Управление "виртуальной личностью"
Как часто внутрикорпоративные разработчики задумываются о вопросах безопасности? А если задумываются, насколько легко интегрировать создаваемые custom-решения с соответствующей инфраструктурой организации? Вроде бы те же Java EE-разработчики используют соответствующие механизмы управления ролями пользователей, входа в систему .... однако, если в организации используется Directory Server, Active Directory, регламенты безопасности, аудит доступа к системам? А ведь политики безопасности диктуются самой природой деятельности организаций, говорим ли мы о банке, GSM-операторе, страховой компании, заводе, управляющей компании или органе власти.
Существует и другая сторона безопасности - обмен информацией не ограничивается обменом по электронной почте. Все более тесными становятся связи между организациями, говорим ли мы о размещении заказов у поставщика продукции или хостинге приложений.
И речь, как уже стало ясно, не о SOA, хотя сервис-ориентированных систем это ой как касается, ведь они же предполагают обеспечение сквозного управления и контроля бизнес-процесса через множество систем, задействованных в обработке информации.
Речь об Identity Management (Id Management или просто IdM). Буквально на днях наступил на классический грабли, написав по русски "управление идентификацией". А ведь identity это нечто уникальное - "признак личности", если так можно выразиться. И когда мы говорим "управление идентификацией" мы лишь касаемся вопроса установления личности, но никак ни всего что связано с ее поддержанием в заданном контексте (читай ИТ-инфраструктуре предприятия).
Вполне естественно говорить об identity или id (сразу вспоминаем полицейские фильмы на английском языке ;-) как о паспорте личности. А ведь его нужно создать, сопроводить атрибутами, уникальными для владельца, ограничить срок его действия, а уже в контексте ИТ - ассоциировать с системами, а точнее правами доступа к ним и , чего греха таить, мониторить его исопльзование и ограничить его владельца от кражи личности, которая может случиться не только когда воруют пластиковую карту... Необходимо полноценное управление жизненным циклом виртуальной личности - identity lifecycle management.
Эта задача, конечно, возникла не сегодня, и не вчера. Сколько лет уже используются службы каталогов? Именно. А как часто они интегрированы с системой отдела кадров / HR-модулем ERP? ... А если вот так не побояться и спросить про учетную систему или нечто развернутое на сервере приложений при всей своей кластеризации и отказоустойчивости, живущее абсолютно своей жизнью с точки зрения безопасности? ... вы сами знаете...
А ведь "правила игры" начинают определяться в тот момент когда информацию о сотруднике заносят в базу отдела кадров. И когда мы говорим жизненном цикле identity, то это значит, что в том же банке, в зависимости от должности, на которую человек оформляется, служба безопасности должна поставить виртуальный штампик - к каким системам человек должен иметь доступ, а какие ему как минимум не нужны для работы, а иногда и просто вредны ;) Если же серьезно смотреть на эту проблему, то в том же банке существуют операционные и репутационные риски, а на них оказывает серьезное влияния ИТ, даже если мы не берем в расчет ИТ-аудиторов с COBIT, и "нам не страшен" SOX и Basel II, существуют стандарты безопасности (17799, отображаемый со стороны COBIT и более практический - 27001:2005, по которому уже проводится аудит и аттестация на соответствие) и руководящие документы ЦБ РФ, его рекомендации и письма играющие роль реальных стандартов для финансовой сферы. И, конечно, вопросы identity management касаются не только банков. Достаточно посмотреть на последние исследования по информационной безопасности:
Ну а для начала разговора уже о решениях Identity Management, хочу обратить внимание на еще один свободно-доступный Web-курс:
Существует и другая сторона безопасности - обмен информацией не ограничивается обменом по электронной почте. Все более тесными становятся связи между организациями, говорим ли мы о размещении заказов у поставщика продукции или хостинге приложений.
И речь, как уже стало ясно, не о SOA, хотя сервис-ориентированных систем это ой как касается, ведь они же предполагают обеспечение сквозного управления и контроля бизнес-процесса через множество систем, задействованных в обработке информации.
Речь об Identity Management (Id Management или просто IdM). Буквально на днях наступил на классический грабли, написав по русски "управление идентификацией". А ведь identity это нечто уникальное - "признак личности", если так можно выразиться. И когда мы говорим "управление идентификацией" мы лишь касаемся вопроса установления личности, но никак ни всего что связано с ее поддержанием в заданном контексте (читай ИТ-инфраструктуре предприятия).
Вполне естественно говорить об identity или id (сразу вспоминаем полицейские фильмы на английском языке ;-) как о паспорте личности. А ведь его нужно создать, сопроводить атрибутами, уникальными для владельца, ограничить срок его действия, а уже в контексте ИТ - ассоциировать с системами, а точнее правами доступа к ним и , чего греха таить, мониторить его исопльзование и ограничить его владельца от кражи личности, которая может случиться не только когда воруют пластиковую карту... Необходимо полноценное управление жизненным циклом виртуальной личности - identity lifecycle management.
Эта задача, конечно, возникла не сегодня, и не вчера. Сколько лет уже используются службы каталогов? Именно. А как часто они интегрированы с системой отдела кадров / HR-модулем ERP? ... А если вот так не побояться и спросить про учетную систему или нечто развернутое на сервере приложений при всей своей кластеризации и отказоустойчивости, живущее абсолютно своей жизнью с точки зрения безопасности? ... вы сами знаете...
А ведь "правила игры" начинают определяться в тот момент когда информацию о сотруднике заносят в базу отдела кадров. И когда мы говорим жизненном цикле identity, то это значит, что в том же банке, в зависимости от должности, на которую человек оформляется, служба безопасности должна поставить виртуальный штампик - к каким системам человек должен иметь доступ, а какие ему как минимум не нужны для работы, а иногда и просто вредны ;) Если же серьезно смотреть на эту проблему, то в том же банке существуют операционные и репутационные риски, а на них оказывает серьезное влияния ИТ, даже если мы не берем в расчет ИТ-аудиторов с COBIT, и "нам не страшен" SOX и Basel II, существуют стандарты безопасности (17799, отображаемый со стороны COBIT и более практический - 27001:2005, по которому уже проводится аудит и аттестация на соответствие) и руководящие документы ЦБ РФ, его рекомендации и письма играющие роль реальных стандартов для финансовой сферы. И, конечно, вопросы identity management касаются не только банков. Достаточно посмотреть на последние исследования по информационной безопасности:
- 2006 E-Crime Watch Survey: инсайдеры все опаснее и опаснее
- InfoWatch: Глобальное исследование инцидентов внутренней информационной безопасности
- Внутренние ИТ-угрозы в России 2006
Ну а для начала разговора уже о решениях Identity Management, хочу обратить внимание на еще один свободно-доступный Web-курс:- WMT-IDM-1400 Sun Java Identity Management - Overview
он расчитан на 2 часа и включает два модуля:
- Business Case for Identity Management о проблематике задач IdM
- Sun's Identity Management Portfolio уже о конкретной IdM-платформе Sun
- Java System Identity Manager
- Java System Directory Server Enerprise Edition
- Java System Access Manager
- Java System Identity Auditor
- Java System Federation Manager
- Java System Identity Manager Service Provider Edition (SPE)
Ярлыки: Business-IT Alignment, English, Identity Management, Risk Management, SOA
Автор: Сергей Орлик в
9.6.07
Комментарии: 0:
Отправить комментарий
Подпишитесь на каналы Комментарии к сообщению [Atom]
<< Главная страница