компании. В СМБ внедряют, как правило, не IdM целиком, а отдельные модули: синхронизации каталогов, импорта данных из кадровой системы и др.
При оценке проекта надо учитывать, что если IT-инфраструктура стабильна, то поддержка в плане управления и модернизации IdM может и не требоваться. Интерфейс системы достаточно прост. Однако при наличии динамичной инфраструктуры, при внедрении новых систем, переходе на новые платформы и изменении политик безопасности заказчику порой приходится прибегать к помощи специализированной IT-компании.
Предпринимаемые некоторыми фирмами попытки сэкономить на внедрении IdM за счет самостоятельной установки ПО от Sun, распространяемого разработчиком бесплатно в расчете на получение в последующем доходов от техподдержки, как правило, оказываются экономически неоправданными и отражают лишь желание IT-персонала освоить неизвестные технологии.
Сроки окупаемости при рассмотрении проектов по внедрению IdM обычно не обсуждают. Во всяком случае, когда инициатива идет от служб безопасности. Тем не менее технологии оценки экономических выгод существуют. Внедрение позволяет избавиться от «сиротских» аккаунтов, оставшихся от уволенных или перемещенных сотрудников, за которые организации нередко продолжают выплачивать лицензионные отчисления поставщикам ERP и других систем. Сокращается время, теряемое сотрудниками, только что поступившими на работу или переведенными на другие должности и не обеспеченными вовремя необходимыми IT-ресурсами. Значительно (иногда на 40%) снижается загруженность первых линий службы поддержки. Если учитывать только эти факторы, средний срок окупаемости системы составляет порядка полутора лет. Если добавить риски, которые снижаются после внедрения, срок окупаемости IdM еще более сокращается.
В России к оценке рисков наиболее серьезно подходят банки, которые и являются основными покупателями IdM-систем. В цивилизованном мире подобные решения давно уже востребованы не только финансовыми организациями, но и самыми разными компаниями со штатом более тысячи человек. Проект по внедрению системы в компании среднего масштаба длится около шести месяцев. В крупных холдингах — год или полтора.
Не традиционная ориентация традиционных систем
Нетипичным примером внедрения IdM может послужить выполненная Открытыми Технологиями инсталляция системы с целью обеспечения возможностей однократной аутентификации. По некоторым причинам заказчик не мог использовать для этих целей Access Management. Другой случай, когда Открытые Технологии предложили заказчику что-то нестандартное, произошел с оператором большой тройки. Ему предложили схему совместного использования IdM-системы IBM с ПО Oracle Business Suite. Сложность была в том, что Oracle разрешает использовать со своими бизнес-приложениями только свой собственный программный продукт — Identity Manager, мы об этом уже упомянули выше. Если в базы учетных данных приложений Oracle начинают «залезать» продукты IBM или других производителей, заказчик снимается с поддержки приложений. Проблему решили с помощью промежуточного «слоя», который позволял ужиться системам Oracle Business Suite и Tivoli Identity Management без нарушения лицензионного соглашения с Oracle.
По мнению экспертов из Открытых Технологий, именно такой нестандартный опыт позволяет компании добиваться расположения заказчиков на узком сегменте рынка IdM, достойную экспертизу в котором могут позволить себе только крупные системные интеграторы.
Предыдущая новость:
Сложные случаи защиты персональных данных
Следующая новость:
Бороться с кризисом лучше вместе