Identity Management. Актуально для финансового сектора
Информационная безопасность Информационная безопасность

Сегодня наблюдается повышенный интерес к теме централизованного управления ИТ-инфраструктурой

Главная>Информационная безопасность>Identity Management. Актуально для финансового сектора
Информационная безопасность Тема номера

Identity Management. Актуально для финансового сектора

Дата публикации:
07.06.2008
Посетителей:
108
Просмотров:
96
Время просмотра:
2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Сегодня наблюдается повышенный интерес к теме централизованного управления ИТ-инфраструктурой. Он обусловлен, с одной стороны, наметившейся на российском рынке тенденцией роста кредитно-финансовых организаций, в том числе за счет слияний и поглощений, а с другой бурным внедрением систем класса business- critical (CRM, АБС и т.п.). Потребности банков в интеграционных решениях возросли. Финансовые организации стараются обеспечить стабильность и устойчивость бизнеса, защищая свои активы путем минимизации рисков.

 

 

В компаниях, где постоянно происходит набор сотрудников, совершаются внутренние кадровые перемещения, расширяется география присутствия – все больше бизнес-задач решается при помощи специализированных корпоративных приложений, вследствие чего растет число критичных для бизнеса многопользовательских систем. Поэтому не удивительно, что тема организации централизованного доступа к ИТ-ресурсам становится одной из самых обсуждаемых.

 

Появилось множество законодательных актов, которые напрямую или косвенно связаны с необходимостью внедрения IdM-решений: серия международных стандартов ISO 2700х, Sarbanes-Oxley Act, различные требования и рекомендации по построению информационных систем, такие как CoBIT, ITIL и пр. Также необходимо отметить стандарт Банка РФ и Федеральный закон «О персональных данных».

Синхронизировать работу таких систем, выстроить логику доступа к ИС позволяют решения класса IdM, призванные уменьшить риски и сократить затраты на администрирование.

 

При подборе IdM-системы для конкретного банка многообразие предлагаемых решений и подходов поначалу может привести в замешательство. Как правильно выбрать подходящее решение? Какие нюансы следует учесть? Какую компанию привлечь в качестве генерального подрядчика? Что поставить на первый план: стоимость проекта или качество предоставляемых услуг?

 

Скорее всего, выбор решения будет основан на принципе «цена-качество». Компании, претендующие на роль подрядчика, должны будут стать не только ИТ-консультантами, но и консультантами по бизнесу. Кроме того, важнейшими критериями станут совместимость новой системы с системами ИТ-инфрастуктуры банка и получение положительного результата для бизнеса в целом. Именно поэтому компания «Инфосистемы Джет» при построении IdM-систем реализует ролевую модель доступа к информационным ресурсам, которая делает доступ более гибким, чем при мандатном и дискреционном принципах построения.

Если компании используют традиционный принцип (мандатная и дискреционная модель) организации доступа к ИС, то каждому сотруднику предоставляются уникальные права доступа. На практике часто наблюдается ситуация, когда новый сотрудник вынужден долго ждать окончания процесса согласования этих прав. Зачастую из-за нежелания терять собственное время на бюрократические проволочки, руководство компаний принимает решение о предоставлении сотруднику избыточного доступа к информации. В результате теряется время, растут операционные риски и расходы на администрирование.

 

Ролевая модель построения IdM-системы делает управление правами доступа более легким, контролируемым и безопасным. В нее закладываются несколько типовых профилей пользователей с целью присвоения одному сотруднику нескольких ролей. При этом крайне важен тот факт, что сотрудник обычно исполняет несколько функциональных ролей. В IdM-системе заложен модуль, позволяющий проанализировать и распознать взаимоисключающие роли, чтобы избежать дублирования полномочий сотрудника (принцип разделения полномочий – Segregation of Duties).

 

Например, в банке установлена некая HR-система, используемая для получения сведений о сотрудниках и рассматриваемая в качестве эталонной. При поступлении в HR-систему информации о новом сотруднике в IdM-системе автоматически создается новая запись, которая после необходимых согласований будет транслирована в управляемые системы. Соответственно все временные блокировки (например, при уходе сотрудника в отпуск) и удаление учетной записи из IdM-системы будут производиться автоматически, как только сотрудники отдела кадров внесут необходимые изменения в HR-систему.

 

Внедрение IdM-системы в организации требует значительных средств, и чаще всего расходы ложатся на ИТ-бюджет. Но доказать целесообразность подобных вложений достаточно легко. Помимо качественной составляющей проекта, можно показать сроки окупаемости решения путем вычисления параметра ROI, в который входят такие показатели как: производительность Help Desk, уровень эффективности управления проектами, затраты на внешний аудит и т.д.

 

Функциональные возможности IdM-системы охватывают полный спектр потребностей в управлении доступом. Разработка такого решения – процесс трудоемкий и сложный, он требует от подрядчика знаний в области консалтинга, технического бэкграунда и опыта программных разработок.

 

На первом этапе внедрения необходимо разработать ролевую модель, которая в будущем даст возможность оперативно управлять доступом, и провести анализ бизнес-процессов банка, с целью выявления дальнейшей потребности сотрудников в доступе к информационным системам.

 

На втором этапе разрабатываются и формализуются процессы согласования предоставления доступа сотрудников банка к ИС. Во многих компаниях этот процесс довольно сложен, так как включает в себя ветвления и возвраты. Зачастую подобные процессы не оптимизированы, например они не обеспечивают должного уровня ИБ или неоправданно трудоемки. Если сотрудник по требованию бизнеса наделяется дополнительными правами, которые отклоняются от принятой ролевой модели, то вопрос согласования прав доступа прорабатывается отдельно.

 

На третьем этапе производится автоматизация разработанных бизнес-процессов согласования и ролевой модели средствами внедряемого IdM решения. Самый большой объем работ выполняется при подключении управляемых ИТ-систем, связанных с программированием. Хотя большинство из них имеют стандартные коннекторы, участие программистов обязательно.

 

Выбрав в качестве основы для внедрения IdM решения ролевую модель, заказчик в первую очередь заботится об обеспечении информационной безопасности внутри банка. Это значит, что- акая модель поможет не только регламентировать разграничение прав доступа, но и разработать механизмы их изменений, например, при изменении бизнес-процессов банка. Переход к ролевой модели позволит значительно повысить эффективность бизнеса.

Уведомления об обновлении тем – в вашей почте

А нам много и не надо, или IdM для среднего бизнеса

Ситуация на современном рынке IdM такова, что все основные вендоры ориентированы на компании Large Enterprise как на наиболее типового заказчика подобных решений последних лет

Если хочешь оставаться конкурентоспособным, ты должен быть смелым

Зачем банк «Открытие» сократил число ИТ-систем с 700 до 200? Почему банку потребовалось модернизировать процесс доставки приложений? Какие результаты показывает Citrix App Layering?

IdM в России - пора совершеннолетия

За последние годы рынок IdM в России проделал большой путь: за 5 лет - с 2009 г. - количество внедрений выросло в 6-7 раз

«Информационная безопасность в банковской сфере – это предмет «торга»

Если обеспечить 100%-ную техническую защищенность бизнеса, он просто не сможет приносить прибыль. Если же не ставить ...

Мониторинг бизнес-приложений: экономим 50 млн рублей в час

Сколько стоит час простоя бизнес-приложений? Что умеют и чего не умеют АРМ-решения? Как пилот может сократить стоимость внедрения?

Внедрение системы IdM за 10 шагов

Проекты по внедрению IdM-систем иногда сопровождаются большими усилиями, срывами запланированных сроков и бюджетами, превышающими сумму, которая планировалась вначале

Identity Management: взгляд Sun Microsystems

Развитие сетевого сообщества подчиняется тем же законам, что и развитие общества, за одним исключением: все процессы идут во много раз быстрее

Машинное обучение: фантастика, ставшая привычной

В исследовании MIT Technology Review, проведенном в конце прошлого года, говорится, что 60% компаний в том или ином виде используют машинное обучение в своем бизнесе.

«Дата-сайентистов, у которых есть доступ к озеру, мы знаем в лицо»

В какой момент «Россельхозбанк» задумался об озере данных? Как убедить службу ИБ, что озеро — это безопасно? Где найти дата-инженеров за разумные деньги?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня