Как быстро и без потерь перейти на отечественную IdM-систему: план действий

30 Мая 2022 10:0030 Мая 2022 10:00 |
Поделиться

Под влиянием санкций, которые западные страны вводят против России, многие зарубежные разработчики программного и аппаратного обеспечения покидают наш рынок. Из-за этого российские компании столкнулись с необходимостью немедленно или в самой ближайшей перспективе заменить используемые иностранные ИТ-решения на отечественные. Особенно остро этот вопрос стоит в отношении сложных корпоративных систем, внедрение которых занимает много времени. Одна из таких — система управления доступом (IdM). Обычно проекты по ее внедрению растягиваются на долгие месяцы, а то и годы. Но что, если этого времени уже нет и остаться без автоматизированного управления доступом критично для компании? О том, как импортозаместить IdM-систему за три месяца, рассказывает менеджер по продвижению inRights компании «РТК-Солар» Людмила Севастьянова.

Зачем импортозамещение, если пока все работает?

IdM обеспечивает исполнение процессов и регламентов управления правами доступа к информационным системам компании. Решение позволяет в автоматизированном режиме предоставлять и изменять права доступа сотрудников к рабочим системам, оформлять и исполнять заявки на выдачу прав и обеспечивать всесторонний контроль доступа по всему периметру компании.

У любого заказчика, который уже прошел через внедрение IdM в организации, перспективы повторить этот квест вызовут как минимум опасения. Управление доступом в большой компании, особенно если речь идет о крупной организации с сетью филиалов, — процесс очень сложный, многоуровневый, требующий четких регламентов. Его нельзя полностью автоматизировать, просто запустив решение «из коробки». Требуется длительная подготовка, адаптация решения под нужды конкретной организации. Нюансы могут быть связаны с особенностями организационно-штатной структуры, ИТ-инфраструктуры, использующихся в компании информационных систем, требований регуляторов и т. д.

Очевидно, что сам по себе уход разработчика системы с российского рынка не означает, что системой нельзя пользоваться и дальше, пока не истечет лицензия. Но при этом может возникнуть ряд проблем.

  • Из-за отсутствия обновлений, которые регулярно выпускают разработчики программного обеспечения, могут возникнуть проблемы с безопасностью системы. Например, если будут выявлены какие-либо уязвимости, их не получится устранить. То же самое касается улучшения системы, добавления новых функций и т. п.
  • Уход разработчика с рынка означает прекращение технической поддержки IdM-системы. IdM работает в связке со всеми информационными системами компании и требует глубокой кастомизации. Это значит, что при любых серьезных изменениях в ИТ-инфраструктуре необходимо участие инженеров техподдержки разработчика. Например, если в компании внедряются новые системы, доступ к которым нужно контролировать, или открываются новые филиалы и требуется масштабирование IdM-решения.

Одна из главных сложностей импортозамещения в нынешних условиях заключается в том, что организации оказались в условиях, когда заместить нужно сразу несколько продуктов. Должна ли IdM-система быть в числе первых, каждая компания для себя решает по-разному. Но стоит отметить, что система управления доступом автоматизирует рутинные операции, а к хорошему быстро привыкаешь. Если системным администраторам придется вручную выполнять те операции, которые раньше за них делало IdM-решение, вряд ли они станут лучше работать, скорее наоборот. Мало того что им придется тратить на это много рабочего времени, так отсутствие автоматизации может привести еще и к росту рисков информационной безопасности. Сегодня, когда активность киберпреступников, направленная на российские организации, многократно возросла, бардак в управлении доступом может стать дополнительным фактором, способствующим успешной атаке на компанию.

Как организовать процесс замены?

В сложившейся ситуации главный вопрос, который волнует тех, кто решил заменить ПО западного разработчика на отечественную IdM-систему: как это сделать быстро и без потерь? Конечно, нужно учитывать, что использующийся в настоящее время продукт внедрялся годами, пророс корнями в инфраструктуру и в ИТ-ландшафт. Здесь можно предложить конкретный план действий.

  • Первое — это экспресс-аудит текущей инфраструктуры и имеющихся процессов и механизмов предоставления доступа. Тут важно понимать, что внедрение IdM-решения — это всегда наведение порядка во всех процессах управления доступом. Подготовительный этап связан с консалтингом и приведением учетных записей, полномочий, ролевой модели и всего остального к необходимому для обработки системой виду. Если IdM-решение уже было внедрено в компании, значит, эти работы уже были проведены, разработана методология и документация. Все это можно использовать. Экспресс-аудит позволит в том числе определить, какие наработки помогут заменить западное решение на отечественное.
  • Также при подготовке к импортозамещению IdM нужно рассмотреть вопрос о переходе на отечественное системное программное обеспечение. Это может быть СУБД PostgreSQL, ОС Astra Linux и «Альт сервер» и другие решения, сертифицированные российским регулятором. С одной стороны, западные решения пока еще продолжают работать, но очевидно, что импортозамещаться придется и по этим направлениям, особенно если организация является субъектом критической информационной инфраструктуры.
  • Затем, сделав выбор в пользу конкретного отечественного IdM-решения, нужно развернуть его в базовом сценарии. Это предполагает автоматическое создание учетных записей, реагирование на кадровые события, реагирование на инциденты, автоматическое назначение и отзыв прав доступа. То есть это те процессы, которые можно автоматизировать прямо из коробки.
  • Потом нужно определить набор наиболее важных критических информационных систем, интеграция с которыми необходима, и выполнить эту интеграцию. Здесь также можно задействовать наработки от прежнего IdM-решения, в частности разработанные для интеграции со сторонними информационными системами коннекторы. Если большинство из них работает во фреймворке ICF (Identity Connector Framework) — это будет хорошим подспорьем для адаптации под новую систему управления доступом.

В результате на внедрение нового решения для автоматизации наиболее критичных процессов управления доступом может уйти достаточно небольшое время — от трех месяцев. После этого можно уже в более спокойном режиме планировать развитие системы, чтобы полностью закрыть все потребности, которые связаны с построением экосистемы управления доступом в компании.

Какой должна быть правильная IdM-система?

На отечественном рынке представлено несколько российских решений для автоматизации управления доступом. Можно выделить ряд критериев, которым должна отвечать система, позволяющая полноценно заменить продукт западного разработчика и решить все вопросы, связанные с управлением доступом в организации.

Прежде всего, это критерии, особенно актуальные в сложившейся ситуации и позволяющие обеспечить быстрое внедрение системы. Сюда относятся гибкая автоматизация процессов организации со всеми их особенностями без доработки решения. Кроме того, на скорость внедрения влияет наличие шаблонов конфигурации, а также функциональных расширений в виде плагинов, которые в будущем позволят достраивать систему без потери кастомизации.

IdM-система должна бесшовно интегрироваться в бизнес-процессы. Интеграция с управляемыми системами происходит с помощью специальных программных компонентов — коннекторов. В идеале решение из коробки должно иметь все необходимые коннекторы для большинства используемых в корпоративном секторе систем.

Кроме того, IdM-решение должно позволять изменять настройки системы, не прерывая бизнес-процессы.

Важно, чтобы выбранная система могла управлять не только учетными записями, но и смежными объектами, такими как папки, группы и т. д. Также хорошее IdM-решение способно автоматизировать управление на нескольких уровнях: не только управление жизненным циклом пользователей, но и ролями, организационными структурами и т. п. Все это обеспечит гарантированное исполнение регламентов управления доступом, в том числе процессов контроля, аудита и расследования инцидентов, а также поддержку любых изменений в бизнес-процессах

Стоит обратить внимание и на интерфейс IdM-системы. В нем должно быть удобно работать как офицерам безопасности и ИТ-администраторам, так и бизнес-пользователям. Если поставщик предоставляет интерфейс, который легко настраивается под требования заказчика и брендируется под его корпоративный стиль, не требуя доработки, — это также большой плюс.

IdM-решение обязательно должно быть мультиплатформенным. Этот критерий также очень актуален в нынешних условиях. Прежде всего, это значит, что система должна поддерживать как проприетарные, так и свободно распространяемые ОС и СУБД.

И еще один важный момент при выборе вендора — наличие у него компетенций в сфере управления доступом. После закрытия базовых потребностей при замене западного решения на отечественное все равно возникнет необходимость развития и масштабирования IdM-системы. Гораздо эффективнее и проще делать это, взаимодействуя с профессионалами, которые готовы предоставить экспертную поддержку на всех этапах внедрения, разработать нетиповые сценарии, быстро провести доработку под нужды заказчика, обеспечить интеграцию с нетиповыми системами и т. д.

Сертифицированное отечественное решение, которое будет отвечать всем вышеназванным критериям, совершенно точно станет достойной заменой иностранного продукта. Оно в большей степени учитывает особенности отечественных компаний и их бизнес-процессы. Рассчитывать на то, что западные вендоры вернутся, бессмысленно: если они один раз подвели своих клиентов, могут сделать это снова. Все, что касается критичных бизнес-процессов, а также обеспечения информационной безопасности, требует надежных решений, которые будут работать без перебоев.

Полный текст статьи читайте на CNews