Опыт КРОК по внедрению iam-систем

Андрей Заикин,МЕНДЖЕР ПРОЕКТОВПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИКОМПАНИИ КРОК

ОПЫТ КРОК ПО ВНЕДРЕНИЮIAM-СИСТЕМ

АРХИТЕКТУРА И ПРИНЦИПРАБОТЫ РЕШЕНИЯ

КОМПОНЕНТЫ IAM-ПРОЕКТА

• Инфраструктурные компоненты IAM• Интегрируемые системы• Информационные ресурсы• Процессы IAM• Персонал• Документация

ОСОБЕННОСТИ КОМПЛЕКСНЫХIAM-ПРОЕКТОВ• Происходит реинжиниринг процессов, связанных суправлением идентификацией и доступом

• Необходимо участие архитектора, аналитиков, инженеров, разработчиков

• Вовлечение множестваподразделений компании-заказчика

ОСНОВНЫЕ ЭТАПЫ ПРОЕКТОВ• Обследование и аудит ИС и процессовРезультат: сформированные требования и концепция

(организационная и техническая часть)• Проектирование решения, разработка рабочей документацииРезультат: создание рабочего проекта• Построение процессов IAMРезультат: формализованные процессы (регламенты, процедуры)• Разработка системыРезультат: разработанные коннекторы, логика, интерфейсы• Развертывание системы, внедрение процессов IAM, обучение

персоналаРезультат: внедренное решение, подготовленный персонал

ПРОЕКТ ПО ВНЕДРЕНИЮ IAMНА БАЗЕ ORACLE IAMS + ORACLE ESSO

ПРОБЛЕМЫ И ПОТРЕБНОСТИ ЗАКАЗЧИКА

• Большое количество каталогов идентификационныхданных, которые требуется поддерживать вактуальном состоянии (более 150)

• Длительное время предоставления доступа кинформационным ресурсам (порядка 3-5 дней)

• Особенности архитектуры не позволяюторганизовать строгую аутентификациюв ряде корпоративных приложений(в том числе не портале)

ОСНОВНЫЕ ЭТАПЫ ПРОЕКТА

• РазработаннаяIAM –система

• Рабочая документация

Разработка и внедрениерешения

• Технический проект• Регламенты, процедуры

процессов IAM

• Описание существующихбизнес-процессов

• Концепция IAM• Техническое задание

Обследование и аудитРазработка требованийРазработка концепции

Разработка техническихи организационных

решений

РЕЗУЛЬТАТЫ АУДИТА• Организационная документация по управлению

идентификационными данными и доступом не полная• Отсутствует актуальный перечень информационных

ресурсов (ИР) и их владельцев• Отсутствует формальное описание политики доступа к

ИР компании• Отсутствует аудит прав доступа к ИР и соответствующий

инструментарий• Невозможно оценить показатели процессов управления

идентификационными данными и доступом для ихразвития

АНАЛИЗ РИСКОВПО РЕЗУЛЬТАТАМ АУДИТАВыявленные проблемы Возможные негативные последствия

Полномочия пользователей большенеобходимого

Утечка конфиденциальных данных

Полномочия пользователей меньшенеобходимого

Снижение продуктивности сотрудников

Сложно получить достоверную картинуправ доступа при аудите

Несоответствие требованиямрегуляторов и аудиторов

Многократное дублированиеидентификационных данных в ИС

Высокая стоимость владения, большиезатраты на администрирование

Множественные методыаутентификации в приложениях

Потеря/хищение идентификационныхданных

ТЕХНИЧЕСКОЕ РЕШЕНИЕ IAM

ПУИД

ПУД

ПОА

MS Exchange

OeBS (users)

ServiceDesk

Портал

СЭД

OeBS (HR)

PKI

Биллинг 2

MS AD

Интегрированные информационные системы

Биллинг 1

Биллинг 3

ОРГАНИЗАЦИОННОЕ РЕШЕНИЕ IAM

Планирование

Реализация и эксплуатация

Мониторинг и анализ

Поддержка и улучшение

РЕКОМЕНДАЦИИПО ПОСТРОЕНИЮ ПРОЦЕССОВ IAM

Сотрудник

ДолжностьБизнес-рольЕжедневные обязанности

IT-RoleНабор ролей в приложениях

IAM

обеспечиваетсвязь

бизнесаиИТ

Приложения / ресурсы

Базоваяфункциональная

роль

Роль в системеСпецифичные праваи ресурсы в системе

Ролив

IAM

Ролив

организации

Роль в системеСпецифичные праваи ресурсы в системе

Роль в системеСпецифичные праваи ресурсы в системе

IT-RoleНабор ролей в приложениях

Ролив

ИС

РОЛЕВАЯ МОДЕЛЬ УПРАВЛЕНИЯДОСТУПОМ

IAM-ИНТЕРФЕЙС

Система IAM +

Корпоративный портал

ПОЛУЧЕННЫЕ ПРЕИМУЩЕСТВА

• Сокращение времени предоставления доступа к ИРповышение продуктивности работы сотрудников

• Автоматизация процессов управленияидентификационными данными и доступомснижение расходов на администрирование

• Реализация ряда организационныхи технических мер ИБповышение общего уровня ИБорганизации

РЕКОМЕНДАЦИИ ПО РЕАЛИЗАЦИИIAM-ПРОЕКТОВ• Поддержка со стороны руководства• Формирование единой проектной команды• Включение в проектную команду сотрудников отделакадров, ИТ, ИБ

• Привлечение отдела кадров на ранних этапах• Создание «Центра развития IAM»• Разбиение внедрения на фазы (очереди)• Тщательный подход к выборуи проработке решения

СПАСИБО ЗА ВНИМАНИЕ!

Андрей Заикин,МЕНEДЖЕР ПРОЕКТОВПО ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИ КОМПАНИИ КРОКТЕЛ. (495) 974-2274 ДОБ.6424E-MAIL: azaikin@croc.ru