Embed Size (px)
Citation preview
IDM – это непростоКак можно решать эту задачу, о чем не
надо забывать
Преамбула
• Не претендую на истину, возможны альтернативы
• Мое личное мнение
• Буду пытаться обосновывать
• Надеюсь, будет полезно…
…ну, по крайней мере, смотивирует задуматься
CISO Forum 2015 2
Советы по организации работ на проекте
CISO Forum 2015 3
Общие напутствия
• Ищите бизнес-цели, которую можно выразить в ₽• Сокращение времени простоя новых сотрудников, сокращение времени
предоставления доступа, сокращение трудоемкости(==₽) присвоения, сокращение ошибок присвоения, ….
• Определите заинтересованных лиц
• ИТ, ИБ, ДВК, HR, …
• Не нужен «функционал впрок»
• Тяжело угадать будущее, усилия на синхронизацию понимания, трудно показать выгоду
• Работайте быстро
• Однако за время пути собака могла подрасти! (С. Маршак)
CISO Forum 2015 4
Бизнес-обоснования (идеи)
• Сокращение стоимости Контроля доступа: ~0,5млн заявок в год * 30мин. совок. трудоемкость * ~100т.р.\мес стоимость исполнителя = ₽156,25 млн
• Простой корп. бизнес-процессов: ~5 р\д для при приеме (в год приняли ~300 работников со средней стоимостью ~100т.р. = ₽7млн.), ~3р\д – изменение доступа
• Накладные: расходные материалы копировальной\печатной техники, перегрузка систем общего назначения (почта, сетевые папки), курьерская служба, ….
• Риски ИБ (поздний отъем доступа уволенных, «человеческий фактор» при исполнении заявок, история присвоения)
CISO Forum 2015 5
Функциональная и географическая этапность
CISO Forum 2015
6
География
Функционал
Центр Ключевые Остальные
Первостепенный функционал
Второстепенный функционал
Остальной функционал
I II
III
III
IV
IV
V
I. Внедрение функционала первого приоритета в Центре компетенции.
II. Тираж функционала первого приоритета на ключевые регионы\ДО\подразделения (СП).
III. Внедрение функционала второго приоритета там где, внедрен первичный. В остальных СП –внедрение функционала первого приоритета.
IV. В центре – внедрение остального функционала. В остальных СП – внедрение функционала второго приоритета.
V. Внедрение остального функционала во всех оставшихся СП.
«Первостепенный функционал»: то, что вас подвигло заняться внедрением; те самые 20%, дающие 80% эффекта; то, что можно сделать относительно быстро
(quick win)
Выбор с полки
• Опросите всех заинтересованных => Критерии выбора (SMART!)
• Оцените вклад критерия в достижение целей (₽) => Вес по каждому
• Формализуйте оценку по каждому критерию => снизим субъективизм и «интерференцию»
• Стендирование\пилотирование\референс => из теории в практику
• Открытая формальная ПиМИ => известно что проверяют, как проверяют и как оценивают (просто сэкономите время)
• Оценка большой группой экспертов => компенсация однобокости
CISO Forum 2015 7
Импортозамещение….
• Дополнительная перспектива – «срочность»
• Смотрите команду: их девелоперский потенциал, организацию разработки, план ближайших релизов, степень понимания задач
• Архитектура с т.з. функционального расширения (API, уровни абстракции, модульность, стандартизация компонент, конфигурируемость...)
• СУБД, ОС – сервисы IDM => рекомендация производителя
• Внутренние процессы разработки и тестирования: виды тестирования, продуктовая безопасность…
• Степень «рыночности» - небольшая защита от эксклюзивности
CISO Forum 2015 8
«Каша из топора»
CISO Forum 2015 9
• Лицензия на готовый• Проект – внедрение, интеграция; наша только конфигурация
• Функциональная этапность совпадает с планом релизов производителя
• Партнерство: нам – продукт, производителю – слава + план развития + площадка обкатки
• Заказная разработка• Проект – разработка под ТТ; результат полностью наш.
• Функциональная этапность – наша.
• Партнерство только на этапе проекта, дальнейшее развитие – наше.
• Нечто среднее – Каша из топора• Мы платим за лицензии и инвестируем в продукт вендора
• Мы неявно инвестируем ресурсы своей проектной команды
• Результат – заказная разработка со всеми последствиями
Почитать: http://reply-to-all.blogspot.ru/2010/04/blog-post.html
Советы по техническому решению
CISO Forum 2015 10
Синхронизуемся по терминологии
• Мы управляем доступом к Ресурсам
• Ресурсы размещаются в Системе
• Техническая роль – совокупность технических настроек прав и правил доступа к ресурсам, реализуемая ИС
• Бизнес-роль – совокупность технических и бизнес-ролей, отражающая к-либо роль в бизнес-процессе Компании
• SOD-конфликт – небезопасное совмещение
CISO Forum 2015 11
Техническая роль 1
Техническая роль 2
Техническая роль 3
Бизнес роль 1
Бизнес роль 2
Бизнес роль
ИР1
ИР2 ИС
• Функциональная роль – роль в самом IDM (согласующий, например)
• Ресертификация (по «кнопке», по расписанию, на основании «риска») –повторная проверка присвоения на актуальность\безопасность\что угодно
Следствия (для холдингов из множества ЮЛ)
• Техническая роль привязана к ИС (это то, что может быть присвоено
средствами ИС внутри ИС), ИС принадлежит Предприятию.
• Бизнес-роль является отражением бизнес-процесса, может быть в рамках нескольких предприятий => может включать технические и бизнес-роли из разных предприятий. Владельцем такой бизнес роли должен быть ответственный за бизнес-процесс (например,
руководитель БН\БФ в ЦА).
• Линейный руководитель – работник (руководитель) подразделения Пользователя согласно оргструктуре.
• Линейный руководитель и Владелец роли (технической или бизнес-) не обязательно работают на одном предприятии
CISO Forum 2015 12
Основные действующие лица
CISO Forum 2015 13
Линейный руководитель
«Владелец» Технической роли
«Владелец» Бизнес-роли
Отвечает за
Эффективное обеспечение БП ресурсами его подразделения
Правильное и эффективноеиспользование его ИР
Правильное исполнениесвоей роли участником БП с учетом его технологической оснащенности
Управляет ЛюдьмиТехнологическимобеспечением
Бизнес-процессом илиего частью
КонтролируетСвои производственные ресурсы
Пользованиетехнологическим обеспечением
Обеспечение БП людскими и технологическими ресурсами
Дополнительные действующие лица
CISO Forum 2015 14
Безопасность Внутренний контрольИнформационные
технологии
Подтверждает соблюдение требований корп. политик.
Обеспечивает расследование и оперативное реагирование на инциденты
Отвечает за SOD-конфликты:ведет [в IDM] их учет и конфигурацию. При возникновении SOD-конфликтов в процессах КД – расследование их и принятие решения о предоставлении или отклонении доступа.
Подтверждает возможность исполнения заявки (для заявок, исполняемых вручную / для систем, имеющих ограничения, например, по лицензиям или мощностям)
Заявитель\Инициатор
ЛР Владелец ВК ИБ ИТ
Пример маршрута согласования (бизнес-процесса)
На что похожа матрица SоD-конфликтов?(offtopic на примере из SAP)
CISO Forum 2015 15
1
2
3
Заместители, Делегаты и Группы согласования
• Делегаты• Может быть несколько у одного Согласующего
• Включаются сразу
• Отвечают за согласование набора ролей («функциональные заместители»)
• Заместители• Один у одного Согласующего
• Включается по таймауту
• Полностью замещает Согласующего
• Вычисляется по штатной структуре
• Группа согласования• Единая очередь доступная всем членам группы
• Каждый может взять в работу заявку, она пропадает из видимой очереди остальных
CISO Forum 2015 16
Требование к маршруту (бизнес-процессу)
• Могут быть разные для разных типов заявок (по ИС, например)
• Параллельное и последовательное согласование
• Динамическое вычисление фактических согласующих
• Функционал Делегатов\Заместителей\Групп согласования
• Поддержка включения подпроцессов
• Оповещение об изменении статуса (позиции на маршруте):• Исполнение – инициатору и пользователю
• Отклонение – инициатору, пользователю и всем, кто согласовал
CISO Forum 2015 17
Бизнес-процессы
Сотрудники
• Прием на работу
• Перемещение по должности
• Увольнение
• Изменение личных (некадровых) данных
• Изменение ФИО
• Изменение срока трудовой деятельности
Роли
• Назначение/продление срока действия ролей пользователю/должности
• Лишение ролей
• Создание бизнес-роли
• Изменение бизнес-роли
• Удаление бизнес-роли
Ресурсы
• Создание ресурса
• Изменение ресурса
• Удаление ресурса
Оргструктуры
• Создание виртуальной оргструктуры
• Удаление виртуальной оргструктуры
• Продление срока действия виртуальной оргструктуры
Аудит
• Соответствие доступа заявкам
• Обнаружение неиспользуемых УЗ
CISO Forum 2015 18
Электронная заявка – не аналог бумажной!
CISO Forum 2015 19
Пользователь 1
Пользователь 2
Пользователь 3
Роль 1
Роль 2
Роль 3
Роль 4
Заявка
Пользователь 1
Роль 1
Пользователь 1
Роль 2
Пользователь 1
Роль 3
Пользователь 1
Роль 4
Пользователь 2
Пользователь 2
Пользователь 2
Пользователь 2
Роль 1
Роль 2
Роль 3
Роль 4
Пользователь 3
Пользователь 3
Пользователь 3
Пользователь 3
Роль 1
Роль 2
Роль 3
Роль 4
Организационная структура и Ролевая модель• Определяет распределение ответственности и полномочий внутри организации• Оргструктуры могут приходить из HR и могут быть и заведены вручную (виртуальные)• Должно поддерживаться множество организационных структур, например, для
• реализации совместительства должностей одним работником, • для удобного управления распределением полномочий в условиях разноплановых задач,
решаемых одними и теми же работниками (матричная структура)• Позиция в любой оргструктуре используется для присвоения ролей. Роли, привязанные к
позициям в оргструктуре – Основные роли.• Основные роли – привязываются пользователю автоматически (без дополнительного
процесса согласования присвоения*).• Привязка конкретного пользователя к позиции в оргструктуре – Контекст пользователя.• Пользователю может соответствовать несколько контекстов (~ может выполнять разные
функции на разных должностях).• Роли пользователю присваиваются и отнимаются в рамках контекстов. Роли, запрошенные по
заявкам в том или ином контексте – Дополнительные роли.• SOD-конфликты не берут во внимание контексты и анализируются по всем ролям,
присваиваемым пользователю (в рамках всего профиля пользователя).CISO Forum 2015
20
Ресертификация
• «Мягкая»• Доступ сохраняется пока явно не подтвердили изъятие
• «Жесткая»• Доступ сохраняется только если явно подтвердили сохранение
• «Параметрическая»• Задан период сохранения доступа – «жесткая с отсрочкой»
CISO Forum 2015 21
Основные\Дополнительные роли и Контексты
CISO Forum 2015 22
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
К1.Р1*
К1.Д1.Р1К1.Д1.Р2
К1.Д1.У1.Р1
К1.Д1.У1.О1.Р1К1.Д1.У1.О1.Р2
К1.Д1.У1.О1.Г1.Р1К1.Д1.У1.О1.Г1.Р2К1.Д1.У1.О1.Г1.Р3К1.Д1.У1.О1.Г1.Р4
Позиция П1К1.Д1.У1.О1.Г1.П1.Р1
Пользователь С1K1:С1.Р1K1:С1.Р2K1:С1.Р3K1:С1.Р4
Основные роли для позиции К1.Д1.У1.О1.Г1.П1
Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1
Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1
Организационная группа К2
Организационная подгруппа Д2
Роль в группе П2
К2.Р1К2.Р2К2.Р3
Д2.Р1Д2.Р2
П2.Р1П2.Р2П2.Р3
Контекст К2.Д2.П2:С1 пользователя С1
K2:С1.Р1K2:С1.Р2
Ролевая модель для К1
* Любая роль IDM может быть и Дополнительной и Основной одновременно, поэтому данный признак не является свойством самой роли.
Ролевая модель для К2
Основные роли для позиции К2.Д2.П2
Дополнительные роли для контекста К2.Д2.П2:С1
Работа с Основными ролями
CISO Forum 2015 23
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
К1.Р1
К1.Д1.Р1К1.Д1.Р2
К1.Д1.У1.Р1
К1.Д1.У1.О1.Р1К1.Д1.У1.О1.Р2
К1.Д1.У1.О1.Г1.Р1К1.Д1.У1.О1.Г1.Р2К1.Д1.У1.О1.Г1.Р3К1.Д1.У1.О1.Г1.Р4
Позиция П1К1.Д1.У1.О1.Г1.П1.Р1
Ролевая модель для К1
• Основные роли (ОР) назначаются Пользователю при официальном назначении в позицию П1.
• ОР могут проходить процедуру согласования или присваиваться автоматически (по решению ИБ).
• При уходе пользователя с П1 происходит «параметрическая ресертификация» || «жесткая»
• Ресертификация согласуется новым линейным руководителем.
• Согласованные по ресертфикации роли превращаются в дополнительные на новой позиции.
Основные роли для позиции К1.Д1.У1.О1.Г1.П1
Работа с Дополнительными ролями
CISO Forum 2015 24
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
Позиция П1
Пользователь С1
K1:С1.Р1K1:С1.Р2K1:С1.Р3K1:С1.Р4
• Дополнительные роли (ДР) «набираются» пользователем по заявкам через IDM. Контекст указывается при формировании заявки.
• ДР всегда проходят процедуру согласования.
• При уходе пользователя с П1 для всех ДР происходит «мягкая ресертификация» || «Параметрическая».
• Ресертификация согласуется новым линейным руководителем.
Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1
Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1
Путь в светлое будущее
• Первой оргструктурой будет пришедшая из HR.
• Первые Основные роли - «Работник предприятия» (почта, Интранет-портал), «Работник Департамента» (папка департамента) и т.п.
• Первым контекстом будет «работник на определенной должности».
• Основная масса присвоенных ролей через IDM – Дополнительные.
• По мере анализа корпоративных бизнес-процессов – формирование Ролевой модели, появление Базовых ролей.
• Необходимо выделение ресурсов на управление исключительно Ролевой моделью, поскольку она нестатична во времени, а ее адекватность полностью определяет эффективность IDM.
CISO Forum 2015 25
CISO Forum 2015 26
Сергей Солдатов, CISA, CISSP
@svsoldatovreply-to-all.blogspot.com
Спасибо за Ваше внимание!
Вопросы\возражения\предложения?
