Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

IDM - это непросто!

1,781 views

Published on

Презентация читалась на межотраслевом форуме директоров по ИБ.
Содержит практические вопросы проектирования и внедрения решений IDM

Published in: Technology
  • Be the first to comment

IDM - это непросто!

  1. 1. IDM – это непросто Как можно решать эту задачу, о чем не надо забывать
  2. 2. Преамбула • Не претендую на истину, возможны альтернативы • Мое личное мнение • Буду пытаться обосновывать • Надеюсь, будет полезно… …ну, по крайней мере, смотивирует задуматься CISO Forum 2015 2
  3. 3. Советы по организации работ на проекте CISO Forum 2015 3
  4. 4. Общие напутствия • Ищите бизнес-цели, которую можно выразить в ₽ • Сокращение времени простоя новых сотрудников, сокращение времени предоставления доступа, сокращение трудоемкости(==₽) присвоения, сокращение ошибок присвоения, …. • Определите заинтересованных лиц • ИТ, ИБ, ДВК, HR, … • Не нужен «функционал впрок» • Тяжело угадать будущее, усилия на синхронизацию понимания, трудно показать выгоду • Работайте быстро • Однако за время пути собака могла подрасти! (С. Маршак) CISO Forum 2015 4
  5. 5. Бизнес-обоснования (идеи) • Сокращение стоимости Контроля доступа: ~0,5млн заявок в год * 30мин. совок. трудоемкость * ~100т.р.мес стоимость исполнителя = ₽156,25 млн • Простой корп. бизнес-процессов: ~5 рд для при приеме (в год приняли ~300 работников со средней стоимостью ~100т.р. = ₽7млн.), ~3рд – изменение доступа • Накладные: расходные материалы копировальнойпечатной техники, перегрузка систем общего назначения (почта, сетевые папки), курьерская служба, …. • Риски ИБ (поздний отъем доступа уволенных, «человеческий фактор» при исполнении заявок, история присвоения) CISO Forum 2015 5
  6. 6. Функциональная и географическая этапность CISO Forum 2015 6 География Функционал Центр Ключевые Остальные Первостепенный функционал Второстепенный функционал Остальной функционал I II III III IV IV V I. Внедрение функционала первого приоритета в Центре компетенции. II. Тираж функционала первого приоритета на ключевые регионыДОподразделения (СП). III. Внедрение функционала второго приоритета там где, внедрен первичный. В остальных СП – внедрение функционала первого приоритета. IV. В центре – внедрение остального функционала. В остальных СП – внедрение функционала второго приоритета. V. Внедрение остального функционала во всех оставшихся СП. «Первостепенный функционал»:  то, что вас подвигло заняться внедрением;  те самые 20%, дающие 80% эффекта;  то, что можно сделать относительно быстро (quick win)
  7. 7. Выбор с полки • Опросите всех заинтересованных => Критерии выбора (SMART!) • Оцените вклад критерия в достижение целей (₽) => Вес по каждому • Формализуйте оценку по каждому критерию => снизим субъективизм и «интерференцию» • Стендированиепилотированиереференс => из теории в практику • Открытая формальная ПиМИ => известно что проверяют, как проверяют и как оценивают (просто сэкономите время) • Оценка большой группой экспертов => компенсация однобокости CISO Forum 2015 7
  8. 8. Импортозамещение…. • Дополнительная перспектива – «срочность» • Смотрите команду: их девелоперский потенциал, организацию разработки, план ближайших релизов, степень понимания задач • Архитектура с т.з. функционального расширения (API, уровни абстракции, модульность, стандартизация компонент, конфигурируемость...) • СУБД, ОС – сервисы IDM => рекомендация производителя • Внутренние процессы разработки и тестирования: виды тестирования, продуктовая безопасность… • Степень «рыночности» - небольшая защита от эксклюзивности  CISO Forum 2015 8
  9. 9. «Каша из топора» CISO Forum 2015 9 • Лицензия на готовый • Проект – внедрение, интеграция; наша только конфигурация • Функциональная этапность совпадает с планом релизов производителя • Партнерство: нам – продукт, производителю – слава + план развития + площадка обкатки • Заказная разработка • Проект – разработка под ТТ; результат полностью наш. • Функциональная этапность – наша. • Партнерство только на этапе проекта, дальнейшее развитие – наше. • Нечто среднее – Каша из топора • Мы платим за лицензии и инвестируем в продукт вендора • Мы неявно инвестируем ресурсы своей проектной команды • Результат – заказная разработка со всеми последствиями Почитать: http://reply-to-all.blogspot.ru/2010/04/blog-post.html
  10. 10. Советы по техническому решению CISO Forum 2015 10
  11. 11. Синхронизуемся по терминологии • Мы управляем доступом к Ресурсам • Ресурсы размещаются в Системе • Техническая роль – совокупность технических настроек прав и правил доступа к ресурсам, реализуемая ИС • Бизнес-роль – совокупность технических и бизнес-ролей, отражающая к-либо роль в бизнес-процессе Компании • SOD-конфликт – небезопасное совмещение CISO Forum 2015 11 Техническая роль 1 Техническая роль 2 Техническая роль 3 Бизнес роль 1 Бизнес роль 2 Бизнес роль ИР1 ИР2 ИС • Функциональная роль – роль в самом IDM (согласующий, например) • Ресертификация (по «кнопке», по расписанию, на основании «риска») – повторная проверка присвоения на актуальностьбезопасностьчто угодно
  12. 12. Следствия (для холдингов из множества ЮЛ) • Техническая роль привязана к ИС (это то, что может быть присвоено средствами ИС внутри ИС), ИС принадлежит Предприятию. • Бизнес-роль является отражением бизнес-процесса, может быть в рамках нескольких предприятий => может включать технические и бизнес-роли из разных предприятий. Владельцем такой бизнес роли должен быть ответственный за бизнес-процесс (например, руководитель БНБФ в ЦА). • Линейный руководитель – работник (руководитель) подразделения Пользователя согласно оргструктуре. • Линейный руководитель и Владелец роли (технической или бизнес-) не обязательно работают на одном предприятии CISO Forum 2015 12
  13. 13. Основные действующие лица CISO Forum 2015 13 Линейный руководитель «Владелец» Технической роли «Владелец» Бизнес- роли Отвечает за Эффективное обеспечение БП ресурсами его подразделения Правильное и эффективное использование его ИР Правильное исполнение своей роли участником БП с учетом его технологической оснащенности Управляет Людьми Технологическим обеспечением Бизнес-процессом или его частью Контролирует Свои производственные ресурсы Пользование технологическим обеспечением Обеспечение БП людскими и технологическими ресурсами
  14. 14. Дополнительные действующие лица CISO Forum 2015 14 Безопасность Внутренний контроль Информационные технологии Подтверждает соблюдение требований корп. политик. Обеспечивает расследование и оперативное реагирование на инциденты Отвечает за SOD-конфликты: ведет [в IDM] их учет и конфигурацию. При возникновении SOD-конфликтов в процессах КД – расследование их и принятие решения о предоставлении или отклонении доступа. Подтверждает возможность исполнения заявки (для заявок, исполняемых вручную / для систем, имеющих ограничения, например, по лицензиям или мощностям) Заявитель Инициатор ЛР Владелец ВК ИБ ИТ Пример маршрута согласования (бизнес-процесса)
  15. 15. На что похожа матрица SоD-конфликтов? (offtopic на примере из SAP) CISO Forum 2015 15 1 2 3
  16. 16. Заместители, Делегаты и Группы согласования • Делегаты • Может быть несколько у одного Согласующего • Включаются сразу • Отвечают за согласование набора ролей («функциональные заместители») • Заместители • Один у одного Согласующего • Включается по таймауту • Полностью замещает Согласующего • Вычисляется по штатной структуре • Группа согласования • Единая очередь доступная всем членам группы • Каждый может взять в работу заявку, она пропадает из видимой очереди остальных CISO Forum 2015 16
  17. 17. Требование к маршруту (бизнес-процессу) • Могут быть разные для разных типов заявок (по ИС, например) • Параллельное и последовательное согласование • Динамическое вычисление фактических согласующих • Функционал ДелегатовЗаместителейГрупп согласования • Поддержка включения подпроцессов • Оповещение об изменении статуса (позиции на маршруте): • Исполнение – инициатору и пользователю • Отклонение – инициатору, пользователю и всем, кто согласовал CISO Forum 2015 17
  18. 18. Бизнес-процессы Сотрудники • Прием на работу • Перемещение по должности • Увольнение • Изменение личных (некадровых) данных • Изменение ФИО • Изменение срока трудовой деятельности Роли • Назначение/продле ние срока действия ролей пользователю/долж ности • Лишение ролей • Создание бизнес- роли • Изменение бизнес- роли • Удаление бизнес- роли Ресурсы • Создание ресурса • Изменение ресурса • Удаление ресурса Оргструктуры • Создание виртуальной оргструктуры • Удаление виртуальной оргструктуры • Продление срока действия виртуальной оргструктуры Аудит • Соответствие доступа заявкам • Обнаружение неиспользуемых УЗ CISO Forum 2015 18
  19. 19. Электронная заявка – не аналог бумажной! CISO Forum 2015 19 Пользователь 1 Пользователь 2 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4 Заявка Пользователь 1 Роль 1 Пользователь 1 Роль 2 Пользователь 1 Роль 3 Пользователь 1 Роль 4 Пользователь 2 Пользователь 2 Пользователь 2 Пользователь 2 Роль 1 Роль 2 Роль 3 Роль 4 Пользователь 3 Пользователь 3 Пользователь 3 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4
  20. 20. Организационная структура и Ролевая модель • Определяет распределение ответственности и полномочий внутри организации • Оргструктуры могут приходить из HR и могут быть и заведены вручную (виртуальные) • Должно поддерживаться множество организационных структур, например, для • реализации совместительства должностей одним работником, • для удобного управления распределением полномочий в условиях разноплановых задач, решаемых одними и теми же работниками (матричная структура) • Позиция в любой оргструктуре используется для присвоения ролей. Роли, привязанные к позициям в оргструктуре – Основные роли. • Основные роли – привязываются пользователю автоматически (без дополнительного процесса согласования присвоения*). • Привязка конкретного пользователя к позиции в оргструктуре – Контекст пользователя. • Пользователю может соответствовать несколько контекстов (~ может выполнять разные функции на разных должностях). • Роли пользователю присваиваются и отнимаются в рамках контекстов. Роли, запрошенные по заявкам в том или ином контексте – Дополнительные роли. • SOD-конфликты не берут во внимание контексты и анализируются по всем ролям, присваиваемым пользователю (в рамках всего профиля пользователя).CISO Forum 2015 20
  21. 21. Ресертификация • «Мягкая» • Доступ сохраняется пока явно не подтвердили изъятие • «Жесткая» • Доступ сохраняется только если явно подтвердили сохранение • «Параметрическая» • Задан период сохранения доступа – «жесткая с отсрочкой» CISO Forum 2015 21
  22. 22. ОсновныеДополнительные роли и Контексты CISO Forum 2015 22 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1* К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 Основные роли для позиции К1.Д1.У1.О1.Г1.П1 Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1 Организационная группа К2 Организационная подгруппа Д2 Роль в группе П2 К2.Р1 К2.Р2 К2.Р3 Д2.Р1 Д2.Р2 П2.Р1 П2.Р2 П2.Р3 Контекст К2.Д2.П2:С1 пользователя С1 K2:С1.Р1 K2:С1.Р2 Ролевая модель для К1 * Любая роль IDM может быть и Дополнительной и Основной одновременно, поэтому данный признак не является свойством самой роли. Ролевая модель для К2 Основные роли для позиции К2.Д2.П2 Дополнительные роли для контекста К2.Д2.П2:С1
  23. 23. Работа с Основными ролями CISO Forum 2015 23 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1 К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Ролевая модель для К1 • Основные роли (ОР) назначаются Пользователю при официальном назначении в позицию П1. • ОР могут проходить процедуру согласования или присваиваться автоматически (по решению ИБ). • При уходе пользователя с П1 происходит «параметрическая ресертификация» || «жесткая» • Ресертификация согласуется новым линейным руководителем. • Согласованные по ресертфикации роли превращаются в дополнительные на новой позиции. Основные роли для позиции К1.Д1.У1.О1.Г1.П1
  24. 24. Работа с Дополнительными ролями CISO Forum 2015 24 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 Позиция П1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 • Дополнительные роли (ДР) «набираются» пользователем по заявкам через IDM. Контекст указывается при формировании заявки. • ДР всегда проходят процедуру согласования. • При уходе пользователя с П1 для всех ДР происходит «мягкая ресертификация» || «Параметрическая». • Ресертификация согласуется новым линейным руководителем. Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1
  25. 25. Путь в светлое будущее • Первой оргструктурой будет пришедшая из HR. • Первые Основные роли - «Работник предприятия» (почта, Интранет- портал), «Работник Департамента» (папка департамента) и т.п. • Первым контекстом будет «работник на определенной должности». • Основная масса присвоенных ролей через IDM – Дополнительные. • По мере анализа корпоративных бизнес-процессов – формирование Ролевой модели, появление Базовых ролей. • Необходимо выделение ресурсов на управление исключительно Ролевой моделью, поскольку она нестатична во времени, а ее адекватность полностью определяет эффективность IDM. CISO Forum 2015 25
  26. 26. CISO Forum 2015 26 Сергей Солдатов, CISA, CISSP @svsoldatov reply-to-all.blogspot.com Спасибо за Ваше внимание! Вопросывозраженияпредложения?

×