4. Identitātes pārvaldība
Identitātes dzīves Lietotāju direktoriju Piekļuves pārvaldība
cikla pārvaldība pārvaldība
Lietotāju pārvaldība Lietotāji, atribūti, paroles Autentifikācija, Autorizācija
Kontu izvietošana Grupas, politikas Single-Sign-On
Kontu noņemšana Privilēģijas Auditācija
Paroļu politika Identitātes
Biznesa lomas izplatīšana, integrācija un
deleģēšana
Identitātes pārvaldības procesi (pieņemšana, amata maiņa, atlaišana, ...)
Biznesa lietojumprogrammas
5. Kāpēc ir vajadzīga identitātes pārvaldība?
Caurskatāmība (kas, kam, kad un kāpēc)
Darba automatizācija un cilvēcisko kļūdu izslēgšana
Lietotāju efektivitātes paaugstināšana
Piekļuves uzlabošana sistēmām un atbalsts nākotnei
Informācijas drošība
6. 1. Caurskatāmība
Aktuāla dokumentācija par lietotājam piešķirtajām tiesībām
Drošības audita atbalsts un drošības caurumu noteikšana
Iespēja noskaidrot faktisko stāvokli par privilēģiju piešķiršanu
un kontu izveidi:
Kam?
Kas?
Kāpēc?
Kad?
7. 2. Darba automatizācija un cilvēcisko kļūdu
izslēgšana
Automatizēti procesi (informācijas sinhronizācija starp
dažādām sistēmām)
Automatizēta kontu slēgšana/atvēršana sākoties/beidzoties
darba attiecībām
Identitātes pārvaldības darba plūsmas (birokrātiskais
process), kas pilnībā aizstāj papīra balstītus procesus
Biznesa lomu izveide
8. 3. Lietotāju efektivitātes paaugstināšana
Pašapkalpošanās iespējas:
Paroļu maiņa
Aizmirstas paroles
Jaunu privilēģiju pieprasīšana
Nav jāatceras katrai sistēmai sava parole
Lietotāja informācijas aktualizēšanas iespējas
9. 4. Piekļuves uzlabošana sistēmām un atbalsts
nākotnei
Centralizēta autentifikācija un autorizācija
Vienota paroļu politika
SSO - Single-sign-on
Vairāku faktoru autentifikācija
Vairāku līmeņu autentifikācija
Biometriskā autentifikācija
10. 5. Informācijas drošība
Pienākumu nodalīšana (segregation of duty )
Privilēģijas tādā apmērā, kas paredzētas darba pienākumu
veikšanai (least privileges)
Darbinieki piekļūst tikai tai informācijai, kurai ir jāpiekļūst
darba pienākumu veikšanai
Darbinieki nevar piekļūt informācijai ārpus darba laika vai
atvaļinājumā vai pārtraucot darba attiecības
11. Kopsavilkums
Caurskatāmība (kas, kam, kad un kāpēc)
Darba automatizācija un cilvēcisko kļūdu izslēgšana
Lietotāju efektivitātes paaugstināšana
Piekļuves uzlabošana sistēmām un atbalsts nākotnei
Informācijas drošība
13. Identitātes pārvaldība
Identitātes dzīves Lietotāju direktoriju Piekļuves pārvaldība
cikla pārvaldība pārvaldība
Lietotāju pārvaldība Lietotāji, atribūti, paroles Autentifikācija, Autorizācija
Kontu izvietošana Grupas, politikas Single-Sign-On
Kontu noņemšana Privilēģijas Auditācija
Paroļu politika Identitātes
Biznesa lomas izplatīšana, integrācija un
deleģēšana
Identitātes pārvaldības procesi (pieņemšana darbā, amata maiņa, atlaišana, ...)
Biznesa lietojumprogrammas
Gatavi produkti un komponenti
Ražotāju eksperti un konsultanti
14. DPA pieredze identitātes pārvaldības jautājumos
Webservisu SSO (single-sing-on) risinājumi nehomogēnā
vidē, lai nodrošinātu drošu Servisu Orientētu Arhitektūru (SOA)
«Iekšlietu ministrija»
Liela apjoma identitātes pārvaldība (provisioning)
«Rīgas dome»
Sarežģītu darba plūsmu izveide un SOA izmantošana
«Iekšlietu ministrija»
Liela apjoma direktoriju pārvaldība
«Zemkopības ministrija, VID, ...»
Biometrijas izmantošana autentifikācijā (biometriskā
verifikācija)
«Iekšlietu ministrija»
15. Katrs ceļojums sākas ar pirmo soli
ISO 27001 un procesu sakārtošana - pamats korektai
identitātes pārvaldības organizēšanai
Informācijas klasifikācija (publisks, konfidenciāls, privāts)
IS lomas (īpašnieks, uzraugs, pārvaldnieks, lietotājs)
Privilēģijas tādā apmērā, kas paredzētas darba pienākumu
veikšanai (least privileges)
Pienākumu nodalīšana (segregation of duty)
16. Katrs ceļojums sākas ar pirmo soli
Identitātes pārvaldības procesi un kā IS lomas ir iesaistītas
šajos procesos
Biznesa lomas un privilēģijas (izveide no esošajām
privilēģijām eksistējošās biznesa sistēmās)
TOP ražotāji, kas nodrošina identitātes pārvaldības
produktus pēc Gartner: Microsoft, Oracle, IBM.
Es pastāstīšu par IDM un kāpēc tā ir nepieciešama.Tā kā IDM aptver daudzus biznesa procesusun tehnoloģijas, kas ir skar šos biznesa procesus, tad sākšu ar piemēru no dzīves, lai labāk ilustrētu IDM lomu.
Kāds no lieliem Latvijas uzņēmumiem vairākkārt ir saņēmis pieprasījumus no policijas vairākos kriminālprocesos.Bijušais darbinieks ir spējis piekļūt konfidenciālai informācijai un nodarīt būtiskus zaudējumus... Informācija ir vērtība, kas ir jāaizsargā.Kas par to ir atbildīgs par situāciju, ka bijušais darbinieks ir piekļuvis konfidenciālai informācijai? Kurš būs atbildīgs par informācijas noplūdi: uzņēmuma vadītājs, personāla vadība vai IT?Kā apkopot informāciju par to kam (kādām sistēmām un informācijai) piekļūst dotais darbinieks? Un vai šīm darbiniekam tas ir atļauts..Kādas f-jas tam ir faktiski piešķirtas un kādas tam formāli vajadzēja būt.Šie ir tikai daži jautājumi ko risina identitātes pārvaldība: Identitātes pārvaldība ir visi procesi un tehnoloģijas, kas sākas no darbinieka pieņemšanas darbā un beidzas ar darbinieka atbrīvošanu (tiesību piešķiršana/noņemšana, autentifikācija).
Mūsu mērķis ir nepieļaut šādas situācijas sakārtojot IDM - nodalīt atbildības, automatizējot darbu.Tai pat laikā paaugstinot informācijas drošību un tās kontroli.Lai katrs būtu atbildīgs par savu sfēru - Lai IT nebūtu atbildīgs par Biznesa jautājumiem un Bizness velta uzmanību biznesa jautājumam un IT varētu veltīt uzmanību IT jautājumiem.
Var sākt ar vienkāršo un beigt ar sarežītākoApskatot detalizētāk IDM balstās uz 3 blokiem:Piekļuves pārvaldība – autentifikācijas un autorizācijas procesi. Auditācija. Tipisks piemērs ir lietotāja vārda un parole. Piekļuves apstiprinājums vai atteikums (autorizācija)Identitātes dzīves cikla pārvaldība – biznesa procesi, biznesa lomas, politikas. Lietotāju direktoriju pārvaldība – paroļu, lietotāju profilu grupu privilēģiju un politiku centralizēta glabāšana.Biznesa procesi un biznesa lietojumprogrammas nepārtraukti mijiedarbojas ar IDM blokiem. Piem., mainot amatu vadītājs veic amata maiņas apstiprinājumu, tiek mainīti atribūti un lomas lietotāju direktorijā (konkrētajam lietotājam) un lietotājs tiek autorizēts kādā no biznesa sistēmām un tai pat laikā tiek mainītas privilēģijas citās biznesa sistēmās. Piem., no rakstīt uz skatīt. Utt. Darbības, kas ir jāveic jebkurā no identitātes dzīves cikla posmiem. Piem., Mainot pozīciju – personāla pārvalde sagatavo rīkojumu, kuru elektroniski apstiprina jaunais vadītājs. Pēc šī apstirinājuma esošā piekļuves tiesības tiek slēgtas (katrā no biznesa sistēmām) un tiek izveidotas jaunas piekļuves tiesības katrā no sistēmām.Visi IDM pamatbloki un mijiedarbības ar šiem blokiem ir IDM redzes lokā.
Minēšu 5 piemērus kāpēc IDM ir nepieciešama un kā tas palīdz nonākt līdz pilnīgai IDM automatizācijai
Dokumentācija, kas attēlo pilnu informāciju par darbinieka/partnera piekļuves iespējām.Atbalsts iekšējam/ārējam auditam, lai noteiktu neeksistējošus kontus, kontus, kas nav izveidoti saskaņā ar politiku (piem., kāds DB līmenīizveidojis kontu).Detalizēta vēsture par darbinieku: kas darbinieku priviliģējis, kad un kāpēc, kas ar pāris peles klikšķu palīdzību ļauj atbildēt uz piemērā doto policijas pieprasījumu
Lai biznesa sistēmās būtu aktuālā informācija par katru darbinieku tiek nodrošināta automātiska lietotāju lomu/atribūtu sinhronizācija ar centrālo lietotāju identitāšu glabātuvi. Piem., Personāla vadības sistēmu.Papīra kartiņas ar sistēmu privilēģijām un dažādiem papīra formāta rīkojumiem tiek aizstātas ar elektroniskām darba plūsmām, kur atbildīgais darbinieks piem., e-pastā apstiprina darbinieka atlaišanu kas iedarbina darba plūsmu privilēģiju likvidēšanai un konta slēgšanai no biznesa sistēmām. Šeit var iekļaut arī manuālas darbības. Piem., darbiniekam jānodod darba telefons, darba mašīnas atslēgas utt.Ļoti būtiski ir izmantot biznesa lomas, kas apvieno neskaitāmas privilēģijas daudzās sistēmās. Piem., loma «Grāmatvedis» paredz: piekļuve e-pastam, Iekšējai maksājumu sistēmai (skatīt/rakstīt) režīmā un personāla sistēmai (skatīt režīmā).
Pašam lietotājam tiek nodrošināta iespēja administrēt savu kontu – būtiski samazinot administrēšanas darbu
Centralizētas autentifikācijas serviss, lai nodrošinātu piekļuvi klasificētai informācijai – implementējot jaunu autentifikācijas vidu nav jāveic izmaiņas visās biznesa sistēmās.Vairāku faktoru autentifikācija: Piem.,ip adrešu apgabals, lietotāja vārds parole, Biometrijas autentifikācija: biometriskais dokuments, lai veiktu verifikāciju. Multi-biometrija, lai veiktu identifikāciju (Piem., seja, radzene, pirksta nospiedums)Dažādi Piekļuves līmeņi ar dažādiem Klasificētai informācijai iespēja nodalīt
IDM risina «Pienākumu nodalīšanas» problēmas. Piem., Ka grāmatvedis nevar mainīt darbinieka algu un to izmaksāt.Darbinieki piekļūst tikai tai informācijai un funkcijām, kas ir paredzētas to darba pienākumos.
Tātad apkopojot IDM priekšrocības:Vienmēr varam iegūt aktuālo stāvokli kas, kam piekļūst, Biznesa darba plūsmas, kas izslēdz cilvēciskās kļūdas un automatizē procesusLietotāji paši var apkalpot savu profiluLietotājiem atkrīt n-to paroļu problēmasInformācija ir klasificēta un piekļuvi tai kontrolē bizness
Var sākt ar vienkāršo un beigt ar sarežītākoApskatot detalizētāk IDM balstās uz 3 blokiem:Piekļuves pārvaldība – autentifikācijas un autorizācijas procesi. Auditācija. Tipisks piemērs ir lietotāja vārda un parole. Piekļuves apstiprinājums vai atteikums (autorizācija)Identitātes dzīves cikla pārvaldība – biznesa procesi, biznesa lomas, politikas. Lietotāju direktoriju pārvaldība – paroļu, lietotāju profilu grupu privilēģiju un politiku centralizēta glabāšana.Biznesa procesi un biznesa lietojumprogrammas nepārtraukti mijiedarbojas ar IDM blokiem. Piem., mainot amatu vadītājs veic amata maiņas apstiprinājumu, tiek mainīti atribūti un lomas lietotāju direktorijā (konkrētajam lietotājam) un lietotājs tiek autorizēts kādā no biznesa sistēmām un tai pat laikā tiek mainītas privilēģijas citās biznesa sistēmās. Piem., no rakstīt uz skatīt. Utt. Darbības, kas ir jāveic jebkurā no identitātes dzīves cikla posmiem. Piem., Mainot pozīciju – personāla pārvalde sagatavo rīkojumu, kuru elektroniski apstiprina jaunais vadītājs. Pēc šī apstirinājuma esošā piekļuves tiesības tiek slēgtas (katrā no biznesa sistēmām) un tiek izveidotas jaunas piekļuves tiesības katrā no sistēmām.Visi IDM pamatbloki un mijiedarbības ar šiem blokiem ir IDM redzes lokā.
Teikums par katru no projektiem
Pirms ķerties pie IDM projekta realizācijas ir vērts iepazīties galvenajiem jautājumiem, kur mēs DPA esam gatavi palīdzēt gan ar konsultācijām. No drošības audita, infrastruktūras un izstrādes puses. Jūsu intereses gadījumā esam gatavi arī veikt POC (ProofOfConcept) projektus.ISO iezīmē rekomendācijas, kuras būtu jāievēro realizējot IDM projektu.Jādomā par informācijas klasifikāciju, lai tiktu vērsta uzmanība uz svarīgo/aizsargājamo informācijuSistēmām un informācijai, kas ir aizsargājama ir jābūt atbildīgajiem un šiem atbildīgajiem ir jāiesaistās IDM pārvaldības procesos ar konkrētu lomuJādomā, lai privilēģijas kas ir piešķirtas būtu tādā apmērā, lai lietotājs varētu pildīt savus darba uzdevumus.Jāpārdomā, pienākumu nodalīšana
Kādi ir biznesa procesi un kādas ir biznesa lomas kas iesaistās šajos procesosKādas ir iespējas organizēt centralizētu autentifikācijuKādus ražotājus izvēlēties. Kādi katram ir plusi kādi mīnusi.
Identitātes pārvaldība automatizē darbu, samazina riskus informācijas noplūdēm, uzlabo piekļuves kontroli un palielina lietotāju produktivitāti.Mēs esam gatavi spert pirmo soli ar Jums šajā IDM ceļojumā.Nav raķešu zinātne. Var sākt ar konkrētiem soļiem.