В России впервые появится ГОСТ на автоматизированные системы управления доступом (IdM). Сейчас документ проходит процедуру регистрации в Росстандарте. О том, как разрабатывали стандарт, чем он полезен организациям, которые уже автоматизировали процесс управления доступом или выбирают IdM-систему, рассказали эксперты ГК «Солар» на тематическом вебинаре.
Несмотря на внушительную практику применения IdM-систем, подходы к их внедрению, настройкам и сбору доказательств весьма различаются. Потребность в поиске ориентиров зрела давно и вылилась в подготовку стандарта, который поможет определиться прежде всего с терминологическим аппаратом и набором функциональных блоков этих инструментов.
IdM в роли «светофора»
Инициаторами идеи разработки ГОСТа на автоматизированные системы управления доступом выступили специалисты ГК «Солар», при этом финальная версия документа – результат коллективного труда, в котором участвовали представители профессионального сообщества и регулирующих органов.
Потребность во внедрении систем IdM возникает на предприятии или в организации, где сотни, не говоря уже о тысячах, сотрудников работают в десятках информационных ресурсов. Число объектов, требующих управления, начинает превышать возможности системного администратора удержать разрастающееся «хозяйство» под контролем.
По словам директора портфеля продуктов управления доступом ГК «Солар» Дмитрия Бондаря, в таких условиях приходится ставить «светофор» – систему IdM, которая автоматизирует соответствующие процессы. Иначе неминуемы ситуации, когда, например, не блокируются учетные записи уволенных сотрудников, в системах накапливается избыточный доступ.
В отличие от смежных классов систем информационной безопасности IdM-инструмент при внедрении в значительной степени адаптируется под процессы организации для взаимодействия с другими ИС. В отсутствие стандарта невозможно определить ориентиры, провести границы, которые помогли бы проследить соотношения в сегменте IdM-менеджмента. И это нередко приводит к тому, что внедрение системы превращается в долгий трудоемкий проект, а у заказчика закрадываются сомнения в целесообразности затеи.
У поставщиков таких продуктов свои трудности – на этапе внедрения IdM часто дорабатывается, поэтому проблематично сравнивать решения на стадии выбора их функциональности. Разработку ГОСТа эксперт назвал важным стимулирующим шагом для участников рынка.
Точка отсчета
Для разработки базовых положений ГОСТа авторы проекта взяли за основу собственный опыт (вендорский и интеграторский), стандарты, которые связаны с тематикой управления правами доступа, отражают лучшие практики и требования к процессам. Помог также анализ функциональности западных продуктов и проектов, в которых они использовались. Все это позволило заложить методологическую базу, взвешенно подойти к формулировке требований, которые должны предъявляться к любой системе IdM, отметил руководитель направления в группе развития продуктов управления доступом ГК «Солар» Дмитрий Прокопенко. По его словам, за годы использования систем этого класса устоялся опыт, который не был систематизирован, и пришло время формулировки положений стандарта.
В ходе вебинара зашла речь о том, что ГОСТ разрабатывался под продукт ГК «Солар» как вендора собственной IdM-системы. В ответ на предположение эксперты сообщили, что проект стандарта был разослан для ознакомления широкой аудитории специалистов. Профессиональное сообщество откликнулось – недостатка в уточнениях и замечаниях не было.
Представители ГК «Солар» особо отметили обратную связь, полученную от коллег из компаний ЦБИ, «Газинформсервис», «СберТех». Поступившие замечания были обработаны и прошли несколько раундов согласований. Вендоры-конкуренты с пониманием отнеслись к инициативе (сформулировали свои предложения), правда, с разной степенью вовлеченности. Так что стандарт – результат коллективного творчества.
Соответствие требованиям
Насколько уже представленные на рынке IdM-системы (отечественные и иностранные) отвечают требованиям стандарта – еще один актуальный вопрос. По мнению авторов ГОСТа, любая из существующих на рынке систем в целом ему соответствует, при этом сохраняются нюансы, на которые следует обратить внимание. К слову, продукт ГК «Солар» был доработан, чтобы исключить несоответствия.
От мысли «давайте уберем из проекта ГОСТа требование, поскольку наша система ему не соответствует» отказались, признались представители ГК «Солар». Ведь коллеги из других организаций, прежде всего ФСТЭК, сразу же указали бы на недоработки.
Специалисты ФСТЭК посмотрели проект на заключительном этапе его подготовки, отметили, что документ интересный, и сформулировали ряд замечаний.
В стандарт, ожидающий регистрации, включены термины, которые ранее не уточнялись, хотя и относятся к системам IdM. В разделе «Общие требования к системе» предусмотрены ее функциональные уровни, например, управления объектами (учетными записями, группами, ролями) в контролируемых системах, управления действиями, которые должны быть выполнены. Определены содержимое единого каталога пользователей, процедуры его обновления, возможности синхронизации с кадровой системой, требования к парольным политикам.
В других разделах стандарта описываются существующие модели управления правами доступа пользователей (мандатная, ролевая, атрибутная и пр.), меры защиты, реализуемые в IdM и наложенными средствами, типовые бизнес-процессы организации и т. д.
В интересах пользователей
Стандарт представляет интерес для трех групп пользователей: разработчиков, интеграторов и заказчиков. Разработчики IdM-систем смогут проверить, соответствует ли их решение установленным требованиям, как соотносится с другими продуктами этого же класса, какими инструментами защиты не стоит пренебрегать.
Внедрение IdM – результат совместного творчества разработчика и интегратора, реализующего конкретный проект. В стандарте указаны цели внедрения и критерии их достижения, что также можно использовать в методике испытаний.
Заказчики смогут свериться, насколько решение, предложенное вендором и интеграторам, соответствует лучшим практикам и установленным требованиям. А на этапе внедрения им проще будет оценить, достигнуты ли поставленные цели.
Регистрация подготовленного ГОСТа ожидается в ноябре. Текст документа можно найти на сайте ФСТЭК в разделе проектов национальных стандартов.
