Создание эффективной и многомерной модели управления...

1

Dell Solutions Forum 2014Москва, 14 ноября 2014 года

#DellST14

Создание эффективноймодели управления доступомдля организацииКонстантин Шурунов, Dell Software

3

Что такое IGA?

4

Три измерения IGA

• I – Identity – личность в информационном поле.

• G – Governance – управление, аттестация, риски, стандарты.

• A – Administration – администрирование.

Главная проблема:

Координация работы на разных уровняхдля достижения единой цели

5

Три силы IGA в организации

• I –кадры.– Ответственность: управление identities, оргчарты.– Цель: организационная и личностная информация отражает реальность.

• G – бизнес.– Ответственность: управление всеми вещами, связанными с бизнесом, включая риски и соответствие стандартам.

– Цель: успешный бизнес.

• A – технологии.– Ответственность: технологическая поддержка бизнеса.– Цель: все системы работают 24/7.

6

Identity Management – многоуровневая система

• Кадровый уровень

• Бизнес-уровень

• Технический уровень Identity 1

Persona

Identity 2

AD account

SalesForce account

SharePoint account

Unix account

AD SF Unix SP

Role

Resource

7

I – Identity Management

• Создание “Identities”.

• Базовое определение ролей.

• Базовое определение привилегий.

8

Certification

В чем разница между «management» и «governance»?

Access

Access

Management Governance

9

G – Governance

• Правила.

• Бизнес-процессы.

• Аудит.

• Аттестация.

• Отчётность.

• Оценка рисков.

• Соответствие стандартам.

10

A – Administration

• Аутентификация. Авторизация. Доступ.

• Технические аспекты изменения доступа.

• Автоматизация.

11

Dell One Identity Manager –гибкое решение IGA.

12

Гибкость в достижении единой цели I-G-A

• Все элементы соединены в одно решение, где каждый человек несёт ответственность за свойучасток работы.

• Каждый человек имеет возможность конфигурации «своих» элементов IGA.

• Проект по внедрению имеет короткие фазы с чёткими достижимыми результатами.

12

I G

GG

AA

Identity Governance Administration

13

Managers should easily see

all the entitlements of an

employee in one clear view

• Actionable

• All logical, physical

systems, resources and

assets.

Identity-цель: видение организации

14

Identity-цель: виды с точек зрения техники и бизнеса

• Бизнес-вид • Технический вид

15

Governance-цель: панели с текущим статусом

Менеджеры должны легко находить текущий статусв целом и статус конкретных процессов.

16

Governance-цель: конфигурация бизнес-ролей

Люди, отвечающие за бизнес, должны быть в состоянии строить нужные бизнес-роли вграфическом интерфейсе, а не скриптами.

17

Governance-цель: аудит выдачи доступа

Люди, отвечающие за аудит должны видеть историю изменения доступа конкретных лиц

18

Governance-цель: постройка процессов одобрения

Бизнес-процессы должны строиться теми же людьми, которые отвечают за это вреальной жизни. Конструктор бизнес-процессов поможет в этом.

19

Governance – пример аттестации

20

Administration-цель: конструктор бизнес-процессов

Администратор должен иметь инструментыдля постройки и изменения процессов.

21

Administration-цель: портал самообслуживания

Portal should be user and contributor friendly where updates

can be performed by non-technical person

22

Пример внедрения.

23

Задачи, поставленные заказчиком

• Автоматизация процесса управления предоставлением доступа

• Централизованное управление паролями пользователей

• Аудит имеющегося доступа

• Отчётность о предоставленном доступе

• Создание единого процесса и политики управленияпредоставлением доступа

• Интеграция с удостоверяющим центром

24

Интеграционные требования

• Интеграция с сервисной шиной:

– Взаимодействие с системой кадрового учета реализуетсяпосредством взаимодействия с сервисной шиной (ESB).

• Интеграция с почтовой системой:

– Управление почтовыми ящиками (создание, удаление, блокировка)

– Реализация метода утверждения запросов доступа к ресурсампосредством почтовых сообщений.

• Интеграция с УЦ:

– Интеграция с удостоверяющим центром «Крипто-ПРО», автоматизация процедур по выпуску/отзыву сертификатов.

25

Exchange

УЦ «Крипто-ПРО»

UNIX

Active

Directory

D1IM

Connector

Server

IBM MQ + MB

1C Бухгалтерия

D1IM

Database

Server

D1IM

WebPortal

Dell Change Auditor

SQL

26

USED AT: AUTHOR: DATE:

REV:PROJECT: Система управления идентификационными

данными пользовател ей и доступом к информационным

ресурсам

15.10.2013

17.10.2013

NOTES: 1 2 3 4 5 6 7 8 9 10

WORKING

DRAFT

RECOMMENDED

PUBLICATION

READER DATE CONTEXT:

A0

NODE: TITLE: NUMBER:Предоставление дополнительного доступа к ресурсу ИС

A3ПДД

данные

пользователя,

запрашиваемый

доступ

Доступ не согласован

Согласованный запрос о предоставлении доступа

Доступ согласован

Доступ не согласован

Информация об

изменении прав

доступа

Политика

информационной

безопасности

Реестр ресурсов

Информационное

письмо

Информационное письмо

Информационное письмо,

дополнител ьные

инструкции

СУИД

Данные

владельцев

ресурса

Запрос на

предоставление

доп. доступа

Портал

самообслуживания

СУИД

31

Создание запроса

на предоставление

доступа к ресурсу

ИС

32

Согласование

запроса с

владельцами

ресурса ИС

33

Санкционирование

доступа

Администратором

доступа

34

Предоставл ение

дополнител ьного

доступа к ресурсам ИС

35

Отправка уведомления

пользователю о

предоставлении прав

доступа

36

Отправка уведомления

Заявителю о

предоставлении прав

доступа

37

Отправка уведомления

Заявителю с

указанием причины

отказаI1

27

Результаты

• Централизовано управление доступом к информационнымсистемам компании

• Выделены атомарные и бизнес роли и описаны процедурывыделения и создания ролей

• Автоматизирован и документирован процесс предоставлениядоступа

• Созданы отчёты для отдела ИБ о том, кто, куда и на основаниичего имеет доступ

• Контроль за внесением изменений в Active Directory(Dell ChangeAuditor)

28

Вопросы?

29

30

31

32

33

34