1. IDM – это непросто
Как можно решать эту задачу, о чем не
надо забывать
2. Преамбула
• Не претендую на истину, возможны альтернативы
• Мое личное мнение
• Буду пытаться обосновывать
• Надеюсь, будет полезно…
…ну, по крайней мере, смотивирует задуматься
CISO Forum 2015 2
4. Общие напутствия
• Ищите бизнес-цели, которую можно выразить в ₽
• Сокращение времени простоя новых сотрудников, сокращение времени
предоставления доступа, сокращение трудоемкости(==₽) присвоения,
сокращение ошибок присвоения, ….
• Определите заинтересованных лиц
• ИТ, ИБ, ДВК, HR, …
• Не нужен «функционал впрок»
• Тяжело угадать будущее, усилия на синхронизацию понимания, трудно
показать выгоду
• Работайте быстро
• Однако за время пути собака могла подрасти! (С. Маршак)
CISO Forum 2015 4
5. Бизнес-обоснования (идеи)
• Сокращение стоимости Контроля доступа: ~0,5млн заявок в год *
30мин. совок. трудоемкость * ~100т.р.мес стоимость
исполнителя = ₽156,25 млн
• Простой корп. бизнес-процессов: ~5 рд для при приеме (в год
приняли ~300 работников со средней стоимостью ~100т.р. =
₽7млн.), ~3рд – изменение доступа
• Накладные: расходные материалы копировальнойпечатной
техники, перегрузка систем общего назначения (почта, сетевые
папки), курьерская служба, ….
• Риски ИБ (поздний отъем доступа уволенных, «человеческий
фактор» при исполнении заявок, история присвоения)
CISO Forum 2015 5
6. Функциональная и географическая этапность
CISO Forum 2015
6
География
Функционал
Центр Ключевые Остальные
Первостепенный
функционал
Второстепенный
функционал
Остальной
функционал
I II
III
III
IV
IV
V
I. Внедрение функционала первого приоритета
в Центре компетенции.
II. Тираж функционала первого приоритета на
ключевые регионыДОподразделения (СП).
III. Внедрение функционала второго приоритета
там где, внедрен первичный. В остальных СП –
внедрение функционала первого приоритета.
IV. В центре – внедрение остального
функционала. В остальных СП – внедрение
функционала второго приоритета.
V. Внедрение остального функционала во всех
оставшихся СП.
«Первостепенный функционал»:
то, что вас подвигло заняться внедрением;
те самые 20%, дающие 80% эффекта;
то, что можно сделать относительно быстро
(quick win)
7. Выбор с полки
• Опросите всех заинтересованных => Критерии выбора (SMART!)
• Оцените вклад критерия в достижение целей (₽) => Вес по каждому
• Формализуйте оценку по каждому критерию => снизим субъективизм
и «интерференцию»
• Стендированиепилотированиереференс => из теории в практику
• Открытая формальная ПиМИ => известно что проверяют, как
проверяют и как оценивают (просто сэкономите время)
• Оценка большой группой экспертов => компенсация однобокости
CISO Forum 2015 7
8. Импортозамещение….
• Дополнительная перспектива – «срочность»
• Смотрите команду: их девелоперский потенциал, организацию
разработки, план ближайших релизов, степень понимания задач
• Архитектура с т.з. функционального расширения (API, уровни
абстракции, модульность, стандартизация компонент,
конфигурируемость...)
• СУБД, ОС – сервисы IDM => рекомендация производителя
• Внутренние процессы разработки и тестирования: виды
тестирования, продуктовая безопасность…
• Степень «рыночности» - небольшая защита от эксклюзивности
CISO Forum 2015 8
9. «Каша из топора»
CISO Forum 2015 9
• Лицензия на готовый
• Проект – внедрение, интеграция; наша только конфигурация
• Функциональная этапность совпадает с планом релизов производителя
• Партнерство: нам – продукт, производителю – слава + план развития + площадка
обкатки
• Заказная разработка
• Проект – разработка под ТТ; результат полностью наш.
• Функциональная этапность – наша.
• Партнерство только на этапе проекта, дальнейшее развитие – наше.
• Нечто среднее – Каша из топора
• Мы платим за лицензии и инвестируем в продукт вендора
• Мы неявно инвестируем ресурсы своей проектной команды
• Результат – заказная разработка со всеми последствиями
Почитать: http://reply-to-all.blogspot.ru/2010/04/blog-post.html
11. Синхронизуемся по терминологии
• Мы управляем доступом к Ресурсам
• Ресурсы размещаются в Системе
• Техническая роль – совокупность
технических настроек прав и правил
доступа к ресурсам, реализуемая ИС
• Бизнес-роль – совокупность технических и
бизнес-ролей, отражающая к-либо роль в
бизнес-процессе Компании
• SOD-конфликт – небезопасное совмещение
CISO Forum 2015 11
Техническая роль 1
Техническая роль 2
Техническая роль 3
Бизнес роль 1
Бизнес роль 2
Бизнес
роль
ИР1
ИР2 ИС
• Функциональная роль – роль в самом IDM (согласующий, например)
• Ресертификация (по «кнопке», по расписанию, на основании «риска») –
повторная проверка присвоения на актуальностьбезопасностьчто угодно
12. Следствия (для холдингов из множества ЮЛ)
• Техническая роль привязана к ИС (это то, что может быть присвоено
средствами ИС внутри ИС), ИС принадлежит Предприятию.
• Бизнес-роль является отражением бизнес-процесса, может быть в
рамках нескольких предприятий => может включать технические
и бизнес-роли из разных предприятий. Владельцем такой бизнес
роли должен быть ответственный за бизнес-процесс (например,
руководитель БНБФ в ЦА).
• Линейный руководитель – работник (руководитель)
подразделения Пользователя согласно оргструктуре.
• Линейный руководитель и Владелец роли (технической или
бизнес-) не обязательно работают на одном предприятии
CISO Forum 2015 12
13. Основные действующие лица
CISO Forum 2015 13
Линейный
руководитель
«Владелец»
Технической роли
«Владелец» Бизнес-
роли
Отвечает за
Эффективное
обеспечение БП
ресурсами его
подразделения
Правильное и
эффективное
использование его ИР
Правильное исполнение
своей роли участником
БП с учетом его
технологической
оснащенности
Управляет Людьми
Технологическим
обеспечением
Бизнес-процессом или
его частью
Контролирует
Свои
производственные
ресурсы
Пользование
технологическим
обеспечением
Обеспечение БП
людскими и
технологическими
ресурсами
14. Дополнительные действующие лица
CISO Forum 2015 14
Безопасность Внутренний контроль
Информационные
технологии
Подтверждает соблюдение
требований корп. политик.
Обеспечивает расследование
и оперативное реагирование
на инциденты
Отвечает за SOD-конфликты:
ведет [в IDM] их учет и
конфигурацию. При
возникновении SOD-конфликтов
в процессах КД – расследование
их и принятие решения о
предоставлении или отклонении
доступа.
Подтверждает возможность
исполнения заявки (для
заявок, исполняемых
вручную / для систем,
имеющих ограничения,
например, по лицензиям
или мощностям)
Заявитель
Инициатор
ЛР Владелец ВК ИБ ИТ
Пример маршрута согласования (бизнес-процесса)
15. На что похожа матрица SоD-конфликтов?
(offtopic на примере из SAP)
CISO Forum 2015 15
1
2
3
16. Заместители, Делегаты и Группы согласования
• Делегаты
• Может быть несколько у одного Согласующего
• Включаются сразу
• Отвечают за согласование набора ролей («функциональные заместители»)
• Заместители
• Один у одного Согласующего
• Включается по таймауту
• Полностью замещает Согласующего
• Вычисляется по штатной структуре
• Группа согласования
• Единая очередь доступная всем членам группы
• Каждый может взять в работу заявку, она пропадает из видимой очереди
остальных CISO Forum 2015 16
17. Требование к маршруту (бизнес-процессу)
• Могут быть разные для разных типов заявок (по ИС, например)
• Параллельное и последовательное согласование
• Динамическое вычисление фактических согласующих
• Функционал ДелегатовЗаместителейГрупп согласования
• Поддержка включения подпроцессов
• Оповещение об изменении статуса (позиции на маршруте):
• Исполнение – инициатору и пользователю
• Отклонение – инициатору, пользователю и всем, кто согласовал
CISO Forum 2015 17
18. Бизнес-процессы
Сотрудники
• Прием на работу
• Перемещение по
должности
• Увольнение
• Изменение личных
(некадровых)
данных
• Изменение ФИО
• Изменение срока
трудовой
деятельности
Роли
• Назначение/продле
ние срока действия
ролей
пользователю/долж
ности
• Лишение ролей
• Создание бизнес-
роли
• Изменение бизнес-
роли
• Удаление бизнес-
роли
Ресурсы
• Создание ресурса
• Изменение ресурса
• Удаление ресурса
Оргструктуры
• Создание
виртуальной
оргструктуры
• Удаление
виртуальной
оргструктуры
• Продление срока
действия
виртуальной
оргструктуры
Аудит
• Соответствие
доступа заявкам
• Обнаружение
неиспользуемых УЗ
CISO Forum 2015 18
19. Электронная заявка – не аналог бумажной!
CISO Forum 2015 19
Пользователь 1
Пользователь 2
Пользователь 3
Роль 1
Роль 2
Роль 3
Роль 4
Заявка
Пользователь 1
Роль 1
Пользователь 1
Роль 2
Пользователь 1
Роль 3
Пользователь 1
Роль 4
Пользователь 2
Пользователь 2
Пользователь 2
Пользователь 2
Роль 1
Роль 2
Роль 3
Роль 4
Пользователь 3
Пользователь 3
Пользователь 3
Пользователь 3
Роль 1
Роль 2
Роль 3
Роль 4
20. Организационная структура и Ролевая модель
• Определяет распределение ответственности и полномочий внутри организации
• Оргструктуры могут приходить из HR и могут быть и заведены вручную (виртуальные)
• Должно поддерживаться множество организационных структур, например, для
• реализации совместительства должностей одним работником,
• для удобного управления распределением полномочий в условиях разноплановых задач,
решаемых одними и теми же работниками (матричная структура)
• Позиция в любой оргструктуре используется для присвоения ролей. Роли, привязанные к
позициям в оргструктуре – Основные роли.
• Основные роли – привязываются пользователю автоматически (без дополнительного
процесса согласования присвоения*).
• Привязка конкретного пользователя к позиции в оргструктуре – Контекст пользователя.
• Пользователю может соответствовать несколько контекстов (~ может выполнять разные
функции на разных должностях).
• Роли пользователю присваиваются и отнимаются в рамках контекстов. Роли, запрошенные по
заявкам в том или ином контексте – Дополнительные роли.
• SOD-конфликты не берут во внимание контексты и анализируются по всем ролям,
присваиваемым пользователю (в рамках всего профиля пользователя).CISO Forum 2015
20
21. Ресертификация
• «Мягкая»
• Доступ сохраняется пока явно не подтвердили изъятие
• «Жесткая»
• Доступ сохраняется только если явно подтвердили сохранение
• «Параметрическая»
• Задан период сохранения доступа – «жесткая с отсрочкой»
CISO Forum 2015 21
22. ОсновныеДополнительные роли и Контексты
CISO Forum 2015
22
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
К1.Р1*
К1.Д1.Р1
К1.Д1.Р2
К1.Д1.У1.Р1
К1.Д1.У1.О1.Р1
К1.Д1.У1.О1.Р2
К1.Д1.У1.О1.Г1.Р1
К1.Д1.У1.О1.Г1.Р2
К1.Д1.У1.О1.Г1.Р3
К1.Д1.У1.О1.Г1.Р4
Позиция П1
К1.Д1.У1.О1.Г1.П1.Р1
Пользователь С1
K1:С1.Р1
K1:С1.Р2
K1:С1.Р3
K1:С1.Р4
Основные роли для позиции
К1.Д1.У1.О1.Г1.П1
Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1
Дополнительные роли для
контекста К1.Д1.У1.О1.Г1.П1:С1
Организационная
группа К2
Организационная
подгруппа Д2
Роль в группе П2
К2.Р1
К2.Р2
К2.Р3
Д2.Р1
Д2.Р2
П2.Р1
П2.Р2
П2.Р3
Контекст К2.Д2.П2:С1 пользователя С1
K2:С1.Р1
K2:С1.Р2
Ролевая модель для К1
* Любая роль IDM может быть и Дополнительной и Основной
одновременно, поэтому данный признак не является
свойством самой роли.
Ролевая модель для К2
Основные роли для позиции
К2.Д2.П2
Дополнительные роли для
контекста К2.Д2.П2:С1
23. Работа с Основными ролями
CISO Forum 2015 23
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
К1.Р1
К1.Д1.Р1
К1.Д1.Р2
К1.Д1.У1.Р1
К1.Д1.У1.О1.Р1
К1.Д1.У1.О1.Р2
К1.Д1.У1.О1.Г1.Р1
К1.Д1.У1.О1.Г1.Р2
К1.Д1.У1.О1.Г1.Р3
К1.Д1.У1.О1.Г1.Р4
Позиция П1
К1.Д1.У1.О1.Г1.П1.Р1
Ролевая модель для К1
• Основные роли (ОР) назначаются Пользователю
при официальном назначении в позицию П1.
• ОР могут проходить процедуру согласования или
присваиваться автоматически (по решению ИБ).
• При уходе пользователя с П1 происходит
«параметрическая ресертификация» || «жесткая»
• Ресертификация согласуется новым линейным
руководителем.
• Согласованные по ресертфикации роли
превращаются в дополнительные на новой
позиции.
Основные роли для позиции
К1.Д1.У1.О1.Г1.П1
24. Работа с Дополнительными ролями
CISO Forum 2015 24
Компания К1
Департамент Д1
Управление У1
Отдел О1
Группа Г1
Позиция П1
Пользователь С1
K1:С1.Р1
K1:С1.Р2
K1:С1.Р3
K1:С1.Р4
• Дополнительные роли (ДР) «набираются» пользователем по
заявкам через IDM. Контекст указывается при формировании
заявки.
• ДР всегда проходят процедуру согласования.
• При уходе пользователя с П1 для всех ДР происходит «мягкая
ресертификация» || «Параметрическая».
• Ресертификация согласуется новым линейным руководителем.
Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1
Дополнительные роли для
контекста К1.Д1.У1.О1.Г1.П1:С1
25. Путь в светлое будущее
• Первой оргструктурой будет пришедшая из HR.
• Первые Основные роли - «Работник предприятия» (почта, Интранет-
портал), «Работник Департамента» (папка департамента) и т.п.
• Первым контекстом будет «работник на определенной должности».
• Основная масса присвоенных ролей через IDM – Дополнительные.
• По мере анализа корпоративных бизнес-процессов – формирование
Ролевой модели, появление Базовых ролей.
• Необходимо выделение ресурсов на управление исключительно
Ролевой моделью, поскольку она нестатична во времени, а ее
адекватность полностью определяет эффективность IDM.
CISO Forum 2015 25
26. CISO Forum 2015 26
Сергей Солдатов, CISA, CISSP
@svsoldatov
reply-to-all.blogspot.com
Спасибо за Ваше внимание!
Вопросывозраженияпредложения?