solar inrights (idm) бизнес-завтрак all
TRANSCRIPT
solarsecurity.ru +7 (499) 755-07-70
Дмитрий Бондарь
Руководитель направления inRights
Identity Management
Управление доступом для
крупных компаний
2016-02-10
solarsecurity.ru +7 (499) 755-07-70
Что такое Identity Management (IdM)
2
Identity Management – управление пользователями и
их полномочиями в границах инфраструктуры
организации с целью повышения безопасности и
продуктивности, снижения простоев персонала и
издержек, связанных с повторяющимися задачами
solarsecurity.ru +7 (499) 755-07-70
Для чего нужен IdM
3
Системы х
пользователи
Стоимость /
сложность
управления
Задача IdM
solarsecurity.ru +7 (499) 755-07-70
Какие проблемы решает IdM
4
Новые сотрудники долго ждут доступ
Сложно понять как и что запросить
Заявки исполняются очень долго
Сложно понять статус заявки
Заявки теряются
Бизнес-пользователи
Большой поток заявок на доступ
Много обращений в поддержку по
поводу заявок
Неразбериха с тем, кому/куда можно
иметь доступ
Служба ИТ
Нарушения регламентов
управления доступом
Сложно понять кто/к чему имеет
доступ
Доступ уволенных остаётся
активным
Права накапливаются при
переводах
Почти невозможно выявить
несогласованный доступ
Нет данных о правах на дату в
прошлом
Пересмотр прав руководителями
не проводится
Служба ИБ
solarsecurity.ru +7 (499) 755-07-70
Какие проблемы не решает IdM
5
• Аутентификация и авторизация пользователей в
информационных системах
• Аудит действий сотрудников в информационных
системах
• Управление ключевыми носителями
solarsecurity.ru +7 (499) 755-07-70
Концепция IdM
6
Ручное управление доступом
Управление доступом с IdM
1. Подача заявок
на доступ
2. Согласование
заявок
4. Аудит и
контроль
3. Исполнение
заявок
1. Подача заявок
на доступ
2. Согласование
заявок
4. Аудит и
контроль
3. Исполнение
заявок
solarsecurity.ru +7 (499) 755-07-70
Примеры работы IdM
7
Ситуация Автоматизация в IdM
Сотрудника приняли на работу IdM выдал базовые права
Изменились данные сотрудника IdM обновил данные в системах
Сотрудник запросил доступ через IdM,
Заявку согласовали через IdM
IdM назначил права по заявке,
отозвал по истечении срока действия
Сотрудник получил права в обход IdM IdM оповестил/исправил
Сотрудник сменил должность IdM создал заявку на пересмотр прав
Сотрудника уволили IdM отозвал все права доступа
solarsecurity.ru +7 (499) 755-07-70
Когда нужен IdM – как понять, что уже
пора
8
Признаки
Время предоставления доступа доходит до 2-3 дней
Значительная часть времени ИТ-службы тратится на заявки на
доступ
Периодически остаётся активный доступ уволенных сотрудников
Служба ИБ не может быстро понять, куда имеет доступ сотрудник
Аудит прав доступа отнимает столько времени, что его стараются
не проводить
solarsecurity.ru +7 (499) 755-07-70
Что получает организация от внедрения
IdM
9
Новые сотрудники получают доступ сразу при проведении приказа
Можно получить информацию о своих заявках в режиме онлайн
Доступ к системам предоставляется строго по регламенту, новый доступ
согласуется, доступ уволенных блокируется, при переводах меняется
Информация о правах доступа и их истории доступна в режиме онлайн
Автоматически выявляются нарушения с правами доступа
Все заявки на доступ сотрудников исполняются автоматически
Сотрудники могут решать большую часть вопросов по доступу
самостоятельно
Служба ИБ
Служба ИТ
Бизнес-пользователи
solarsecurity.ru +7 (499) 755-07-70
Как оценить эффективность IdM
10
Показатели До После
Время предоставления доступа новым сотрудником ХХ Х
Время исполнения заявок с учётом согласования ХХ Х
Время сбора данных о доступе сотрудника ХХ Х
Время подготовки отчётности/проведения аудита прав ХХ Х
Количество выявленных УЗ уволенных сотрудников, лишних УЗ ХХХ
solarsecurity.ru +7 (499) 755-07-70
Как оценить окупаемость IdM
11
Статья Принцип оценки
Простои сотрудников Время простоя * ФЗП * 2 * Текучка
Бизнес-потери Время простоя * Недополученная прибыль
Исполнение заявок на доступ К-во заявок * Время исполнения * ФЗП * 2
Исполнение регламентов Текучка * УЗ * 2 * Время исполнения * ФЗП * 2
Подготовка отчётов/аудит Время сбора данных * К-во людей * ФЗП * 2
Что за рамками:
-риски предоставления несогласованных полномочий
-риски активного доступа уволенных сотрудников
-риски накопления избыточного доступа
solarsecurity.ru +7 (499) 755-07-70
Стоит ли в это ввязываться
12
«Вначале было много скепсиса и сомнений по поводу внедрения idm, а теперь люди просто не понимают, как можно без него обходиться»
несколько бизнес-заказчиков IdM
solarsecurity.ru +7 (499) 755-07-70
Борис Романов
Заместитель руководителя
департамента разработки
Solar inRights
Как подготовиться
к внедрению IDM
solarsecurity.ru +7 (499) 755-07-70
С чего начать?
Распространённые страхи
нет ролевой модели
хаос элементарных полномочий в информационных системах
сложная и неоднородная ИТ инфраструктура
Реальные угрозы
Нечеткие цели
Сопротивление изменениям
Технические ограничения
solarsecurity.ru +7 (499) 755-07-70
Собрать рабочую группу
15
Заинтересованные лица
Информационная безопасность
ИТ-служба
Представители бизнеса
Служба поддержки пользователей
Рабочая группа определяет общие цели и порядок
выполнения проекта
solarsecurity.ru +7 (499) 755-07-70
Большой амбициозный проект
16
СталоБыло
solarsecurity.ru +7 (499) 755-07-70
Поэтапное внедрение
17
1 этап
2
этап
3
этап
solarsecurity.ru +7 (499) 755-07-70
Спланировать этапы проекта
18
Составить список ожидаемых результатов для каждого этапа
Изменения вводятся для небольшой группы сотрудников, а потом
масштабируются на всю организацию
На первом этапе – сочетание максимальной пользы и
минимального «вреда»
Потенциальная польза
Снижает риски информационной
безопасности
Уменьшает операционные расходы
Уменьшает количество ошибок
Потенциальный «вред»
Требует изменения существующих
процессов
Увеличивает затраты на проект
solarsecurity.ru +7 (499) 755-07-70
Пример
19
1000 сотрудников
20 информационных систем.
90% сотрудников используют только 5 из них (AD,
почта, Service-Desk, ERP, СЭД),
Из остальных систем только в 2-х есть бизнес-
критичная информация
В компании большая текучка
Права изменяются редко
solarsecurity.ru +7 (499) 755-07-70
Пример – план внедрения
20
1 этап
Назначение МНП в 5 основных системах для новых сотрудников
Ручное управление через IDM доступом в 5 основных и 2 критичных системах
Актуальные отчеты о фактическом доступе к критичным данным
Блокировка учётных записей при увольнении
Интеграция с кадровой системой?
2 этап
Запрос и согласование полномочий в IDM
Автоматическое предоставление полномочий после согласования в 10 системах
Разработанная ролевая модель
3 этап
Регулярный пересмотр полномочий руководителями и владельцами систем
Автоматическое назначение полномочий в соответствии с ролевой моделью
Блокировка доступа во время отпуска
solarsecurity.ru +7 (499) 755-07-70
Выбор решения
21
Промышленная платформа или заказная разработка?
Стоимость лицензий
Стандартная функциональность
Поддержка и развитие
Стоимость разработки
Уникальные функции
Сложность поддержки и развития
Высокие риски
solarsecurity.ru +7 (499) 755-07-70
Провести пилотный проект
22
Цель – убедиться, что проверяемое решение вам
подходит
Пилот не является для вас бесплатным
Пожелания нужно реализовывать в проекте
В пилотный проект нужно включать те моменты,
которые устраняют сомнения, которые
могут повлиять на ваш выбор.
solarsecurity.ru +7 (499) 755-07-70
Устранить сомнения
23
Убедиться, что …
решение позволяет реализовать принятые в вашей организации процессы
согласования полномочий (например, с условными переходами в зависимости от
атрибутов ролей, динамическим определением согласующих на каждом шаге и т.п.)
команда сможет интегрировать решение с вашей системой, к которой нет
стандартного коннектора
система сможет функционировать на принятой в вашей организации программно-
аппаратной платформе (ОС, СУБД и т.п.)
система справится с ожидаемой нагрузкой по количеству пользователей, учетных
записей и полномочий
система позволяет формировать требуемую регулярную и аналитическую отчетность
система будет удобна для ваших пользователей
solarsecurity.ru +7 (499) 755-07-70
Пример - Пилот
24
Включаем в пилот:
Интеграция с кадровой системой
Управление полномочиями в AD и СЭД
Определённый набор полномочий в зависимости от должности назначается
автоматически
Администраторы вручную управляют полномочиями пользователей
Конечные пользователи запрашивают дополнительные полномочия в СЭД и AD
Маршрут согласования полномочия зависит от управляемой системы
Полномочия в СЭД пересматриваются руководителями на регулярной основе
Исторический отчет об изменениях полномочий пользователя
Аналитический отчет о назначенных полномочиях для формирования ролевой
модели
solarsecurity.ru +7 (499) 755-07-70
Можно приступать
25
Рабочая
группа
Поэтапный
план
Пилотный
проект
Нечеткие цели
Сопротивление изменениям
Технические ограничения
Начало
внедрения
solarsecurity.ru +7 (499) 755-07-70
Дмитрий Бондарь
Руководитель направления inRights
Solar inRights 2.0
Идеология, возможности,
преимущества
solarsecurity.ru +7 (499) 755-07-70
Про Solar inRights
27
Solar inRights создан на основе…
Почти 10 лет практики внедрения IdM
Около 20 проектах внедрения IdM
На 7 различных западных IdM
solarsecurity.ru +7 (499) 755-07-70
Для кого предназначен Solar inRights
28
Сложные развитые процессы управления доступом
Множество проблем на стыке подразделений, и
заинтересованных сторон
Компания не готова менять свои процессы под
возможности продукта
solarsecurity.ru +7 (499) 755-07-70
Идеология Solar inRights
29
solarsecurity.ru +7 (499) 755-07-70
Как работает Solar inRights
30
inRights
Целевые системыИсточники данных
Пользователи
solarsecurity.ru +7 (499) 755-07-70
Удобный пользовательский интерфейс
Разработан профессионалами в области Usability
Предоставляет удобный доступ к информации
Настраивается под конкретную организацию
Преимущества Solar inRights:
пользовательский интерфейс
31
solarsecurity.ru +7 (499) 755-07-70
Непревзойдённая гибкость
Позволяет расширять схему объектов данных
Автоматизирует даже самые сложные процессы
Поддерживает любые варианты согласования заявок
Преимущества Solar inRights:
возможности расширения
32
solarsecurity.ru +7 (499) 755-07-70
Простой механизм настройки
Почти всё настраивается через xml-конфигурацию
Есть импорт/экспорт шаблонов конфигурации
Практически не требует разработки
Преимущества Solar inRights:
конфигурирование
33
solarsecurity.ru +7 (499) 755-07-70
Поддержка очень больших внедрений
Поддерживает распределённые процессы управления
доступом и многоуровневые каталоги полномочий
Поддерживает большие объёмы данных
Просто масштабируется
Преимущества Solar inRights:
возможности для крупных компаний
34
100 000
solarsecurity.ru +7 (499) 755-07-70
Поддерживаемая платформа
35
СУБД
•MS SQL Server
•Oracle DB
•PostgreSQL
•MySQL
Операционная система
•MS Windows Server
•Ubuntu
•CentOS
•RHEL
Обозначения:
•Коммерческое ПО
•Свободное ПО
solarsecurity.ru +7 (499) 755-07-70
Лицензирование Solar inRights
36
1. Лицензируется по количеству работающих штатных
сотрудников, правами которых управляет
2. Все доступные коннекторы входят в стоимость
лицензий
3. Имеет три функциональных модуля:
базовый, заявки, аналитика
solarsecurity.ru +7 (499) 755-07-70
Поддержка Solar inRights
37
Доступ к обновлениям
Доступ к новым коннекторам
Возможность создавать запросы на исправление дефектов
Возможность создавать запросы на улучшение функционала
Возможность получать консультации по устранению проблем
Возможность подавать запрос на разработку новых
коннекторов
solarsecurity.ru +7 (499) 755-07-70
Отличия inRights от других IdM
38
Удобный пользовательский интерфейс
Бизнес-пользователи легче разбираются с системой и меньше
обращаются в поддержку
Требует меньше доработок при внедрении
Гибкие возможности настройки
Меньше риск получить не то, что хотели
Меньше риск получить «заказную разработку»
Простота настройки
Не требует программирования для настройки
Часть задач сопровождения можно решать силами заказчика