Дмитрий Сергеев Специалист по инфраструрктным решениям Microsoft Россия Идентификация и управление правами доступа госслужащих к ведомственной информации как важнейший принцип обеспечения информационной безопасности

Инфраструктура: фундамент для ИТ Базовая инфраструктура Решение общих для всех компонентов и подсистем задач Типовые приложения Специализированные приложения 2

Что такое информационная система? Современная информационная система – это средство работы с данными Основные компоненты информационной системы Объекты Субъекты Информационное взаимодействие Обеспечение информационной безопасности при доступе к данным – одна из ключевых задач ИТ 3

Доступ к информации – основные этапы 4

Уровни зрелости ИБ (концептуальные) 0 - Внедрение базовых механизмов защиты 1 - Создание комплексных систем обеспечения ИБ 2 - Унификация и интеграция механизмов защиты 3 - Управление информационными рисками 5

Уровни зрелости ИБ (технологические) 0 «охота и собирательство» Парольная защита, ACL (на уровне и средствами ОС и СУБД) 1 «феодальная» Антивирусы, firewalls, VPN, SSL, шифрование данных 2 «возрождение» PKI, EAM (системы управления доступом), SSO, IDS, системы контентной фильтрации 3 «индустриальная» DRM (системы управления цифровыми правами), аудит, системы управления информационной безопасностью и глобальный PKI, контроль целостности 6

Идентификация в ИТ-системах Данные о пользователях могут превратиться в настоящий кошмар для службы информатизации 7

Идентификация в актуальном контексте 8 Актуально Кредитная карта в банкомате Паспорт на пограничном контроле Полис ОМС в медучереждении LiveID на сервере Hotmail Вне контекста ДК на пограничном контроле Полис ОМС в банкомате ИНН в ГИБДД В зависимости от ситуации Паспорт в банкомате ИНН в медучереждении LiveID на Mail.ru

Учетные данныеУчетные данные ПривилегииПривилегии ПрофилиПрофили ПолитикиПолитики Единая точка входа (SSO)Единая точка входа (SSO) Пользователи ОС Windows Сетевые ресурсыСетевые ресурсы Общие папкиОбщие папки ПринтерыПринтеры ПолитикиПолитики Серверы Windows КонфигурацияКонфигурация БезопасностьБезопасность КарантинКарантин ПолитикиПолитики Клиенты Windows МИС (EMR)МИС (EMR) ЛИСЛИС RIS/PACSRIS/PACS Специализированные ИС Сведения о продуктеСведения о продукте ПривилегииПривилегии ПрофилиПрофили ПолитикиПолитики Автоматическое развертываниеАвтоматическое развертывание Продукты Microsoft КонфигурацияКонфигурация Качество обслуживанияКачество обслуживания Политики безопасностиПолитики безопасности Единая точка входа (SSO)Единая точка входа (SSO) Сетевые устройства КонфигурацияКонфигурация Политики безопасностиПолитики безопасности VPN и удаленный доступVPN и удаленный доступ КарантинКарантин Единая точка входа (SSO)Единая точка входа (SSO) Службы брандмауэра Единая точка входа (SSO)Единая точка входа (SSO) Автоматическое развертываниеАвтоматическое развертывание КонфигурацияКонфигурация Данные каталога, относящиеся к приложениюДанные каталога, относящиеся к приложению Приложения сторонних производителей Эффективность работыЭффективность работы Повышение безопасностиПовышение безопасности Повышение производительностиПовышение производительности ВзаимосовместимостьВзаимосовместимость Active Directory Active Directory – ключевой компонент базовой инфраструктуры Что такое Active Directory 9

Унификация управления и контроля доступа 10

Прием на работу -Создание учетных записей -Назначение прав Организацонные изменения -Перевод сотрудников -Изменение уровня доступа -Изменение аттрибутов Управление паролями -Стойкость -Восстановление -Сброс/синхронизация Увольнение -Удаление/блокировка -Отзыв прав доступа Единый жизненный цикл учетных данных 11

СОТРУДНИКИ ПРИЛОЖЕНИЯ ПЛАТФОРМА Государственные ведомства Системы межведомственного взаимодействия Контрагенты (поставщики, партнеры) Мобильные сотрудники Потребители государственных услуг Единая платформа взаимодействия 12

Active Directory – часть Windows Server 13 Филиал Применение политик и обеспечение безопасности Платформа веб-служб и приложений Управление сервером Высокая доступность Виртуализация сервера Доступ к приложениям из любого места

Разносторонний контроль правил, относящихся к используемым паролям История, срок действия, минимальная и максимальная длина, сложность Определение правил блокировки учетной записи Длительность, порог, время сброса Возможность использования двухфакторной проверки подлинности Смарт-карты, биометрические данные, другие типы ключей Расширение действия политик безопасности на другие системы (не Windows) с помощью Kerberos & LDAP Повышение безопасности 14

Использование AD как единой точки входа (SSO) для удаленных пользователей Управление удаленным и VPN-доступом с помощью групповых политик Применение политик независимо от способа входа клиента в систему После подключения система управления доступом может выполнить следующие действия: изоляция клиента до проверки его надежности предоставление надежным клиентам доступа к сетевым ресурсам изоляция клиентов, не прошедших проверку предоставление изолированным клиентам доступа к некоторым ресурсам для обновления и исправления системы Применение для удаленных пользователей строгой проверки подлинности Повышение безопасности 15

Шаблоны безопасности гарантируют защищенность ИТ-инфраструктуры во всей организации Блокирование возможности изменения конфигурации и настроек ПК конечными пользователями Политики ограниченного использования программ помогают контролировать списки ПО, которое можно запускать на рабочих станциях Возможность аудита событий и изменений Управление множеством параметров с помощью групповых политик Повышение безопасности 16

Выполните исследование совокупной стоимости владения и/или исследование окупаемости инвестиций в ИТ для расчета затрат и выгоды. Используйте семинары Microsoft или партнеров для оценки текущей эффективности и возможностей ее повышения Создайте план развертывания определите результаты, участников, временные рамки и требования. Используйте шаблоны планов Создайте план развертывания определите результаты, участников, временные рамки и требования. Используйте шаблоны планов Используйте методические рекомендации Microsoft для создания образов серверов и пакетов приложений Следуйте рекомендациям и лучшим примерам используйте услуги партнеров Используйте методологические рекомендации для интеграции решения в существующую среду Оценка Планирование Построение Развертывание Эксплуатация Предварительное планирование Обучайте пользователей новым возможностям, адаптируйте бизнес-процессы и оценивайте результаты Адаптация Этапы внедрения Active Directory 17

Спасибо за внимание! Дмитрий Сергеев Специалист по инфраструрктным решениям Microsoft Россия