Как показывают отраслевые исследования, до 80% инцидентов информационной безопасности начинаются с компрометации учетных данных. Это означает, что базовый уровень защиты должен строиться не только вокруг мониторинга событий, но и включать в себя контроль выдачи прав доступа.

Именно поэтому в новом выпуске подкаста CrossCheck эксперты обсудили класс решений IDM (Identity Management) — система централизованного управления учетными записями и доступами.

Когда компании требуется внедрение IDM?

На практике к внедрению IDM приходят организации, достигшие определенного уровня масштабирования. Речь идет не только о численности персонала, но и о сложности ИТ-ландшафта: множестве информационных систем, ручном управлении доступами.

При росте компании усложняется организационная структура, появляются новые департаменты, увеличивается количество автоматизированных систем, растет текучесть кадров. В этих условиях ручное администрирование перестает быть управляемым процессом.

«Когда компания растет и сталкивается с проблемами неконтролируемых учетных записей — тогда ей стоит задуматься о внедрении IDM», — подчеркивает Альфред Газизов.

Когда стоит внедрять IDM?
- Невозможно быстро сформировать отчет по правам доступа.
- В компании существуют «зомби-аккаунты».
- Происходит затягивание согласований при кадровых изменениях.
- Отсутствует ролевая модель доступа управления доступом.

Обоснование внедрения IDM для бизнеса: безопасность и операционная эффективность

Внедрение IDM не может быть обосновано исключительно техническими аргументами. Для принятия управленческого решения необходимо показать влияние проекта на бизнес-метрики.

С точки зрения IT-подразделения IDM сокращает трудозатраты на создание и изменение учетных записей, автоматизирует кадровые мероприятия (прием, перевод, увольнение), снижает количество ручных операций и минимизирует ошибки. Это выражается в сокращении времени онбординга, снижении нагрузки на администраторов и стандартизации процессов.

С точки зрения информационной безопасности ключевым эффектом становится привязка всех учетных записей к ролевой модели и устранение избыточных полномочий.

«IDM на 100% закрывает вопрос отсутствия учетных записей, не привязанных к ролевой модели», — отметил Руслан Ахмедов.

В кейсе внедрения продукта IDM CAE для «Газпромбанк Лизинг» именно риск-ориентированный подход стал решающим аргументом:

«ИБ-риски в приоритете. Они превышают любые затраты на фонд оплаты труда и на все остальное».

Финансовая оценка потенциальных инцидентов зачастую затруднительна, однако, качественные показатели — прозрачность прав, сокращение времени предоставления доступа, устранение избыточных ролей — позволяют аргументированно представить проект на уровне руководства.

Предпроектное обследование как обязательный этап

Предпроектное обследование — критически важная стадия внедрения IDM-системы. Оно позволяет зафиксировать текущее состояние ИТ-инфраструктуры, определить перечень информационных систем, оценить возможности интеграции и выявить несоответствия между формально описанными и фактически применяемыми бизнес-процессами.

В ходе обсуждения прозвучала ключевая мысль:

«Аудит — это главный триггер принятия решения по внедрению IDM. Без предпроектного обследования лучше даже не начинать».

Именно на этапе обследования формируется объективная картина: какие учетные записи существуют, как выдаются права, где отсутствует контроль, какие процессы не формализованы. Без этой базы запуск проекта сопряжен с высокими рисками затягивания сроков и переработки архитектуры.

Этапы внедрения

Внедрение IDM включает несколько последовательных стадий: аудит, проектирование архитектуры, настройка и разработка коннекторов, интеграция с кадровыми и целевыми системами, пусконаладочные работы и ввод в промышленную эксплуатацию.

Особенность подобных проектов заключается в том, что основной объем работ приходится на аналитическую и организационную часть. Формирование ролевой модели, согласование бизнес-процессов, определение границ проекта требуют значительного времени и вовлеченности.

Технический запуск, как правило, занимает меньшую долю от общего срока реализации. При этом попытка ускорить подготовительный этап обычно приводит к увеличению рисков на стадии эксплуатации.

Организационные факторы успеха

IDM-проект затрагивает интересы нескольких подразделений — IT, ИБ, HR. Отсутствие согласованности между ними может существенно замедлить реализацию.

Ключевыми факторами успеха являются поддержка руководства, четкое распределение ответственности и готовность подразделений участвовать в формализации процессов. В рассматриваемом кейсе инициатором выступил ИБ-блок, однако проект реализовывался при активном участии IT-подразделения.

Перспективы развития IDM

Современные направления развития IDM связаны с применением технологий машинного обучения и аналитики поведения. Среди перспектив — выявление неиспользуемых прав, анализ аномалий в ролевой модели, прогнозирование потребности в доступах и автоматическое обнаружение конфликтующих ролей.

Такие инструменты позволяют перейти от статической модели управления доступами к более адаптивной и контекстной архитектуре, ориентированной на минимизацию избыточных полномочий.

Заключение

IDM — это не просто дополнительная система в ИТ-ландшафте, а инфраструктурный уровень управления доступами. При достижении определенного масштаба бизнеса централизованная модель становится необходимым элементом зрелой архитектуры.

Качественное предпроектное обследование, формализация бизнес-процессов, поддержка руководства и межфункциональное взаимодействие определяют успешность проекта. При соблюдении этих условий внедрение IDM позволяет повысить прозрачность управления доступами, снизить риски и повысить операционную эффективность без увеличения ручной нагрузки.

Слушайте и смотрите полный выпуск подкаста «CrossCheck 2.0: IDM как элемент корпоративной ИБ «Газпромбанк Лизинг»: