Кто отвечает за безопасность айдентити: эксперты Айдентити Клуба обсудили модели взаимодействия ИТ и ИБ
В Москве состоялась очередная встреча Айдентити Клуба — профессионального сообщества, объединяющего экспертов в области Identity Security. Мероприятие прошло при поддержке компании «Индид», российского разработчика решений для защиты айдентити. Центральной темой дискуссии стал вопрос о том, как распределяется ответственность между ИТ и ИБ в управлении доступами и защите учетных записей.
Тематика встречи вышла за рамки отдельных продуктов и технологий. Участники обсудили, как в компаниях разного масштаба и из разных отраслей устроены процессы управления айдентити: кто формирует политики доступа, кто отвечает за их внедрение, как контролируется жизненный цикл учетных записей и что помогает ИТ и ИБ говорить на одном языке.
В фокусе внимания оказались организационные модели, реальные кейсы крупных компаний, вопросы взаимодействия CIO и CISO, а также подходы к построению единой точки данных для управления айдентити. Эксперты сошлись во мнении, что в современных условиях безопасность айдентити становится одной из ключевых составляющих киберустойчивости бизнеса, а разрыв между ИТ и ИБ особенно остро проявляется именно в процессах управления доступом.
Модератором мероприятия выступил Лев Овчинников, руководитель продукта Indeed ITDR компании «Индид». Открывая встречу, он отметил, что вопросы айдентити постепенно выходят за рамки привычного технологического контура. Если раньше управление учетными записями часто воспринималось как операционная задача ИТ, то сегодня оно становится одной из ключевых частей кибербезопасности.
«Современный мир постепенно уходит от восприятия безопасности как набора файрволов, антивирусов или других классических средств защиты. Все больше формируется более широкий взгляд на кибербезопасность, в котором Identity Security становится одним из ключевых аспектов защиты. Именно в айдентити разрыв между ИТ и ИБ проявляется особенно остро. Вопросы безопасности учетных данных, аутентификации и доступа находятся в зоне внимания ИБ, но сами технологии, продукты, эксплуатация и многие операционные процессы остаются в контуре ИТ.
В результате у нас появляются разные инструменты, разные источники данных и разное восприятие одних и тех же рисков. Полностью устранить проблему разного целеполагания невозможно: ИТ отвечает за эффективность и доступность сервисов, ИБ — за снижение рисков. Но можно попытаться решить две другие проблемы: сократить разрыв в информации и избежать дублирования функций. Для этого нужны единое представление данных, общий инструментарий и процессы, в которых обе команды видят всю картину целиком».
Лев Овчинников, руководитель продукта Indeed ITDR компании «Индид».
Айдентити как зона совместной ответственности ИТ и ИБ
Участники рассмотрели несколько моделей взаимодействия ИТ и ИБ. В одних организациях информационная безопасность встроена в ИТ-контур, что упрощает коммуникацию, но может приводить к конфликту интересов. В других ИБ выделена в самостоятельное направление и подчиняется напрямую высшему руководству: это усиливает независимость, но иногда увеличивает дистанцию между командами. Третья модель предполагает роль ИБ как внутреннего аудитора и партнера ИТ, однако при формальном подходе она может сводиться к проверке документов, а не к проактивному снижению рисков.
Эксперты пришли к выводу, что универсальной схемы для всех компаний не существует. Эффективность зависит от отрасли, регуляторных требований, зрелости процессов, распределенности инфраструктуры и доступных ресурсов.
В рамках дискуссии Александр Дворянский, директор по кибербезопасности ГК «Элемент», рассказал, как в компании с разнородными дочерними организациями выстраивается унифицированная оценка зрелости ИБ. По его словам, для управляющей компании важно не только проверить наличие средств защиты, но и понять, работают ли процессы на практике.
«Наличие средства защиты само по себе еще не говорит о зрелости процесса. Важно оценивать три составляющие: внедрен ли продукт, закреплена ли политика документально и работает ли процесс на практике. Например, недостаточно просто сказать, что в компании есть антивирус или политика удаленного доступа. Необходимо проверить фактическое покрытие средствами защиты, соблюдение процедур и реальное применение технологий.
Только совпадение продукта, документов и работающего процесса позволяет объективно оценить уровень зрелости ИБ. При этом зрелая модель не ограничивается техническими средствами и выполнением регуляторных требований. Не менее важна вовлеченность высшего менеджмента: руководство должно понимать риски, возможные последствия инцидентов и свою роль в обеспечении устойчивости компании».
Александр Дворянский, директор по кибербезопасности ГК «Элемент».
Отдельное внимание Александр Дворянский уделил подрядчикам, которые получают удаленный или привилегированный доступ к инфраструктуре. Внешние исполнители все чаще становятся точкой входа для злоумышленников, поэтому требования к их доступу должны быть закреплены не на уровне рекомендаций, а в качестве обязательного условия работы. Он подчеркнул:
«Подрядчик сегодня часто становится слабым звеном в защите корпоративной инфраструктуры. У компании может быть выстроена эшелонированная безопасность, обучен персонал и внедрены зрелые процессы, но если внешний исполнитель подключается к системам без сопоставимого уровня защиты, риск сохраняется. Поэтому требования к подрядчикам должны быть частью обязательной модели работы. Это касается защиты каналов связи, многофакторной аутентификации, контроля привилегированного доступа и регулярной проверки соблюдения требований».
Александр Дворянский, директор по кибербезопасности ГК «Элемент».
Доступы, подрядчики и ИИ: вызовы айдентити в крупной сети
О том, как вопросы айдентити выглядят со стороны ИТ в крупной распределенной инфраструктуре, рассказал Алексей Еферов, директор по информационным технологиям ПАО «Аптечная сеть 36,6». В таких компаниях решения в области ИТ и ИБ оцениваются не только с точки зрения безопасности: не менее важны их влияние на непрерывность бизнес-процессов, удобство для пользователей, масштабирование и стоимость внедрения.
Эксперт также обратил внимание на проблему подрядчиков. По его словам, крупные розничные сети могут предъявлять требования к внешним исполнителям, но не всегда способны полностью контролировать их рабочие места, личные устройства и внутренние процессы. Поэтому для подрядчиков, имеющих доступ к критичным системам, необходимо применять дополнительные меры: многофакторную аутентификацию, VDI, PAM, изоляцию контуров, а также прорабатывать подходы к Just-in-Time-доступу и право на проведение неразрушающего пентеста.
ИИ-инструменты стали еще одним примером того, как новые технологии меняют привычные подходы к управлению ИТ и ИБ. Эксперт отметил, что сотрудники уже активно применяют искусственный интеллект для рабочих задач, поэтому компаниям важно не только ограничивать риски, но и создавать понятные правила и управляемые сценарии использования таких инструментов.
«Запретительная логика в отношении ИИ-инструментов работает слабо. Если сотрудникам нужен искусственный интеллект для решения рабочих задач, они найдут способ им пользоваться — через корпоративный канал или за его пределами. В этом случае компания теряет главное: понимание того, какие данные передаются во внешние сервисы, кто с ними работает и какие риски возникают в процессе. Поэтому задача ИТ и ИБ — не просто ограничивать доступ, а создать понятный и управляемый сценарий работы с ИИ.
Это означает определить правила использования таких инструментов, настроить механизмы контроля и объяснить сотрудникам, какие данные допустимо использовать, а какие должны оставаться только в защищенном контуре компании.
Алексей Еферов, директор по информационным технологиям ПАО «Аптечная сеть 36,6».
Такой подход позволяет не противопоставлять безопасность эффективности, а встроить новые инструменты в управляемую корпоративную среду. Для бизнеса это возможность использовать потенциал ИИ, а для ИТ и ИБ — сохранять прозрачность процессов и своевременно видеть риски».
ИТ и ИБ: распределение ролей без категоричности
Еще один практический взгляд на взаимодействие ИТ и ИБ представил Александр Миколенко, директор департамента ИТ «СберРешения». Он рассказал, как команды могут распределять ответственность не по формальному принципу, а исходя из экспертизы и роли в конкретном процессе. Универсальной организационной схемы не существует: в разных компаниях ИБ может быть встроена в ИТ, выделена в отдельное направление или работать в модели внутреннего контроля. Однако эффективность зависит не столько от формального подчинения, сколько от способности команд договариваться и понимать, где заканчивается зона ответственности одной стороны и начинается зона участия другой.
В качестве примера спикер привел внедрение IDM-систем, где ИБ формирует требования к управлению доступом, определяет логику контроля и политики безопасности. ИТ отвечает за инфраструктуру, интеграции, эксплуатацию и поддержку. При этом коллаборация должна быть двусторонней: если ИТ следует требованиям ИБ, то ИБ также должна соблюдать процессы ИТ: управление изменениями, релизами, конфигурациями и инцидентами.
«Категоричность в отношениях между ИТ и ИБ — это путь в никуда. Если пытаться жестко разделить процессы на “поляну ИТ” и “поляну ИБ”, одна команда не сможет эффективно реализовать требования, а другая поддерживать технологическое развитие. Работает модель, в которой каждая сторона отвечает за свою сильную часть, но процесс остается общим.
Если речь идет, например, о доступах, ИБ определяет, как должен быть устроен процесс, какие требования необходимо соблюдать и какие риски нужно закрыть. ИТ, со своей стороны, помогает реализовать это в инфраструктуре, настроить интеграции, обеспечить поддержку и устойчивость сервиса. Но коллаборация не может быть односторонней. ИБ также должна следовать ИТ-процессам: оформлять изменения, учитывать релизы, соблюдать правила управления конфигурациями и инцидентами. Только так совместная работа перестает быть набором взаимных претензий и становится зрелым распределением ответственности».
Александр Миколенко, директор департамента ИТ «СберРешения».
Автоматизация учетных записей: промежуточный путь между IDM и ручными скриптами
Тему автоматизации жизненного цикла учетных записей продолжил Роман Гостевских, начальник отдела ИБ АО «МСУ-1». Он рассказал, как компания подошла к управлению большим количеством доступов без внедрения тяжелой IDM-системы и без опоры на полностью ручные скрипты. Кейс был посвящен автоматизации управления учетными записями в компании с несколькими тысячами учетных записей и большим объемом документации с разными уровнями доступа. Компания рассматривала несколько подходов: внедрение полноценной IDM-системы, использование самописных скриптов и создание промежуточного автоматизированного решения.
В результате был выбран подход, при котором кадровая система стала основным источником данных о сотрудниках, а управление учетными записями и доступами было связано с этими данными через автоматизированный обмен. Когда сотрудник оформляется, переводится на другую должность или увольняется, изменения автоматически отражаются в учетных записях и правах доступа. Такой подход помогает снизить количество ручных операций, ускорить обновление данных и уменьшить риск сохранения лишних доступов после кадровых изменений.
«Для ИБ особенно критичен сценарий увольнения: учетная запись должна блокироваться своевременно, без ожидания ручных действий и зависимости от человеческого фактора. Забытые учетные записи часто становятся источником риска: сотрудник уже не работает, а доступ к системам может сохраняться. Мы выбрали сбалансированный подход, который позволяет автоматизировать ключевые этапы управления учетными записями. Основная идея это связать кадровые изменения с созданием, изменением и блокировкой доступов, чтобы выход сотрудника на работу, перевод или увольнение своевременно отражались в учетных записях. С одной стороны, это позволило не уходить в слишком дорогой и тяжелый проект.
С другой — снизить риски, связанные с ручной автоматизацией, когда весь процесс зависит от одного администратора и написанного им кода. Такая модель не закрывает абсолютно все сценарии: остаются переводы через увольнение, дубли, срочные запросы и отдельные ручные случаи. Но она позволяет централизовать основной массив учетных записей, разгрузить администраторов и дать ИБ понятный механизм контроля за жизненным циклом доступов».
Роман Гостевских, начальник отдела ИБ АО «МСУ-1».
От разрозненных процессов к единой модели Identity Security
По итогам встречи участники Айдентити Клуба отметили, что управление айдентити выходит за рамки технологической задачи и требует согласованной работы ИТ, ИБ и бизнеса. Учетные данные, права доступа, жизненный цикл сотрудников, подрядчики и сервисные учетные записи должны рассматриваться в едином процессе, а не как отдельные зоны ответственности.
Ключевым направлением развития становится переход от разрозненных практик к общей модели управления: с едиными данными, прозрачными правилами взаимодействия и понятным распределением ролей. При этом зрелость определяется не количеством внедренных систем, а способностью организации выстраивать процессы, которые учитывают риски, операционную эффективность, регуляторные требования и реальные ограничения бизнеса.
Айдентити Клуб продолжит объединять экспертов рынка, представителей заказчиков, интеграторов и разработчиков для обсуждения практических кейсов, обмена опытом и развития зрелых подходов к защите айдентити в российских организациях.
Присоединиться к Айдентити Клубу могут представители технологических компаний и специалисты, развивающие практики защиты айдентити в России. Для этого необходимо пройти предварительную регистрацию на сайте.
