+7 (495) 620-08-01

RS-IAM – больше, чем просто российская система управления доступом

Кризис и потребность российских заказчиков в импортозамещении ИТ- и ИБ-решений рождает новые рыночные ниши. Так, в области информационной безопасности заказчики все чаще обращают внимание на отечественные разработки.

И тому есть несколько причин. Во-первых, использование российских продуктов защищает компании от санкционных рисков, как настоящих, так и потенциальных. Во-вторых, рост курса доллара делает чрезмерно дорогими, а то и недоступными решения ведущих зарубежных вендоров, несмотря на то, что некоторые из них готовы идти навстречу российским клиентам, предлагая фиксированную стоимость или другие ценовые уступки. И вопрос не только в стоимости самого решения, но и в стоимости технической поддержки – как самого решения, так и системного ПО – баз данных и серверов приложений.

Одним из сегментов ПО, на который в последние годы обратили самое пристальное внимание российские разработчики и системные интеграторы, можно назвать IdM (Identity Management) – решения, централизованно управляющие учетными записями и правами доступа пользователей в информационных системах. Одной из таких компаний является RedSys, крупный российский разработчик ПО и бизнес-IT-интегратор. Его специалистами уже накоплен обширный опыт по внедрению не только IdM-решений ведущих мировых производителей и разработки коннекторов к ним для взаимодействия с отечественными ИС, но также решений по сквозной централизованной аутентификации, известных как класс Access Management, и гранулярной авторизации – Entitlements Management. В связи с этим RedSys выходит на российский рынок с решением собственной разработки – RS IAM.

Решения подобного класса востребованы у представителей среднего и крупного бизнеса. Ранее они выбирали решения таких вендоров, как Oracle, IBM или Microsoft. Последние месяцы показали заинтересованность российского рынка в отечественных продуктах.

Для заказчиков в кризис особенно актуальна автоматизация процессов, защищающих информацию от несанкционированного доступа, поскольку многие из них не могут себе позволить содержать ИТ-специалистов, которые бы вручную многократно производили ввод одной и той же информации – тем более что этот процесс легко подлежит автоматизации. Это слишком дорого, да и неэффективно, поскольку вмешивается пресловутый человеческий фактор, как считают в RedSys. Многие компании сокращают сотрудников, поэтому многократно увеличиваются инсайдерские риски. В связи с этим особенно актуальны инструменты оперативного управления доступом, который нужно уметь быстро предоставлять и столь же быстро отбирать, то есть увольнять человека и лишать его доступа к информационным ресурсам компании нажатием буквально одной кнопки. Не менее важная задача – автоматическое изменение прав доступа при переводе сотрудника с одной должности на другую и защита от несанкционированного добавления в систему новых пользователей в обход действующих процедур и правил. Новое решение от RedSys обладает функциями аудита, позволяя выявить любую несанкционированную раздачу пользовательских прав.

RS IAM имеет модульную структуру, поэтому может внедряться как в небольших и средних компаниях (с базовым набором функций), так и в крупных организациях (с расширенным набором функций). К примеру, для крупных заказчиков требуется поддержка единой процедуры аутентификации и авторизации, когда все приложения работают в едином ландшафте прав доступа, в результате чего администратор всегда может удостовериться, какие пользователи в каких системах в данный момент работают или работали и централизованно управлять не только ролями, но и их составом (ранее решения такого уровня российской разработки на рынке представлены не были, и заказчики преимущественно использовали решения Oracle или IBM для решения подобных задач). При возникновении инцидента администратор может завершить сессию любого пользователя во всех информационных системах. Предусмотрен и отдельный модуль управления учетными записями, куда входят как процессы согласования, так и процедуры управления доступом, который можно обеспечить с необходимым согласованием как автоматизированным путем, так и в «ручном» режиме по заявке администратору.

Системные администраторы, работающие в компаниях, где не внедрены IdM-решения, знают, насколько трудоемок рутинный процесс ввода нового пользователя и наделения его необходимыми правами. В случае с RS IAM вся эта операция занимает считаные минуты. После того как в кадровой системе проведен приказ о приеме сотрудника на работу, ему автоматически создаются права в информационных системах. Как базовые (электронная почта, домен Active Directory и т. д.), так и назначаемые в соответствии с его ролевой моделью в компании и занимаемой должностью. Если сотруднику потребуются дополнительные права доступа, он может через интерфейс IdM-системы подать заявку, которая после прохождения согласования будет автоматически исполнена. В качестве сторон согласования могут выступать, например, непосредственный руководитель данного сотрудника, владелец нужного ему ресурса и служба безопасности компании. Алгоритмы согласования можно настроить на этапе внедрения, а в дальнейшем вносить в них любые корректировки.

Модуль GRC (Governance, risk management and compliance) позволяет строить бизнес-процессы в компании на основании рисковых моделей, то есть фактически классифицирует права доступа по уровню рисков, которые они несут. Сами риски рассчитываются в баллах и суммируются. Если сотрудник подает заявку, которая обладает заданным высоким уровнем риска, то в процесс ее утверждения в обязательном порядке включается служба безопасности. Также этот модуль позволяет автоматически формировать и поддерживать актуальной ролевую модель, когда наборы прав доступа определяются подразделением и должностью сотрудника.

Ядро системы предоставляет механизмы согласования и управления учетными записями. Дополнительно устанавливается модуль автоматического управления учетными записями. За единый шлюз аутентификации в различных информационных системах также отвечает отдельный модуль. Для компаний с разветвленной филиальной структурой предусмотрен модуль, позволяющий построить единую среду аутентификации для нескольких территориально распределенных подразделений.

Внедрение любой IdM-системы – это интеграционный проект, который затрагивает интересы многих подразделений, в том числе и отвечающих за безопасность. Любое внедрение IdM нужно начинать с обследования. Идеальный вариант – предпроектный консалтинг, который позволит определить приоритетность подключения тех или иных систем к IdM и затем составить общую карту внедрения. Специалисты RedSys готовы оказать необходимую помощь заказчикам, в том числе и по данному направлению.

В архитектурном плане решение RS IAM построено на свободном ПО, а также на проприетарном программном коде RedSys. В первом случае это сервер приложений Apache Tomcat и СУБД PostgreSQL, рекомендованный Минкомсвязи РФ. Все остальное, включая веб-интерфейс, разработано программистами RedSys в среде Java c использованием открытых фреймвоков. Выход продукта намечен на апрель 2016 года. Сейчас идет комплексное тестирование релиза. Ряд клиентов уже изъявили желание приобрести новинку. Первые проекты по внедрению запланированы на начало лета текущего года.

Дмитрий ШУМИЛИН,

директор центра информационной безопасности RedSys

Даниил КАЗАКОВ,

директор департамента технологий управления доступом RedSys