solar inrights (idm) бизнес-завтрак all

solarsecurity.ru +7 (499) 755-07-70

Дмитрий Бондарь

Руководитель направления inRights

Identity Management

Управление доступом для

крупных компаний

2016-02-10


Что такое Identity Management (IdM)

2

Identity Management – управление пользователями и

их полномочиями в границах инфраструктуры

организации с целью повышения безопасности и

продуктивности, снижения простоев персонала и

издержек, связанных с повторяющимися задачами


Для чего нужен IdM

3

Системы х

пользователи

Стоимость /

сложность

управления

Задача IdM


Какие проблемы решает IdM

4

Новые сотрудники долго ждут доступ

Сложно понять как и что запросить

Заявки исполняются очень долго

Сложно понять статус заявки

Заявки теряются

Бизнес-пользователи

Большой поток заявок на доступ

Много обращений в поддержку по

поводу заявок

Неразбериха с тем, кому/куда можно

иметь доступ

Служба ИТ

Нарушения регламентов

управления доступом

Сложно понять кто/к чему имеет

доступ

Доступ уволенных остаётся

активным

Права накапливаются при

переводах

Почти невозможно выявить

несогласованный доступ

Нет данных о правах на дату в

прошлом

Пересмотр прав руководителями

не проводится

Служба ИБ


Какие проблемы не решает IdM

5

• Аутентификация и авторизация пользователей в

информационных системах

• Аудит действий сотрудников в информационных

системах

• Управление ключевыми носителями


Концепция IdM

6

Ручное управление доступом

Управление доступом с IdM

1. Подача заявок

на доступ

2. Согласование

заявок

4. Аудит и

контроль

3. Исполнение

заявок

1. Подача заявок

на доступ

2. Согласование

заявок

4. Аудит и

контроль

3. Исполнение

заявок


Примеры работы IdM

7

Ситуация Автоматизация в IdM

Сотрудника приняли на работу IdM выдал базовые права

Изменились данные сотрудника IdM обновил данные в системах

Сотрудник запросил доступ через IdM,

Заявку согласовали через IdM

IdM назначил права по заявке,

отозвал по истечении срока действия

Сотрудник получил права в обход IdM IdM оповестил/исправил

Сотрудник сменил должность IdM создал заявку на пересмотр прав

Сотрудника уволили IdM отозвал все права доступа


Когда нужен IdM – как понять, что уже

пора

8

Признаки

Время предоставления доступа доходит до 2-3 дней

Значительная часть времени ИТ-службы тратится на заявки на

доступ

Периодически остаётся активный доступ уволенных сотрудников

Служба ИБ не может быстро понять, куда имеет доступ сотрудник

Аудит прав доступа отнимает столько времени, что его стараются

не проводить


Что получает организация от внедрения

IdM

9

Новые сотрудники получают доступ сразу при проведении приказа

Можно получить информацию о своих заявках в режиме онлайн

Доступ к системам предоставляется строго по регламенту, новый доступ

согласуется, доступ уволенных блокируется, при переводах меняется

Информация о правах доступа и их истории доступна в режиме онлайн

Автоматически выявляются нарушения с правами доступа

Все заявки на доступ сотрудников исполняются автоматически

Сотрудники могут решать большую часть вопросов по доступу

самостоятельно

Служба ИБ

Служба ИТ

Бизнес-пользователи


Как оценить эффективность IdM

10

Показатели До После

Время предоставления доступа новым сотрудником ХХ Х

Время исполнения заявок с учётом согласования ХХ Х

Время сбора данных о доступе сотрудника ХХ Х

Время подготовки отчётности/проведения аудита прав ХХ Х

Количество выявленных УЗ уволенных сотрудников, лишних УЗ ХХХ


Как оценить окупаемость IdM

11

Статья Принцип оценки

Простои сотрудников Время простоя * ФЗП * 2 * Текучка

Бизнес-потери Время простоя * Недополученная прибыль

Исполнение заявок на доступ К-во заявок * Время исполнения * ФЗП * 2

Исполнение регламентов Текучка * УЗ * 2 * Время исполнения * ФЗП * 2

Подготовка отчётов/аудит Время сбора данных * К-во людей * ФЗП * 2

Что за рамками:

-риски предоставления несогласованных полномочий

-риски активного доступа уволенных сотрудников

-риски накопления избыточного доступа


Стоит ли в это ввязываться

12

«Вначале было много скепсиса и сомнений по поводу внедрения idm, а теперь люди просто не понимают, как можно без него обходиться»

несколько бизнес-заказчиков IdM


Борис Романов

Заместитель руководителя

департамента разработки

Solar inRights

Как подготовиться

к внедрению IDM


С чего начать?

Распространённые страхи

нет ролевой модели

хаос элементарных полномочий в информационных системах

сложная и неоднородная ИТ инфраструктура

Реальные угрозы

Нечеткие цели

Сопротивление изменениям

Технические ограничения


Собрать рабочую группу

15

Заинтересованные лица

Информационная безопасность

ИТ-служба

Представители бизнеса

Служба поддержки пользователей

Рабочая группа определяет общие цели и порядок

выполнения проекта


Большой амбициозный проект

16

СталоБыло


Поэтапное внедрение

17

1 этап

2

этап

3

этап


Спланировать этапы проекта

18

Составить список ожидаемых результатов для каждого этапа

Изменения вводятся для небольшой группы сотрудников, а потом

масштабируются на всю организацию

На первом этапе – сочетание максимальной пользы и

минимального «вреда»

Потенциальная польза

Снижает риски информационной

безопасности

Уменьшает операционные расходы

Уменьшает количество ошибок

Потенциальный «вред»

Требует изменения существующих

процессов

Увеличивает затраты на проект


Пример

19

1000 сотрудников

20 информационных систем.

90% сотрудников используют только 5 из них (AD,

почта, Service-Desk, ERP, СЭД),

Из остальных систем только в 2-х есть бизнес-

критичная информация

В компании большая текучка

Права изменяются редко


Пример – план внедрения

20

1 этап

Назначение МНП в 5 основных системах для новых сотрудников

Ручное управление через IDM доступом в 5 основных и 2 критичных системах

Актуальные отчеты о фактическом доступе к критичным данным

Блокировка учётных записей при увольнении

Интеграция с кадровой системой?

2 этап

Запрос и согласование полномочий в IDM

Автоматическое предоставление полномочий после согласования в 10 системах

Разработанная ролевая модель

3 этап

Регулярный пересмотр полномочий руководителями и владельцами систем

Автоматическое назначение полномочий в соответствии с ролевой моделью

Блокировка доступа во время отпуска


Выбор решения

21

Промышленная платформа или заказная разработка?

Стоимость лицензий

Стандартная функциональность

Поддержка и развитие

Стоимость разработки

Уникальные функции

Сложность поддержки и развития

Высокие риски


Провести пилотный проект

22

Цель – убедиться, что проверяемое решение вам

подходит

Пилот не является для вас бесплатным

Пожелания нужно реализовывать в проекте

В пилотный проект нужно включать те моменты,

которые устраняют сомнения, которые

могут повлиять на ваш выбор.


Устранить сомнения

23

Убедиться, что …

решение позволяет реализовать принятые в вашей организации процессы

согласования полномочий (например, с условными переходами в зависимости от

атрибутов ролей, динамическим определением согласующих на каждом шаге и т.п.)

команда сможет интегрировать решение с вашей системой, к которой нет

стандартного коннектора

система сможет функционировать на принятой в вашей организации программно-

аппаратной платформе (ОС, СУБД и т.п.)

система справится с ожидаемой нагрузкой по количеству пользователей, учетных

записей и полномочий

система позволяет формировать требуемую регулярную и аналитическую отчетность

система будет удобна для ваших пользователей


Пример - Пилот

24

Включаем в пилот:

Интеграция с кадровой системой

Управление полномочиями в AD и СЭД

Определённый набор полномочий в зависимости от должности назначается

автоматически

Администраторы вручную управляют полномочиями пользователей

Конечные пользователи запрашивают дополнительные полномочия в СЭД и AD

Маршрут согласования полномочия зависит от управляемой системы

Полномочия в СЭД пересматриваются руководителями на регулярной основе

Исторический отчет об изменениях полномочий пользователя

Аналитический отчет о назначенных полномочиях для формирования ролевой

модели


Можно приступать

25

Рабочая

группа

Поэтапный

план

Пилотный

проект

Нечеткие цели

Сопротивление изменениям

Технические ограничения

Начало

внедрения




Solar inRights 2.0

Идеология, возможности,

преимущества


Про Solar inRights

27

Solar inRights создан на основе…

Почти 10 лет практики внедрения IdM

Около 20 проектах внедрения IdM

На 7 различных западных IdM


Для кого предназначен Solar inRights

28

Сложные развитые процессы управления доступом

Множество проблем на стыке подразделений, и

заинтересованных сторон

Компания не готова менять свои процессы под

возможности продукта


Идеология Solar inRights

29


Как работает Solar inRights

30

inRights

Целевые системыИсточники данных

Пользователи


Удобный пользовательский интерфейс

Разработан профессионалами в области Usability

Предоставляет удобный доступ к информации

Настраивается под конкретную организацию

Преимущества Solar inRights:

пользовательский интерфейс

31


Непревзойдённая гибкость

Позволяет расширять схему объектов данных

Автоматизирует даже самые сложные процессы

Поддерживает любые варианты согласования заявок


возможности расширения

32


Простой механизм настройки

Почти всё настраивается через xml-конфигурацию

Есть импорт/экспорт шаблонов конфигурации

Практически не требует разработки


конфигурирование

33


Поддержка очень больших внедрений

Поддерживает распределённые процессы управления

доступом и многоуровневые каталоги полномочий

Поддерживает большие объёмы данных

Просто масштабируется


возможности для крупных компаний

34

100 000


Поддерживаемая платформа

35

СУБД

•MS SQL Server

•Oracle DB

•PostgreSQL

•MySQL

Операционная система

•MS Windows Server

•Ubuntu

•CentOS

•RHEL

Обозначения:

•Коммерческое ПО

•Свободное ПО


Лицензирование Solar inRights

36

1. Лицензируется по количеству работающих штатных

сотрудников, правами которых управляет

2. Все доступные коннекторы входят в стоимость

лицензий

3. Имеет три функциональных модуля:

базовый, заявки, аналитика


Поддержка Solar inRights

37

Доступ к обновлениям

Доступ к новым коннекторам

Возможность создавать запросы на исправление дефектов

Возможность создавать запросы на улучшение функционала

Возможность получать консультации по устранению проблем

Возможность подавать запрос на разработку новых

коннекторов


Отличия inRights от других IdM

38

Удобный пользовательский интерфейс

Бизнес-пользователи легче разбираются с системой и меньше

обращаются в поддержку

Требует меньше доработок при внедрении

Гибкие возможности настройки

Меньше риск получить не то, что хотели

Меньше риск получить «заказную разработку»

Простота настройки

Не требует программирования для настройки

Часть задач сопровождения можно решать силами заказчика



[email protected]

solar inrights (idm) бизнес-завтрак all

Technology