Опыт практического использования технологий безопасности Oracle: построение системы управления учетными записями пользователей Желябовская Татьяна Руководитель департамента проектного консалтинга группы компаний Compit Compit Group oracle@compit.by www.compit.by www.compit.by 2 Compit Group www.compit.by 3 Compit Group Принципы работы Compit Индивидуальный подход к каждому клиенту Проактивная сервисная поддержка Полный спектр профессиональных услуг в шаговой доступности Постоянное самосовершенствование и развитие Компетенции, опыт Compit Более 20 лет на рынке: продвижение, внедрение и поддержка продуктов Oracle Более 95 % сервисных заявок закрывается силами специалистов Compit (без оформления Service Requests в Oracle) 18 сертифицированных Oracle специалистов, в т. ч. Oracle Certified Professional Более 40 действующих договоров на техническую поддержку с крупнейшими заказчиками РБ всех сфер экономики Десятки реализованных проектов различной степени сложности на базе технологий Oracle www.compit.by 4 Специализации Compit www.compit.by 5 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by 6 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by 7 Где мы? Традиционная архитектура Пользователи Приложение Приложение Приложение Приложение LDAP или СУБД LDAP или СУБД LDAP или СУБД LDAP или СУБД ID пользователей для Аутентификации & Авторизации Администраторы ID пользователей для Аутентификации & Авторизации Администраторы ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации Администраторы Администраторы Низкий уровень безопасности и высокая стоимость управления: Приложения разрозненны, их разработка сложна Политики доступа не унифицированы, Пользователи имеют излишние привилегии Id данные пользователей дублируются, высокая трудоемкость администрирования, «мертвые души» Аудит фрагментирован www.compit.by 8 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by Oracle Identity Manager Предоставление доступа на основе политик Oracle Identity Management Доступ к приложениям Подрядчик Саморегистрация Согласование Identity Store Роль Новый сотрудник HR Политики доступа Процессы Коннектор Реконсиляция Запрет доступа www.compit.by 10 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by 11 Цели и задачи создания системы создание централизованного управления учетными записями пользователей создание централизованного автоматизированного управления правами доступа сокращение времени, необходимого на управление учетными записями и паролями; сокращение издержек ожидания доступа снижение затрат на администрирование информационных систем создание централизованного автоматизированного документооборота сокращение сроков формирования и согласования заявок на предоставление доступа повышение прозрачности процессов управления правами доступа, отчетность и аудит снижение рисков информационной безопасности снижение ИТ-рисков за счет применения единого подхода к организации предоставления прав доступа www.compit.by 12 Архитектура системы www.compit.by 13 Результаты реализации 1-го этапа проекта Старт проекта – октябрь 2013 г., окончание – июль 2014 г. на оборудовании заказчика развернута инфраструктура системы: Oracle Identity Manager, сервер БД, сервер коннекторов выполнена интеграция с доверенной системой (HR-система): организационная структура, штатное расписание, информация о сотрудниках Заказчика, обработка событий из кадровой системы реализованы механизмы (формы заявок, служебные роли, бизнес-процессы согласования) предоставления доступа к трем информационным системам: система управления доступом, операционный день банка, LDAP-каталог (Microsoft AD) разработаны коннекторы к LDAP-каталогу, к нескольким целевым системам www.compit.by 14 Что дальше? расширение списка информационных ресурсов, подключенных к системе управления доступом внедрение ЭЦП и отказ от бумажного документооборота заявок на доступ внедрение Enterprise SSO реализация кабинета самообслуживания с функцией просмотра/актуализации данных, просмотра состояния доступа к ресурсам, сброс/изменение пароля аттестация системы в соответствии с нормативными требованиями по безопасности РБ www.compit.by 15 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by 16 Особенности проектов IdM это не инфраструктурный проект 20% − технологии, 80% − организация (Gartner) 2 основных этапа реализации: консалтинговый и прикладной совместная команда заказчика и исполнителя состав команды заказчика: сотрудники ИБ, ИТ, отдела кадров длительность проектов www.compit.by 17 Организационная структура проекта www.compit.by 18 Разделение ответственности Исполнитель: консалтинг, разработка, установка и настройка новой системы, разработка технического проекта, создание документации пользователя, техническая поддержка Заказчик: постановка задачи, обеспечение технической и программной инфраструктуры Совместно: управление проектом, построение технической архитектуры, тестирование, переход к промышленной эксплуатации www.compit.by 19 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by 20 Oracle Identity Manager Преимущества Единое комплексное решение, не требующее перестройки инфраструктуры Легко интегрируется с HR-системами и с любыми унаследованными системами Поддерживает любые системы национального производства (1С, СЭД-ы и т.д.) Снижение затрат на управление + единая консоль управления с поддержкой SLA Снижение стоимости соответствия требованиям регуляторов Возможности Управление ролевым доступом в соответствии с должностными обязанностями Разделение/ делегирование полномочий Управляющий документооборот Контроль действий администраторов целевых систем Отчетность (оперативная / историческая) Выявление «бесхозных» учетных записей Самообслуживание пользователей Проверка неизбыточности полномочий пользователей www.compit.by Технико-экономические преимущества Повышение производительности Help-desk Повышение эффективности управления учетными записями Повышение эффективности работы сотрудников Снижение издержек на согласование заявок связанных с доступом Снижение затрат на аудит Снижение затрат на лицензирование ПО Снижение рисков безопасности Снижение рисков по невыполнению требований руководящих документов www.compit.by 22 Поддерживаемые системы Порталы Сервера приложений / Web-сервера Приложения Средства коллективной работы Каталоги Операционные системы ACF-2 & TSS RACF www.compit.by 23 Содержание Актуальность вопросов управления и контроля доступом Oracle IdM как способ решения обозначенных проблем Опыт практического внедрения Общие подходы к внедрению систем управления доступом Преимущества Oracle Identity Manager Вопросы&Ответы www.compit.by СПАСИБО ЗА ВНИМАНИЕ www.compit.by