Řízení uživatelských identit a oprávnění CyberSecurity roadshow 2. 6. 2016 Atos - For internal use
Citace z českého zákona o kybernetické bezpečnosti Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Vyhláška o kybernetické bezpečnosti Organizačním opatřením je mj.: řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému Technickými opatřeními jsou mj. nástroj pro ověřování identity uživatelů, nástroj pro řízení přístupových oprávnění 2 2. 6. 2016 Petr Němec, Miroslav Skokan
Citace z českého zákona o kybernetické bezpečnosti 11 PV Orgán a osoba uvedená v 3 písm. c) a d) zákona dále v rámci řízení přístupu a) přidělí přistupujícím aplikacím samostatný identifikátor, b) omezí přidělování administrátorských oprávnění, c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu, d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách nebo rolích, e) využívá nástroj pro ověřování identity uživatelů podle 18 a nástroj pro řízení přístupových oprávnění podle 19 a f) zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení, případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými orgán a osoba uvedená v 3 písm. c) a d) zákona nedisponuje. 3 2. 6. 2016 Petr Němec, Miroslav Skokan
Citace z českého zákona o kybernetické bezpečnosti 19 PV Nástroj pro řízení přístupových oprávnění (1) Orgán a osoba uvedená v 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění a) pro přístup k jednotlivým aplikacím a datům a b) pro čtení dat, pro zápis dat a pro změnu oprávnění. (2) Orgán a osoba uvedená v 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik. 4 2. 6. 2016 Petr Němec, Miroslav Skokan
Jak řídíte účty a oprávnění ve vašich systémech? Je přidělování oprávnění ve vašich systémech těžkopádné a pomalé? vždy je nutné žádat je obtížná orientace oč, kde a jak vyřízení trvá neodhadnutelně a dlouho /dny/ oprávnění se po odchodu z organizace neodebírají Řešíte problematickou podporu business rozhodnutí a změn obtížné přidělování oprávnění k okamžitým ad-hoc a specifickým potřebám (projekty, kampaně, virtuální týmy) pokrytí rozsáhlých organizačních změn business rozhodnutí (změny působností, outsourcing, insourcing apod.) Splňujete všechny zákonné i další normativy v oblasti bezpečnosti a řízení přístupů? 5 2. 6. 2016 Petr Němec, Miroslav Skokan
Cíle IDM implementace Vytvoření technologické platformy sjednocující a standardizující přístup k systémům, aplikacím a dalším IT zdrojům Rychlá a flexibilní správa změn v oblasti správy uživatelů a jejich uživatelských oprávnění Průkazná personální, schvalovací, realizační a systémová workflow Zjednodušení a zrychlení procesů žádání a následného přidělování přístupových práv pro uživatele Zvýšení efektivnosti a rychlosti realizace změn uživatelských přístupů Eliminace chybných a duplicitních zadání a vstupů Centrální prosazování bezpečnostních politik Dodržování zákonných požadavků a předpisů, udržení certifikace dle mezinárodních standardů apod. Unifikace a bezpečnost Rychlost změn Uživatelská spokojenost Helpdeskové požadavky Náklady na administraci Chybovost, duplicity Compliance, auditovatelnost 6 2. 6. 2016 Petr Němec, Miroslav Skokan
Cíle IDM z různých perspektiv Příklady Business: Maximálně automatické přidělování přístupů na základě tzv. job profiles (bez nutnosti žádostí) Vylepšené uživatelské prostředí (změna hesla, další změny přístupů) Reakce na změny (organizační, procesní, ) IT provoz: Nahrazení rutinní práce administrátorů automatickými konektory Výrazné snížení zátěže IT hotliny (přístupy, reset hesel apod.) Bezpečnost: Okamžité odebrání veškerých oprávnění při odchodu zaměstnance či změně pozice Monitorování a reportování rozdílů ve schváleném a reálném stavu přístupů Audit: Vyhovění požadavkům daným jednotlivým standardy a normami 7 2. 6. 2016 Petr Němec, Miroslav Skokan
Co je tedy vlastně Identity Management? 8 2. 6. 2016 Petr Němec, Miroslav Skokan
Atos a oblast IDM/IAM Bezpečnost je naší dlouhodobou strategickou oblastí Specializace na IDM/IAM v regionu ČR/SR již od roku 2005 Vlastní produktová platforma pro oblast IAM s více než 20-letou historií Platforma DirX s jasně definovanou vývojovou roadmapou Vývoj DXI, DXT a DXA částečně zajištěn týmem GDC v Brně (u DXT zcela) V regionu CZ a SK tým zkušených konzultantů a vývojářů Fungující sdílení kapacit mezi projekty Fungující sdílení kapacit mezi vývojem a projekty Tento tým doplňují naši osvědčení partneři a dodavatelé Zkušenosti s implementacemi pro zákazníky v ČR/SR i dalších zemích ve všech segmentech (Public, Telco, Energy, Financial Services, Media, Industry) Většinu zákaznických implementací nadále podporujeme a rozvíjíme 9 2. 6. 2016 Petr Němec, Miroslav Skokan
Atos a oblast IDM/IAM Naše IAM vývojová centra Pozice Atosu Leadership Compass Paris Mnichov Grenoble Brno Brasov Brasov Naši zákazníci byli oceněni cenami v rámci European Identity Conference 2010 Swissgrid (SUI), 2011 O2 Czech Republic (CZE) & Catholic University of Leuven (BEL) 2012 Siemens AG (GER) 2013 Swiss Reinsurance (SUI) 10 2. 6. 2016 Petr Němec, Miroslav Skokan
Naše IAM produktové portfolio Bezpečná autorizace řízená politikami, přístup do cloudů, SSO a federace Web Access Management Komplexní audit změn, podpora pro analýzy rizik, auditing pro DXI a DXA Auditing a inteligence Řízení autentizačních procesů dle požadavků businessu Authentication Management Řízení a kontrola uživatelských identit a jejich přístupových oprávnění Identity Governance and Administration Zabezpečený přístup k aplikacím z desktopů, tabletů i mobilů Enterprise SSO Výkonný adresářový server pro enterprise prostředí Directory Server Vysoká dostupnost, load balancing, replikace a opatření proti výpadkům Business Continuity 11 2. 6. 2016 Petr Němec, Miroslav Skokan
Naše IAM produktové portfolio Evidian Web Access Manager Web Access Management DirX Audit Auditing a inteligence Evidian Authentication Manager Authentication Management DirX Identity Identity Governance and Administration Evidian Enterprise SSO Enterprise SSO DirX Directory Directory Server Celá platforma Business Continuity 12 2. 6. 2016 Petr Němec, Miroslav Skokan
Řízení identit, životní cyklus identity Organizační struktura objekty organizační struktury org. jednotka, pozice, profese práva s vazbou na organizační strukturu Typy identit Životní cyklus identity vznik identity, integrace na personální systém životní situace změny, deaktivace, odchody na MD/RD, přesuny, vynětí apod. zrušení identity Řízení práv identity, žádost o práva manuální žádost automatické přidělování práv 13 2. 6. 2016 Petr Němec, Miroslav Skokan
Schvalovací workflow Produkt DirX Identity implementuje schvalovací workflow Schvalovací workflow je možné navázat na akce v IDM žádost o přidělení/odebíraní práv změna atributů identity, role, oprávnění Definice schvalovacího workflow modeluje se v grafickém rozhraní příklady: princip 4 (6 i více) očí, schvalování ředitelem bezpečnosti apod. Funkce související se schvalováním notifikace eskalace delegace 14 2. 6. 2016 Petr Němec, Miroslav Skokan
Grafické rozhraní pro uživatele Produkt DirX Identity obsahuje speciální rozhraní pro koncové uživatele Podpora pro standardní prohlížeče, tablety i mobily Typické funkčnosti přehled uživatele a jeho vazeb (seznam účtu, přidělených práv apod.) žádost o práva, role schvalování, přehled žádostí reporty samoobsluha vybraných aktivit žádosti o změny, reset hesla, delegace apod. alternativně: správa rolí 15 2. 6. 2016 Petr Němec, Miroslav Skokan
Naše hlavní reference v oblasti IAM a SSO Sociálna poisťovňa eportál (Atos DirX) ČSSZ AAA portál (IBM Tivoli) O2 Czech Republic/Slovakia/O2 IT Services IAM (Atos DirX) Magistrát města Ostravy esmo (Sun IDM) Orange Slovensko IDM (Atos DirX) Zdravotní pojišťovna MV ČR (Evidian AM) Komerční banka (Evidian AM, Evidian Enterprise SSO) 16 2. 6. 2016 Petr Němec, Miroslav Skokan
Reference v oblasti IAM a SSO ČSSZ AAA portál Počet uživatelů/zaměstnanců + externistů: 9 100, s fluktuací více než 2 000 zam/čtvrtletí Přihlášení k systémům (OS, APV): čipová karta Počet integrovaných aplikací: 60 včetně subsystémů, další v realizaci Spravovaná uživatelská oprávnění: 200 logických rolí, 1 200 fyzických rolí Zdrojový personální systém: HR SAP Adresářový subsystém: Active Directory, atributy v režimu Correct Použitý SW: IBM Tivoli Identity Manager (nyní SIM), IBM Tivoli Access Manager (nyní SAM), IBM Common Auditing and Reporting Service, Crystal Reports, cluster RedHat 4 AS Cílová architektura AAA: 24 serverů ve 2 lokalitách, loadbalancing 17 2. 6. 2016 Petr Němec, Miroslav Skokan
Reference v oblasti IAM a SSO O2 CZ/SK IAM Počet aktivních uživatelů/zaměstnanců + externistů: 15 168 (CZ, SK), s fluktuací cca 200 zam/čtvrtletí Počet integrovaných aplikací: 8 přímým konektorem (Active Directory multidoména/exchange, SAP, integrační platforma CIP, HP OpenView ServiceDesk, SIM DB, Teradata DW, Microstrategy, SecureStore/Bezpečné úložiště), cca 250 přes HP OV SD a CIP, stovky OS a DB Zdrojový personální systém: HR SAP Adresářový subsystém: DirX Directory Použitý SW: DirX Identity, DirX Audit Architektura IAM: 4 servery (dříve ve virtuálním prostředí) 18 2. 6. 2016 Petr Němec, Miroslav Skokan
Příklad Big Picture IDM systému 19 2. 6. 2016 Petr Němec, Miroslav Skokan
DirX Identity Ukázky uživatelského rozhraní 20 2. 6. 2016 Petr Němec, Miroslav Skokan
DirX Identity Ukázky uživatelského rozhraní 21 2. 6. 2016 Petr Němec, Miroslav Skokan
DirX Identity Ukázky uživatelského rozhraní 22 2. 6. 2016 Petr Němec, Miroslav Skokan
DirX Audit Ukázky uživatelského rozhraní 23 2. 6. 2016 Petr Němec, Miroslav Skokan
DirX Audit Ukázky uživatelského rozhraní 24 2. 6. 2016 Petr Němec, Miroslav Skokan
Proč Atos? Produktové portfolio pokrývající obvyklé i speciální požadavky zákazníků Sofistikovaný obchodní model Podpora produktového managementu v Mnichově Rozsáhlé možnosti customizace Auditing, historické databáze Reference v ČR, SR i zahraničí Podpora v Čechách i na Slovensku Zákaznická uživatelská rozhraní Lokalizace webových rozhraní do češtiny obvykle omezené Produkt však není primárním kritériem tím jsou zkušenosti implementačního týmu 25 2. 6. 2016 Petr Němec, Miroslav Skokan
Děkuji za pozornost Pro více informací prosím kontaktujte: Petr Němec, Miroslav Skokan T+420 603 283 136 miroslav.skokan@atos.net Atos, the Atos logo, Atos Codex, Atos Consulting, Atos Worldgrid, Worldline, BlueKiwi, Bull, Canopy the Open Cloud Company, Unify, Yunano, Zero Email, Zero Email Certified and The Zero Email Company are registered trademarks of the Atos group. April 2016. 2016 Atos. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos.