IDM

918 views
850 views

Published on

M.Orinskis

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
918
On SlideShare
0
From Embeds
0
Number of Embeds
224
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Es pastāstīšu par IDM un kāpēc tā ir nepieciešama.Tā kā IDM aptver daudzus biznesa procesusun tehnoloģijas, kas ir skar šos biznesa procesus, tad sākšu ar piemēru no dzīves, lai labāk ilustrētu IDM lomu.
  • Kāds no lieliem Latvijas uzņēmumiem vairākkārt ir saņēmis pieprasījumus no policijas vairākos kriminālprocesos.Bijušais darbinieks ir spējis piekļūt konfidenciālai informācijai un nodarīt būtiskus zaudējumus... Informācija ir vērtība, kas ir jāaizsargā.Kas par to ir atbildīgs par situāciju, ka bijušais darbinieks ir piekļuvis konfidenciālai informācijai? Kurš būs atbildīgs par informācijas noplūdi: uzņēmuma vadītājs, personāla vadība vai IT?Kā apkopot informāciju par to kam (kādām sistēmām un informācijai) piekļūst dotais darbinieks? Un vai šīm darbiniekam tas ir atļauts..Kādas f-jas tam ir faktiski piešķirtas un kādas tam formāli vajadzēja būt.Šie ir tikai daži jautājumi ko risina identitātes pārvaldība: Identitātes pārvaldība ir visi procesi un tehnoloģijas, kas sākas no darbinieka pieņemšanas darbā un beidzas ar darbinieka atbrīvošanu (tiesību piešķiršana/noņemšana, autentifikācija).
  • Mūsu mērķis ir nepieļaut šādas situācijas sakārtojot IDM - nodalīt atbildības, automatizējot darbu.Tai pat laikā paaugstinot informācijas drošību un tās kontroli.Lai katrs būtu atbildīgs par savu sfēru - Lai IT nebūtu atbildīgs par Biznesa jautājumiem un Bizness velta uzmanību biznesa jautājumam un IT varētu veltīt uzmanību IT jautājumiem.
  • Var sākt ar vienkāršo un beigt ar sarežītākoApskatot detalizētāk IDM balstās uz 3 blokiem:Piekļuves pārvaldība – autentifikācijas un autorizācijas procesi. Auditācija. Tipisks piemērs ir lietotāja vārda un parole. Piekļuves apstiprinājums vai atteikums (autorizācija)Identitātes dzīves cikla pārvaldība – biznesa procesi, biznesa lomas, politikas. Lietotāju direktoriju pārvaldība – paroļu, lietotāju profilu grupu privilēģiju un politiku centralizēta glabāšana.Biznesa procesi un biznesa lietojumprogrammas nepārtraukti mijiedarbojas ar IDM blokiem. Piem., mainot amatu vadītājs veic amata maiņas apstiprinājumu, tiek mainīti atribūti un lomas lietotāju direktorijā (konkrētajam lietotājam) un lietotājs tiek autorizēts kādā no biznesa sistēmām un tai pat laikā tiek mainītas privilēģijas citās biznesa sistēmās. Piem., no rakstīt uz skatīt. Utt. Darbības, kas ir jāveic jebkurā no identitātes dzīves cikla posmiem. Piem., Mainot pozīciju – personāla pārvalde sagatavo rīkojumu, kuru elektroniski apstiprina jaunais vadītājs. Pēc šī apstirinājuma esošā piekļuves tiesības tiek slēgtas (katrā no biznesa sistēmām) un tiek izveidotas jaunas piekļuves tiesības katrā no sistēmām.Visi IDM pamatbloki un mijiedarbības ar šiem blokiem ir IDM redzes lokā.
  • Minēšu 5 piemērus kāpēc IDM ir nepieciešama un kā tas palīdz nonākt līdz pilnīgai IDM automatizācijai
  • Dokumentācija, kas attēlo pilnu informāciju par darbinieka/partnera piekļuves iespējām.Atbalsts iekšējam/ārējam auditam, lai noteiktu neeksistējošus kontus, kontus, kas nav izveidoti saskaņā ar politiku (piem., kāds DB līmenīizveidojis kontu).Detalizēta vēsture par darbinieku: kas darbinieku priviliģējis, kad un kāpēc, kas ar pāris peles klikšķu palīdzību ļauj atbildēt uz piemērā doto policijas pieprasījumu
  • Lai biznesa sistēmās būtu aktuālā informācija par katru darbinieku tiek nodrošināta automātiska lietotāju lomu/atribūtu sinhronizācija ar centrālo lietotāju identitāšu glabātuvi. Piem., Personāla vadības sistēmu.Papīra kartiņas ar sistēmu privilēģijām un dažādiem papīra formāta rīkojumiem tiek aizstātas ar elektroniskām darba plūsmām, kur atbildīgais darbinieks piem., e-pastā apstiprina darbinieka atlaišanu kas iedarbina darba plūsmu privilēģiju likvidēšanai un konta slēgšanai no biznesa sistēmām. Šeit var iekļaut arī manuālas darbības. Piem., darbiniekam jānodod darba telefons, darba mašīnas atslēgas utt.Ļoti būtiski ir izmantot biznesa lomas, kas apvieno neskaitāmas privilēģijas daudzās sistēmās. Piem., loma «Grāmatvedis» paredz: piekļuve e-pastam, Iekšējai maksājumu sistēmai (skatīt/rakstīt) režīmā un personāla sistēmai (skatīt režīmā).
  • Pašam lietotājam tiek nodrošināta iespēja administrēt savu kontu – būtiski samazinot administrēšanas darbu
  • Centralizētas autentifikācijas serviss, lai nodrošinātu piekļuvi klasificētai informācijai – implementējot jaunu autentifikācijas vidu nav jāveic izmaiņas visās biznesa sistēmās.Vairāku faktoru autentifikācija: Piem.,ip adrešu apgabals, lietotāja vārds parole, Biometrijas autentifikācija: biometriskais dokuments, lai veiktu verifikāciju. Multi-biometrija, lai veiktu identifikāciju (Piem., seja, radzene, pirksta nospiedums)Dažādi Piekļuves līmeņi ar dažādiem Klasificētai informācijai iespēja nodalīt
  • IDM risina «Pienākumu nodalīšanas» problēmas. Piem., Ka grāmatvedis nevar mainīt darbinieka algu un to izmaksāt.Darbinieki piekļūst tikai tai informācijai un funkcijām, kas ir paredzētas to darba pienākumos.
  • Tātad apkopojot IDM priekšrocības:Vienmēr varam iegūt aktuālo stāvokli kas, kam piekļūst, Biznesa darba plūsmas, kas izslēdz cilvēciskās kļūdas un automatizē procesusLietotāji paši var apkalpot savu profiluLietotājiem atkrīt n-to paroļu problēmasInformācija ir klasificēta un piekļuvi tai kontrolē bizness
  • Var sākt ar vienkāršo un beigt ar sarežītākoApskatot detalizētāk IDM balstās uz 3 blokiem:Piekļuves pārvaldība – autentifikācijas un autorizācijas procesi. Auditācija. Tipisks piemērs ir lietotāja vārda un parole. Piekļuves apstiprinājums vai atteikums (autorizācija)Identitātes dzīves cikla pārvaldība – biznesa procesi, biznesa lomas, politikas. Lietotāju direktoriju pārvaldība – paroļu, lietotāju profilu grupu privilēģiju un politiku centralizēta glabāšana.Biznesa procesi un biznesa lietojumprogrammas nepārtraukti mijiedarbojas ar IDM blokiem. Piem., mainot amatu vadītājs veic amata maiņas apstiprinājumu, tiek mainīti atribūti un lomas lietotāju direktorijā (konkrētajam lietotājam) un lietotājs tiek autorizēts kādā no biznesa sistēmām un tai pat laikā tiek mainītas privilēģijas citās biznesa sistēmās. Piem., no rakstīt uz skatīt. Utt. Darbības, kas ir jāveic jebkurā no identitātes dzīves cikla posmiem. Piem., Mainot pozīciju – personāla pārvalde sagatavo rīkojumu, kuru elektroniski apstiprina jaunais vadītājs. Pēc šī apstirinājuma esošā piekļuves tiesības tiek slēgtas (katrā no biznesa sistēmām) un tiek izveidotas jaunas piekļuves tiesības katrā no sistēmām.Visi IDM pamatbloki un mijiedarbības ar šiem blokiem ir IDM redzes lokā.
  • Teikums par katru no projektiem
  • Pirms ķerties pie IDM projekta realizācijas ir vērts iepazīties galvenajiem jautājumiem, kur mēs DPA esam gatavi palīdzēt gan ar konsultācijām. No drošības audita, infrastruktūras un izstrādes puses. Jūsu intereses gadījumā esam gatavi arī veikt POC (ProofOfConcept) projektus.ISO iezīmē rekomendācijas, kuras būtu jāievēro realizējot IDM projektu.Jādomā par informācijas klasifikāciju, lai tiktu vērsta uzmanība uz svarīgo/aizsargājamo informācijuSistēmām un informācijai, kas ir aizsargājama ir jābūt atbildīgajiem un šiem atbildīgajiem ir jāiesaistās IDM pārvaldības procesos ar konkrētu lomuJādomā, lai privilēģijas kas ir piešķirtas būtu tādā apmērā, lai lietotājs varētu pildīt savus darba uzdevumus.Jāpārdomā, pienākumu nodalīšana
  • Kādi ir biznesa procesi un kādas ir biznesa lomas kas iesaistās šajos procesosKādas ir iespējas organizēt centralizētu autentifikācijuKādus ražotājus izvēlēties. Kādi katram ir plusi kādi mīnusi.
  • Identitātes pārvaldība automatizē darbu, samazina riskus informācijas noplūdēm, uzlabo piekļuves kontroli un palielina lietotāju produktivitāti.Mēs esam gatavi spert pirmo soli ar Jums šajā IDM ceļojumā.Nav raķešu zinātne. Var sākt ar konkrētiem soļiem.
  • IDM

    1. 1. Identitātes pārvaldība –informācijas drošība unefektivitāteMārtiņš Orinskis, SIA DPA projektu vadītājs27. aprīlis 2012. gads
    2. 2. Identitātes pārvaldības nepieciešamība reālajā dzīvē
    3. 3. Ikdienas darbuautomatizācija, informācijasdrošība un kontroleLietotāju kontu izveide, privilēģiju piešķiršana/noņemšana, paroļumaiņa, autentifikācija, autorizācija, privilēģiju audits, ...
    4. 4. Identitātes pārvaldība Identitātes dzīves Lietotāju direktoriju Piekļuves pārvaldībacikla pārvaldība pārvaldība Lietotāju pārvaldība Lietotāji, atribūti, paroles Autentifikācija, Autorizācija Kontu izvietošana Grupas, politikas Single-Sign-On Kontu noņemšana Privilēģijas Auditācija Paroļu politika Identitātes Biznesa lomas izplatīšana, integrācija un deleģēšana Identitātes pārvaldības procesi (pieņemšana, amata maiņa, atlaišana, ...) Biznesa lietojumprogrammas
    5. 5. Kāpēc ir vajadzīga identitātes pārvaldība? Caurskatāmība (kas, kam, kad un kāpēc) Darba automatizācija un cilvēcisko kļūdu izslēgšana Lietotāju efektivitātes paaugstināšana Piekļuves uzlabošana sistēmām un atbalsts nākotnei Informācijas drošība
    6. 6. 1. Caurskatāmība Aktuāla dokumentācija par lietotājam piešķirtajām tiesībām Drošības audita atbalsts un drošības caurumu noteikšana Iespēja noskaidrot faktisko stāvokli par privilēģiju piešķiršanuun kontu izveidi: Kam? Kas? Kāpēc? Kad?
    7. 7. 2. Darba automatizācija un cilvēcisko kļūduizslēgšana Automatizēti procesi (informācijas sinhronizācija starp dažādām sistēmām) Automatizēta kontu slēgšana/atvēršana sākoties/beidzoties darba attiecībām Identitātes pārvaldības darba plūsmas (birokrātiskais process), kas pilnībā aizstāj papīra balstītus procesus Biznesa lomu izveide
    8. 8. 3. Lietotāju efektivitātes paaugstināšana Pašapkalpošanās iespējas: Paroļu maiņa Aizmirstas paroles Jaunu privilēģiju pieprasīšana Nav jāatceras katrai sistēmai sava parole Lietotāja informācijas aktualizēšanas iespējas
    9. 9. 4. Piekļuves uzlabošana sistēmām un atbalsts nākotnei Centralizēta autentifikācija un autorizācija Vienota paroļu politika SSO - Single-sign-on Vairāku faktoru autentifikācija Vairāku līmeņu autentifikācija Biometriskā autentifikācija
    10. 10. 5. Informācijas drošība Pienākumu nodalīšana (segregation of duty ) Privilēģijas tādā apmērā, kas paredzētas darba pienākumu veikšanai (least privileges) Darbinieki piekļūst tikai tai informācijai, kurai ir jāpiekļūst darba pienākumu veikšanai Darbinieki nevar piekļūt informācijai ārpus darba laika vai atvaļinājumā vai pārtraucot darba attiecības
    11. 11. Kopsavilkums Caurskatāmība (kas, kam, kad un kāpēc) Darba automatizācija un cilvēcisko kļūdu izslēgšana Lietotāju efektivitātes paaugstināšana Piekļuves uzlabošana sistēmām un atbalsts nākotnei Informācijas drošība
    12. 12. DPA un identitātes pārvaldībasrisinājumi
    13. 13. Identitātes pārvaldība Identitātes dzīves Lietotāju direktoriju Piekļuves pārvaldībacikla pārvaldība pārvaldība Lietotāju pārvaldība Lietotāji, atribūti, paroles Autentifikācija, Autorizācija Kontu izvietošana Grupas, politikas Single-Sign-On Kontu noņemšana Privilēģijas Auditācija Paroļu politika Identitātes Biznesa lomas izplatīšana, integrācija un deleģēšana Identitātes pārvaldības procesi (pieņemšana darbā, amata maiņa, atlaišana, ...) Biznesa lietojumprogrammas Gatavi produkti un komponenti Ražotāju eksperti un konsultanti
    14. 14. DPA pieredze identitātes pārvaldības jautājumos Webservisu SSO (single-sing-on) risinājumi nehomogēnā vidē, lai nodrošinātu drošu Servisu Orientētu Arhitektūru (SOA) «Iekšlietu ministrija» Liela apjoma identitātes pārvaldība (provisioning) «Rīgas dome» Sarežģītu darba plūsmu izveide un SOA izmantošana «Iekšlietu ministrija» Liela apjoma direktoriju pārvaldība «Zemkopības ministrija, VID, ...» Biometrijas izmantošana autentifikācijā (biometriskā verifikācija) «Iekšlietu ministrija»
    15. 15. Katrs ceļojums sākas ar pirmo soli ISO 27001 un procesu sakārtošana - pamats korektai identitātes pārvaldības organizēšanai Informācijas klasifikācija (publisks, konfidenciāls, privāts) IS lomas (īpašnieks, uzraugs, pārvaldnieks, lietotājs) Privilēģijas tādā apmērā, kas paredzētas darba pienākumu veikšanai (least privileges) Pienākumu nodalīšana (segregation of duty)
    16. 16. Katrs ceļojums sākas ar pirmo soli Identitātes pārvaldības procesi un kā IS lomas ir iesaistītas šajos procesos Biznesa lomas un privilēģijas (izveide no esošajām privilēģijām eksistējošās biznesa sistēmās) TOP ražotāji, kas nodrošina identitātes pārvaldības produktus pēc Gartner: Microsoft, Oracle, IBM.
    17. 17. Mēs atvieglosim ikdienu:identitātes pārvaldības darbuautomatizācija, informācijas drošībasuzlabošana, piekļuves un kontrolesuzlabošana
    18. 18. Paldies!Jautājumi un atbildesMartins.Orinskis@dpa.lv

    ×