SlideShare ist ein Scribd-Unternehmen logo

IDM - это непросто!

Sergey Soldatov
Sergey Soldatov

Презентация читалась на межотраслевом форуме директоров по ИБ. Содержит практические вопросы проектирования и внедрения решений IDM

Technologie
1 von 26
Downloaden Sie, um offline zu lesen
IDM – это непросто Как можно решать эту задачу, о чем не надо забывать
Преамбула • Не претендую на истину, возможны альтернативы • Мое личное мнение • Буду пытаться обосновывать • Надеюсь, будет полезно… …ну, по крайней мере, смотивирует задуматься CISO Forum 2015 2
Советы по организации работ на проекте CISO Forum 2015 3
Общие напутствия • Ищите бизнес-цели, которую можно выразить в ₽ • Сокращение времени простоя новых сотрудников, сокращение времени предоставления доступа, сокращение трудоемкости(==₽) присвоения, сокращение ошибок присвоения, …. • Определите заинтересованных лиц • ИТ, ИБ, ДВК, HR, … • Не нужен «функционал впрок» • Тяжело угадать будущее, усилия на синхронизацию понимания, трудно показать выгоду • Работайте быстро • Однако за время пути собака могла подрасти! (С. Маршак) CISO Forum 2015 4
Бизнес-обоснования (идеи) • Сокращение стоимости Контроля доступа: ~0,5млн заявок в год * 30мин. совок. трудоемкость * ~100т.р.мес стоимость исполнителя = ₽156,25 млн • Простой корп. бизнес-процессов: ~5 рд для при приеме (в год приняли ~300 работников со средней стоимостью ~100т.р. = ₽7млн.), ~3рд – изменение доступа • Накладные: расходные материалы копировальнойпечатной техники, перегрузка систем общего назначения (почта, сетевые папки), курьерская служба, …. • Риски ИБ (поздний отъем доступа уволенных, «человеческий фактор» при исполнении заявок, история присвоения) CISO Forum 2015 5
Функциональная и географическая этапность CISO Forum 2015 6 География Функционал Центр Ключевые Остальные Первостепенный функционал Второстепенный функционал Остальной функционал I II III III IV IV V I. Внедрение функционала первого приоритета в Центре компетенции. II. Тираж функционала первого приоритета на ключевые регионыДОподразделения (СП). III. Внедрение функционала второго приоритета там где, внедрен первичный. В остальных СП – внедрение функционала первого приоритета. IV. В центре – внедрение остального функционала. В остальных СП – внедрение функционала второго приоритета. V. Внедрение остального функционала во всех оставшихся СП. «Первостепенный функционал»:  то, что вас подвигло заняться внедрением;  те самые 20%, дающие 80% эффекта;  то, что можно сделать относительно быстро (quick win)
Выбор с полки • Опросите всех заинтересованных => Критерии выбора (SMART!) • Оцените вклад критерия в достижение целей (₽) => Вес по каждому • Формализуйте оценку по каждому критерию => снизим субъективизм и «интерференцию» • Стендированиепилотированиереференс => из теории в практику • Открытая формальная ПиМИ => известно что проверяют, как проверяют и как оценивают (просто сэкономите время) • Оценка большой группой экспертов => компенсация однобокости CISO Forum 2015 7
Импортозамещение…. • Дополнительная перспектива – «срочность» • Смотрите команду: их девелоперский потенциал, организацию разработки, план ближайших релизов, степень понимания задач • Архитектура с т.з. функционального расширения (API, уровни абстракции, модульность, стандартизация компонент, конфигурируемость...) • СУБД, ОС – сервисы IDM => рекомендация производителя • Внутренние процессы разработки и тестирования: виды тестирования, продуктовая безопасность… • Степень «рыночности» - небольшая защита от эксклюзивности  CISO Forum 2015 8
«Каша из топора» CISO Forum 2015 9 • Лицензия на готовый • Проект – внедрение, интеграция; наша только конфигурация • Функциональная этапность совпадает с планом релизов производителя • Партнерство: нам – продукт, производителю – слава + план развития + площадка обкатки • Заказная разработка • Проект – разработка под ТТ; результат полностью наш. • Функциональная этапность – наша. • Партнерство только на этапе проекта, дальнейшее развитие – наше. • Нечто среднее – Каша из топора • Мы платим за лицензии и инвестируем в продукт вендора • Мы неявно инвестируем ресурсы своей проектной команды • Результат – заказная разработка со всеми последствиями Почитать: http://reply-to-all.blogspot.ru/2010/04/blog-post.html
Советы по техническому решению CISO Forum 2015 10
Синхронизуемся по терминологии • Мы управляем доступом к Ресурсам • Ресурсы размещаются в Системе • Техническая роль – совокупность технических настроек прав и правил доступа к ресурсам, реализуемая ИС • Бизнес-роль – совокупность технических и бизнес-ролей, отражающая к-либо роль в бизнес-процессе Компании • SOD-конфликт – небезопасное совмещение CISO Forum 2015 11 Техническая роль 1 Техническая роль 2 Техническая роль 3 Бизнес роль 1 Бизнес роль 2 Бизнес роль ИР1 ИР2 ИС • Функциональная роль – роль в самом IDM (согласующий, например) • Ресертификация (по «кнопке», по расписанию, на основании «риска») – повторная проверка присвоения на актуальностьбезопасностьчто угодно
Следствия (для холдингов из множества ЮЛ) • Техническая роль привязана к ИС (это то, что может быть присвоено средствами ИС внутри ИС), ИС принадлежит Предприятию. • Бизнес-роль является отражением бизнес-процесса, может быть в рамках нескольких предприятий => может включать технические и бизнес-роли из разных предприятий. Владельцем такой бизнес роли должен быть ответственный за бизнес-процесс (например, руководитель БНБФ в ЦА). • Линейный руководитель – работник (руководитель) подразделения Пользователя согласно оргструктуре. • Линейный руководитель и Владелец роли (технической или бизнес-) не обязательно работают на одном предприятии CISO Forum 2015 12
Основные действующие лица CISO Forum 2015 13 Линейный руководитель «Владелец» Технической роли «Владелец» Бизнес- роли Отвечает за Эффективное обеспечение БП ресурсами его подразделения Правильное и эффективное использование его ИР Правильное исполнение своей роли участником БП с учетом его технологической оснащенности Управляет Людьми Технологическим обеспечением Бизнес-процессом или его частью Контролирует Свои производственные ресурсы Пользование технологическим обеспечением Обеспечение БП людскими и технологическими ресурсами
Дополнительные действующие лица CISO Forum 2015 14 Безопасность Внутренний контроль Информационные технологии Подтверждает соблюдение требований корп. политик. Обеспечивает расследование и оперативное реагирование на инциденты Отвечает за SOD-конфликты: ведет [в IDM] их учет и конфигурацию. При возникновении SOD-конфликтов в процессах КД – расследование их и принятие решения о предоставлении или отклонении доступа. Подтверждает возможность исполнения заявки (для заявок, исполняемых вручную / для систем, имеющих ограничения, например, по лицензиям или мощностям) Заявитель Инициатор ЛР Владелец ВК ИБ ИТ Пример маршрута согласования (бизнес-процесса)
На что похожа матрица SоD-конфликтов? (offtopic на примере из SAP) CISO Forum 2015 15 1 2 3
Заместители, Делегаты и Группы согласования • Делегаты • Может быть несколько у одного Согласующего • Включаются сразу • Отвечают за согласование набора ролей («функциональные заместители») • Заместители • Один у одного Согласующего • Включается по таймауту • Полностью замещает Согласующего • Вычисляется по штатной структуре • Группа согласования • Единая очередь доступная всем членам группы • Каждый может взять в работу заявку, она пропадает из видимой очереди остальных CISO Forum 2015 16
Требование к маршруту (бизнес-процессу) • Могут быть разные для разных типов заявок (по ИС, например) • Параллельное и последовательное согласование • Динамическое вычисление фактических согласующих • Функционал ДелегатовЗаместителейГрупп согласования • Поддержка включения подпроцессов • Оповещение об изменении статуса (позиции на маршруте): • Исполнение – инициатору и пользователю • Отклонение – инициатору, пользователю и всем, кто согласовал CISO Forum 2015 17
Бизнес-процессы Сотрудники • Прием на работу • Перемещение по должности • Увольнение • Изменение личных (некадровых) данных • Изменение ФИО • Изменение срока трудовой деятельности Роли • Назначение/продле ние срока действия ролей пользователю/долж ности • Лишение ролей • Создание бизнес- роли • Изменение бизнес- роли • Удаление бизнес- роли Ресурсы • Создание ресурса • Изменение ресурса • Удаление ресурса Оргструктуры • Создание виртуальной оргструктуры • Удаление виртуальной оргструктуры • Продление срока действия виртуальной оргструктуры Аудит • Соответствие доступа заявкам • Обнаружение неиспользуемых УЗ CISO Forum 2015 18
Электронная заявка – не аналог бумажной! CISO Forum 2015 19 Пользователь 1 Пользователь 2 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4 Заявка Пользователь 1 Роль 1 Пользователь 1 Роль 2 Пользователь 1 Роль 3 Пользователь 1 Роль 4 Пользователь 2 Пользователь 2 Пользователь 2 Пользователь 2 Роль 1 Роль 2 Роль 3 Роль 4 Пользователь 3 Пользователь 3 Пользователь 3 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4
Организационная структура и Ролевая модель • Определяет распределение ответственности и полномочий внутри организации • Оргструктуры могут приходить из HR и могут быть и заведены вручную (виртуальные) • Должно поддерживаться множество организационных структур, например, для • реализации совместительства должностей одним работником, • для удобного управления распределением полномочий в условиях разноплановых задач, решаемых одними и теми же работниками (матричная структура) • Позиция в любой оргструктуре используется для присвоения ролей. Роли, привязанные к позициям в оргструктуре – Основные роли. • Основные роли – привязываются пользователю автоматически (без дополнительного процесса согласования присвоения*). • Привязка конкретного пользователя к позиции в оргструктуре – Контекст пользователя. • Пользователю может соответствовать несколько контекстов (~ может выполнять разные функции на разных должностях). • Роли пользователю присваиваются и отнимаются в рамках контекстов. Роли, запрошенные по заявкам в том или ином контексте – Дополнительные роли. • SOD-конфликты не берут во внимание контексты и анализируются по всем ролям, присваиваемым пользователю (в рамках всего профиля пользователя).CISO Forum 2015 20
Ресертификация • «Мягкая» • Доступ сохраняется пока явно не подтвердили изъятие • «Жесткая» • Доступ сохраняется только если явно подтвердили сохранение • «Параметрическая» • Задан период сохранения доступа – «жесткая с отсрочкой» CISO Forum 2015 21
ОсновныеДополнительные роли и Контексты CISO Forum 2015 22 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1* К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 Основные роли для позиции К1.Д1.У1.О1.Г1.П1 Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1 Организационная группа К2 Организационная подгруппа Д2 Роль в группе П2 К2.Р1 К2.Р2 К2.Р3 Д2.Р1 Д2.Р2 П2.Р1 П2.Р2 П2.Р3 Контекст К2.Д2.П2:С1 пользователя С1 K2:С1.Р1 K2:С1.Р2 Ролевая модель для К1 * Любая роль IDM может быть и Дополнительной и Основной одновременно, поэтому данный признак не является свойством самой роли. Ролевая модель для К2 Основные роли для позиции К2.Д2.П2 Дополнительные роли для контекста К2.Д2.П2:С1
Работа с Основными ролями CISO Forum 2015 23 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1 К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Ролевая модель для К1 • Основные роли (ОР) назначаются Пользователю при официальном назначении в позицию П1. • ОР могут проходить процедуру согласования или присваиваться автоматически (по решению ИБ). • При уходе пользователя с П1 происходит «параметрическая ресертификация» || «жесткая» • Ресертификация согласуется новым линейным руководителем. • Согласованные по ресертфикации роли превращаются в дополнительные на новой позиции. Основные роли для позиции К1.Д1.У1.О1.Г1.П1
Работа с Дополнительными ролями CISO Forum 2015 24 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 Позиция П1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 • Дополнительные роли (ДР) «набираются» пользователем по заявкам через IDM. Контекст указывается при формировании заявки. • ДР всегда проходят процедуру согласования. • При уходе пользователя с П1 для всех ДР происходит «мягкая ресертификация» || «Параметрическая». • Ресертификация согласуется новым линейным руководителем. Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1
Путь в светлое будущее • Первой оргструктурой будет пришедшая из HR. • Первые Основные роли - «Работник предприятия» (почта, Интранет- портал), «Работник Департамента» (папка департамента) и т.п. • Первым контекстом будет «работник на определенной должности». • Основная масса присвоенных ролей через IDM – Дополнительные. • По мере анализа корпоративных бизнес-процессов – формирование Ролевой модели, появление Базовых ролей. • Необходимо выделение ресурсов на управление исключительно Ролевой моделью, поскольку она нестатична во времени, а ее адекватность полностью определяет эффективность IDM. CISO Forum 2015 25
CISO Forum 2015 26 Сергей Солдатов, CISA, CISSP @svsoldatov reply-to-all.blogspot.com Спасибо за Ваше внимание! Вопросывозраженияпредложения?

Empfohlen

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
Sergey Soldatov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
Diana Frolova
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
 
Особенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовОсобенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисов
SQALab
 
Рамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаРамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитика
SQALab
 
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаШаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
SQALab
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
SQALab
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
Alexey Evmenkov
 

Empfohlen

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
Sergey Soldatov
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
Diana Frolova
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
 
Особенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисовОсобенности анализа в проектах по разработке сервисов
Особенности анализа в проектах по разработке сервисов
SQALab
 
Рамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитикаРамочные диаграммы процессов в арсенале аналитика
Рамочные диаграммы процессов в арсенале аналитика
SQALab
 
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитикаШаблонизируй это. Как паттерны требований облегчают жизнь аналитика
Шаблонизируй это. Как паттерны требований облегчают жизнь аналитика
SQALab
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
SQALab
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
Alexey Evmenkov
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
Alexey Evmenkov
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
КРОК
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектов
SQALab
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Expolink
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
Positive Development User Group
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Expolink
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
Евгений Родыгин
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
Шаблоны оформления требований
Шаблоны оформления требованийШаблоны оформления требований
Шаблоны оформления требований
JaneKozmina
 
Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
Sergey Soldatov
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Sergey Soldatov
 

Weitere ähnliche Inhalte

Was ist angesagt?

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Шаблоны оформления требований
Шаблоны оформления требованийШаблоны оформления требований
Шаблоны оформления требований
JaneKozmina
 

Was ist angesagt? (20)

2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
Автоматизация выполнения задач в проектах Business Continuity Management (BCM...
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Навыки современного руководителя проектов
Навыки современного руководителя проектовНавыки современного руководителя проектов
Навыки современного руководителя проектов
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Шаблоны оформления требований
Шаблоны оформления требованийШаблоны оформления требований
Шаблоны оформления требований
 

Andere mochten auch

Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
Sergey Soldatov
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
Sergey Soldatov
 

Andere mochten auch (17)

Примерные критерии оценки IDM
Примерные критерии оценки IDMПримерные критерии оценки IDM
Примерные критерии оценки IDM
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Opensource vs. Non-opensource
Opensource vs. Non-opensourceOpensource vs. Non-opensource
Opensource vs. Non-opensource
 
Вопросы к DLP
Вопросы к DLPВопросы к DLP
Вопросы к DLP
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.Выход из зазеркалья. Информационная безопасность которая приносит деньги.
Выход из зазеркалья. Информационная безопасность которая приносит деньги.
 
Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)Введение в системы управления идентификационными данными и доступом (IAM)
Введение в системы управления идентификационными данными и доступом (IAM)
 
1IDM
1IDM1IDM
1IDM
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
ORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORMORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORM
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
SAP Identity Management Overview
SAP Identity Management OverviewSAP Identity Management Overview
SAP Identity Management Overview
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 

Ähnlich wie IDM - это непросто!

Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
#itSMFru2014 - Патрик Болджер в секции Мирный Космос
#itSMFru2014 - Патрик Болджер в секции Мирный Космос#itSMFru2014 - Патрик Болджер в секции Мирный Космос
#itSMFru2014 - Патрик Болджер в секции Мирный Космос
Cleverics
 
Квантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdfКвантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdf
Serge Dobridnjuk
 
Разумное Инициирование Проекта
Разумное Инициирование ПроектаРазумное Инициирование Проекта
Разумное Инициирование Проекта
Sergiy Povolyashko
 
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсов
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсовСветлана Мухина, Трудности фасилитации - разбор проблемных кейсов
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсов
ScrumTrek
 
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
Alex V. Petrov
 
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
Ontico
 

Ähnlich wie IDM - это непросто! (20)

Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
Solar Security. Андрей Прозоров. "Лучшие практики" в ИБ"
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
#itSMFru2014 - Патрик Болджер в секции Мирный Космос
#itSMFru2014 - Патрик Болджер в секции Мирный Космос#itSMFru2014 - Патрик Болджер в секции Мирный Космос
#itSMFru2014 - Патрик Болджер в секции Мирный Космос
 
Квантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdfКвантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdf
 
Варианты использования. Введение
Варианты использования. ВведениеВарианты использования. Введение
Варианты использования. Введение
 
Вебинар: ИТ-проекты глазами Заказчика
Вебинар: ИТ-проекты глазами ЗаказчикаВебинар: ИТ-проекты глазами Заказчика
Вебинар: ИТ-проекты глазами Заказчика
 
Разумное Инициирование Проекта
Разумное Инициирование ПроектаРазумное Инициирование Проекта
Разумное Инициирование Проекта
 
Почему размер имеет значение
Почему размер имеет значениеПочему размер имеет значение
Почему размер имеет значение
 
Никита Ремизов - Введение в разработку ТЗ
Никита Ремизов - Введение в разработку ТЗНикита Ремизов - Введение в разработку ТЗ
Никита Ремизов - Введение в разработку ТЗ
 
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсов
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсовСветлана Мухина, Трудности фасилитации - разбор проблемных кейсов
Светлана Мухина, Трудности фасилитации - разбор проблемных кейсов
 
Lkr2015 agile facilitation
Lkr2015 agile facilitationLkr2015 agile facilitation
Lkr2015 agile facilitation
 
Трудности Фасилитации
Трудности ФасилитацииТрудности Фасилитации
Трудности Фасилитации
 
UX наоборот - введение в UX
UX наоборот - введение в UXUX наоборот - введение в UX
UX наоборот - введение в UX
 
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
HTP. Business Requirements Elicitation & Documentation [1.01, RUS]
 
Правильный процесс дает правильный результат. Как бережливое производство пом...
Правильный процесс дает правильный результат. Как бережливое производство пом...Правильный процесс дает правильный результат. Как бережливое производство пом...
Правильный процесс дает правильный результат. Как бережливое производство пом...
 
HR-автоматизация.
HR-автоматизация. HR-автоматизация.
HR-автоматизация.
 
231116 hr&technology2016
231116 hr&technology2016231116 hr&technology2016
231116 hr&technology2016
 
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
Все нормально, падаем! / Дмитрий Смоляров (Стройгазконсалтинг)
 
Трудности фасилитации - разбор проблемных кейсов
Трудности фасилитации - разбор проблемных кейсовТрудности фасилитации - разбор проблемных кейсов
Трудности фасилитации - разбор проблемных кейсов
 

Mehr von Sergey Soldatov

От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
Sergey Soldatov
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
Sergey Soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
Sergey Soldatov
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift security
Sergey Soldatov
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3
Sergey Soldatov
 

Mehr von Sergey Soldatov (17)

Metrics in Security Operations
Metrics in Security OperationsMetrics in Security Operations
Metrics in Security Operations
 
Сколько надо SOC?
Сколько надо SOC?Сколько надо SOC?
Сколько надо SOC?
 
От мониторинга к форенсике и обратно
От мониторинга к форенсике и обратноОт мониторинга к форенсике и обратно
От мониторинга к форенсике и обратно
 
Роботы среди нас!
Роботы среди нас!Роботы среди нас!
Роботы среди нас!
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Reducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformationReducing cyber risks in the era of digital transformation
Reducing cyber risks in the era of digital transformation
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Hunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows InfrastructureHunting Lateral Movement in Windows Infrastructure
Hunting Lateral Movement in Windows Infrastructure
 
Трудовые будни охотника на угрозы
Трудовые будни охотника на угрозыТрудовые будни охотника на угрозы
Трудовые будни охотника на угрозы
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 
модульный под к документир V5
модульный под к документир V5модульный под к документир V5
модульный под к документир V5
 
Некриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографииНекриптографическое исследование носителей православной криптографии
Некриптографическое исследование носителей православной криптографии
 
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatovPHDays '14 Cracking java pseudo random sequences by egorov & soldatov
PHDays '14 Cracking java pseudo random sequences by egorov & soldatov
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
How to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift securityHow to catch your “hacker” or makeshift security
How to catch your “hacker” or makeshift security
 
Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3Drive by-download attack evolution zero nights v3
Drive by-download attack evolution zero nights v3
 

IDM - это непросто!

  • 1. IDM – это непросто Как можно решать эту задачу, о чем не надо забывать
  • 2. Преамбула • Не претендую на истину, возможны альтернативы • Мое личное мнение • Буду пытаться обосновывать • Надеюсь, будет полезно… …ну, по крайней мере, смотивирует задуматься CISO Forum 2015 2
  • 3. Советы по организации работ на проекте CISO Forum 2015 3
  • 4. Общие напутствия • Ищите бизнес-цели, которую можно выразить в ₽ • Сокращение времени простоя новых сотрудников, сокращение времени предоставления доступа, сокращение трудоемкости(==₽) присвоения, сокращение ошибок присвоения, …. • Определите заинтересованных лиц • ИТ, ИБ, ДВК, HR, … • Не нужен «функционал впрок» • Тяжело угадать будущее, усилия на синхронизацию понимания, трудно показать выгоду • Работайте быстро • Однако за время пути собака могла подрасти! (С. Маршак) CISO Forum 2015 4
  • 5. Бизнес-обоснования (идеи) • Сокращение стоимости Контроля доступа: ~0,5млн заявок в год * 30мин. совок. трудоемкость * ~100т.р.мес стоимость исполнителя = ₽156,25 млн • Простой корп. бизнес-процессов: ~5 рд для при приеме (в год приняли ~300 работников со средней стоимостью ~100т.р. = ₽7млн.), ~3рд – изменение доступа • Накладные: расходные материалы копировальнойпечатной техники, перегрузка систем общего назначения (почта, сетевые папки), курьерская служба, …. • Риски ИБ (поздний отъем доступа уволенных, «человеческий фактор» при исполнении заявок, история присвоения) CISO Forum 2015 5
  • 6. Функциональная и географическая этапность CISO Forum 2015 6 География Функционал Центр Ключевые Остальные Первостепенный функционал Второстепенный функционал Остальной функционал I II III III IV IV V I. Внедрение функционала первого приоритета в Центре компетенции. II. Тираж функционала первого приоритета на ключевые регионыДОподразделения (СП). III. Внедрение функционала второго приоритета там где, внедрен первичный. В остальных СП – внедрение функционала первого приоритета. IV. В центре – внедрение остального функционала. В остальных СП – внедрение функционала второго приоритета. V. Внедрение остального функционала во всех оставшихся СП. «Первостепенный функционал»:  то, что вас подвигло заняться внедрением;  те самые 20%, дающие 80% эффекта;  то, что можно сделать относительно быстро (quick win)
  • 7. Выбор с полки • Опросите всех заинтересованных => Критерии выбора (SMART!) • Оцените вклад критерия в достижение целей (₽) => Вес по каждому • Формализуйте оценку по каждому критерию => снизим субъективизм и «интерференцию» • Стендированиепилотированиереференс => из теории в практику • Открытая формальная ПиМИ => известно что проверяют, как проверяют и как оценивают (просто сэкономите время) • Оценка большой группой экспертов => компенсация однобокости CISO Forum 2015 7
  • 8. Импортозамещение…. • Дополнительная перспектива – «срочность» • Смотрите команду: их девелоперский потенциал, организацию разработки, план ближайших релизов, степень понимания задач • Архитектура с т.з. функционального расширения (API, уровни абстракции, модульность, стандартизация компонент, конфигурируемость...) • СУБД, ОС – сервисы IDM => рекомендация производителя • Внутренние процессы разработки и тестирования: виды тестирования, продуктовая безопасность… • Степень «рыночности» - небольшая защита от эксклюзивности  CISO Forum 2015 8
  • 9. «Каша из топора» CISO Forum 2015 9 • Лицензия на готовый • Проект – внедрение, интеграция; наша только конфигурация • Функциональная этапность совпадает с планом релизов производителя • Партнерство: нам – продукт, производителю – слава + план развития + площадка обкатки • Заказная разработка • Проект – разработка под ТТ; результат полностью наш. • Функциональная этапность – наша. • Партнерство только на этапе проекта, дальнейшее развитие – наше. • Нечто среднее – Каша из топора • Мы платим за лицензии и инвестируем в продукт вендора • Мы неявно инвестируем ресурсы своей проектной команды • Результат – заказная разработка со всеми последствиями Почитать: http://reply-to-all.blogspot.ru/2010/04/blog-post.html
  • 10. Советы по техническому решению CISO Forum 2015 10
  • 11. Синхронизуемся по терминологии • Мы управляем доступом к Ресурсам • Ресурсы размещаются в Системе • Техническая роль – совокупность технических настроек прав и правил доступа к ресурсам, реализуемая ИС • Бизнес-роль – совокупность технических и бизнес-ролей, отражающая к-либо роль в бизнес-процессе Компании • SOD-конфликт – небезопасное совмещение CISO Forum 2015 11 Техническая роль 1 Техническая роль 2 Техническая роль 3 Бизнес роль 1 Бизнес роль 2 Бизнес роль ИР1 ИР2 ИС • Функциональная роль – роль в самом IDM (согласующий, например) • Ресертификация (по «кнопке», по расписанию, на основании «риска») – повторная проверка присвоения на актуальностьбезопасностьчто угодно
  • 12. Следствия (для холдингов из множества ЮЛ) • Техническая роль привязана к ИС (это то, что может быть присвоено средствами ИС внутри ИС), ИС принадлежит Предприятию. • Бизнес-роль является отражением бизнес-процесса, может быть в рамках нескольких предприятий => может включать технические и бизнес-роли из разных предприятий. Владельцем такой бизнес роли должен быть ответственный за бизнес-процесс (например, руководитель БНБФ в ЦА). • Линейный руководитель – работник (руководитель) подразделения Пользователя согласно оргструктуре. • Линейный руководитель и Владелец роли (технической или бизнес-) не обязательно работают на одном предприятии CISO Forum 2015 12
  • 13. Основные действующие лица CISO Forum 2015 13 Линейный руководитель «Владелец» Технической роли «Владелец» Бизнес- роли Отвечает за Эффективное обеспечение БП ресурсами его подразделения Правильное и эффективное использование его ИР Правильное исполнение своей роли участником БП с учетом его технологической оснащенности Управляет Людьми Технологическим обеспечением Бизнес-процессом или его частью Контролирует Свои производственные ресурсы Пользование технологическим обеспечением Обеспечение БП людскими и технологическими ресурсами
  • 14. Дополнительные действующие лица CISO Forum 2015 14 Безопасность Внутренний контроль Информационные технологии Подтверждает соблюдение требований корп. политик. Обеспечивает расследование и оперативное реагирование на инциденты Отвечает за SOD-конфликты: ведет [в IDM] их учет и конфигурацию. При возникновении SOD-конфликтов в процессах КД – расследование их и принятие решения о предоставлении или отклонении доступа. Подтверждает возможность исполнения заявки (для заявок, исполняемых вручную / для систем, имеющих ограничения, например, по лицензиям или мощностям) Заявитель Инициатор ЛР Владелец ВК ИБ ИТ Пример маршрута согласования (бизнес-процесса)
  • 15. На что похожа матрица SоD-конфликтов? (offtopic на примере из SAP) CISO Forum 2015 15 1 2 3
  • 16. Заместители, Делегаты и Группы согласования • Делегаты • Может быть несколько у одного Согласующего • Включаются сразу • Отвечают за согласование набора ролей («функциональные заместители») • Заместители • Один у одного Согласующего • Включается по таймауту • Полностью замещает Согласующего • Вычисляется по штатной структуре • Группа согласования • Единая очередь доступная всем членам группы • Каждый может взять в работу заявку, она пропадает из видимой очереди остальных CISO Forum 2015 16
  • 17. Требование к маршруту (бизнес-процессу) • Могут быть разные для разных типов заявок (по ИС, например) • Параллельное и последовательное согласование • Динамическое вычисление фактических согласующих • Функционал ДелегатовЗаместителейГрупп согласования • Поддержка включения подпроцессов • Оповещение об изменении статуса (позиции на маршруте): • Исполнение – инициатору и пользователю • Отклонение – инициатору, пользователю и всем, кто согласовал CISO Forum 2015 17
  • 18. Бизнес-процессы Сотрудники • Прием на работу • Перемещение по должности • Увольнение • Изменение личных (некадровых) данных • Изменение ФИО • Изменение срока трудовой деятельности Роли • Назначение/продле ние срока действия ролей пользователю/долж ности • Лишение ролей • Создание бизнес- роли • Изменение бизнес- роли • Удаление бизнес- роли Ресурсы • Создание ресурса • Изменение ресурса • Удаление ресурса Оргструктуры • Создание виртуальной оргструктуры • Удаление виртуальной оргструктуры • Продление срока действия виртуальной оргструктуры Аудит • Соответствие доступа заявкам • Обнаружение неиспользуемых УЗ CISO Forum 2015 18
  • 19. Электронная заявка – не аналог бумажной! CISO Forum 2015 19 Пользователь 1 Пользователь 2 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4 Заявка Пользователь 1 Роль 1 Пользователь 1 Роль 2 Пользователь 1 Роль 3 Пользователь 1 Роль 4 Пользователь 2 Пользователь 2 Пользователь 2 Пользователь 2 Роль 1 Роль 2 Роль 3 Роль 4 Пользователь 3 Пользователь 3 Пользователь 3 Пользователь 3 Роль 1 Роль 2 Роль 3 Роль 4
  • 20. Организационная структура и Ролевая модель • Определяет распределение ответственности и полномочий внутри организации • Оргструктуры могут приходить из HR и могут быть и заведены вручную (виртуальные) • Должно поддерживаться множество организационных структур, например, для • реализации совместительства должностей одним работником, • для удобного управления распределением полномочий в условиях разноплановых задач, решаемых одними и теми же работниками (матричная структура) • Позиция в любой оргструктуре используется для присвоения ролей. Роли, привязанные к позициям в оргструктуре – Основные роли. • Основные роли – привязываются пользователю автоматически (без дополнительного процесса согласования присвоения*). • Привязка конкретного пользователя к позиции в оргструктуре – Контекст пользователя. • Пользователю может соответствовать несколько контекстов (~ может выполнять разные функции на разных должностях). • Роли пользователю присваиваются и отнимаются в рамках контекстов. Роли, запрошенные по заявкам в том или ином контексте – Дополнительные роли. • SOD-конфликты не берут во внимание контексты и анализируются по всем ролям, присваиваемым пользователю (в рамках всего профиля пользователя).CISO Forum 2015 20
  • 21. Ресертификация • «Мягкая» • Доступ сохраняется пока явно не подтвердили изъятие • «Жесткая» • Доступ сохраняется только если явно подтвердили сохранение • «Параметрическая» • Задан период сохранения доступа – «жесткая с отсрочкой» CISO Forum 2015 21
  • 22. ОсновныеДополнительные роли и Контексты CISO Forum 2015 22 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1* К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 Основные роли для позиции К1.Д1.У1.О1.Г1.П1 Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1 Организационная группа К2 Организационная подгруппа Д2 Роль в группе П2 К2.Р1 К2.Р2 К2.Р3 Д2.Р1 Д2.Р2 П2.Р1 П2.Р2 П2.Р3 Контекст К2.Д2.П2:С1 пользователя С1 K2:С1.Р1 K2:С1.Р2 Ролевая модель для К1 * Любая роль IDM может быть и Дополнительной и Основной одновременно, поэтому данный признак не является свойством самой роли. Ролевая модель для К2 Основные роли для позиции К2.Д2.П2 Дополнительные роли для контекста К2.Д2.П2:С1
  • 23. Работа с Основными ролями CISO Forum 2015 23 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 К1.Р1 К1.Д1.Р1 К1.Д1.Р2 К1.Д1.У1.Р1 К1.Д1.У1.О1.Р1 К1.Д1.У1.О1.Р2 К1.Д1.У1.О1.Г1.Р1 К1.Д1.У1.О1.Г1.Р2 К1.Д1.У1.О1.Г1.Р3 К1.Д1.У1.О1.Г1.Р4 Позиция П1 К1.Д1.У1.О1.Г1.П1.Р1 Ролевая модель для К1 • Основные роли (ОР) назначаются Пользователю при официальном назначении в позицию П1. • ОР могут проходить процедуру согласования или присваиваться автоматически (по решению ИБ). • При уходе пользователя с П1 происходит «параметрическая ресертификация» || «жесткая» • Ресертификация согласуется новым линейным руководителем. • Согласованные по ресертфикации роли превращаются в дополнительные на новой позиции. Основные роли для позиции К1.Д1.У1.О1.Г1.П1
  • 24. Работа с Дополнительными ролями CISO Forum 2015 24 Компания К1 Департамент Д1 Управление У1 Отдел О1 Группа Г1 Позиция П1 Пользователь С1 K1:С1.Р1 K1:С1.Р2 K1:С1.Р3 K1:С1.Р4 • Дополнительные роли (ДР) «набираются» пользователем по заявкам через IDM. Контекст указывается при формировании заявки. • ДР всегда проходят процедуру согласования. • При уходе пользователя с П1 для всех ДР происходит «мягкая ресертификация» || «Параметрическая». • Ресертификация согласуется новым линейным руководителем. Контекст К1.Д1.У1.О1.Г1.П1:С1 пользователя С1 Дополнительные роли для контекста К1.Д1.У1.О1.Г1.П1:С1
  • 25. Путь в светлое будущее • Первой оргструктурой будет пришедшая из HR. • Первые Основные роли - «Работник предприятия» (почта, Интранет- портал), «Работник Департамента» (папка департамента) и т.п. • Первым контекстом будет «работник на определенной должности». • Основная масса присвоенных ролей через IDM – Дополнительные. • По мере анализа корпоративных бизнес-процессов – формирование Ролевой модели, появление Базовых ролей. • Необходимо выделение ресурсов на управление исключительно Ролевой моделью, поскольку она нестатична во времени, а ее адекватность полностью определяет эффективность IDM. CISO Forum 2015 25
  • 26. CISO Forum 2015 26 Сергей Солдатов, CISA, CISSP @svsoldatov reply-to-all.blogspot.com Спасибо за Ваше внимание! Вопросывозраженияпредложения?