Wednesday, March 14, 2012

IDM для Информационной безопасности

Возможно, очевидные вещи будут здесь написаны, но, надеюсь, кому-то будет полезно.

Преимущества от внедрения IDM получат все: ИТ, так как повысят свою efficiency - многие работы будут автоматизированы, Бизнес, так как использование бизнес-ролей и ролевой модели доступа с привязкой к корпоративной оргструктуре и/или бизнес-процессам Компании позволят им понимать к чему сотрудники имеют доступ, Безопасность, так как будут адресованы ряд ключевых рисков, связанных с контролем доступа.

На безопасности хочется остановиться подробнее, отметив основное, что на мой взгляд должно объективно стимулировать движение в сторону подобных решений. Все-таки 21ый век на дворе и ручно-бумажно-пешконосный контроль доступа выглядит несовременно :-)

Риск: Предоставление группой эксплуатации (ИТ) доступа, отличного от согласованного.
Контроль: IDM автоматизирует процесс наделения учетных записей техническими правами, доступ предоставляется без участия администратора.

Риск: Предоставление доступа на основании «некорректного» согласования (доступ не согласован в установленном порядке).
Контроль: Процесс согласования доступа жестко запрограммирован в IDM: правильность маршрута согласования обеспечена конфигурацией IDM.

Риск: Риски, связанные с использованием Избирательной модели управления доступом (discretionary access control, DAC)
Контроль: IDM позволяет построить Ролевую модель управления доступом, при которой успешность предоставления доступа не будет полностью основываться на решении согласующих (Владельце ресурса, например), а будет зависеть от позиции пользователя в бизнес-процессах компании (должности, подразделении, функциональных обязанностях).

Риск: невозможность выявления некорректных прав пользователей (некорректно присвоенных ранее или устаревших ввиду различного рода изменений в компании).
Контроль: IDM позволяет проводить сравнение своей базы доступов (корректно согласованных) с фактическим состоянием технических прав в обслуживаемых информационных системах. Таким образом, обеспечивается проведение периодического технического аудита полномочий пользователей, что позволит выявлять ошибки и злоупотребления.

Риск: устаревание прав ввиду изменения бизнес-процессов Компании.
Контроль: IDM предоставляет ответственным от бизнеса удобный интерфейс просмотра и корректирования бизнес-ролей пользователей. IDM позволяет этот процесс инициировать принудительно по расписанию, что позволит обеспечить выполнение требований безопасности. Подобный аудит безнес-ролей пользователей позволит в большей степени соблюдать принцип Минимума полномочий (Least Privilege) – не нужные, устаревшие права будут отобраны по инициативе бизнеса.

Риск: некорректное совмещение критичных полномочий в информационных системах.
Контроль: IDM позволяет автоматизировать соблюдение принципа Разделения ответственности (Segregation of Duties, SOD): Роли которые нельзя совмещать у одного пользователя не смогут быть запрошены и/или присвоены.

Риск: избыточные полномочия пользователей в случае изменения их статуса в бизнес-процессах Компании.
Контроль: IDM интегрируется с системами кадрового учета, таким образом, любое кадровое изменение пользователя будет инициировать процесс пересмотра прав пользователя в информационных системах.

Перечисленное - первое, что пришло в голову. Если что забыл - комментарии приветствуются.

5 comments:

Ригель said...

Согласитесь, что при пяти пользователях и двух приложениях внедрение IDM себя не оправдает.
В какой же точке оправдает? В какой дважды окупится?

Sergey Soldatov said...

Я писал про риски безопасности. Если мы рассматриваем экономическую составляющую, то тут надо взять карандаш и бумажку или, кто продвинут, компьютер с Excel-ем и сравнить:
(стоимость простоя пользователя пока ему делают доступы + стоимость работы ИТ по предоставлению доступов + стоимость работы согласующих и тех кто его обеспечивает (носят бумажки)) с (стоимость внедрения + стоимость поддержки IDM).

Как вы понимаете, в зависимости от ситуации, расчеты будут сильно индивидуальны.

Примерно так.

Igor Gots said...

Таки хотелось бы конкретики. Для сети за МКАДом, обслуживающей несколько тысяч АРМ и имеющей АД - на сколько реально без привлечения столичных консультантов (на этапе программирования маршрутов в ИДМ, определения ролей и тп) своими силами с минимальными затратами внедрить ИДМ?
С другой стороны у всех есть Active Directory. Сделав AD единой базой пользователей, можно ли построить IDM без использования дорогостоящих программных продуктов?

Sergey Soldatov said...

Игорь, надо смотреть по ситуации.
1. Не Боги горшки обжигают, соответственно, взрастить своих специалистов (==дорогостоящих из белокаменной) можно.
2. Надо смотреть функционал. Если он ложиться в то, что предлагается из коробки - ОК. Если все не так, может дешевле взять пару кодеров и закодить всю логику с нуля.
3. Надо смотреть объемы. Если они большие, IDM рентабелен. При небольших объемах рентабельнее приделать ноги к заявке.

Igor Gots said...

Дай цифр :)