IdM-системы управления доступом

IdM: расшифровка и основные понятия

Аббревиатура IdM расшифровывается как Identity Management — «управление идентификацией».

IdM — это технологический комплекс, который посредством процессов и политик доступа, контролирует жизненный цикл и безопасность учетных данных пользователей. В основе системы IdM — специализированное программное обеспечение. Оно автоматизирует управление учетными записями, централизует и упорядочивает выдачу и упразднение прав доступа, обеспечивает аудит действий пользователей.

Кроме того, IdM объединяет информационные системы, такие как HR, базы данных, сервисы и корпоративные приложения, предлагает пользователям единый способ входа, распределяет доступ согласно полномочиям.

Основополагающая идея IdM в том, чтобы каждый сотрудник, клиент или партнер располагал исключительно набором прав необходимым и достаточным для выполнения его функций. Такой подход называется принципом минимальных привилегий (Least Privilege).

IdM-системы повышенной информационной безопасности дополнительно придерживаются концепции нулевого доверия (Zero Trust), которая сводится к отсутствию разрешений по умолчанию к любой инициированной сотрудниками сессии доступа, к динамическому отслеживанию их действий в информационной системе и ряду усиленных мер защиты.

Помимо термина IdM можно встретить синонимичные обозначения — IaM и IGA. Это смежные, но разные по масштабу и задачам решения. Фокус IdM на управлении жизненным циклом учетных записей.

Системы IaM (Identity and Access Management) располагают дополнительными механизмами, которые задают условия доступа к информационным ресурсам. Системы IGA (Identity Governance and Administration) объединяют управление идентичностями с инструментами для аудита, для анализа соответствия требованиям (compliance) и развертывания политик безопасности.

Акцент в таких системах на том, кто и почему имеет определенные права доступа и насколько они валидны. Таким образом, IdM решает технические задачи администрирования учетных записей, IaM обеспечивает безопасность доступа в целом, а IGA добавляет уровень корпоративного управления и соблюдения регуляторных требований. Стоит учитывать, что в российской действительности термином IdM часто означают смешанные решения в области, содержащие возможности систем IaM и IGA.

Также следует понимать, что эти решения — часть многослойной системы информационной безопасности. IdM, IaM и IGA интегрируют с другими компонентами:

• DLP (Data Loss Prevention) — предотвращение утечек данных.
• SIEM (Security Information and Event Management) — централизованный сбор и анализ событий безопасности.

Благодаря этому достигается более высокий уровень информационной безопасности и контроля.

Роль IdM-систем в обеспечении безопасности и контроле доступа

IdM системы — многонаправленное решение. Во-первых, это базовый набор возможностей по управлению жизненным циклом учетных записей для современного IT-отдела:

• предоставляют централизованное управление учетными данными;
• устраняют риски ошибок при назначении прав, в особенности, со стороны человека;
• автоматизируют рутинные процессы и, тем самым, сокращают время на создание и удаление учетных записей (предоставляют доступ с учетом занимаемого сотрудником поста или предоставленной ему ранее роли, упрощают и ускоряют изменение прав сотрудников при их переводах в другие подразделения или на другие должности);
• минимизируют участие администраторов в ИТ процессах, так называемый IdM-processing (IdM-процессинг);
• упрощает авторизацию и аутентификацию для сотрудников, через единый вход (SSO), самообслуживание при смене пароля;
• делают доступ к информационным системам прозрачным.

Другими словами, IdM система освобождает ИТ-отдел от утомительной рутины и ускоряет работу бизнеса.

Во-вторых, в области информационной безопасности IdM-системы выполняют следующие ключевые задачи:

• гарантируют соблюдение принципа минимальных привилегий, благодаря чему у пользователей не возникает избыточных прав;
• в целом предотвращают несанкционированный доступ к конфиденциальным данным и информационным ресурсам (например, учетные записи уволенных сотрудников IdM блокирует автоматически во всех информационных системах компании, что сразу устраняет целый пласт уязвимостей, которыми могли злоупотребить);
• позволяют проверять, отслеживать и, при необходимости, блокировать несанкционированные действия пользователей;
• собирают и хранят информацию о том, кто, когда и к каким данным имел доступ — на основе такой отчетности проводят аудиты;
• обеспечивают соответствие нормативным требованиям, законодательству и отраслевым стандартам, например, Федеральному закону от 27.07.2006 N 152‑ФЗ «О персональных данных», ГОСТам Р 58833‑2020, Р 70262.1‑2022 и Р 71753‑2024.

Таким образом, IdM-системы — фундамент корпоративной безопасности. Они предупреждают инциденты, чем обеспечивают устойчивость компаний к внутренним угрозам.

Элементы управления учетными данными

IdM отличаются по архитектуре и набору функций. Тем не менее, они содержат и базовые, общие для всех таких систем элементы информационной безопасности:

• репозиторий идентичностей — централизованное хранилище, где собрана информация о пользователях;
• модуль авторизации — проверяет права доступа;
• модуль аутентификации — подтверждает подлинность пользователя;
• пользовательский интерфейс для самостоятельной смены паролей и запроса новых прав;
• инструменты аудита, которые отслеживают действия пользователей и генерируют отчетность.

Взаимодействие функций и компонентов этого набора сопровождает все стадии жизненного цикла учетной записи. Ее создание при приеме сотрудника, изменение в ходе карьеры, блокировки во время отпусков, временного отстранения и удаления после увольнения.

Кроме того, IdM-системы протоколируют все действия со стороны учетной записи. Содержимое такого журнала позволяет отслеживать подозрительные операции, предотвращать несанкционированный доступ и обеспечивает прозрачность для службы информационной безопасности и аудиторов.

Актуальность внедрения IdM-систем

Главный аргумент в пользу внедрения IdM системы — совпадение двух факторов: в корпоративных информационных системах учетных записей много, и они часто создаются и удаляются. Вот самые распространённые сценарии:

• более 1000 сотрудников и несколько информационных систем;
• компанию преобразуют, меняется ее структура: слияния, поглощения, расширение штата и т. п;
• непостоянство кадрового состава;
• наличие доступов сотрудников к критически важным данным, для которых строго необходимо избегать компрометации.

IdM-системы в перечисленных случаях предоставляют ряд несомненных преимуществ для бизнеса и государственных структур:

• централизованное управление доступом и учетными записями повышает безопасность информации;
• автоматизация создания, изменения и удаления учетных записей упрощает администрирование, снижает операционные расходы и устраняет связанные с ручным управлением ошибки;
• соблюдаются нормативные требования через аудит и отчетность по всем операциям с доступом.

Кроме того, функционал современных IdM-систем позволяет создавать гибкие и масштабируемые решения, которые могут адаптироваться к изменяющимся бизнес-процессам и требованиям информационной безопасности, начиная от базовой аутентификации и авторизации, и заканчивая сложными сценариями управления цифровыми идентификаторами.

Такие системы могут поддерживать многофакторную аутентификацию, единый вход (Single Sign-On), управление привилегированными доступами (PAM), а также интеграцию с различными внешними сервисами и приложениями.

С точки зрения информационной безопасности IdM-системы минимизируют риски несанкционированного доступа и повышают эффективность управления учетными записями и правами пользователей. Поэтому внедрение IdM системы — стратегический выбор на пути построения информационной безопасности корпоративных активов и поддержки стабильного развития любой компании.

Тренды импортозамещения и примеры российских IdM решений

В середине 2000-х в России наблюдался всплеск интереса к IdM/IaM системам. Однако ранние продукты были слишком сложны и дороги. Спрос быстро упал, а производство некоторых решений и вовсе прекратилось.

В нынешних условиях интерес существенно возрос вновь. Но на этот раз индустрия сумела создать простые и локализованные платформы с современными и выверенными интерфейсами, которые внедряются в 2–3 раза быстрее и стали значительно удобнее.

Сейчас на рынке доступно немало зрелых отечественных решений, импортонезависимых, сертифицированных ФСТЭК и не уступающих западным решениям по возможностям и функционалу. Остановимся более подробно на одних из самых популярных из них, учитывающих основные сценарии использования: Solar InRights Origin, Avanpost IdM и Indeed AM.

Solar inRights/Solar inRights Origin

«Коробочное» решение, которое автоматизирует жизненный цикл учётных записей, управляет правами доступа и позволяет согласовывать заявки на доступ. Система поддерживает ручное и автоматическое управление.

В Solar inRights предустановленны коннекторы к 1С, Active Directory, Exchange и к другому популярному программному обеспечению. Помимо сертификации ФСТЭК решение внесено в реестр отечественного ПО.

Solar inRights иногда упоминают как IGA платформу, поскольку она располагает функциями контроля, политики и аудита, хотя разработчик позиционирует ее как IdM систему. Продукт отличают сжатые сроки внедрения — от 3 до 6 месяцев, наличие нейропомощника и базы знаний для пользовательской поддержки. Сильная сторона этой IdM — доступная цена.

Avanpost IDM

Система сочетает в себе классические функции жизненного цикла учетных записей (provisioning/deprovisioning) и модуль управления рисками (Identity&Access Governance) для контроля прав, аудита и соответствия. Это гибрид между IdM и IGA.

Основные функции:

• User Administration&Provisioning — автоматизация создания, блокировки, изменения аккаунтов;
• Identity&Access Governance (IAG) — аттестация прав, разделение полномочий (SoD).

Реализованы: оценка рисков, бизнес-роль и ролевая модель, ретроспективный анализ, управление доступами при изменении атрибутов или при кадровых событиях. Решение кроссплатформенное: доступно на Windows и Linux, работает с Docker. Доступны множество коннекторов. Решение масштабируется под крупные компании.

Indeed AM

Система управления доступом (Access Managers) и безопасностью аккаунтов от Indeed Identity, которую можно отнести к IaM (Identity&Access Manager) направлению. Решение ориентированно на строгую аутентификацию и централизованное управление доступом к информационным ресурсам. Состав:

• Windows Logon с агентом для ОС;
• модуль IIS;
• ADFS Extension;
• модуль для SAML/OIDC/Oauth;
• Enterprise SSO;
• многофакторная аутентификация (одноразовые пароли, push-уведомления, смс/email и др.).

Продукт ориентирован на защиту доступа и унификацию входа (Single Sign-On), сокращает число паролей и снижает рутинную нагрузку на пользователей.

Краткое взаимное сравнение рассмотренных IdM-систем

Выбор и внедрение IdM-системы

IdM-система эффективно обеспечивает информационную безопасность, если ее возможности отвечают потребностям компании. Это значит крайне важно изучить структуру, состав и характеристики доступных решений и остановиться на наиболее релевантном, прежде чем переходить к внедрению.

Разберем подробнее список аспектов, на которые прежде всего стоит обратить внимание перед выбором IdM-системы:

• насколько IdM будет удобна для конкретного сценария использования;
• достаточен ли набор функций IdM для решения поставленных задач (многофакторная аутентификация, политики безопасности и др.);
• какой уровень знаний требуется от специалистов для администрирования IdM;
• со всеми ли приложениями и информационными системами из имеющихся в IdM предусмотрена интеграция;
• подходит ли потенциал масштабирования динамике развития компании;
• соответствует ли продукт стандартам информационной безопасности и требованиям регуляторов.

Выбирают, опираясь на анализ состояния информационной безопасности предприятия, после того, как определены требования и составлен приблизительный план реализации проекта.

В ходе внедрения IdM-системы, крайне важно плотное взаимодействие отделов IT и информационной безопасности. В значительной мере итоговое качество определяет и квалификация исполнителей, в частности, аналитики и разработчики. Вот основные этапы процедуры:

1. Пилотный проект для выявления подводных камней, сбора определяющих дальнейшее развитие данных и оценки состоятельности решений.
2. Развертывание — IdM устанавливают, настраивают и связывают с другими информационными сервисами и системами безопасности.
3. Тестирование — проверяют работоспособность системы, ее производительность и безопасность.
4. Обучение IT-специалистов, сотрудников информационной безопасности администрированию системы, а обычных пользователей взаимодействию с ней.
5. Запуск эксплуатации с мониторингом и получением обратной связи от эксплуатантов с последующей оптимизацией IdM.
6. Техническая поддержка пользователей.

Преимущества обращения в УЦ ПРОФИ

IdM системы — важный компонент в информационной безопасности, так как централизуют управление доступом и предотвращают несанкционированное использования учетных данных. Однако их эффективность напрямую зависит от качества внедрения, настройки и интеграции с другими информационными системами компании.

Мы имеем значительный опыт в организации информационной безопасности компаний, в том числе, в проектах внедрения IdM-систем и сможем помочь в решении самых сложных задач. Уровень квалификации подтвержден множеством успешных проектов и наличием лицензий ФСТЭК и ФСБ Росиии.

Профессиональное внедрение IdM-систем повышает контроль над внутренними процессами вашего бизнеса, сокращает вероятность ошибок и утечек, и помогает соответствовать требованиям регуляторов. Ощутим и экономический эффект: IdM снижает стоимость администрирования и повышает скорость бизнес-процессов.