SlideShare a Scribd company logo
www.avanpost.ru
Эффективное управление доступом.
Пример внедрения IDM
Олег Губка
Директор по развитию
Для подразделения ИТ:
Не автоматизированная отработка огромного потока заявок
на предоставление, изменение и отзыв прав доступа
пользователей в ИТ системах приводит к:
Актуальность вопроса
Высокой
загрузке/перегрузке
дорогостоящих ИТ
специалистов
Простою
сотрудников из-
за длительного
выполнения их
запросов
Возможным
ошибкам
Для подразделения ИБ:
Актуальность вопроса
Контроль за учетными записями и правами доступа
пользователей является одной из важнейших задач
обеспечения Информационной Безопасности любой
организации!!!
Возможность злоумышленнику получить
доступ к информации под видом
легитимного пользователя является
универсальной уязвимостью, с которой
не справится ни одна система защиты.
Проблематика управления доступом
Классическая схема
управления доступом к
ресурсам организации
Основные минусы:
Все приложения разрозненны.
Политики доступа к ним не
однородны.
Учетные данные хранятся
разрозненно, появляются
«мертвые души».
Большие затраты на
администрирование.
DB / LDAP
Приложение
Сотрудники
ПриложениеПриложениеПриложение
DB / LDAP DB / LDAP DB / LDAP
User IDUser ID User ID User ID
Администраторы ИТ - подразделения
IDM-решения
Управление доступом с
использованием IDM-решения
Основные плюсы:
Централизованное хранение и
управление всеми учетными
данными пользователей.
Учет всех кадровых событий
(прием, перевод, увольнение) в
режиме реального времени.
Централизованное управление
политиками доступа.
Централизованный аудит,
возможность формирования
любой отчетности по
управлению доступом.
Удобство согласования
дополнительных прав доступа
с помощью процесса Workflow
Существенное снижение затрат
на администрирование.
DB / LDAP
Приложение
Сотрудники
ПриложениеПриложениеПриложение
DB / LDAP DB / LDAP DB / LDAP
User IDUser ID User ID
Администраторы ИТ - подразделения
IDM
Администратор Отдел кадров
User ID
Основные процессы IDM
Кадровые события
Управляющие действия в ИС
Функциональные
действия
Увольнение
Перевод
Прием на работу
Отпуск
Аудит УЗ и прав
Блокирование/разблокирование УЗ
Создание УЗ
Изменение свойств УЗ
Назначение/отзыв прав
Отчеты
Согласование
Настройка
Контроль
Новый
сотрудник
Консоль
самообслуживания
HR-
система
Действующий
сотрудник
Информационные
системы
Заявка
на доступ
Процессы
Функциональные
сотрудники
Роли
Политики
 Трудозатрат ИТ-специалистов на предоставление и отзыв доступа;
 Административные издержки на согласование заявок на доступ;
 Время простоя сотрудников при предоставлении доступа;
 Затраты на внешний аудит ИТ;
 Затраты на проведение внутреннего аудита;
 Затраты на лицензирование прикладного программного обеспечения;
 Риски безопасности, вызванными избыточными правами доступа
(«мертвые души», отсутствие ролевой модели и ее контроля и т.д.).
 Производительность Help-desk;
 Эффективность управления учетными записями;
Ценность внедрения IDM
Avanpost IDM
Позволяет полностью автоматизировать
предоставление прав доступа сотрудников к ИТ
системам организации,
а также выстроить систему автоматического аудита
изменения прав доступа, предотвращающую
ошибки и умышленные злоупотребления.
Архитектура
Структура ПК «Avanpost» Функциональность модулей решения
Avanpost IDM – модуль управления учетными
записями и правами пользователей
- полнофункциональное IDM-решение;
Avanpost SSO – модуль однократной
аутентификации (single sign on);
Ключевые функции (модули):
Avanpost PKI – модуль управления
элементами инфраструктуры открытых ключей
PKI;
Коннекторы:
Коннекторы – необходимы для интеграции ПК
«Avanpost» с различными информационными
системами.
Основные трудности при внедрении IDM
Высокая стоимость лицензий и стоимость
внедрения
Высокая длительность внедрения и
высокие риски перехода проекта в
долгострой
Отсутствие коннекторов к самописным
или узко отраслевым системам и не
возможность их оперативной разработки
Отсутствие Ролевой модели и
Матрицы доступа и сложность ее
разработки в ходе проекта
Доступ
Пути преодоления описанных трудностей
Разумная цена и гибкая
политика ценообразования
Российского вендора
Возможность разработки
коннекторов под клиента силами
вендора
Легкость решения делает
гораздо более предсказуемыми
сроки внедрения
Наличие модуля
Role Manager и Ресертификации
Ролей позволяет создавать и
поддерживать Ролевую модель в
автоматическом режиме
Avanpost Workflow
Консоль управления заявками
Создание заявок на предоставление прав доступа к информационным ресурсам.
Создание заявок происходит в личном кабинете web-интерфейса самообслуживания
пользователей;
Настройка процесса согласования заявок. Настраивается список согласующих лиц, их
заместителей и порядок их участия в процессе согласования заявок.
Сокращение сроков согласования заявок на предоставление дополнительных прав
доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
Avanpost Role Manager
Консоль управления ролевой моделью
Автоматизированное создание базовой ролевой модели на предприятии. Механизм
создания основан на анализе прав доступа сотрудников с одинаковыми должностями;
Добавление исключений к ролям отдельных сотрудников. В случае, если каким либо
сотрудникам помимо ролевой матрицы положены еще какие либо права, можно добавить
это в исключение.
Сокращение сроков внедрения IDM-решения, а так же повышение достоверности базовой
матрицы доступа к информационным ресурсам.
Цель:
Функционал:
Дополнительные возможности
Трехфакторная аутентификация
Первые реальные результаты интеграции со СКУД
Единая смарт-карта / токен для входа в на территорию офиса и для входа в
информационные системы. Карты и токены можно оснащать различными RFID метками
для поддержки текущей системой СКУД;
Полноценное управление политиками СКУД на основе бизнес ролей. При приеме на
работу сотрудника автоматически задается политика доступа в помещения;
Интеграция модулей IDM и PKI с системами СКУД. При этом реализуется принцип
трехфакторной аутентификации, когда для принятия решения о предоставлении доступа
берутся в расчет данные о текущем местоположении пользователя из СКУД;
Идея:
Функционал:
Дополнительные возможности
Список готовых коннекторов
MS Active Directory, Exchange, База данных MS SQL, База данных
Oracle, My SQL, Линейка продуктов 1С версии 8, SAP, АБС Кворум,
Lotus Notes/Domino, СПО Аламеда, SOAP, LDAP (стандартный
коннектор), jDocFlow, TOPS Unicus, Виртуальный коннектор, СКУД
AS101, Directum, Летограф, ЦФТ IBSO, Галактика, PayDocs,
Sharepoint, Oracle E-Business Suite и т.д.
1С, Exсel, HRB, LDAP, Oracle HR, SAP HR, БОСС Кадровик, Госналог,
ДИАСОФТ, СТ.Кадры, Галактика Управление персоналом
Коннекторы к кадровым система:
Коннекторы к целевым системам:
Новые версии Avanpost IDM
Avanpost 5.0
(апрель 2016)
Новый удобный
WEB-интерфейс
Новый workflow c
конструктором
бизнес-процессов
Новый механизм
назначения ролей
Управление
парольными
политиками
Avanpost 5.1
(июль 2016)
Новые типы
заявок:
Блокировка/разблоки
ровка УЗ
Изменение ПДн
Одновременная
смена паролей
Кадровая консоль:
объединение
подразделений
Просмотр
информации о
подчиненных
Avanpost 5.2
(сентябрь 2016)
Обновление данных
в целевых системах
по событиям
Архивация и
переиспользование
логинов
Замена XML
интерфейса клиента
на Web API
Avanpost 5.3
(ноябрь 2016)
Поддержка Postgres
Оптимизация и
масштабирование
аудита
Переаттестация
прав
пользователей
Новый интерфейс
Пример внедрения IDM
 Заказчик – Крупнейшая компания
коммунального хозяйства
 Количество пользователей – 5000
 Общее количество информационных
систем – больше 10
 На текущий момент к Avanpost IDM
подключено 6 целевых и 1 кадровая
ИС
 Проект 2-х этапный, общий срок
около одного года
ПК Avanpost
БД Аванпост
IDM-коннектор
IDM-коннектор
1C:ЗУП 8.3
Веб-
сервер
Avanpost IDM
Сервер
Сервис
синхронизации
Oracle E-
Business Suite
Данные о
сотрудниках
Сотрудник/
Руководитель
Биллинговая
система на
базе 1С 8.3
1С Бухгалтерия 8.3
IDM-коннектор
IDM-коннектор
Администратор
системы
Владелец
ресурса
Запрос
дополнительного
доступа
Согласование
доступа
Настройка
системы
Администратор
безопасности
Контроль
доступа
MS AD
IDM-коннектор
Геоинформационная
система
СЭД
IDM-коннектор
Этапность проекта
1-й этап «Интеграционный»
 Разработка коннекторов к ИС
 IDМ в режиме контроля матрицы доступа
 В MS AD – базовые роли
2-й этап «Бизнес внедрение»
 Разработка ролевой модели
 Создание бизнес-процессов
 Запуск IDM в полном функционале
государственные
заказчики
крупный и
средний бизнес
банковский
сектор
холдинговые
структуры
50 000
пользователей
(PKI)
150 000
пользователей
(IDM+PKI)
300 000
пользователей
(PKI)
80 000
пользователей
(IDM)
О компании Аванпост
8 лет
успеха
2 млн.
пользователей
50+
внедрений
70+
партнеров
Аванпост – ведущий российский разработчик систем
идентификации и управления доступом к информационным
ресурсам предприятия (IDM), работает на рынке
информационных технологий и информационной безопасности с
июня 2007 года и к настоящему моменту является
технологическим лидером в сегменте Identity Management.
Наши главные решения
Avanpost
IDM
Avanpost
PKI
Avanpost
SSO
Управление доступом
к информационным
ресурсам
Управление всеми элементами
инфраструктуры
открытых ключей
Модуль единого входа
в систему или приложение
О компании Аванпост
Олег Губка
Директор по развитию
+7 (495) 641-8080
+7 (903) 193-0044
OGubka@avanpost.ru
www.avanpost.ru
Готов ответить на Ваши вопросы!

More Related Content

What's hot

Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Expolink
 
Cистема управления бизнес-процессами на основе JIRA
Cистема управления бизнес-процессами на основе JIRACистема управления бизнес-процессами на основе JIRA
Cистема управления бизнес-процессами на основе JIRATeamlead
 
Микросервисы, чистый PaaS и конкурс Мисс Россия
Микросервисы, чистый PaaS и конкурс Мисс РоссияМикросервисы, чистый PaaS и конкурс Мисс Россия
Микросервисы, чистый PaaS и конкурс Мисс Россия
Alexander Byndyu
 
Миграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудствоМиграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудство
SQALab
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
КРОК
 
лекция безопасная разработка приложений
лекция  безопасная разработка приложенийлекция  безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
Requirement Managament System based on Wiki (Confluence+Jira)
Requirement Managament System based on Wiki (Confluence+Jira)Requirement Managament System based on Wiki (Confluence+Jira)
Requirement Managament System based on Wiki (Confluence+Jira)
Alexander Baikin
 
Шаблоны оформления требований
Шаблоны оформления требованийШаблоны оформления требований
Шаблоны оформления требованийJaneKozmina
 
Бизнес-гибкость через микросервисную архитектуру
Бизнес-гибкость через микросервисную архитектуруБизнес-гибкость через микросервисную архитектуру
Бизнес-гибкость через микросервисную архитектуру
Alexander Byndyu
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектов
SQALab
 
практика управления требованиями
практика управления требованиямипрактика управления требованиями
практика управления требованиямиISsoft
 
Аналитик на тёмной стороне
Аналитик на тёмной сторонеАналитик на тёмной стороне
Аналитик на тёмной стороне
SQALab
 
Serena bpm cnews 2012
Serena bpm cnews 2012Serena bpm cnews 2012
Serena bpm cnews 2012
Softmart
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Кодекс аналитика
Кодекс аналитикаКодекс аналитика
Кодекс аналитика
SQALab
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
Alexey Evmenkov
 
Моделирование бизнес-процессов: методы и инструменты
Моделирование бизнес-процессов: методы и инструментыМоделирование бизнес-процессов: методы и инструменты
Моделирование бизнес-процессов: методы и инструменты
SQALab
 
Особенности работы с требованиями при доработке продукта для заказчика
Особенности работы с требованиями при доработке продукта для заказчикаОсобенности работы с требованиями при доработке продукта для заказчика
Особенности работы с требованиями при доработке продукта для заказчика
SQALab
 

What's hot (20)

Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Cистема управления бизнес-процессами на основе JIRA
Cистема управления бизнес-процессами на основе JIRACистема управления бизнес-процессами на основе JIRA
Cистема управления бизнес-процессами на основе JIRA
 
Микросервисы, чистый PaaS и конкурс Мисс Россия
Микросервисы, чистый PaaS и конкурс Мисс РоссияМикросервисы, чистый PaaS и конкурс Мисс Россия
Микросервисы, чистый PaaS и конкурс Мисс Россия
 
Миграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудствоМиграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудство
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
 
лекция безопасная разработка приложений
лекция  безопасная разработка приложенийлекция  безопасная разработка приложений
лекция безопасная разработка приложений
 
Requirement Managament System based on Wiki (Confluence+Jira)
Requirement Managament System based on Wiki (Confluence+Jira)Requirement Managament System based on Wiki (Confluence+Jira)
Requirement Managament System based on Wiki (Confluence+Jira)
 
Шаблоны оформления требований
Шаблоны оформления требованийШаблоны оформления требований
Шаблоны оформления требований
 
Бизнес-гибкость через микросервисную архитектуру
Бизнес-гибкость через микросервисную архитектуруБизнес-гибкость через микросервисную архитектуру
Бизнес-гибкость через микросервисную архитектуру
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектов
 
практика управления требованиями
практика управления требованиямипрактика управления требованиями
практика управления требованиями
 
Аналитик на тёмной стороне
Аналитик на тёмной сторонеАналитик на тёмной стороне
Аналитик на тёмной стороне
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
Serena bpm cnews 2012
Serena bpm cnews 2012Serena bpm cnews 2012
Serena bpm cnews 2012
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Кодекс аналитика
Кодекс аналитикаКодекс аналитика
Кодекс аналитика
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
 
Моделирование бизнес-процессов: методы и инструменты
Моделирование бизнес-процессов: методы и инструментыМоделирование бизнес-процессов: методы и инструменты
Моделирование бизнес-процессов: методы и инструменты
 
Особенности работы с требованиями при доработке продукта для заказчика
Особенности работы с требованиями при доработке продукта для заказчикаОсобенности работы с требованиями при доработке продукта для заказчика
Особенности работы с требованиями при доработке продукта для заказчика
 

Similar to Avanpost idm пацифика 2016

Обучение менеджеров по продажам 2015
Обучение менеджеров по продажам 2015Обучение менеджеров по продажам 2015
Обучение менеджеров по продажам 2015Avanpost Шаркова
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Expolink
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO.  Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO.  Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Expolink
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
Informatica Пронет (v.0.3)
Informatica   Пронет (v.0.3)Informatica   Пронет (v.0.3)
Informatica Пронет (v.0.3)Natasha Zaverukha
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
СЭД, которой можно доверять
СЭД, которой можно доверятьСЭД, которой можно доверять
СЭД, которой можно доверять
ИнтерТраст
 
Alfresco как система для СЭД
Alfresco как система для СЭДAlfresco как система для СЭД
Alfresco как система для СЭД
Sergey Gorobets
 
Hivext – облачная платформа для быстрой разработки интернет приложений
Hivext – облачная платформа для быстрой разработки  интернет приложений Hivext – облачная платформа для быстрой разработки  интернет приложений
Hivext – облачная платформа для быстрой разработки интернет приложений guest800050
 
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
Yaryomenko
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраExpolink
 
Модули платформы B4
Модули платформы B4Модули платформы B4
Модули платформы B4
Bars Group
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 

Similar to Avanpost idm пацифика 2016 (20)

Обучение менеджеров по продажам 2015
Обучение менеджеров по продажам 2015Обучение менеджеров по продажам 2015
Обучение менеджеров по продажам 2015
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Avanpost SSO
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO.  Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO.  Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
 
Функциональные возможности и основные модули Naumen DMS
Функциональные возможности и основные модули Naumen DMSФункциональные возможности и основные модули Naumen DMS
Функциональные возможности и основные модули Naumen DMS
 
безопасность
безопасностьбезопасность
безопасность
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
Informatica Пронет (v.0.3)
Informatica   Пронет (v.0.3)Informatica   Пронет (v.0.3)
Informatica Пронет (v.0.3)
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
СЭД, которой можно доверять
СЭД, которой можно доверятьСЭД, которой можно доверять
СЭД, которой можно доверять
 
Alfresco как система для СЭД
Alfresco как система для СЭДAlfresco как система для СЭД
Alfresco как система для СЭД
 
Hivext 04.2010
Hivext 04.2010Hivext 04.2010
Hivext 04.2010
 
Hivext – облачная платформа для быстрой разработки интернет приложений
Hivext – облачная платформа для быстрой разработки  интернет приложений Hivext – облачная платформа для быстрой разработки  интернет приложений
Hivext – облачная платформа для быстрой разработки интернет приложений
 
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
Решения для разумной оптимизации ИТ-инфраструктуры. Сокращение ваших расходов...
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Модули платформы B4
Модули платформы B4Модули платформы B4
Модули платформы B4
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 

More from Diana Frolova

Pacifica is outsorcing
Pacifica is outsorcingPacifica is outsorcing
Pacifica is outsorcing
Diana Frolova
 
презентация вирусы в_казахстане_гтс
презентация вирусы в_казахстане_гтспрезентация вирусы в_казахстане_гтс
презентация вирусы в_казахстане_гтс
Diana Frolova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
2016 04-05 cyber ark - не потеряйте ключи от королевства
2016 04-05 cyber ark - не потеряйте ключи от королевства 2016 04-05 cyber ark - не потеряйте ключи от королевства
2016 04-05 cyber ark - не потеряйте ключи от королевства
Diana Frolova
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
построение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин ипостроение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин и
Diana Frolova
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
Diana Frolova
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
Diana Frolova
 
Trustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security   10 шагов к эффекивной защите баз данныхTrustwave database security   10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данных
Diana Frolova
 
комплексная защита от современных интернет угроз с помощью Check point sandblast
комплексная защита от современных интернет угроз с помощью Check point sandblastкомплексная защита от современных интернет угроз с помощью Check point sandblast
комплексная защита от современных интернет угроз с помощью Check point sandblast
Diana Frolova
 
Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016
Diana Frolova
 
Bsi cis is services overview (rus)
Bsi cis is services overview (rus)Bsi cis is services overview (rus)
Bsi cis is services overview (rus)
Diana Frolova
 
иб в программе трансформации фонда2
иб в программе трансформации фонда2иб в программе трансформации фонда2
иб в программе трансформации фонда2
Diana Frolova
 
сервисная модель информатизации государственных органов зерде
сервисная модель информатизации государственных органов зердесервисная модель информатизации государственных органов зерде
сервисная модель информатизации государственных органов зерде
Diana Frolova
 

More from Diana Frolova (14)

Pacifica is outsorcing
Pacifica is outsorcingPacifica is outsorcing
Pacifica is outsorcing
 
презентация вирусы в_казахстане_гтс
презентация вирусы в_казахстане_гтспрезентация вирусы в_казахстане_гтс
презентация вирусы в_казахстане_гтс
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
2016 04-05 cyber ark - не потеряйте ключи от королевства
2016 04-05 cyber ark - не потеряйте ключи от королевства 2016 04-05 cyber ark - не потеряйте ключи от королевства
2016 04-05 cyber ark - не потеряйте ключи от королевства
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
построение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин ипостроение системы адаптивной защиты от угроз иб Савин и
построение системы адаптивной защиты от угроз иб Савин и
 
платформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networksплатформа кибер безопасности Palo alto networks
платформа кибер безопасности Palo alto networks
 
2016 10 pt kz качалин
2016 10 pt kz качалин2016 10 pt kz качалин
2016 10 pt kz качалин
 
Trustwave database security 10 шагов к эффекивной защите баз данных
Trustwave database security   10 шагов к эффекивной защите баз данныхTrustwave database security   10 шагов к эффекивной защите баз данных
Trustwave database security 10 шагов к эффекивной защите баз данных
 
комплексная защита от современных интернет угроз с помощью Check point sandblast
комплексная защита от современных интернет угроз с помощью Check point sandblastкомплексная защита от современных интернет угроз с помощью Check point sandblast
комплексная защита от современных интернет угроз с помощью Check point sandblast
 
Kpmg it safety 2016
Kpmg it safety 2016Kpmg it safety 2016
Kpmg it safety 2016
 
Bsi cis is services overview (rus)
Bsi cis is services overview (rus)Bsi cis is services overview (rus)
Bsi cis is services overview (rus)
 
иб в программе трансформации фонда2
иб в программе трансформации фонда2иб в программе трансформации фонда2
иб в программе трансформации фонда2
 
сервисная модель информатизации государственных органов зерде
сервисная модель информатизации государственных органов зердесервисная модель информатизации государственных органов зерде
сервисная модель информатизации государственных органов зерде
 

Avanpost idm пацифика 2016

  • 1. www.avanpost.ru Эффективное управление доступом. Пример внедрения IDM Олег Губка Директор по развитию
  • 2. Для подразделения ИТ: Не автоматизированная отработка огромного потока заявок на предоставление, изменение и отзыв прав доступа пользователей в ИТ системах приводит к: Актуальность вопроса Высокой загрузке/перегрузке дорогостоящих ИТ специалистов Простою сотрудников из- за длительного выполнения их запросов Возможным ошибкам
  • 3. Для подразделения ИБ: Актуальность вопроса Контроль за учетными записями и правами доступа пользователей является одной из важнейших задач обеспечения Информационной Безопасности любой организации!!! Возможность злоумышленнику получить доступ к информации под видом легитимного пользователя является универсальной уязвимостью, с которой не справится ни одна система защиты.
  • 4. Проблематика управления доступом Классическая схема управления доступом к ресурсам организации Основные минусы: Все приложения разрозненны. Политики доступа к ним не однородны. Учетные данные хранятся разрозненно, появляются «мертвые души». Большие затраты на администрирование. DB / LDAP Приложение Сотрудники ПриложениеПриложениеПриложение DB / LDAP DB / LDAP DB / LDAP User IDUser ID User ID User ID Администраторы ИТ - подразделения
  • 5. IDM-решения Управление доступом с использованием IDM-решения Основные плюсы: Централизованное хранение и управление всеми учетными данными пользователей. Учет всех кадровых событий (прием, перевод, увольнение) в режиме реального времени. Централизованное управление политиками доступа. Централизованный аудит, возможность формирования любой отчетности по управлению доступом. Удобство согласования дополнительных прав доступа с помощью процесса Workflow Существенное снижение затрат на администрирование. DB / LDAP Приложение Сотрудники ПриложениеПриложениеПриложение DB / LDAP DB / LDAP DB / LDAP User IDUser ID User ID Администраторы ИТ - подразделения IDM Администратор Отдел кадров User ID
  • 6. Основные процессы IDM Кадровые события Управляющие действия в ИС Функциональные действия Увольнение Перевод Прием на работу Отпуск Аудит УЗ и прав Блокирование/разблокирование УЗ Создание УЗ Изменение свойств УЗ Назначение/отзыв прав Отчеты Согласование Настройка Контроль Новый сотрудник Консоль самообслуживания HR- система Действующий сотрудник Информационные системы Заявка на доступ Процессы Функциональные сотрудники Роли Политики
  • 7.  Трудозатрат ИТ-специалистов на предоставление и отзыв доступа;  Административные издержки на согласование заявок на доступ;  Время простоя сотрудников при предоставлении доступа;  Затраты на внешний аудит ИТ;  Затраты на проведение внутреннего аудита;  Затраты на лицензирование прикладного программного обеспечения;  Риски безопасности, вызванными избыточными правами доступа («мертвые души», отсутствие ролевой модели и ее контроля и т.д.).  Производительность Help-desk;  Эффективность управления учетными записями; Ценность внедрения IDM
  • 8. Avanpost IDM Позволяет полностью автоматизировать предоставление прав доступа сотрудников к ИТ системам организации, а также выстроить систему автоматического аудита изменения прав доступа, предотвращающую ошибки и умышленные злоупотребления.
  • 9. Архитектура Структура ПК «Avanpost» Функциональность модулей решения Avanpost IDM – модуль управления учетными записями и правами пользователей - полнофункциональное IDM-решение; Avanpost SSO – модуль однократной аутентификации (single sign on); Ключевые функции (модули): Avanpost PKI – модуль управления элементами инфраструктуры открытых ключей PKI; Коннекторы: Коннекторы – необходимы для интеграции ПК «Avanpost» с различными информационными системами.
  • 10. Основные трудности при внедрении IDM Высокая стоимость лицензий и стоимость внедрения Высокая длительность внедрения и высокие риски перехода проекта в долгострой Отсутствие коннекторов к самописным или узко отраслевым системам и не возможность их оперативной разработки Отсутствие Ролевой модели и Матрицы доступа и сложность ее разработки в ходе проекта Доступ
  • 11. Пути преодоления описанных трудностей Разумная цена и гибкая политика ценообразования Российского вендора Возможность разработки коннекторов под клиента силами вендора Легкость решения делает гораздо более предсказуемыми сроки внедрения Наличие модуля Role Manager и Ресертификации Ролей позволяет создавать и поддерживать Ролевую модель в автоматическом режиме
  • 12. Avanpost Workflow Консоль управления заявками Создание заявок на предоставление прав доступа к информационным ресурсам. Создание заявок происходит в личном кабинете web-интерфейса самообслуживания пользователей; Настройка процесса согласования заявок. Настраивается список согласующих лиц, их заместителей и порядок их участия в процессе согласования заявок. Сокращение сроков согласования заявок на предоставление дополнительных прав доступа к информационным ресурсам. Цель: Функционал: Дополнительные возможности
  • 13. Avanpost Role Manager Консоль управления ролевой моделью Автоматизированное создание базовой ролевой модели на предприятии. Механизм создания основан на анализе прав доступа сотрудников с одинаковыми должностями; Добавление исключений к ролям отдельных сотрудников. В случае, если каким либо сотрудникам помимо ролевой матрицы положены еще какие либо права, можно добавить это в исключение. Сокращение сроков внедрения IDM-решения, а так же повышение достоверности базовой матрицы доступа к информационным ресурсам. Цель: Функционал: Дополнительные возможности
  • 14. Трехфакторная аутентификация Первые реальные результаты интеграции со СКУД Единая смарт-карта / токен для входа в на территорию офиса и для входа в информационные системы. Карты и токены можно оснащать различными RFID метками для поддержки текущей системой СКУД; Полноценное управление политиками СКУД на основе бизнес ролей. При приеме на работу сотрудника автоматически задается политика доступа в помещения; Интеграция модулей IDM и PKI с системами СКУД. При этом реализуется принцип трехфакторной аутентификации, когда для принятия решения о предоставлении доступа берутся в расчет данные о текущем местоположении пользователя из СКУД; Идея: Функционал: Дополнительные возможности
  • 15. Список готовых коннекторов MS Active Directory, Exchange, База данных MS SQL, База данных Oracle, My SQL, Линейка продуктов 1С версии 8, SAP, АБС Кворум, Lotus Notes/Domino, СПО Аламеда, SOAP, LDAP (стандартный коннектор), jDocFlow, TOPS Unicus, Виртуальный коннектор, СКУД AS101, Directum, Летограф, ЦФТ IBSO, Галактика, PayDocs, Sharepoint, Oracle E-Business Suite и т.д. 1С, Exсel, HRB, LDAP, Oracle HR, SAP HR, БОСС Кадровик, Госналог, ДИАСОФТ, СТ.Кадры, Галактика Управление персоналом Коннекторы к кадровым система: Коннекторы к целевым системам:
  • 16. Новые версии Avanpost IDM Avanpost 5.0 (апрель 2016) Новый удобный WEB-интерфейс Новый workflow c конструктором бизнес-процессов Новый механизм назначения ролей Управление парольными политиками Avanpost 5.1 (июль 2016) Новые типы заявок: Блокировка/разблоки ровка УЗ Изменение ПДн Одновременная смена паролей Кадровая консоль: объединение подразделений Просмотр информации о подчиненных Avanpost 5.2 (сентябрь 2016) Обновление данных в целевых системах по событиям Архивация и переиспользование логинов Замена XML интерфейса клиента на Web API Avanpost 5.3 (ноябрь 2016) Поддержка Postgres Оптимизация и масштабирование аудита Переаттестация прав пользователей
  • 18. Пример внедрения IDM  Заказчик – Крупнейшая компания коммунального хозяйства  Количество пользователей – 5000  Общее количество информационных систем – больше 10  На текущий момент к Avanpost IDM подключено 6 целевых и 1 кадровая ИС  Проект 2-х этапный, общий срок около одного года ПК Avanpost БД Аванпост IDM-коннектор IDM-коннектор 1C:ЗУП 8.3 Веб- сервер Avanpost IDM Сервер Сервис синхронизации Oracle E- Business Suite Данные о сотрудниках Сотрудник/ Руководитель Биллинговая система на базе 1С 8.3 1С Бухгалтерия 8.3 IDM-коннектор IDM-коннектор Администратор системы Владелец ресурса Запрос дополнительного доступа Согласование доступа Настройка системы Администратор безопасности Контроль доступа MS AD IDM-коннектор Геоинформационная система СЭД IDM-коннектор
  • 19. Этапность проекта 1-й этап «Интеграционный»  Разработка коннекторов к ИС  IDМ в режиме контроля матрицы доступа  В MS AD – базовые роли 2-й этап «Бизнес внедрение»  Разработка ролевой модели  Создание бизнес-процессов  Запуск IDM в полном функционале
  • 20. государственные заказчики крупный и средний бизнес банковский сектор холдинговые структуры 50 000 пользователей (PKI) 150 000 пользователей (IDM+PKI) 300 000 пользователей (PKI) 80 000 пользователей (IDM) О компании Аванпост
  • 21. 8 лет успеха 2 млн. пользователей 50+ внедрений 70+ партнеров Аванпост – ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), работает на рынке информационных технологий и информационной безопасности с июня 2007 года и к настоящему моменту является технологическим лидером в сегменте Identity Management. Наши главные решения Avanpost IDM Avanpost PKI Avanpost SSO Управление доступом к информационным ресурсам Управление всеми элементами инфраструктуры открытых ключей Модуль единого входа в систему или приложение О компании Аванпост
  • 22. Олег Губка Директор по развитию +7 (495) 641-8080 +7 (903) 193-0044 OGubka@avanpost.ru www.avanpost.ru Готов ответить на Ваши вопросы!