Identity Management. Актуально для финансового сектора
Информационная безопасность Информационная безопасность

Сегодня наблюдается повышенный интерес к теме централизованного управления ИТ-инфраструктурой

Главная>Информационная безопасность>Identity Management. Актуально для финансового сектора
Информационная безопасность Тема номера

Identity Management. Актуально для финансового сектора

Дата публикации:
07.06.2008
Посетителей:
72
Просмотров:
60
Время просмотра:
1.2 мин.

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Сегодня наблюдается повышенный интерес к теме централизованного управления ИТ-инфраструктурой. Он обусловлен, с одной стороны, наметившейся на российском рынке тенденцией роста кредитно-финансовых организаций, в том числе за счет слияний и поглощений, а с другой бурным внедрением систем класса business- critical (CRM, АБС и т.п.). Потребности банков в интеграционных решениях возросли. Финансовые организации стараются обеспечить стабильность и устойчивость бизнеса, защищая свои активы путем минимизации рисков.

 

 

В компаниях, где постоянно происходит набор сотрудников, совершаются внутренние кадровые перемещения, расширяется география присутствия – все больше бизнес-задач решается при помощи специализированных корпоративных приложений, вследствие чего растет число критичных для бизнеса многопользовательских систем. Поэтому не удивительно, что тема организации централизованного доступа к ИТ-ресурсам становится одной из самых обсуждаемых.

 

Появилось множество законодательных актов, которые напрямую или косвенно связаны с необходимостью внедрения IdM-решений: серия международных стандартов ISO 2700х, Sarbanes-Oxley Act, различные требования и рекомендации по построению информационных систем, такие как CoBIT, ITIL и пр. Также необходимо отметить стандарт Банка РФ и Федеральный закон «О персональных данных».

Синхронизировать работу таких систем, выстроить логику доступа к ИС позволяют решения класса IdM, призванные уменьшить риски и сократить затраты на администрирование.

 

При подборе IdM-системы для конкретного банка многообразие предлагаемых решений и подходов поначалу может привести в замешательство. Как правильно выбрать подходящее решение? Какие нюансы следует учесть? Какую компанию привлечь в качестве генерального подрядчика? Что поставить на первый план: стоимость проекта или качество предоставляемых услуг?

 

Скорее всего, выбор решения будет основан на принципе «цена-качество». Компании, претендующие на роль подрядчика, должны будут стать не только ИТ-консультантами, но и консультантами по бизнесу. Кроме того, важнейшими критериями станут совместимость новой системы с системами ИТ-инфрастуктуры банка и получение положительного результата для бизнеса в целом. Именно поэтому компания «Инфосистемы Джет» при построении IdM-систем реализует ролевую модель доступа к информационным ресурсам, которая делает доступ более гибким, чем при мандатном и дискреционном принципах построения.

Если компании используют традиционный принцип (мандатная и дискреционная модель) организации доступа к ИС, то каждому сотруднику предоставляются уникальные права доступа. На практике часто наблюдается ситуация, когда новый сотрудник вынужден долго ждать окончания процесса согласования этих прав. Зачастую из-за нежелания терять собственное время на бюрократические проволочки, руководство компаний принимает решение о предоставлении сотруднику избыточного доступа к информации. В результате теряется время, растут операционные риски и расходы на администрирование.

 

Ролевая модель построения IdM-системы делает управление правами доступа более легким, контролируемым и безопасным. В нее закладываются несколько типовых профилей пользователей с целью присвоения одному сотруднику нескольких ролей. При этом крайне важен тот факт, что сотрудник обычно исполняет несколько функциональных ролей. В IdM-системе заложен модуль, позволяющий проанализировать и распознать взаимоисключающие роли, чтобы избежать дублирования полномочий сотрудника (принцип разделения полномочий – Segregation of Duties).

 

Например, в банке установлена некая HR-система, используемая для получения сведений о сотрудниках и рассматриваемая в качестве эталонной. При поступлении в HR-систему информации о новом сотруднике в IdM-системе автоматически создается новая запись, которая после необходимых согласований будет транслирована в управляемые системы. Соответственно все временные блокировки (например, при уходе сотрудника в отпуск) и удаление учетной записи из IdM-системы будут производиться автоматически, как только сотрудники отдела кадров внесут необходимые изменения в HR-систему.

 

Внедрение IdM-системы в организации требует значительных средств, и чаще всего расходы ложатся на ИТ-бюджет. Но доказать целесообразность подобных вложений достаточно легко. Помимо качественной составляющей проекта, можно показать сроки окупаемости решения путем вычисления параметра ROI, в который входят такие показатели как: производительность Help Desk, уровень эффективности управления проектами, затраты на внешний аудит и т.д.

 

Функциональные возможности IdM-системы охватывают полный спектр потребностей в управлении доступом. Разработка такого решения – процесс трудоемкий и сложный, он требует от подрядчика знаний в области консалтинга, технического бэкграунда и опыта программных разработок.

 

На первом этапе внедрения необходимо разработать ролевую модель, которая в будущем даст возможность оперативно управлять доступом, и провести анализ бизнес-процессов банка, с целью выявления дальнейшей потребности сотрудников в доступе к информационным системам.

 

На втором этапе разрабатываются и формализуются процессы согласования предоставления доступа сотрудников банка к ИС. Во многих компаниях этот процесс довольно сложен, так как включает в себя ветвления и возвраты. Зачастую подобные процессы не оптимизированы, например они не обеспечивают должного уровня ИБ или неоправданно трудоемки. Если сотрудник по требованию бизнеса наделяется дополнительными правами, которые отклоняются от принятой ролевой модели, то вопрос согласования прав доступа прорабатывается отдельно.

 

На третьем этапе производится автоматизация разработанных бизнес-процессов согласования и ролевой модели средствами внедряемого IdM решения. Самый большой объем работ выполняется при подключении управляемых ИТ-систем, связанных с программированием. Хотя большинство из них имеют стандартные коннекторы, участие программистов обязательно.

 

Выбрав в качестве основы для внедрения IdM решения ролевую модель, заказчик в первую очередь заботится об обеспечении информационной безопасности внутри банка. Это значит, что- акая модель поможет не только регламентировать разграничение прав доступа, но и разработать механизмы их изменений, например, при изменении бизнес-процессов банка. Переход к ролевой модели позволит значительно повысить эффективность бизнеса.

Уведомления об обновлении тем – в вашей почте

"Разрешите представиться"

За старомодными оборотами «разрешите представиться» и «разрешите вам представить» обнаруживаются технологические приемы идентификации личности

Беседа со Степаном Масленниковым, директором департамента бизнес-информации и службы заказчика ТНК-BP

Мы обратились в компанию ТНК-BP с просьбой поделиться своим экспертным мнением по этой теме, и на вопросы нам ответил директор департамента бизнес-информации и службы заказчика ТНК-ВР Степан Масленников.

Внедрение системы IdM за 10 шагов

Проекты по внедрению IdM-систем иногда сопровождаются большими усилиями, срывами запланированных сроков и бюджетами, превышающими сумму, которая планировалась вначале

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Интервью с Игорем Ляпуновым, директором Центра информационной безопасности компании «Инфосистемы Джет»

Не так давно центр информационной безопасности компании «Инфосистемы Джет» подвел итоги своей работы за прошлый год. И сегодня нашим собеседником стал Игорь Ляпунов, директор ЦИБ, который рассказал, какими результатами завершился 2009 г. для центра информационной безопасности.

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Защита персональных данных в бизнес-приложениях средствами Oracle Identity Management и смежными решениями

Нормативные документы по информационной безопасности, в том числе по защите персональных данных, рекомендуют использование прошедших в установленном порядке процедуру оценки соответствия (сертифицированных) средств защиты информации (СЗИ) для обеспечения информационной безопасности автоматизированной системы (АС) предприятия.

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Искусство сервиса

Помимо выполнения своих непосредственных обязанностей и выстраивания отношений с заказчиками, Сервисный центр, как довольно крупная и весьма самостоятельная единица, занимается налаживаем отношений с внутренними подразделениями компании. Нередко выполнение заявки клиента не обходится без привлечения коллег из других отделов, не входящих в СЦ.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня